REGISTER LOGIN

Siber Güvenlikte Sorumluluklar ve Yükümlülükler

23.11.2025
EGE • ÇAKIRCA

Contents

7545 sayılı Siber Güvenlik Kanunu’na ilişkin hazırladığımız makale serisinin devamında, bu yazımızda ilk sayımızda yer verdiğimiz Kanun’un genel çerçevesinin en önemli boyutlarından biri olan “Siber Güvenlikte Sorumluluklar ve Yükümlülükler” konusuna odaklanıyoruz.  Bilindiği üzere uzun zamandır beklenen 7545 sayılı Siber Güvenlik Kanunu, 19 Mart 2025 tarihinde Resmi Gazete'de yayımlanarak ülkemizde yürürlüğe girdi. Öncelikle kamu kurumlarını, bireyleri ve özel sektör kuruluşlarını siber tehditlerden korumayı amaçlayan kanun, ulusal siber güvenliği artırmak için kapsamlı politika ve stratejiler belirliyor. Geniş kapsamı, siber alanda faaliyet gösteren tüm kamu kurumlarını, özel hukuk tüzel kişilerini, meslek birliklerini ve bireyleri kapsıyor.

Kanunun Getirdiği Genel Sorumluluk Rejimi

Siber Güvenlik Kanunu, yalnızca kamu kurumlarını değil aynı zamanda özel sektör aktörlerini de kapsayan geniş bir sorumluluk çerçevesi öngörmekte ve tüm paydaşlar arasında koordinasyon ile iş birliğini esas almaktadır. Kanunun On Dördüncü Bölümünde açıkça vurgulandığı üzere, “tüm paydaşların sorumluluğu ilkesi”, düzenlemenin en temel dayanak noktalarından biridir. Bu bağlamda, siber güvenlik politikalarının oluşturulması, uygulanması, stratejilerin yürütülmesi ve siber saldırıların önlenmesi veya etkilerinin asgari düzeye indirilmesi amacıyla gerekli tedbirlerin alınması yalnızca kamu otoritelerinin değil; özel sektör kuruluşlarının, tüzel kişilerin ve bireylerin de sorumluluğu altındadır.

Türkiye’de siber güvenlik alanındaki yasal dönüşüm, salt teknik altyapıların güçlendirilmesi ile sınırlı kalmamış; kamu, özel sektör ve bireyler bakımından ciddi hukuki yükümlülükler de doğurmuştur. Özellikle kritik altyapıların güvenliğini temin eden kurumlara daha ağır ve kapsamlı yükümlülükler yüklenmiş, bu yükümlülüklerin ihlali halinde ise farklı türde idari ve hukuki yaptırımlar öngörülmüştür. Kanunun “benzeri faaliyetler” ifadesine yer vermesi, sorumluluk alanının sınırlı tutulmadığını, aksine genişletici bir şekilde yorumlanabileceğini ortaya koymaktadır. Bu yönüyle her somut durumda, ilgili aktörün sorumluluk rejimi kapsamına girip girmediği ayrıca değerlendirilmek durumundadır.

Bilişim Teknolojileri Şirketleri ve Siber Güvenlik Şirketleri Ayrımı

Kanun’un ortaya koyduğu geniş sorumluluk rejimi, bilişim sistemleri aracılığıyla hizmet sunan, veri toplayan, işleyen ya da benzeri nitelikte faaliyetlerde bulunan tüm gerçek ve tüzel kişileri kapsamaktadır.

Siber Güvenlik Kanunu, bilişim teknolojileri alanında faaliyet gösteren farklı aktörler için ayrı yükümlülükler öngörmektedir. Bu bağlamda bilişim sistemleri üzerinden hizmet sunan, veri toplayan, işleyen veya depolayan şirketler ile doğrudan siber güvenlik ürünleri ve hizmetleri geliştiren şirketler arasında belirgin bir ayrım yapılmıştır.

Bilişim teknolojileri şirketleri, dijital hizmet ve veri işleme süreçlerinde kritik bir rol oynadıkları için siber güvenlik ekosisteminin temel aktörleri arasında kabul edilmektedir. Bu şirketler, öncelikle Siber Güvenlik Başkanlığı tarafından talep edilen her türlü bilgi, belge, donanım ve yazılım desteğini zamanında sağlamakla yükümlüdür. Ayrıca milli güvenlik ve kamu düzeni açısından önem arz eden durumlarda gerekli önlemleri almak, faaliyet alanlarında karşılaştıkları siber olay ve güvenlik zafiyetlerini gecikmeksizin Başkanlığa bildirmek zorundadırlar. Kamu kurumları ve kritik altyapılarda kullanılacak ürün ve hizmetlerin yalnızca Başkanlık tarafından yetkilendirilmiş ve belgelendirilmiş üretici ya da tedarikçilerden sağlanması bir diğer zorunluluk olarak öngörülmektedir. Bunun yanı sıra, Başkanlık tarafından geliştirilen politika, strateji, eylem planı ve ikincil düzenlemelere tam uyum sağlanması da bu şirketlerin sorumluluk alanına girmektedir.

Siber güvenlik şirketleri ise, doğrudan güvenlik odaklı ürün, yazılım, donanım ve hizmetlerin üretimini üstlenmeleri nedeniyle daha sıkı bir denetim ve izin mekanizmasına tabidir. Bu şirketlerin faaliyetlerine başlayabilmesi için sertifikasyon, yetkilendirme ve belgelendirme süreçlerinden geçerek Siber Güvenlik Başkanlığı’ndan onay almaları zorunludur. Yurt dışına satışı izne tabi olan güvenlik ürünlerinin ihracatında da Başkanlık onayı şart koşulmuştur. Ayrıca birleşme, bölünme, pay devri veya satış gibi kurumsal yapıyı değiştiren hukuki işlemler Başkanlığa bildirilmekle yükümlüdür. Bu tür işlemler sonucunda doğrudan veya dolaylı bir kontrol değişikliği ortaya çıktığında ise faaliyetlerin sürdürülebilmesi için Başkanlıktan önceden onay alınması gerekmektedir.

Bu düzenlemeler, bilişim teknolojileri şirketleri ile siber güvenlik şirketlerinin ulusal siber güvenlik ekosisteminde farklı ancak birbirini tamamlayan rollere sahip olduğunu ortaya koymaktadır. İlki dijital hizmetler ve veri işleme süreçlerinden doğan yükümlülüklerle sorumlu tutulurken, ikincisi ulusal güvenliği doğrudan etkileyebilecek güvenlik altyapılarının üretim ve yönetiminde daha katı kurallara tabi kılınmaktadır.

Buna göre, söz konusu aktörlerin yerine getirmesi gereken başlıca yükümlülükler şu şekilde sıralanmaktadır: (i) Siber Güvenlik Başkanlığı (SGB) ile iş birliği yapma yükümlülüğü, (ii) gerekli siber güvenlik tedbirlerini alma yükümlülüğü, (iii) tespit edilen zafiyet ve gerçekleşen siber olayların gecikmeksizin SGB’ye bildirilmesi yükümlülüğü, (iv) yalnızca yetkilendirilmiş ve belgelendirilmiş tedarikçilerin kullanılması yükümlülüğü ve (v) siber güvenlik hizmeti sunan şirketlerin faaliyet izni alma zorunluluğu. Bu yükümlülükler, yalnızca teknik güvenliği değil aynı zamanda hukuki sorumluluk bilincini de pekiştirmeyi hedeflemektedir.

Burada faaliyet izni alma zorunluluğunu açmak gerekirse; Siber Güvenlik Yasası uyarınca, sertifikasyon, yetkilendirme ve belgelendirmeye tabi şirketler, faaliyete başlamadan önce Siber Güvenlik Başkanlığı’ndan (SGB) onay almak durumundadır. Bu onay, hukuki açıdan bir faaliyet izni niteliği taşımaktadır. Siber güvenlik şirketleri, hizmet verdikleri kurumlarda oldukça geniş kapsamlı yetkilerle görev yapmaktadır. Alanın doğası gereği bu şirketler, ilgili sistemleri ve altyapıları inceleyebilmekte, verileri analiz edebilmekte, kimi zaman verileri kurum dışına aktarabilmekte, uzaktan erişim sağlayabilmekte, uygulamaları en üst seviyelerde çalıştırabilmekte ve bazı durumlarda tersine mühendislik yöntemlerine başvurabilmektedir. Dolayısıyla, bir siber güvenlik şirketinin hizmet sunduğu kuruluşun tüm kritik bilgi ve sırlarına erişim imkânı bulunmaktadır. Bu nedenle, söz konusu şirketlerin hak ve yükümlülükleri, ağır bir sorumluluk rejimi çerçevesinde ayrıntılı olarak düzenlenmiştir. Siber Yasa’nın 18. Maddesinde de detaylıca düzenlendiği üzere Siber güvenlik ürün, sistem, yazılım, donanım ve hizmetlerin yurt dışına satışı, Başkanlıkça belirlenecek usul ve esaslara uygun olarak yapılır ve izne tabidir.  Buna ek olarak Siber güvenlik ürün, sistem, yazılım, donanım ve hizmetleri üreten şirketlerin birleşme, bölünme, pay devri veya satış işlemleri Başkanlığa bildirilir. Bu işlemler kapsamında gerçek veya tüzel kişilere münferiden veya birlikte şirket üzerinde doğrudan veya dolaylı kontrol hakkı veya karar alma yetkisi sağlayan işlemler Başkanlık onayına tabidir.

Yeni düzenlemeler, kurumların yalnızca bir siber saldırı meydana geldiğinde değil, saldırı öncesinde de proaktif önlemler almasını zorunlu kılmaktadır. Bu kapsamda, kurumların iç bilgi güvenliği politikaları oluşturmaları, düzenli olarak risk analizleri gerçekleştirmeleri ve siber tehditlere karşı koruyucu stratejiler geliştirmeleri beklenmektedir. Belirli ölçekteki veya kritik altyapılarda faaliyet gösteren kuruluşların uluslararası güvenlik standartlarıyla (örneğin ISO 27001) uyumlu bir sistem kurmaları yalnızca teşvik edilmekle kalmayıp bazı durumlarda yasal bir zorunluluk haline getirilmiştir. Ayrıca, siber olayların belirli süreler içinde yetkili mercilere raporlanması, kamu ve özel sektör açısından ortak bir yükümlülük olarak düzenlenmiştir. Bu yükümlülüklerin amacı, kurumların yalnızca kendi varlıklarını değil, hizmet sundukları toplumu ve bağlı bulundukları dijital ekosistemi de koruma altına almaktır.

İhlaller ve Yaptırımlar

Siber güvenlik yükümlülüklerinin ihlali durumunda kurumlar, farklı düzeylerde idari, hukuki ve cezai yaptırımlarla karşılaşabilmektedir. Bu yaptırımlar arasında idari para cezaları, faaliyetlerin geçici olarak durdurulması, lisans iptali, veri ihlali nedeniyle zarar gören kişilere karşı tazminat sorumluluğu ve yöneticilere doğrudan yüklenebilecek cezai yaptırımlar yer almaktadır. Yaptırımların kapsamı ve ağırlığı, ihlalin niteliğine, etkilenen kişi sayısına ve kurumun olaya karşı sergilediği yaklaşımına bağlı olarak değişmektedir.

Nitekim, Siber Güvenlik Kanunu’nun 7. maddesinin (b) bendi, yükümlülüklerini yerine getirmeyen kurumlara idari para cezası uygulanabileceğini öngörmektedir. Bu kapsamda, kritik altyapılarda gerekli güvenlik önlemlerinin alınmaması, siber zafiyetlerin zamanında Başkanlığa bildirilmemesi veya belirlenmiş standartların uygulanmaması halinde, 2025 yılı için 1.000.000 TL ile 10.000.000 TL arasında değişen para cezaları söz konusu olabilmektedir. İdari para cezaları, her takvim yılı başından geçerli olmak üzere Vergi Usul Kanunu’nda ilan edilen yeniden değerleme oranı (YDO) ile artırılarak uygulanır. Benzer şekilde, Kanunun 8. maddesi, ağır ihlallerde faaliyet durdurma veya lisans iptali gibi daha ağır yaptırımların uygulanabileceğini düzenlemektedir. Bu tür önlemler, özellikle ulusal güvenlik açısından stratejik önem taşıyan sektörlerde hayati sonuçlar doğurabilecek niteliktedir.

Bunun yanı sıra, siber güvenlik yükümlülüklerinin ihlali yalnızca idari yaptırımlarla sınırlı olmayıp, ceza hukuku bakımından da sonuç doğurmaktadır. Türk Ceza Kanunu (“TCK”) ve Bilişim Suçları Kanunu, bilişim sistemlerine yönelik hukuka aykırı müdahaleleri açıkça suç olarak düzenlemiştir. TCK’nın 243. ve 244. maddeleri, bilişim sistemlerine izinsiz erişim, veri hırsızlığı, verilerin bozulması veya yok edilmesi gibi fiilleri cezalandırmaktadır. Dolayısıyla, siber güvenlik ihlalleri kurumlara yöneltilen idari yaptırımların ötesinde, doğrudan yöneticiler ve ilgili çalışanlar bakımından cezai sorumluluğa yol açabilmektedir.

Sonuç

Sonuç olarak, Siber Güvenlik Kanunu ile getirilen sorumluluk ve yükümlülükler, yalnızca teknik tedbirlerle sınırlı olmayıp, kamu kurumlarından özel sektör kuruluşlarına, hatta bireylere kadar geniş bir aktör yelpazesi için hukuki bağlayıcılık taşımaktadır. Bu düzenlemeler sayesinde siber güvenlik, kurumsal bir tercih olmaktan çıkıp, ulusal güvenlik ve kamu düzeninin korunması bakımından zorunlu bir hukuki yükümlülük haline gelmiştir. Bu nedenle, kurumların mevzuata uyum konusundaki hassasiyeti, olası idari yaptırımların önlenmesinin ötesinde, dijital ekosistemin sürdürülebilirliği açısından da kritik bir önem arz etmektedir.

This website is available “as is. Turkish Law Blog is not responsible for any actions (or lack thereof) taken as a result of relying on or in any way using information contained in this website, and in no event shall they be liable for any loss or damages.

The content and materials published on this website are provided for informational purposes only and should not be used as a legal opinion in any way. This website and the information contained are not intended to establish an attorney-client relationship.
th

Popular Articles on Technology & Telecoms

Dijital Varlıklara İlişkin Özel Hukuk Taslak İlkeleri Kamuoyu Görüşüne Açıldı
Digital Transformation Office Announces the Commissioning of BIGDES
Dijital Dönüşüm Ofisi BİGDES’in Devreye Alındığı Duyurdu
Tasarımda Gizlilik ISO Standardı Olarak Kabul Edildi
NIS2 Direktifi: AB’de Yeni Siber Güvenlik Kuralları

Latest Insights from EGE • ÇAKIRCA

Siber Güvenlikte Sorumluluklar ve Yükümlülükler
Türkiye'de Siber Güvenliğin Yeni Yasal Çerçevesi: Siber Güvenlik Kanunu
Türkiye’de Siber Güvenliğin Yeni Yasal Çerçevesi: 7545 Sayılı Siber Güvenlik Kanunu
New Legal Framework for Cyber Security in Turkey - Cyber Security Law Numbered 7545
The New Legal Framework for Cyber Security in Turkey: Cyber Security Law Numbered 7545
Ready to stay ahead of the curve?
Share your interest anonymously and let us guide you through the informative articles on the hottest legal topics.
|
Successful Your message has been sent