Siber Güvenlikte İdari Para Cezaları, Usul ve Yargı Yolu

7545 sayılı Siber Güvenlik Kanunu’na ilişkin hazırladığımız makale serisinin devamında, ilk sayımızda Kanun’un genel çerçevesi ve temel ilkeleri incelendikten ve ikinci sayımızda ise bu Kanun’un taraflara yüklediği sorumluluklar ve yükümlülükler ele aldıktan sonra bu üçüncü sayımızda Kanun’un en dikkat çekici yönlerinden biri olan, yükümlülüklerin ihlali karşısında öngörülen idari para cezaları ve usul üzerinde durulacaktır. Son yıllarda dijitalleşmenin hız kazanmasıyla birlikte ulusal güvenlik, kamu düzeni ve bireylerin temel haklarının korunmasında siber güvenliğin önemi giderek artmıştır. Bu çerçevede 19 Mart 2025 tarihinde Resmî Gazete’de yayımlanarak yürürlüğe giren 7545 sayılı Siber Güvenlik Kanunu, ülkemizde bilgi sistemlerinin güvenliğini sağlamak ve kritik altyapıların korunmasına ilişkin yükümlülükleri ayrıntılı biçimde düzenlemiştir.  Bu kapsamda, söz konusu yaptırımların hukuki niteliği, uygulanma usulü ve bu cezalara karşı başvurulabilecek yargı yolları incelenerek kapsamlı bir değerlendirme yapılacaktır.

İdari Para Cezalarının Niteliği ve Kapsamı

Siber Güvenlik Kanunu, yalnızca teknik önlemler ve idari tedbirler öngörmekle kalmamış, aynı zamanda siber güvenlik alanında suç teşkil eden fiiller ile idari yaptırımları da düzenlemiştir. Bu kapsamda, kanunda yeni suç tipleri ihdas edilmiş ve bunlar için hapis ile adli para cezaları gibi ağır yaptırımlar öngörülmüştür. Bunun yanı sıra, kanuna aykırı davranışlar bakımından 2025 yılı için 100.000 TL ile 100.000.000 TL arasında değişen tutarlarda idari para cezaları belirlenmiştir. Hatta bazı durumlarda, özellikle ticari şirketlerin yükümlülüklerini ihlal etmeleri halinde, yıllık brüt satış hasılatının %5’ine kadar idari para cezası uygulanabileceği açıkça hüküm altına alınmıştır. Yazımızda belirttiğimiz tüm bu idari para cezası miktarları 2025 yılı için belirlenmiş olup Vergi Usul Kanunu’nda yayınlanacak yeniden değerleme oranına tabi olarak her yıl revize edileceklerdir.

Cezaların Muhatapları

İdari para cezalarının muhatapları kanunda farklı hükümlerde düzenlenmiş olup, cezaların kapsamı ilgili maddenin düzenleme alanına göre değişiklik göstermektedir. Örneğin, 7. maddede sorumluluklar ve iş birliği yükümlülüklerini düzenleyen bentlerde yer alan görevlerin yerine getirilmemesi halinde, 2025 yılı için 1.000.000 Türk Lirasından 10.000.000 Türk Lirasına kadar idari para cezası öngörülmüştür. Bu maddede belirtilen yükümlülükler, siber güvenlik kapsamında bilişim sistemleri aracılığıyla hizmet sunan, veri toplayan, işleyen veya benzeri faaliyetleri yürüten tüm gerçek ve tüzel kişilere yöneliktir. Benzer şekilde, 8. madde uyarınca denetim faaliyetleri sırasında, denetime tabi tutulan gerçek kişi ve şirketler açısından da farklılaştırılmış ceza miktarları düzenlenmiştir. Buna göre gerçek kişilere 2025 yılı için 100.000 TL – 1.000.000 TL arasında, ticari şirketler için ise en az 100.000 TL olmak üzere, bağımsız denetimden geçmiş yıllık finansal tablolarında yer alan brüt satış hasılatının %1’i ile vergi öncesi kârın %20’si arasında idari para cezası uygulanması öngörülmektedir. İdari para cezaları, her takvim yılı başından geçerli olmak üzere Vergi Usul Kanunu’nda ilan edilen yeniden değerleme oranı (YDO) ile artırılarak uygulanır. Benzer şekilde, Siber Güvenlik Ürünleri ve Şirketleri başlıklı 18. maddede belirtilen yükümlülüklerin ihlali halinde, 2025 yılı için 10.000.000 Türk Lirasından 100.000.000 Türk Lirasına kadar idari para cezası öngörülmektedir. 18. madde ihlallerine dayalı idari para cezaları açısından kabahatlerin failleri şu şekilde sınıflandırılabilir: a-Siber güvenlik ürün üreticisi, b-Siber güvenlik sistem üreticisi, c-Siber güvenlik yazılım üreticisi, d-Siber güvenlik donanım üreticisi, e-Siber güvenlik hizmet üreticisi, f-Siber güvenlik ürünlerini, sistemlerini, yazılımlarını, donanımlarını veya hizmetlerini yurt dışına satanlar, g-Siber güvenlik ürün, sistem, yazılım, donanım ve hizmetleri üreten şirketler. 

Kanun koyucunun yaklaşımı incelendiğinde, NIS2 Direktifi veya CRA gibi uluslararası ve bölgesel düzenlemelerde görüldüğü şekilde aktörlerin tek tek ve ayrıntılı biçimde tanımlanması yoluna gidilmediği görülmektedir. Aksine, kanun koyucu bilinçli bir tercih ile kapsamı oldukça geniş tutmuş, hatta bunun da ötesine geçerek “benzeri faaliyet yürütenler” ifadesine yer vermek suretiyle, kıyas yoluyla belirleme yapılmasına imkân tanımıştır. Oysa karşılaştırmalı hukuk uygulamalarında sıklıkla rastlandığı üzere, “üretici”, “dağıtıcı”, “ithalatçı”, “hizmet sağlayıcı”, “temel kuruluş” veya “önemli kuruluş” gibi aktörlerin sınırlarının açıkça çizilmesi, kavramsal olarak tanımlanması ve sorumluluklarının ayrıştırılması tercih edilmektedir. Bu tür bir yaklaşım, yalnızca kavramsal netlik sağlamakla kalmaz; aynı zamanda hukuki güvenlik ve öngörülebilirlik açısından da kritik bir işlev üstlenir. Hukuki belirlilik ilkesi, özellikle idari yaptırımlar ve kabahatler hukuku bakımından vazgeçilmez bir ilkedir. Zira bilindiği üzere, kabahatler hukuku da tıpkı ceza hukuku gibi “kanunilik” ilkesine tabidir. Bu ilke uyarınca, hangi fiilin hangi yaptırımı doğuracağı kanun metninde açık ve kesin bir biçimde gösterilmelidir. Oysa “benzeri faaliyet” gibi geniş ve yoruma açık ifadeler üzerinden, düzenlemenin kapsamına hangi fiillerin dâhil olacağı hususunda belirsizlik yaratılmakta ve uygulayıcıların yorumuna geniş bir takdir alanı bırakılmaktadır. Böyle bir yaklaşım, hukuk güvenliği ve öngörülebilirlik ilkeleri ile bağdaşmadığı gibi, bireylerin ve tüzel kişilerin hangi davranışlarının hukuka aykırı kabul edileceğini önceden öngörebilmesini de imkânsız hale getirmektedir.

Dolayısıyla, kanun koyucunun bu noktada kazuistik yani ayrıntılı bir düzenleme yöntemini tercih etmemesi, bir yandan esneklik ve kapsayıcılık avantajı sağlıyor gibi görünse de diğer yandan ciddi ölçüde belirsizlik doğurmaktadır. Özellikle idari para cezaları gibi yaptırımlar söz konusu olduğunda, “benzeri faaliyet” kavramı üzerinden kapsama alınan fiillerin hukuki dayanağı tartışmalı hale gelmekte; bu da kanunilik ilkesinin ihlali sonucunu doğurabilmektedir. Netice itibarıyla, düzenlemelerin muhatapları açısından açık, öngörülebilir ve sınırları belirlenmiş bir hukuki çerçeve oluşturulmadığı sürece, uygulamada hem idare hem de yargı organları açısından yorum farklılıklarının ortaya çıkması kaçınılmazdır.

Usul Hükümleri ve Yargı Yolu

Usul hükümleri bakımından ise Kanun, idari para cezalarının uygulanmasına ilişkin ayrıntılı bir prosedür öngörmüştür. Buna göre, ceza uygulanmadan önce ilgili kişiye savunma hakkı tanınması zorunludur. Tebliğ edilen yazıdan itibaren otuz gün içinde savunma yapılmaması hâlinde, ilgilinin savunma hakkından feragat ettiği kabul edilmektedir. Ayrıca, kanun kabahatlerin içtimaı konusunda da özel bir düzenleme getirmiştir. Buna göre, aynı kabahatin idari yaptırım kararı verilinceye kadar birden fazla kez işlenmesi hâlinde tek bir idari para cezası uygulanacak, ancak bu ceza iki katına kadar artırılabilecektir. Bu noktada Siber Güvenlik Başkanlığı’na (SGB) ceza miktarını artırma yönünde takdir yetkisi tanınmıştır.

İdari para cezalarının ödenmesine ilişkin usul de açıkça düzenlenmiştir. SGB tarafından verilen cezaların, tebliğ tarihinden itibaren bir ay içinde ödenmesi gerekmektedir. Ödenmeyen ve kesinleşen cezalar ise 6183 sayılı Amme Alacaklarının Tahsil Usulü Hakkında Kanun hükümleri çerçevesinde tahsil edilmektedir. Ayrıca, toplanan idari para cezalarının %50’sinin SGB bütçesine, kalan %50’sinin ise genel bütçeye aktarılması öngörülmüş olup, idari para cezalarının yarısının Başkanlık bütçesine ayrılmasıyla Başkanlığın mali yönden güçlendirilmesi hedeflenmiştir.

Son olarak, bu idari para cezalarına karşı başvurulacak yargı yolu da Kanunda açıkça belirlenmiştir. SGB tarafından verilen idari para cezalarına karşı, sulh ceza hâkimlikleri yerine idari yargı mercilerine başvurulabilecektir. Bu tercih, hem hak arama özgürlüğü açısından daha güvenceli bir yol sunmakta hem de idari yargı içtihatlarının gelişimine katkıda bulunmaktadır. Böylelikle, cezaların uygulanabilirliği ve hukuki denetlenebilirliği güçlendirilmiştir.

Sonuç

Sonuç olarak, Siber Güvenlik Kanunu’nun idari para cezalarına ilişkin hükümleri, yalnızca teknik düzenlemeler getirmekle kalmamakta, aynı zamanda hukuk düzeni içerisinde idari yaptırımların kapsamını ve işlevini yeniden şekillendirmektedir. Kanun koyucu, cezaların muhataplarını geniş bir yelpazede belirlemiş; gerçek kişilerden ticari şirketlere, üreticilerden hizmet sağlayıcılara kadar birçok aktörü yükümlülük altına almıştır. Ancak bu geniş kapsam, hukuki belirlilik ve öngörülebilirlik ilkeleri açısından eleştirilere açıktır. İdari para cezalarının uygulanmasında savunma hakkına tanınan güvence, kanunilik ilkesi ile uyumlu bir yaklaşım sergilese de “benzeri faaliyet” gibi muğlak kavramların varlığı, cezaların keyfî yorumlara açık olmasına neden olabilmektedir. Bununla birlikte, idari para cezalarına karşı başvuru yolunun idari yargı olarak belirlenmesi, bireylerin ve şirketlerin hak arama özgürlüğünü daha güvence altına almakta ve yargısal denetimin etkinliğini artırmaktadır. Kısaca, Kanun’un idari para cezalarına ilişkin düzenlemeleri hem caydırıcılık hem de kurumsal güçlenme amacı taşırken, hukuki öngörülebilirlik ve normatif açıklık bakımından geliştirilmesi gereken yönler barındırmaktadır.