REGISTER LOGIN

Türkiye'de Siber Güvenliğin Yeni Yasal Çerçevesi: 7545 Sayılı Siber Güvenlik Kanunu

16.05.2025
EGE • ÇAKIRCA

Contents

Giriş

Siber tehditlerin ulusal güvenlik, ekonomik istikrar ve kamu hizmetlerinin sürekliliği üzerindeki etkileri, tüm dünya ülkelerinde olduğu gibi Türkiye'de de siber güvenlik alanında kapsamla bir mevzuat düzenlemesini zaruri kılmıştır. Bu ihtiyacın bir sonucu olarak, 19 Mart 2025 tarihli 32494 sayılı Resmî Gazete'de yayınlanan 7499 sayılı Siber Güvenlik Kanunu ("Kanun"), bu alanda ilk defa sistematik bir hukukî çerçeve sunmuş, kamu ve özel sektörü kapsayan zorunluluklar ve idari yapılar öngörerek önemli bir yenilik getirmiştir.

Günümüz dünyasında siber güvenlik kavramı, içinde yaşadığımız çağın teknolojik yapısı nedeniyle son derece güncel ve kritik bir öneme sahiptir. Zira çağdaş toplum yapısı, “ağ toplumu” olarak tanımlanabilecek bir karakter arz etmekte olup; bireylerin gündelik yaşamlarında yoğun biçimde kullandıkları akıllı telefonlar ve bilgisayarların yanı sıra, yaşam alanlarını oluşturan akıllı ev sistemleri, internet bağlantılı beyaz eşyalar, elektronik ev aletleri ve hatta çocuk oyuncakları dahi belli bir ağ üzerinden çalışmakta ve sürekli olarak veri toplamaktadır. Bu ağ tabanlı yapı, yalnızca bireysel mahremiyeti ve veri güvenliğini değil, aynı zamanda toplumsal düzeni etkileyebilecek bir kırılganlık yaratmaktadır. Nitekim yakın geçmişte Avrupa’da meydana gelen ve kamu hizmetlerinde ciddi aksamalara yol açan geniş çaplı elektrik kesintilerinin dahi olası bir siber saldırıdan kaynaklandığı değerlendirilmekte olup, bu tür olaylar siber güvenliğin ulusal güvenlik ve kamu düzeni açısından ne denli hayati olduğunu açık biçimde ortaya koymaktadır. Bu bağlamda, siber güvenlik alanının hukuki düzenlemelere konu edilmesi zaruret hâline gelmiştir. Siber Güvenlik Kanunu’nun temel amacı da, bu ağ tabanlı sistemlerin güvenliğini sağlamak ve muhtemel siber tehditleri önlemek suretiyle kamu düzenini, bireylerin temel hak ve özgürlüklerini ve ekonomik istikrarı koruma altına almaktır.

Kanun uyarınca, doğrudan ya da dolaylı olarak internete, elektronik haberleşme veya bilgisayar ağlarına bağlı olan tüm bileşim sistemleri ve bunları birbirine bağlayan ağlardan oluşan ortamlar “siber uzay” olarak tanımlanmış ve siber uzayda varlık gösteren, faaliyet yürüten, hizmet sunan (i) kamu kurum ve kuruluşları, (ii) kamu kurumu niteliğinde meslek kuruluşları, (iii) gerçek ve tüzel kişileri ve (iv) tüzel kişiliği bulunmayan kuruluşları kapsayan birtakım düzenlemeler getirilmiştir.

Ancak kanunun uygulama alanını somutlaştıracak ikincil düzenlemeler henüz yürürlüğe konulmamıştır. Bu çerçevede, uygulamaya yönelik yönetmeliklerin en geç 19 Mart 2026 tarihine kadar çıkarılması öngörülmekte olup, akabinde yaklaşık bir yıllık bir uyum sürecinin işletilmesi ve düzenlemenin kademeli olarak hayata geçirilmesi beklenmektedir. Bu geçiş süreci hem kamu otoriteleri hem de özel sektör açısından normların uygulanabilirliğini sağlamaya yönelik bir hazırlık dönemi olarak değerlendirilmektedir.

I. Yasal Altyapı ve Genel Amaç

Kanun’un temel amacı, kamu kurumları, kritik altyapı sektörleri ve stratejik öneme sahip özel teşebbüslerin bilgi sistemlerinin korunmasını sağlamak ve ulusal siber güvenliğin tesis edilmesidir. Bu kapsamda;

  • Önleyici tedbirlerin alınması,

  • Siber olaylara zamanında ve etkili müdahale edilmesi,

  • Siber olay sonrası iyileştirme mekanizmalarının kurulması,

amaçlanmıştır.

II. Yeni Kurumsal Yapılar

1.Siber Güvenlik Başkanlığı: Kanun, 8 Ocak 2025 tarihli ve 32776 sayılı Resmi Gazete’de yayımlanan 177 numaralı Siber Güvenlik Başkanlığı Hakkında Cumhurbaşkanı Kararnamesi ile kurulan Siber Güvenlik Başkanlığı’na; siber tehditlerle mücadele etmek, mevzuat çalışmaları yürütmek, siber güvenlik faaliyetlerinde koordinasyonu sağlamak, acil durum planları hazırlamak ve kamu kurum ve kuruluşları ile kritik altyapıların veri envanteri dâhil olmak üzere tüm varlıklarının envanterinin tutulmasını ve varlıklara yönelik risk analizinin gerçekleştirilmesini sağlamak ve bu varlıkların kritikliğine göre güvenlik tedbirleri sağlamak gibi çeşitli görevler yüklemektedir.

Kanun ayrıca, Başkanlık’ın görevleri ile ilgili olarak gerekli gördüğü hallerde Kanun’un kapsamına giren her türlü fiil ve işlemi denetleyebileceğini, bu amaçla mahallinde inceleme yapabileceğini veya yaptırabileceğini düzenlemektedir.

2. Siber Güvenlik Kurulu: Kanun ile birlikte, Cumhurbaşkanlığı’na bağlı olarak faaliyet gösterecek Siber Güvenlik Kurulu kurulmuştur (m. 5). Kurul, ulusal siber güvenlik politikalarının belirlenmesi, eylem planlarının hazırlanması ve kamu-özel sektör arası koordinasyonun sağlanması gibi kritik yetkilerle donatılmıştır.

3. Ulusal Siber Olaylara Müdahale Merkezi (USOM): Kanun ile halihazırda BTK bünyesinde faaliyet gösteren USOM'un yetki ve görevleri genişletilmiş; teknik koordinasyon, olay analizleri, sektörel uyarılar ve müdahale protokollerini yürütme görevleri yasa ile desteklenmiştir.

III. Getirilen Temel Yükümlülükler

1. Kritik Altyapı Tesislerine Getirilen Yükümlülükler

Kanun, kritik altyapıları; işlediği bilginin/verinin gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda ciddi zararlara yol açabilen bilişim sistemi altyapıları olarak tanımlamaktadır. Bu kapsamda kritik altyapı kapsamı içerisinde yer alan; enerji, su, ulaşım, bankacılık ve sağlık gibi kritik altyapı alanlarında faaliyet gösteren kamu ve özel sektör kurumlarının bilgi sistemlerine yönelik asgari güvenlik tedbirlerini almaları zorunlu hale gelmiştir. Bu kurumlar ayrıca siber olaylara ilişkin iç denetim, test ve risk analizleri yürütmek zorundadır.

2. Özel Sektöre Getirilen Yükümlülükler

Kanun, yalnızca kamu kurumlarını değil, aynı zamanda özel sektör kuruluşlarını da çeşitli yükümlülükler altına sokmaktadır.  Özel sektör açısından değerlendirildiğinde, kanunun getirdiği başlıca yükümlülükler ve bunların hukuki yansımaları aşağıda incelenmiştir.

a-) Bilgi ve Belge Sunma Yükümlülüğü: Kanun, özel sektör kuruluşlarının Siber Güvenlik Kurulu veya yetkili denetim görevlilerinin talep ettiği bilgi, belge, yazılım, veri ve donanımı zamanında ve eksiksiz bir şekilde sunmalarını zorunlu kılmaktadır. Bu yükümlülüğün ihlali durumunda, sorumlu kişiler hakkında 1 ila 3 yıl arasında hapis cezası ve 500 ila 1.500 gün arasında adli para cezası öngörülmektedir. Bu düzenleme, özel sektörün şeffaflık ve iş birliği prensiplerine uygun hareket etmesini sağlamak amacıyla getirilmiştir.

b-) Yetkisiz Faaliyetlerin Yasaklanması: Siber güvenlik alanında faaliyet gösteren özel sektör kuruluşlarının, ilgili ürün ve hizmetleri yurt dışına satmadan önce Siber Güvenlik Başkanlığı'ndan onay almaları gerekmektedir. Ayrıca, bu şirketlerin birleşme, bölünme, pay devri veya satış işlemleri de Başkanlığa bildirilmek zorundadır. Bu yükümlülüklere uymayan şirketlerin sorumluları hakkında 2 ila 4 yıl hapis cezası ve 1.000 ila 2.000 gün adli para cezası uygulanmaktadır. Bu düzenleme, ulusal güvenliğin korunması ve stratejik teknolojilerin kontrolsüz şekilde el değiştirmesinin önlenmesi amacı taşımaktadır.

c-) Siber Güvenliğe İlişkin Tedbir Alma ve Siber Olay Bildirim Zorunluluğu: Özel sektör kuruluşları, siber güvenliğe yönelik olarak; milli güvenlik, kamu düzeni veya kamu hizmetlerinin gereği gibi yürütülmesi amacıyla mevzuatın öngördüğü tedbirleri almak ve tespit ettikleri siber saldırıları derhal Siber Güvenlik Başkanlığı'na bildirmekle yükümlüdür. Bu tedbirlerin zamanında alınması ve bildirimlerin zamanında ve doğru bir şekilde yapılması, ulusal siber güvenlik stratejisinin etkinliği açısından büyük önem taşımaktadır. Bu yükümlülüğün ihlali, idari para cezaları ve diğer yaptırımlarla sonuçlanabilir.

d-) Sertifikalı Ürün ve Hizmet Kullanımı: Kamu kurumları ve kritik altyapılarda, yalnızca Siber Güvenlik Başkanlığı tarafından yetkilendirilmiş ürün ve hizmetlerin kullanılması zorunlu hale getirilmiştir. Bu durum, özel sektör kuruluşlarının çözüm ortaklarını dikkatle seçmelerini ve yalnızca sertifikalı ürün ve hizmet sağlayıcılarıyla çalışmaları gerektiğini ortaya koymaktadır.

e-) Verilerin İzinsiz Erişime Açılması, Paylaşılması ve Satışının Önlenmesi: Siber Güvenlik Kanunu’nun 12. maddesinin 4. fıkrası, kişisel ve kritik kamu hizmeti verilerinin izinsiz olarak ücretli veya ücretsiz şekilde erişime açılmasını, paylaşılmasını veya satışa çıkarılmasını, verilerin söz konusu kişiler veya kurumlar tarafından açıkça onaylanmadığı durumlarda, ciddi cezai yaptırımlarla cezalandırmaktadır. Kanun, bu tür veri ihlalleri için üç yıldan beş yıla kadar hapis cezası öngörerek sert bir yaklaşım benimsemektedir. Ancak, söz konusu düzenleme, yalnızca gerçek kişileri değil, aynı zamanda özel sektör kuruluşlarını da dolaylı yoldan etkileyebilecek bir yapıya sahiptir.

Özellikle özel sektör kuruluşları, çalışanlarının ve yöneticilerinin bu tür ihlalleri gerçekleştirmemeleri için uygun tedbirler almayı zorunlu kılacak bir yükümlülükle karşı karşıya kalacağı şeklinde yorumlanabilir.  Bu çerçevede, özel kişilerin yöneticileri ve BT departmanları tarafından, veri güvenliğini temin etmek amacıyla sürekli olarak güncellenen sistemler ve prosedürler aracılığıyla sağlanabilir ve şirketlere bu yönde yükümlülükler getirilebilir. Dolayısıyla, şirketlerin veri koruma politikalarını güçlendirmeleri, düzenli olarak siber güvenlik eğitimleri vermeleri ve siber tehditlere karşı etkin önlemler alarak, çalışanlarını ve yöneticilerini bu tür cezai sorumluluklardan korumaları gerekecektir.  Aksi takdirde, şirketlerin söz konusu ihlalleri önleyememesi durumunda hem hukuki sorumlulukları hem de potansiyel olarak büyük ölçekte maddi kayıpları söz konusu olabilir.

3. Denetim ve Yaptırım Mekanizması

Kanun, yaptırım mekanizmasında işlenen fiillerin ağırlığına göre bir ayrıma gitmektedir. Buna göre, Kanun’da, siber saldırı gerçekleştirilmesi, kişisel veya kurumsal verilerin sızdırılması, sızdırılan verilen yayılması vb. gibi bazı fiillere hapis cezası; mevzuatın öngördüğü tedbirlerin alınmaması ve denetim faaliyetlerinin engellenmesi gibi diğer bazı fiiller bakımından ise BTK denetim yetkisini kullanacak ve kurumlara çeşitli idari yaptırımlar uygulayabilecektir. Bu kapsamda 1 milyon TL'ye kadar çıkan para cezaları Kanun'da düzenlenmiştir.

Burada bir diğer üzerinde durulması gereken düzenleme 8. maddedeki denetim hükmüdür. Kanunun 8. maddesinin beşinci fıkrasında öngörülen denetim yetkisi millî güvenlik, kamu düzeni, suç işlenmesinin veya siber saldırıların önlenmesi gibi geniş yorumlanabilir gerekçelerle, konut, işyeri veya kapalı alanlarda arama, dijital veri kopyalama ve el koyma işlemlerinin gerçekleştirilmesine imkân tanımaktadır. Bu yetkinin kullanımı, ilk bakışta ceza muhakemesi hukukuna özgü koruma tedbirlerini çağrıştırsa da düzenlemenin amacı ve kapsamı itibarıyla önleyici bir idari tedbir niteliği taşıdığı görülmektedir. Özellikle düzenlemenin son cümlesinde yer alan "kamu kurum ve kuruluşları bakımından hâkim kararı aranmaz" hükmü belirtilen idari tedbirlerin, belediyeler gibi kamu tüzel kişiliklerine ait alanlarda, yargı denetimi olmaksızın arama ve el koyma işlemlerinin gerçekleştirilmesini mümkün kılar niteliktedir. Maddenin hukuki güvenlik ve temel hak ve özgürlükler açısından ortaya çıkabilecek mağduriyetlere sebebiyet vermemesi için çıkarılacak yönetmeliklerde tespit edilecek kriterler net, öngörülebilir ve belirlenebilir olmalıdır. 

IV. Uluslararası Uyum ve Kanunun Stratejik Önemi

Kanun, Avrupa Birliği NIS 2 Direktifi ve NATO Siber Savunma Politikaları ile genel olarak uyumludur. Nitekim, bildirime dayalı sınıflandırma sistemi, kritik altyapı tanımı ve ulusal koordinasyon mekanizmaları, bu uluslararası metinlerle önemli ölçüde paralellik göstermektedir.  Bu yönüyle, Kanun sadece ulusal düzenleme değil, aynı zamanda Türkiye'nin dijital diplomasi ve siber dayanışma alanındaki pozisyonunu da güçlendirmektedir.

Sonuç

7545 Sayılı Siber Güvenlik Kanunu, Türkiye'de bu alanda yürürlüğe giren ilk kapsamı yasal metin olarak, önemli yapısal değişiklikler ve yükümlülükler getirmiştir. Oluşturulan yeni kurumlar ve güçlendirilen denetim mekanizmaları, siber olaylara daha organize ve koordineli yanıt verilmesini sağlamaya yöneliktir. Bununla birlikte, ikincil mevzuatlar ve uygulama kılavuzlarının da şeffaf ve sektörel farklılıklara duyarlı olarak hazırlanması, Kanun'un etkinliği açısından belirleyici olacaktır.

Türkiye’nin dijital güvenlik altyapısını güçlendirmeyi hedefleyen bu yeni yasal düzenleme, değişen ve gelişen dijital dünyada ortaya çıkan önemli bir ihtiyaca cevap niteliğinde olumlu bir adımdır.  Bununla birlikte, düzenlemenin geniş kapsamı ve uygulama biçimi bakımından başta kişisel verilerin korunması ve ifade özgürlüğü olmak üzere temel hak ve özgürlükler üzerinde doğrudan etkiler doğurabileceği göz önünde bulundurulmalıdır. Bu nedenle, özel kişilere etkisinin açık ve net biçimde sınırlandığı, keyfi uygulamalara mahal vermeyecek bir hukuki altyapının oluşturulması zaruridir. Yetki kullanımının kapsamı açıkça çizilmeli, yönetsel takdir alanı daraltılarak keyfilik ihtimali ortadan kaldırılmalıdır.

Verilerin İzinsiz Erişime Açılması, Paylaşılması ve Satışının Önlenmesi ile ilgili getirilen düzenlemeler de cezanın bireyselliği ilkesi gereği fiili işleyen kişiye uygulanabilir olsa da orta vade de bu cezaların şirket ve diğer diğer tüzel kişilerin yükümlülüklerinde artışa sebep olabileceği öngörülmektedir.  Belirtilen cezalar özel sektörün veri güvenliği uygulamalarını güçlendirecek ve şirketlerin siber güvenlik altyapılarını iyileştirmeye yönelik bir motivasyon sağlayacaktır. Ayrıca, şirketlerin bu yükümlülüğü yerine getirebilmesi için uygun yönetimsel ve teknik tedbirlerin alınması, özellikle büyük ölçekli veri işlemeyen firmalar için önemli bir zorluk teşkil edebilir. Bu durum, dolaylı olarak özel sektör üzerinde ek yükümlülükler doğuracak ve siber güvenlik alanında daha fazla yatırım yapılmasını gerektirecektir.

Öte yandan, kurumlara asgari siber güvenlik kriterleri belirleme ve sertifikasyon süreçlerini yönetme yükümlülüğü getirilmesi, özel sektör açısından yeni ve önemli yükümlülükler doğurmaktadır. Bu bağlamda, şirketlerin mevzuata uyum sağlayabilmeleri için sürekli güncellenen iç denetim mekanizmaları ve uyum süreçlerine dair organizasyonel yeniden yapılandırmalar yapmaları kaçınılmaz hale gelmektedir. Ayrıca, getirilen yaptırımların ağırlığı da dikkat çekicidir. Özellikle, bilgi, belge, yazılım, veri veya donanımı temin etmeyen ya da engelleyenler hakkında 1 ila 3 yıl hapis ve 500 ila 1500 gün adli para cezası, gerekli izin ve yetkiler olmaksızın faaliyet gösterenler hakkında ise 2 ila 4 yıl hapis ve 1000 ila 2000 gün adli para cezası öngörülmektedir. Bu yaptırımlar, özel sektör aktörleri üzerinde ciddi bir etki yaratma potansiyeli taşımakta olup, uygulamada doğurabileceği sonuçlar dikkatle değerlendirilmelidir.

This website is available “as is. Turkish Law Blog is not responsible for any actions (or lack thereof) taken as a result of relying on or in any way using information contained in this website, and in no event shall they be liable for any loss or damages.

The content and materials published on this website are provided for informational purposes only and should not be used as a legal opinion in any way. This website and the information contained are not intended to establish an attorney-client relationship.
th

Popular Articles on Technology & Telecoms

Dijital Varlıklara İlişkin Özel Hukuk Taslak İlkeleri Kamuoyu Görüşüne Açıldı
Digital Transformation Office Announces the Commissioning of BIGDES
Dijital Dönüşüm Ofisi BİGDES’in Devreye Alındığı Duyurdu
Tasarımda Gizlilik ISO Standardı Olarak Kabul Edildi
NIS2 Direktifi: AB’de Yeni Siber Güvenlik Kuralları

Latest Insights from EGE • ÇAKIRCA

Türkiye'de Siber Güvenliğin Yeni Yasal Çerçevesi: 7545 Sayılı Siber Güvenlik Kanunu
The New Legal Framework for Cyber Security in Turkey: Cyber Security Law Numbered 7545
Ready to stay ahead of the curve?
Share your interest anonymously and let us guide you through the informative articles on the hottest legal topics.
|
Successful Your message has been sent