Türkiye’de Bir İlk: Siber Güvenlik Kanunu Yayımlandı

27.03.2025

Türkiye, siber güvenlik alanında önemli bir dönüm noktasına ulaştı: Siber Güvenlik Kanunu (Kanun) 19 Mart 2025’te Resmî Gazete’de yayımlandı.

Bugüne kadar siber güvenlik alanını düzenleyen, “Kişisel Verilerin Korunması Kanunu” veya “Elektronik Ticaretin Düzenlenmesi Hakkında Kanun” gibi, kapsamlı bir çerçeve mevzuatımız yoktu. Kanun ile siber güvenlik alanındaki önemli bir boşluk giderilmiş oldu.

Kanun’un esas amacı Türkiye Cumhuriyeti’nde siber güvenliğin güçlendirilmesine yönelik strateji ve politikaların belirlenmesi.

Kanun, siber uzayda faaliyet gösteren tüm kamu kurum ve kuruluşlarını, meslek odalarını, gerçek ve tüzel kişileri kapsıyor. Milli İstihbarat Teşkilatının yürüttüğü faaliyetleri ile Emniyet Genel Müdürlüğü ve Jandarma Genel Komutanlığının yürüttükleri istihbari nitelikteki faaliyetler ile Devlet İstihbarat Hizmetleri ve Millî İstihbarat Teşkilâtı Kanunu ve Türk Silahlı Kuvvetleri İç Hizmet Kanunu uyarınca yürütülen faaliyetler Kanun kapsamı dışında tutuluyor.

Kanun'da öne çıkan düzenlemeler şu şekilde:

• Siber Güvenlik Kurulu’nun kurulması ve bu kurulun görev ve yetkileri,

• Kamu kurumları ve kritik altyapı kuruluşlarının siber mukavemet ve olgunluk seviyelerinin artırılması,

• Siber güvenlik olaylarının merkezi bir şekilde izlenmesi, tespit edilmesi ve bertaraf edilmesi,

• Denetim süreçleri ile caydırıcı yaptırımların hayata geçirilmesi,

• Standardizasyon, sertifikasyon ve yetkilendirme süreçlerinin düzenlenmesi,

• Siber suçlar ve olaylara yönelik ağır cezaların uygulanması.

Kanun’la getirilen yenilikler ve başlıca tanımlar ise aşağıdaki şekilde:

Siber Güvenlik Başkanlığı, siber tehditlere karşı proaktif bir rol üstleniyor. Bu rol kritik altyapıların siber dayanıklılığını artırmak, siber saldırıları tespit etmek, önlemek ve etkilerini azaltmak gibi hayati sorumlulukları kapsıyor.

Öte yandan bilişim sistemlerinin kapsamı, Kanun’da oldukça geniş bir biçimde tanımlanmış. Buna göre bilişim sistemleri: bilgi ve iletişim teknolojileriyle sağlanan her türlü hizmet, işlem ve verinin sunumunda kullanılan donanım, yazılım, sistemler ve aktif ya da pasif durumdaki diğer tüm bileşenleri kapsar.

Siber uzay ise, “internete veya elektronik ağlara bağlı bilişim sistemleri ile bu sistemleri birbirine bağlayan ağlardan oluşan ortam” olarak tanımlanıyor. Bu tanım, dijital dünyada faaliyet gösteren herkesin Kanun’a tabi olacağını açıkça ortaya koyuyor.

“SOME”lerin, açılımıyla Siber Olaylara Müdahale Ekibi’nin kurulması, kurulmasının sağlanması ve denetlenmesi, olgunluk seviyelerinin belirlenmesi ve artırılması için çalışmalar yapılması, ayrıca siber güvenlik tatbikatları düzenleyerek SOME'lerin siber olay müdahale kabiliyetlerinin ölçülmesi yetkisi, Kanunla Başkanlık'a veriliyor.

Tanımlar kısmında yer almamakla birlikte, Kanun kapsamında Siber Güvenlik Kurulu (Kurul) da oluşturuldu. Kurulun amacı siber güvenlikle ilgili politika, strateji, eylem planı ve diğer düzenleyici işlemlerle ilgili kararlar almak ve alınan kararların tamamından ya da bir kısmından muaf tutulacak kurum ve kuruluşları belirlemek.

Kanun kapsamında yer alan ve bilişim sistemleri kullanmak suretiyle hizmet sunan, veri toplayan, işleyen ve benzeri faaliyet yürütenlerin siber güvenliğe ilişkin başlıca görev ve ise sorumlulukları aşağıdaki gibi:

• Başkanlığın görev ve faaliyetleri kapsamında talep ettiği her türlü veri, bilgi, belge, donanım, yazılım ve diğer her türlü katkı öncelikle ve zamanında Başkanlığa iletilmeli. Bu kalem oldukça kritik. Zira bu düzenlemeye aykırılık hapis ve idari para cezasını da beraberinde getiriyor.

• Siber güvenliğe yönelik olarak milli güvenlik, kamu düzeni veya kamu hizmetinin gereği gibi yürütülmesi amacıyla mevzuatın öngördüğü tedbirler alınmalı, hizmet sunulan alanda tespit edilen zafiyet veya siber olayları gecikmeksizin Başkanlığa bildirilmeli.

• Kamu kurumları ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik ürün, sistem ve hizmetleri; Başkanlık tarafından yetkilendirilmiş ve belgelendirilmiş siber güvenlik uzmanlarından, üreticilerden veya şirketlerden tedarik edilmeli.

• Sertifikasyon, yetkilendirme ve belgelendirmeye tabi siber güvenlik şirketleri faaliyete başlamadan önce Başkanlık’ın onayını almalı.

Bu kapsamda Başkanlık, Kanun’da belirtilen görevleri ile ilgili olarak gerekli gördüğü hallerde Kanun kapsamına giren her türlü fiil ve işlemi denetleyebilir; bu amaçla mahallinde inceleme yapabilir veya yaptırabilir.

Kanun’da dikkat çeken cezai yaptırımlar ise aşağıdaki şekilde:

• Siber uzayda veri sızıntısı sonucu kişisel veya kritik kamu hizmeti verilerini izinsiz şekilde erişime açan, paylaşan ya da satışa çıkaranlara üç ila beş yıl arasında hapis cezası,

• Türkiye’nin siber uzaydaki milli gücünü meydana getiren unsurlarına yönelik olarak siber saldırıda bulunan veya bu saldırı neticesinde elde ettiği her türlü veriyi siber uzayda bulunduranlar için fiil daha ağır bir cezayı gerektiren başka bir suç oluşturmadığı takdirde sekiz yıldan on iki yıla kadar; bu saldırı neticesinde elde ettiği her türlü veriyi siber uzayda yayan, başka bir yere gönderen veya satışa çıkaranlara on yıldan on beş yıla kadar hapis cezası,

• Siber güvenliğe yönelik olarak milli güvenlik, kamu düzeni veya kamu hizmetinin gereği gibi yürütülmesi amacıyla mevzuatın öngördüğü tedbirleri almak, hizmet sundukları alanda tespit ettikleri zafiyet veya siber olayları gecikmeksizin Başkanlık’a bildirmeyenler ve kamu kurumları ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik ürün, sistem ve hizmetleri; Başkanlık tarafından yetkilendirilmiş ve belgelendirilmiş siber güvenlik uzmanlarından, üreticilerden veya şirketlerden tedarik etmek yönündeki görev ve sorumluluklarını yerine getirmeyenlere bir milyon Türk lirasından on milyon Türk lirasına kadar idari para cezası,

• Siber güvenlik ürün ve hizmetleri sunan şirketler bakımından getirilen yükümlülükleri yerine getirmeyenler bakımından ise on milyon Türk lirasından yüz milyon Türk lirasına kadar idari para cezası,

• Siber uzayda veri sızıntısı olmadığını bildiği halde halk arasında endişe, korku ve panik yaratmak ya da kurumları veya şahısları hedef göstermek amacıyla siber güvenlikle ilgili veri sızıntısı olduğuna ilişkin gerçeğe aykırı içerik oluşturanlara veya bu maksatla bu içerikleri yayanlara iki yıldan beş yıla kadar hapis cezası verilecek. İlgili düzenleme kamuoyunda büyük yankı uyandırdı. Bunun başlıca nedeni maddenin geniş yorumlamaya müsait olması. Kanun’un bu kısmı ifade özgürlüğüne halel getirilmeyecek şekilde yorumlanmalı.

Siber güvenlik ürün, sistem, yazılım, donanım ve hizmetlerin yurt dışına satışı; bunları üreten şirketlerin birleşme, bölünme, pay devri veya satış işlemleri ise Başkanlık’ın onayına tabi olacak. Başkanlık onayı olmadan gerçekleştirilen işlemler ise hukuka aykırı olacak.

Kanun’un uygulanmasına ilişkin düzenlemeler, bir yıl içinde yürürlüğe girecek. Bu çerçevede, siber güvenlik alanında faaliyet gösteren şirketler ilgili düzenlemelerin yürürlüğe girmesinden itibaren bir yıl içinde sertifikasyon süreçlerini tamamlamak zorunda olacak.

İkincil düzenlemelerin ise 1 yıl içerisinde tamamlanması öngörülüyor.

Siber güvenlikteki gelişmeler ve beraberinde getireceği düzenlemeler merakla bekleniyor.

Kanun’a buradan ulaşabilirsiniz.

This website is available “as is. Turkish Law Blog is not responsible for any actions (or lack thereof) taken as a result of relying on or in any way using information contained in this website, and in no event shall they be liable for any loss or damages.

The content and materials published on this website are provided for informational purposes only and should not be used as a legal opinion in any way. This website and the information contained are not intended to establish an attorney-client relationship.

Sermaye Piyasası Kurulu Tarafından, Borsada İşlem Gören Şirketlerin Paylarının Geri Alımında Esneklikler Sağlandı

New Resolution from the Capital Markets Board: Temporary Measures to Preserve Market Stability

Sermaye Piyasası Kurulu’ndan Yeni İlke Kararı: Pay Geri Alım Süreçlerinde Önemli Değişiklikler

Türk Hukukunda Ön Anonim Şirket

Pre-joint Stock Company in Turkish Law

Türk Parası Kıymetini Koruma Hakkında 32 Sayılı Kararda Değişiklik Yapılmasına Dair Karar Yayımlandı

Two-minute Recap of Competition Law Matters in Türkiye February 2025

Newsletter No.19 | Competition Market Overview

Competition Investigations in the Shadow of the Settlement Procedure

Construction Law Wrap Up 2024

Construction Arbitration: Türkiye - Part 4

Construction Arbitration: Türkiye - Part 3

Cyber Fraud Cases and Methods Increase During Periods of Uncertainty. What Are the Steps to Follow if You Have Been a Victim of the New Smishing Attacks?

The Cybersecurity Law Has Entered into Force

Guidelines on Processing Sensitive Personal Data

The ICC 2024 Preliminary Statistics

Anayasa Mahkemesi, İstinaf ve Temyize İlişkin Parasal Sınırların Uygulanmasında Dava Tarihinin Esas Alınması Gerektiğine Hükmetti

The Constitutional Court Ruling About the Application of Monetary Thresholds for Appeal and Cassation

E-Ticaret Mevzuatında Meydana Gelen Gelişmeler (18.03.2025)

Elektronik Ticaret Yönetmeliği’nde Güncel Değişiklikler

Elektronik Ticaret Aracı Hizmet Sağlayıcı ve Elektronik Ticaret Hizmet Sağlayıcılar Hakkında Yönetmelik Değişiklikleri

Elektrik Piyasasında Toplayıcılık Yönetmeliği Ne Getiriyor?

Kamuda Enerji Performans Sözleşmesi Uygulaması

Ulusal Taşıt Tanıma Sistemi Uygulama Genel Tebliği Hakkında Bilgilendirme

İklim Kanunu Teklifi TBMM Çevre Komisyonu'nda Kabul Edildi

Türkiye Sürdürülebilirlik Raporlama Standartları Uygulama Kapsamında Değişiklikler Yapıldı

Amendments to Türkiye Sustainability Reporting Standards

Kripto Varlıklara İlişkin Beklenen İkincil Düzenlemeler Yayımlandı!

Expected Secondary Regulations on Crypto Assets Published!

07.03.2025 tarihinde Türkiye Bankalar Birliği İnternet Sitesinde “Aralık 2024-Türkiye Finansal Sektör Ödeme Sistemleri Raporu” Yayınlanmıştır

Sigorta Acenteleri Yönetmeliğinde Değişiklik Yapılmasına Dair Yönetmelik Yayımlandı

An Amendment to the Insurance Agencies Regulation Has Been Published

Reasürans Sözleşmelerinden Doğan Uyuşmazlıklarda Reasürans Sigortacısının Esas İşyeri Mahkemesinin Yetkili Olduğuna Dair Karar

Major Development in Non-Use Actions Before the Turkish Patent and Trademark Office (TPTO): What Right Holders Must Know

Markaların İdari İptali: Yönetmelik Değişiklileri Yürürlükte

Creative Signatures: How a Work Reflects Its Author’s Unique Characteristics

A Rising Financial Crime: Sanctions Evasion

The BR International Trade Report: March 2025

OFAC Yaptırımları ile Baş Etmenin Yolları: Olası Yaptırımlarla Mücadelede ve Yaptırım Listesinden Çıkma Sürecinde Uyum Programlarının Önemi

SGK 2025/8 Sayılı Genelgesi ile İşten Çıkış Kodlarının Düzeltilmesine İlişkin Yeni Esaslar

Presidential Circular on the Prevention of Psychological Harassment (Mobbing) in Workplaces Published

Understanding Business Regulations and Bonuses Under UAE Labor Law Business Regulations, Applicable Law, and Jurisdiction in the UAE

How Will a Second Trump Term Impact the Life Sciences Sector?

İkinci Trump Dönemi Yaşam Bilimleri Sektöründe Nasıl Etkiler Doğuracak?

Market Availability of Products and Parallel Trade

Reklam Kurulu Kararları Serisi – 13

Reklam Kurulu'nun 353 Sayılı Toplantısında Alınan Kararlar

Reklam Kurulu’ndan Bankacılık Sektörüne Çevresel Beyan Denetimi

Legal Due Diligence in M&A Deals: Key Areas and Compliance Focus

The Power of Disclosure: How Disclosure Letters Shape Liability in M&A Transactions

ESG Factors and the Impact of ESG on M&A’s in Turkey

Kentsel Dönüşümde Mülkiyet Hakkı İhlalleri

Property Rights Violations in Urban Transformation Law

İmar, Yapı Denetimi ve Kentsel Dönüşüm Düzenlemelerine Getirilen Önemli Değişiklikler

İcra ve İflas Kanunu Uyarınca Yapılacak Satışların İlanlarına İlişkin Parasal Limitlerin Güncellenmesi Hakkında Tebliğ Yayımlandı

Communiqué on the Update of Monetary Limits for Announcements of Sales to Be Made Under the Enforcement and Bankruptcy Law is Published

Konkordato

TEKMER (Teknoloji Geliştirme Merkezi) Nasıl Kurulur ve Girişimcilere Hangi Destekleri Sunar?

Ters Hak Ediş (Reverse Vesting) Nedir?

Köprüden Önce Son Çıkış: Önemli Olumsuz Değişiklik Maddesi (MAC Kloz)

Pillar One – Amount B will not Apply to Transactions of Distributors, Sales Agents and Commissioners Operating in Türkiye

9487 Sayılı Cumhurbaşkanı Kararı ile Gelir Vergisi Kanunu Geçici 67. Maddesi Kapsamında Değişiklikler

Amendments Enacted Under Presidential Decree No. 9487 within the Scope of Provisional Article 67 of the Income Tax Law

Türkiye’de Bir İlk: Siber Güvenlik Kanunu Yayımlandı

A First in Turkey: Cyber Security Law Published

Yapay Zekâ 101: Yapay Zekâ Kullanıyorum, Sözleşmelerde Nelere Dikkat Etmeliyim?

Regulation on Pilotage and Towage Services Published

Limanlar Yönetmeliğinde Değişiklik Yapılmasına Dair Yönetmelik Yayımlandı

Regulation on Preventing Collision at Sea

Boşluğa Dikkat Edin: İç Kontrolleriniz Tasarlandığı Gibi Çalışıyor mu?

Kişisel Kullanım ve Hırsızlık Yoluyla Şirket Varlıklarının Suistimali

Yoğurdu Üfleyerek Yemek: Üçüncü Taraflara İlişkin Due Diligence

Türkiye’de Bir İlk: Siber Güvenlik Kanunu Yayımlandı

Popular Articles on Technology & Telecoms

Latest Insights from Gökçe

Subscribe to our newsletter