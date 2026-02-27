Siber güvenlik, 21. yüzyılın en karmaşık kamu politikası alanlarından biri hâline gelmiştir. Devletler, kritik altyapılar, finans kurumları ve bireyler artık yalnızca fiziksel değil, dijital düzlemde de tehditlerle karşı karşıyadır. Bu bağlamda 7545 sayılı Siber Güvenlik Kanunu, Türkiye'de bilgi güvenliği ve siber savunma alanında kapsamlı bir mevzuat zemini oluşturma girişimi olarak büyük önem taşımaktadır.

Kanun, hem kamu kurumları hem de özel sektör aktörleri açısından "önleyici, tespit edici ve müdahaleci" mekanizmaları tanımlayarak Türkiye'nin siber savunma ekosistemini bütüncül bir çerçeveye oturtmayı amaçlamaktadır. Bununla birlikte, düzenlemenin Avrupa Birliği'nin 2023 yılında yürürlüğe giren NIS2 Direktifi başta olmak üzere, karşılaştırmalı hukukta benimsenmiş modellerle arasındaki farklılıklar dikkat çekmektedir. Türkiye'nin hukuki yaklaşımı daha çok ulusal güvenlik temelli, merkeziyetçi bir yapılanmaya dayanırken; AB'nin yaklaşımı çok paydaşlı, risk temelli ve şeffaf raporlama esaslıdır. Bu çalışma, 7545 sayılı Kanun'u yönetişim yapısı, olay bildirimi, yaptırım rejimi ve uluslararası iş birliği başlıklarında karşılaştırmalı olarak incelemekte ve Türk hukuk sisteminin gelecekteki uyum kapasitesine ilişkin değerlendirmeler sunmaktadır.

I. Denetim Yapıları

7545 sayılı Kanun, Türkiye'de siber güvenlik yönetişimini oldukça merkezî bir kurumsal mimariyle düzenlemektedir. "Siber Güvenlik Başkanlığı" adıyla tanımlanan otorite, hem kamu hem özel sektör SOME (Siber Olaylara Müdahale Ekibi) yapılarının kurulması, denetlenmesi ve koordinasyonu konusunda geniş yetkilere sahiptir. Bu model, siber tehditlere karşı hiyerarşik ve hızlı karar alma mekanizması oluşturmayı hedefler.

Ancak bu merkezî yapılanma, karar alma süreçlerinde esnekliği sınırlayabilir. Çünkü siber tehditler genellikle sınır ötesi, çok aktörlü ve dinamik bir yapıya sahiptir. Yerel düzeyde alınan kararların uluslararası siber tehditlerle eşgüdümlü olabilmesi için güçlü koordinasyon ağları gereklidir. Bu nedenle, Türkiye'nin seçtiği model, hızlı tepki avantajına sahip olsa da çok paydaşlı iş birliği açısından zayıf bir noktada konumlanmaktadır.1

Avrupa Birliği'nin NIS2 Direktifi, üye devletlerin kendi ulusal otoritelerini belirleme hakkını korumakla birlikte, bu otoriteleri Avrupa çapında ENISA (Avrupa Siber Güvenlik Ajansı) ve CSIRTs Network aracılığıyla birleştirir. Böylelikle üye ülkeler, teknik bilgi paylaşımını ve olay bildirimlerini ortak bir dijital platform üzerinden yürütür.



Bu sistem, siber olaylara karşı "tek bir Avrupa tepkisi" oluşturma amacını taşır. Türkiye'nin merkezi yapısı ile AB'nin bu çok merkezli modeli arasında esas fark, kararların alınma biçiminde yatar: Türk modeli dikey komuta zinciriyle işlerken, AB modeli yatay ağ ilişkileri üzerinden kolektif karar üretir.

II. Olay Bildirim Mekanizmaları

Kanun m. 7/1-b'ye göre kamu kurumları ve özel işletmeler siber olayları "gecikmeksizin" ilgili otoriteye bildirmekle yükümlüdür. Ancak "gecikmeksizin" ifadesinin süresel bir tanımı bulunmadığından, uygulamada farklı yorumlara yol açması mümkündür. Örneğin bazı kurumlar bildirimleri saatler içinde yaparken, diğerleri birkaç gün içinde raporlama eğilimi gösterebilir.

Bu esneklik, bazı durumlarda operasyonel fayda sağlasa da, kriz yönetiminde tutarsızlık riski doğurur. Bildirim sürelerinin açık biçimde tanımlanmaması, zincirleme tehditlerin yayılmasına veya kritik altyapıların gecikmeli korunmasına yol açabilir. Ayrıca, SOME ekiplerinin farklı kurumlara bağlı olarak dağınık çalışması, raporlama standartlarının bütünlüğünü olumsuz etkileyebilir.Dolayısıyla Türkiye'nin esnek bildirim modeli, esnekliğin pratik avantajlarına rağmen, teknik uyum ve koordinasyon açısından eksik kalmaktadır.

AB'ninNIS2 Direktifi, olay bildirimi konusunda net zaman dilimleri belirlemiştir: olay tespitinden itibaren 24 saat içinde ilk uyarı, 72 saat içinde ayrıntılı rapor, 30 gün içinde nihai değerlendirme raporu. Bu model, olay yönetimini standartlaştırarak hem ulusal hem uluslararası düzeyde şeffaflık sağlar.

Sürelerin belirginliği, hem düzenleyici otoritelerin hem de işletmelerin öngörülebilir bir kriz yönetim protokolü oluşturmasına olanak verir. Türkiye'nin esnek modeli ile AB'nin süre odaklı rejimi arasındaki fark, siber güvenliğe yaklaşım felsefelerini de yansıtır: biri güvenlik merkezli pragmatizm, diğeri yönetişim merkezli hesap verebilirliktir.

III. Siber Güvenlikte Caydırıcılık

Kanun m. 16, siber güvenlik yükümlülüklerine aykırı davranan kişi ve kurumlara hem idari para cezası hem de hapis cezası öngörmektedir. Özellikle kritik altyapılara yapılan saldırılar veya kamu veri tabanlarının ihlali durumunda cezalar oldukça ağırdır.

Bu yaklaşım, caydırıcılığı yüksek tutmakla birlikte, uygulamada bazı sorunlar yaratabilir. Örneğin, teknik ihlaller ile kasıtlı saldırıların aynı hüküm altında değerlendirilmesi, orantılılık ilkesine aykırılık tartışmalarını gündeme getirebilir. Ayrıca idari yaptırımların üst sınırının yıllık brüt satışların %5'i olması, KOBİ niteliğindeki işletmeler için aşırı ağır sonuçlar doğurabilir.2

Avrupa Birliği düzenlemelerinde cezai yaptırımlar devletlerin iç hukukuna bırakılmış; idari para cezaları ise işletmenin yıllık cirosunun %1-2'siyle sınırlandırılmıştır. Bunun yerine odak noktası, kurum içi risk yönetimi ve bilgi güvenliği sistemlerinin etkinliğidir. Bu sistem, cezadan ziyade önleyici kurumsal kültür yaratmayı hedefler. Türkiye'nin cezai yönü ağır basan modeliyle AB'nin kurumsal-sorumluluk temelli yapısı arasındaki fark, "suç" kavramının algısında ortaya çıkar: Türkiye için siber saldırı bir kamu düzeni ihlalidir; AB için ise kurumsal bir uyumsuzluk sorunudur.

IV. Uluslararası İş Birliği

A. Türkiye'nin Ulusal Odaklı Yaklaşımı

Kanun m. 6/f, uluslararası iş birliğine olanak tanısa da, Türkiye'nin siber güvenlik stratejisi hâlâ ulusal odaklı bir yapı sergiler. SOME ağları ulusal düzeyde organize edilmekte, veri paylaşımı çoğunlukla iç sistemlerle sınırlı kalmaktadır. Bu durum, Türkiye'nin iç kapasitesini güçlendirmesi açısından avantajlı olsa da, uluslararası tehditlere karşı ortak tepki mekanizması kurmasını zorlaştırır.3

B. AB'nin Çok Paydaşlı İş Birliği Ekosistemi

AB, NIS2 çerçevesinde sınır ötesi siber tehditlerle mücadele için Joint Cyber Unit, CSIRTs Network ve Avrupa Siber Güvenlik Yetkinlik Merkezi gibi yapılar oluşturmuştur. Bu kurumlar arasında gerçek zamanlı bilgi akışı sağlanmakta, tehdit istihbaratı paylaşımı standart hâline getirilmektedir.

Türkiye'de bu tür bir ağ temelli yapı henüz bulunmamaktadır; ancak 7545 sayılı Kanun'un getirdiği SOME koordinasyonu ileride bölgesel ve uluslararası iş birliğine zemin oluşturabilecek bir başlangıç olarak değerlendirilebilir.

Sonuç



7545 sayılı Siber Güvenlik Kanunu, Türkiye'nin dijital egemenlik stratejisinin en önemli yapı taşlarından biridir. Kanun, ulusal kapasiteyi güçlendirmeyi, kritik altyapı güvenliğini artırmayı ve siber saldırılara karşı güçlü bir hukukî zemin yaratmayı amaçlamaktadır.

Bununla birlikte, karşılaştırmalı hukuk ışığında değerlendirildiğinde; Türkiye'nin yaklaşımı merkezî karar alma ve ağır yaptırımlar üzerine kuruluyken, AB sistemi çok aktörlü iş birliği, açık bildirim standartları ve kurumsal sorumluluk ilkesine dayanmaktadır. Uzun vadede Türkiye'nin, hem teknik standartlar hem de hukuki uyum bakımından NIS2 ve benzeri uluslararası modellerle entegrasyon sağlaması, sürdürülebilir bir siber güvenlik ekosisteminin oluşması için kritik önemdedir.

