19 Mart 2025'te yürürlüğe giren 7545 sayılı Siber Güvenlik Kanunu, Türkiye'de siber uzayda faaliyet gösteren kamu ve özel tüm kişi ve kuruluşlara yönelik olarak siber tehditlerin önlenmesi, ulusal stratejilerin belirlenmesi ve Siber Güvenlik Kurulu'nun oluşturulmasını amaçlamaktadır. Kanun; kurumlara siber güvenlik önlemleri alma, bildirim yapma, yetkili ürün kullanma ve denetimlere açık olma gibi yükümlülükler getirirken, ihlaller halinde ağır hapis ve yüksek idari para cezaları öngörmektedir. Siber Güvenlik Başkanlığı'na geniş yetkiler tanıyan Kanun, aynı zamanda kişisel verilerin korunmasını da düzenlemektedir. Uyum süreci için 1 yıllık süre tanınmış olup, bu süre sonunda yükümlülüklerini yerine getirmeyen kişi ve kuruluşlar faaliyet yasağıyla karşı karşıya kalabilecektir.
Giriş
7545 sayılı Siber Güvenlik Kanunu ("Kanun") 19.03.2025 tarihli ve 32846 sayılı Resmi Gazete ile yayımlanarak yürürlüğe girmiştir.1 Kanun'un amacı; siber tehditlerin önlenmesi, siber olayların etkilerinin azaltılması, kurum ve kişilerin siber saldırılardan korunması, ulusal siber güvenlik strateji ve politikalarının belirlenmesi ve Siber Güvenlik Kurulu'nun ("Kurul") oluşturulmasıdır.
Kanun'un Kapsadığı Kişiler
Kanun'un kapsamı oldukça geniş tutulmuştur. Buna göre Kanun, siber uzayda varlık gösteren, faaliyet yürüten, hizmet sunan kamu kurum ve kuruluşları, kamu kurumu niteliğinde meslek kuruluşları, gerçek ve tüzel kişiler ile tüzel kişiliği bulunmayan kuruluşları kapsar.
Kanun'da siber uzayın doğrudan ya da dolaylı olarak internete, elektronik haberleşme veya bilgisayar ağlarına bağlı olan tüm bilişim sistemlerini ve bunları birbirine bağlayan ağlardan oluşan ortam olarak tanımlandığı göz önünde bulundurulduğunda; günümüzde ticari faaliyet yürüten herkesin Kanun'a uygun davranması gerektiği sonucuna ulaşılmaktadır. İstihbarat faaliyetleri ise Kanun kapsam dışında bırakılmıştır.
Kanun'un Getirdiği Düzenlemeler
(i) Temel İlkeler:
Kanun uyarınca siber güvenlikle ilgili olarak birtakım temel ilkelerden bahsedilmiştir. Örneğin kurumsallık, süreklilik, sürdürülebilirlik temelli çalışmaların yürütülmesi, hesap verilebilirlik ilkesine dikkat edilmesi, temel hak ve hürriyetlerin, hukukun üstünlüğünün ve mahremiyetin korunması gibi siber güvenliğin sağlanmasına ilişkin temel ilkeler hüküm altına alınmıştır. Ayrıca güvenli bir siber uzay oluşturulması, sürekli geliştirme ve bu alanda nitelikli insan kaynağı artırılmasına yönelik çalışmaların yapılması temel ilkelerden biri olarak belirlenmiştir.
Tüm kamu kurum ve kuruluşları ile gerçek ve tüzel kişiler siber güvenlik politika ve stratejilerinin yürütülmesi ile siber saldırıların önlenmesi veya etkisinin azaltılmasına yönelik gerekli tedbirlerin alınmasından sorumlu tutulmuştur. Ayrıca siber güvenliğin sağlanmasına yönelik çalışmalarda öncelikle yerli ve milli ürünler tercih edileceği belirtilmiş olup, siber güvenliğin milli güvenliğin ayrılmaz bir parçası olduğu vurgulanmıştır.
(ii) Bilişim sistemleri kullanmak suretiyle hizmet sunan, veri toplayan, işleyen ve benzeri faaliyet yürütenler:
Kanun kapsamında yer alan ve bilişim sistemleri kullanmak suretiyle hizmet sunan, veri toplayan, işleyen ve benzeri faaliyet yürütenlerin, bir diğer deyişle faaliyetleri kapsamında siber uzayda faaliyet gösteren tüm kişilerin görev ve sorumlulukları belirlenmiştir. İlgili görev ve sorumluluklar aşağıdaki şekilde özetlenebilir:
- Siber Güvenlik Başkanlığının ("Başkanlık") görevi ve faaliyeti kapsamında talep ettiği her türlü veri, bilgi, belge vb. her türlü katkıyı öncelikle ve zamanında Başkanlığa sağlamak,
- Siber güvenliğe yönelik olarak mevzuatın öngördüğü tedbirleri almak, hizmet sundukları alanda tespit ettikleri zafiyet veya siber olayları gecikmeksizin Başkanlığa bildirmek,
- Kamu kurumları ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik ürün, sistem ve hizmetleri Başkanlık tarafından yetkilendirilmiş ve belgelendirilmiş siber güvenlik şirketlerden tedarik etmek,
- İlgili siber güvenlik şirketlerince faaliyete başlamadan önce mevcut düzenlemeler çerçevesinde Başkanlığın onayını almak ve
- Siber olgunluğun artırılmasına yönelik Başkanlık tarafından geliştirilen politika, strateji, eylem planı ile yayımlanan diğer düzenleyici işlemlerde yer alan hususları yerine getirmek ve gerekli tedbirleri almak.
Dolayısıyla ülkemizde siber uzayda faaliyet gösteren her kamu kurum ve kuruluşu ile gerçek kişi, tüzel kişilerin ve tüzel kişiliği olmayanların yukarıda yer alan sorumluluklara uygun davranması gerekmektedir.
(iii) Başkanlık ve Siber Güvenlik Kurulu:
177 Başkanlık, Cumhurbaşkanlığı Kararnamesi ile kurulmuş olup görevleri ilgili Kanun'da belirlenmiştir. Başkanlık; kritik altyapılar ve bilişim sistemlerinin siber dayanıklılığını artırmak, siber olaylara müdahale ekibi kurmak, güvenlik standartlarını belirlemek, test ve sertifikasyon yapmak gibi görevler üstlenir. Ayrıca denetim yetkisi de bulunmaktadır.
Başkanlık; kurumları sınıflandırma, denetim kuruluşlarını yetkilendirme, siber saldırılara karşı tedbir alma ve müdahale desteği sağlama yetkisine sahiptir. Başkanlık, gerekli görüldüğünde ilgili kişi ve kurumlardan bilgi ve belge talep edebilir. Bu veriler en fazla 2 yıl işlenebilir ve süresi dolunca imha edilir. Kendisinden bilgi ve belge talep edilenlerin, bağlı oldukları mevzuatları öne sürerek bilgi ve belge sağlamamaları mümkün olmayacaktır.
Kanun kapsamında yürütülen iş ve işlemlerde kişisel verilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu'nda yer alan genel ilkelere uygun olarak işleneceği de hüküm altına alınmıştır. Ek olarak, elde edilecek kişisel verilerin ve ticari sırların, bu verilere erişilmesini gerektiren sebeplerin ortadan kalkması halinde re'sen imha edileceği belirtilmektedir.
Kanun uyarınca Kurul'un oluşacağı da hüküm altına alınmıştır. Kurul'un görev ve yetkileri arasında ise siber güvenlikle ilgili kararlar alınması ve Başkanlık tarafından hazırlanan yol haritasının uygulanmasına yönelik kararların alınması bulunmaktadır.
(iv) Denetim:
Kanun'da Başkanlığın göreviyle ilgili olarak gerekli gördüğü hallerde Kanun kapsamına giren fiil ve işlemleri denetleyebileceği ve mahalinde incelemenin söz konusu olabileceği hüküm altına alınmıştır. Hangi durumlarda denetimin gerekli görüleceği ise Kanun kapsamında açıklanmamaktadır.
Denetimler önemlilik ve öncelik ilkeleri doğrultusunda yürütülmektedir. Siber Güvenlik Başkanı, oluşturulan program dışında incelenmesi gerekli görülen hususlarda da denetim yaptırılabilir.
Mülki amirlerin, kolluk kuvvetlerinin ve diğer kamu kurumlarının amir ve memurlarının inceleme veya denetimle görevlendirilenlere her türlü kolaylığı göstermek ve yardımda bulunmakla yükümlü olduğu da hüküm altına alınmıştır.
Denetimle görevlendirilenler, sadece denetim faaliyeti kapsamında olmak üzere; elektronik veri, belge, altyapı, cihaz, sistem, yazılım ve donanımları inceleyebilir, kopya veya örnek alabilir, yazılı ya da sözlü açıklama isteyebilir, tutanak düzenleyebilir ve ilgili tesisleri denetleyebilir. Denetime tabi tutulanlar ise her türlü bilgi ve belgeyi sunmak ve ilgili sistemleri ve cihazları denetime açık tutmakla ve gerekli altyapıyı sağlamakla yükümlüdür.
Millî güvenlik, kamu düzeni, suç işlenmesinin veya siber saldırıların önlenmesi amacıyla hâkim kararı üzerine veya gecikmesinde sakınca bulunan hâllerde Cumhuriyet savcısının yazılı emri ile konut, işyeri ve kamuya açık olmayan kapalı alanlarda aramaların yapılması mümkündür. Aramalar esnasında ise kopya çıkarma ve el koyma işlemlerinin gerçekleştirilmesi mümkündür. Arama, kopya çıkarma ve el koymaya ilişkin usul Kanun'da açıklanmıştır.
Cezai Hükümler ve Yaptırımlar
Kanun kapsamında birçok ihlal faaliyetine istinaden farklı cezai hükümler ve yaptırımlar öngörülmüştür. İlgili yaptırımlar ise aşağıda yer almaktadır:
|
İhlal |
Yaptırım |
|---|---|
|
Kamu kurum ve kuruluşları hariç olmak üzere, Kanun ile yetkilendirilen mercilerin ve denetim görevlilerinin istedikleri bilgi, belge, yazılım, veri ve donanımı vermeyenlere veya alınmasına engel olanlara |
1 yıldan 3 yıla kadar hapis ve 500 günden 1500 güne kadar adli para cezası* |
|
Kanun uyarınca alınması gerekli onay, yetki veya izinleri almaksızın faaliyet yürütenlere |
2 yıldan 4 yıla kadar hapis ve 1000 günden 2000 güne kadar adli para cezası* |
|
Sır saklama yükümlülüğünü yerine getirmeyenlere |
4 yıldan 8 yıla kadar hapis cezası* |
|
Siber uzayda veri sızıntısı nedeniyle daha önce yer alan kişisel veya kritik kamu hizmeti kapsamına giren kurumsal verileri, kişilerin veya kurumların izni olmaksızın ücretli veya ücretsiz şekilde erişime açan, paylaşan veya satışa çıkaranlara |
3 yıldan 5 yıla kadar hapis cezası* |
|
Siber uzayda veri sızıntısı olmadığını bildiği halde halk arasında endişe, korku ve panik yaratmak ya da kurumları veya şahısları hedef göstermek amacıyla siber güvenlikle ilgili veri sızıntısı olduğuna dair gerçeğe aykırı içerik oluşturanlara veya bu maksatla bu içerikleri yayanlara |
2 yıldan 5 yıla kadar hapis cezası* |
|
Türkiye Cumhuriyeti'nin siber uzaydaki milli gücünü meydana getiren unsurlarına yönelik olarak siber saldırıda bulunan veya bu saldırı neticesinde elde ettiği her türlü veriyi siber uzayda bulunduranlara (fiil daha ağır bir cezayı gerektiren başka bir suç oluşturmadığı takdirde) |
8 yıldan 12 yıla kadar hapis cezası* |
|
Bir üstte yer alan saldırı neticesinde elde ettiği her türlü veriyi siber uzayda yayan, başka bir yere gönderen veya satışa çıkaranlara |
10 yıldan 15 yıla kadar hapis cezası* |
|
Başkanlıkta görev yaptıktan sonra Başkanlıktan muvafakat almadan iki yıl süreyle siber güvenlik alanında görev alanlar ve bu alanda ticaretle uğraşanlara ya da Başkanlıktaki görev ve faaliyetler kapsamında edinilen bilgi, belge ve benzeri her türlü veriyi yayımlayanlara |
3 yıldan 5 yıla kadar hapis cezası* |
|
*Yukarıdaki fıkralarda yer alan suçun kamu görevlisi tarafından işlenmesi halinde cezalar üçte bir oranında, birden fazla kişi tarafından işlenmesi halinde yarı oranında ve bir örgütün faaliyeti çerçevesinde işlenmesi halinde yarısından iki katına kadar artırılır. |
|
|
Kanun'un 12. maddesinde yer alan yasak hükümlere aykırı davrananlara |
3 yıldan 5 yıla kadar hapis cezası |
|
Kanun'dan kaynaklanan görev ve yetkilerini kötüye kullananlara veya kritik altyapıların siber saldırılara karşı korunması kapsamında görevinin gereklerine aykırı hareket etmek suretiyle veri ihlali yaşanmasına sebebiyet verenlere |
1 yıldan 3 yıla kadar hapis cezası |
|
(i) Siber güvenliğe yönelik olarak milli güvenlik, kamu düzeni veya kamu hizmetinin gereği gibi yürütülmesi amacıyla mevzuatın öngördüğü tedbirleri almayanlara, hizmet sundukları alanda tespit ettikleri zafiyet veya siber olayları gecikmeksizin Başkanlığa bildirmeyenlere ve (ii) Kamu kurumları ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik ürün, sistem ve hizmetleri Başkanlık tarafından yetkilendirilmiş ve belgelendirilmiş siber güvenlik uzmanlarından, üreticilerden veya şirketlerden tedarik etmeyenlere |
1.000.000 TL'den 10.000.000 TL'ye kadar idari para cezası |
|
Siber güvenlik ürünleri ve şirketlerine ilişkin olarak Kanun'un 18. maddesinde yer alan görev ve sorumlulukları yerine getirmeyenlere |
10.000.000 TL'den 100.000.000 TL'ye kadar idari para cezası |
|
Denetime tabi tutulanlardan, ilgili cihaz, sistem, yazılım ve donanımları verilen sürelerde denetlemeye açık tutmayanlara, denetim için gerekli altyapıyı temin etmeyenlere ve çalışır vaziyette tutmak için gerekli önlemleri almayanlara |
100.000 TL'den 1.000.000 TL'ye kadar idari para cezası |
|
Bir üstte yer alan kabahatin ticari şirketlerce işlenmesi halinde |
100.000 TL'den az olmamak kaydıyla, bağımsız denetimden geçmiş yıllık finansal tablolarında yer alan brüt satış hasılatının %5'ine kadar idari para cezası |
İdari para cezaları uygulanmasından önce ilgililere, tebliğden itibaren 30 gün içerisinde savunma verilmesine ilişkin bir yazı tebliğ edilmektedir. İlgili süre içinde savunma verilmediği takdirde ilgilinin savunma hakkından feragat ettiği kabul edilmektedir.
Kanunda tanımlanan kabahatlerin idari yaptırım kararı verilinceye kadar birden çok işlendiğinin tespit edilmesi halinde ilgililere tek idari para cezası verilir ve verilecek ceza iki katını aşmayacak şekilde artırılarak uygulanmaktadır. Bu surette bir menfaat temin edilmesi veya zarara sebebiyet verilmesi halinde verilecek idari para cezasının miktarı bu menfaat veya zararın üç katından az beş katından fazla olamayacaktır.
İdari para cezaları, tebliğ tarihinden itibaren bir ay içinde ödenir. Ödenmeyen ve kesinleşen idari para cezaları, 6183 sayılı Amme Alacaklarının Tahsil Usulü Hakkında Kanun hükümlerine göre vergi dairelerince tahsil edilir. Kanun uyarınca verilen idari para cezası kararlarına karşı ise idari yargı yoluna başvurulabilecektir.
Uyum ve Geçiş Süreci
Kanun kapsamında yapılacak düzenlemeler 1 yıl içinde yürürlüğe girecektir. Siber güvenlik alanında faaliyet gösteren dernek ve ticari şirket gibi kişilikler, bu düzenlemelere göre 1 yıl içinde yetkilendirme işlemlerini tamamlamak zorundadır. Aksi takdirde bu alanda faaliyet gösteremezler. Süre sonunda yükümlülüklerini yerine getirmeyen tüzel kişiliklere mahkeme kararıyla son verilebilir. Ticaret şirketleri ise aynı süre içinde yükümlülüklerini yerine getirmediği takdirde ticaret unvanlarında ve faaliyet konularında yer alan siber güvenliğe ilişkin ibareleri şirket sözleşmelerinden çıkarmak veya ticaret sicilinden terkin edilmeleri amacıyla tasfiye sürecine girmek zorundadır.
Sonuç
Kanun kapsamında tutulanların geniş olduğu ve Kanun'un uygulanmasına ilişkin düzenlemelerin bir yıl içinde yürürlüğe konulacağı göz önünde bulundurulduğunda, siber uzayda faaliyet gösteren,bilişim sistemleri kullanmak suretiyle hizmet sunan ve benzeri faaliyet yürütenlerin sistemlerini Kanun'a uyumlu hale getirmeleri gerekmektedir. Siber tehditlerin giderek arttığı günümüzde, Kanun'a uyum sadece bir yükümlülük değil, aynı zamanda dijital varlığın sürdürülebilirliği için bir zorunluluktur. Ayrıca kurumların itibarlarını koruyabilmeleri, yüksek meblağlı idari para cezaları ve yaptırımlardan kaçınabilmeleri ve siber saldırılara karşı dayanıklı bir yapıya kavuşabilmeleri için Kanun'a uyum sağlamaları önem arz etmektedir.
Kaynakça
7545 Sayılı Siber Güvenlik Kanunu. (2025, 03 19). Resmi Gazete: https://www.resmigazete.gov.tr/eskiler/2025/03/20250319-1.htm adresinden alındı.
Footnote
1. (7545 Sayılı Siber Güvenlik Kanunu, 2025)
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
