Türkiye’nin İlk Siber Güvenlik Kanunu Yürürlüğe Girdi

19 Mart 2025 tarihinde 7545 sayılı Siber Güvenlik Kanunu (“Kanun”) Resmî Gazete ’de yayımlanarak yürürlüğe girmiştir. Ülkemizdeki siber güvenliği güçlendirmek ve siber saldırılara karşı etkin bir korunma sağlamak amacıyla yürürlüğe giren Kanun, kamu ve özel sektör kuruluşlarının yanı sıra bireyleri ve tüm dijital platformları kapsayan kapsamlı düzenlemeler ile önemli yükümlülükler ve sorumluluklar getirmektedir. Kanun, bu grupların tüm faaliyetlerini siber güvenlik açısından düzenlemeyi hedeflemektedir.

Yeni Yükümlülükler ve Düzenlemeler

Siber Güvenlik Risklerinin Yönetimi: Kamu kurumları ve özel sektör kuruluşları, siber güvenlik alanında kritik altyapılarının güvenliğini sağlamak ve bu alanda risk analizleri yaparak zafiyetleri tespit etmek zorundadır. Ayrıca, siber güvenlik olaylarına müdahale edecek siber olaylara müdahale ekipleri kurmak ve bu ekiplerin olgunluk seviyelerini artırmak da yükümlülükler arasındadır.

Bilişim Sistemleri Güvenliği: Kanun, tüm bilişim sistemlerinin güvenliğinin sağlanmasını, siber saldırılara karşı dayanıklılığının artırılmasını zorunlu kılmaktadır. Bu, kurumların her aşamada siber güvenlik tedbirleri alması gerektiği anlamına gelmektedir. Ayrıca, siber tehdit istihbaratı toplama ve zararlı yazılımlar üzerinde incelemeler yapma gibi faaliyetler de yapılacaktır.

Siber Güvenlik Ürün ve Hizmetleri Sertifikasyonu: Siber güvenlik alanındaki ürün, yazılım, donanım ve hizmetlerin belirli standartlara uygunluk göstermesi gerekecektir. Bu ürünlerin ithalatı, satışı ve tedariki, Siber Güvenlik Başkanlığı onayına tabi olacaktır.

Siber Güvenlik Başkanlığı Görev ve Yetkileri

Siber Güvenlik Başkanlığı (“Başkanlık”), Türkiye’nin siber savunma kapasitesini artırmak amacıyla hem düzenleyici hem de uygulayıcı olacağı görev ve yetkilere sahiptir. Başkanlık, siber saldırılara karşı gerekli tedbirleri almak, yazılım ve donanım ürünlerinin entegrasyonunu sağlamak ve bu ürünlerden elde edilen verileri kendi bilişim sistemlerine aktarmakla sorumludur. Ayrıca, siber saldırıya uğrayan kurumlara yerinde veya uzaktan müdahale desteği sunabilir, saldırı izlerini takip ederek delil toplayıp ilgili makamlarla paylaşır.

Başkanlık, bilgi ve veri toplama, değerlendirme ve saklama yetkilerine sahip olup, bu verilerin belirli sürelerle işlenmesini ve sonunda imha edilmesini sağlar. Uluslararası ilişkilerde ülkemizi temsil edebilir ve siber güvenlik konusunda küresel işbirlikleri geliştirebilir.

Başkanlık, Kanun kapsamındaki kurum, kuruluş ve kişilerin faaliyetlerini denetleme yetkisine sahiptir. Gerekli görülen durumlarda yerinde inceleme yapabilir veya bağımsız denetim kuruluşları aracılığıyla denetim gerçekleştirebilir. Başkanlık, denetim sırasında her türlü dijital belgeyi inceleyebilir, kopyalayabilir, açıklama talep edebilir ve tesisleri gözlemleyebilir. Kamu kurumları ve güvenlik birimleri, denetim süreçlerine tam destek vermekle yükümlüdür. Milli güvenlik veya kamu düzeni gerekçesiyle gerekli durumlarda hâkim kararıyla (ve acil hallerde savcılık emriyle) arama, veri kopyalama ve el koyma işlemleri yapılabilmekte; bu işlemler belirli usullere ve süre sınırlamalarına tabi tutulmaktadır.

Siber Güvenlik Kurulu Görev ve Yetkileri

Kanun ile Siber Güvenlik Kurulu (“Kurul”) kurulmuştur. Kurul, Cumhurbaşkanı başkanlığında, ilgili bakanlar ve üst düzey güvenlik bürokrasiden oluşmaktadır. Kanun kapsamda Kurul, gerektiğinde teknik komisyonlar ve çalışma grupları kurarak siber güvenlik alanında karar destek süreçleri yürütmekle görevlidir.. Kurul’un görevleri arasında ulusal siber güvenlik politikalarının, stratejilerin ve eylem planlarının belirlenmesi; teknoloji yol haritasının uygulanması, teşvik verilecek öncelikli alanların tespiti, kritik altyapıların tanımlanması ve kamu kurumları arasında çıkabilecek anlaşmazlıkların çözümü yer almaktadır.

Cezai Hükümler ve İdari Yaptırımlar

Kanun ile Başkanlığın talep ettiği bilgi, belge ve verileri vermeyenler ile izinsiz faaliyette bulunanlar 3 yıla kadar hapis ve beşyüz günden binbeşyüz güne kadar adli para cezası ile cezalandırılırken; veri sızıntısı, gizli bilgilerin paylaşımı ve kamuoyunu yanıltıcı içerik üretimi gibi fiiller 5 yıla kadar ağır hapis cezalarıyla karşı karşıyadır. Türkiye’nin siber altyapısına saldıranlara 12 yıla kadar, verileri yayanlara ise 15 yıla kadar hapis cezası öngörülmektedir. Suçun kamu görevlisi veya örgüt kapsamında işlenmesi durumunda cezalar artırılması öngörülmektedir. Bildirim ve sertifikasyon yükümlülüklerini yerine getirmeyen kuruluşlara 1 ila 100 milyon TL arasında ceza verilebilecektir. Denetimlerde gerekli önlemleri almayan ticari şirketlere ise, yıllık brüt satış hasılatlarının %5’i oranında idari para cezası uygulanacağı öngörülmektedir.