Siber tehditlerin bertaraf edilmesi ve siber olayların muhtemel etkilerinin azaltılmaya yönelik esasların belirlenmesi, gerçek ve tüzel kişiler ile tüzel kişiliği bulunmayan kuruluşların siber saldırılara karşı korunmasına yönelik gerekli düzenlemelerin yapılması ve ülkenin siber güvenliğini güçlendirmek için strateji ve politikaların belirlenmesine ilişkin esasları düzenleyen 7545 Sayılı Siber Güvenlik Kanunu 19.03.2025 tarihinde Resmî Gazete’de yayımlanarak yürürlüğe girmiştir.

Dijital çağın hızla gelişmesiyle birlikte siber güvenlik, devletlerin ve özel sektörün en önemli önceliklerinden biri haline gelmiştir. Artan siber tehditler, yalnızca bireylerin ve şirketlerin değil, aynı zamanda ulusal güvenliğin de korunmasını gerektirmektedir. Bu kapsamda Türkiye’de siber güvenliğin güçlendirilmesi amacını taşıyan 7545 Sayılı Siber Güvenlik Kanunu (“Kanun“), 19 Mart 2025 tarihli Resmî Gazete’de yayımlanarak yürürlüğe girmiştir.

Bu Kanun, Türkiye’nin siber güvenliğini güçlendirmeye yönelik kapsamlı bir hukuki çerçeve sunmakta olup, devletin ve özel sektörün siber saldırılara karşı korunmasını, siber güvenlik strateji ve politikalarının belirlenmesini, ayrıca siber tehditlerin tespit edilip bertaraf edilmesini amaçlamaktadır.

7545 Sayılı Kanunu’nun amacı, Türkiye Cumhuriyeti’nin siber uzaydaki milli gücünü oluşturan tüm unsurları korumak ve siber tehditlere karşı direnç oluşturacak strateji ve politikalar geliştirmektir. Kanun, siber saldırıların potansiyel etkilerini en aza indirgemek, kamu ve özel sektörün siber güvenlik altyapılarını güçlendirmek, kritik dijital altyapıları güvence altına almak ve bu alanda istihdam yaratmak gibi çok geniş bir yelpazede düzenlemeler getirmektedir.

Kanun’un hedefi, yalnızca mevcut siber tehditlere karşı savunma hattı oluşturmakla sınırlı kalmayıp, aynı zamanda gelecekteki olası tehditlere karşı önceden alınacak önlemleri de içermektedir. Bu bağlamda, kamu kurum ve kuruluşlarının yanı sıra özel sektörün de siber güvenlik yükümlülükleri güçlendirilmiş ve daha katı denetim altına alınmıştır.

Kanun, kamu ve özel sektördeki kurumları hedef alırken, dijital ortamda faaliyet gösteren her tüzel kişiyi, gerçek kişiyi ve tüzel kişiliği olmayan kuruluşları kapsamaktadır. Ancak, Türkiye’nin iç güvenliği ile ilgili olarak yürütülen istihbari faaliyetler, Polis Vazife ve Salâhiyet Kanunu, Sahil Güvenlik Komutanlığı Kanunu, Jandarma Teşkilat, Görev ve Yetkileri Kanunu gibi yasalarla belirlenen yetkiler çerçevesinde, Milli İstihbarat Teşkilatı Kanunu ve Türk Silahlı Kuvvetleri İç Hizmet Kanunu uyarınca gerçekleştirilen faaliyetler, bu Kanun’un hükümlerinden hariç tutulmuştur.

  1. Siber Güvenlik Başkanlığı

Kanun, siber güvenlik politikalarının belirlenmesi ve bu alandaki stratejik kararların alınması için Siber Güvenlik Başkanlığı (“Başkanlık”) kurulmasını öngörmektedir. Başkanlık, siber tehditlerin yönetilmesinde merkezi bir otorite işlevi görecek, devletin ve özel sektörün siber güvenlik tehditlerine karşı hazırlıklı olmasını sağlayacaktır.

Siber güvenliğin milli güvenliğin ayrılmaz bir parçası olduğu ilkesinden hareket eden Kanun, siber tehditlere karşı etkin bir koruma sağlamak amacıyla Başkanlığa önemli sorumluluklar ve yetkiler yüklemiştir.

  • Kritik Altyapıların ve Bilişim Sistemlerinin Korunması: Başkanlık, işlediği bilginin/verinin gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda can kaybına, büyük ölçekli ekonomik zarara ve güvenlik açıklarına veya kamu düzeninin bozulmasına yol açabilecek bilişim sistemlerini barındıran altyapı olarak tanımlanan “kritik altyapıları” ve “bilişim sistemlerini” belirleyerek bunların korunmasına yönelik stratejiler geliştirilmekle yükümlüdür.

Ayrıca kamu kurum ve kuruluşları ile kritik altyapıların siber güvenliğini sağlamak için gerekli teknolojik altyapılar kurulmakta ve bu sistemlerin işletilmesi sağlanmaktadır.

  • Siber Olaylara Müdahale Ekipleri ve Güvenlik Tedbirleri Oluşturmak: Başkanlık, Siber Olaylara Müdahale Ekipleri (“SOME”) kurarak veya kurulmasını sağlayarak, bu ekiplerin denetimini gerçekleştirmekte ve tatbikatlarla müdahale kabiliyetlerini artırmaktadır. Keza siber güvenlik alanında standartlar oluşturmak, test ve sertifikasyon süreçlerini yürütmek de Başkanlığın temel görevleri arasındadır.
  • Önleyici ve Koruyucu Tedbirler Alma Yetkisi: Kanun kapsamında, Başkanlığa siber saldırılara karşı önleyici tedbirler alma yetkisi verilmiştir. Bu doğrultuda, siber saldırıya maruz kalan kurum ve kuruluşlara yerinde veya uzaktan müdahale desteği sağlanmaktadır. Ayrıca, saldırı izleri takip edilerek deliller oluşturulmakta ve suç teşkil eden durumlar yetkili mercilerle paylaşılmaktadır. Böylece Başkanlık, yerel ve uluslararası koordinasyonu sağlayarak siber tehditlerle mücadelede etkin rol oynamaktadır.
  • Bilgi ve Veri Toplama Yetkisi: Başkanlık, Kanun kapsamında ilgili kurumların bilgi, belge ve verilerini alabilir, değerlendirebilir. Bu kapsamda bilişim sistemlerindeki log kayıtları toplanmakta, saklanmakta, analiz edilmekte ve gerektiğinde ilgili kurumlarla paylaşılmaktadır. Bu süreçlerde elde edilen bilgi, belge ve veriler en fazla iki yıl süreyle muhafaza edilmekte, sonrasında ise imha edilmektedir.

Başkanlık, kritik altyapılara yönelik risk analizleri yaparak veya yaptırarak, bu alanlarda güvenlik açıklarının tespit edilmesini sağlamaktadır. Aynı zamanda, siber tehdit istihbaratı toplayarak, zararlı yazılımları analiz etmekte ve bu doğrultuda savunma stratejileri geliştirmektedir.

  • Siber Güvenlik Ürün ve Hizmetlerine Yönelik Düzenleme Yetkisi: Kamu kurum ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik ürün ve hizmetleri ile bunları sağlayacak işletmelerin taşıması gereken niteliklere yönelik teknik kriterler belirleme, siber güvenlik yazılım, donanım, ürün ve hizmetlerine yönelik sertifikasyon ve yetkilendirme süreçlerini yürütme yetkisi de Başkanlığa verilmiştir.

Kanun çerçevesinde elde edilen kişisel veriler ve ticari sırlar, hukuka uygun olarak işlenmekte ve yalnızca gerekli olduğu süre boyunca saklanmaktadır. Bu veriler, ilgili sebeplerin ortadan kalkmasıyla birlikte otomatik olarak silinmekte, yok edilmekte veya anonim hale getirilmektedir.

Sonuç olarak, Siber Güvenlik Başkanlığı, ülkemizin dijital güvenliğini sağlamak, kritik altyapıları ve bilişim sistemlerini korumak amacıyla kapsamlı bir görev alanına sahiptir. Başkanlık, ulusal ve uluslararası düzeyde siber tehditlere karşı mücadele ederek, güvenli bir dijital ekosistem oluşturmayı hedeflemektedir.

  1. Siber Güvenlik Kurulu

Kanun, Başkanlığın yanı sıra Siber Güvenlik Kurulu’nun (“Kurul”) kurulmasını da öngörmektedir. Kurul, siber güvenlik politikaları, stratejileri ve eylem planlarına yönelik kararları almak, ülkenin kritik altyapı sektörlerini belirlemek, siber güvenlik alanında teşvik verilecek öncelikli alanları belirlemek ve Başkanlık ile kamu kurumları arasındaki ihtilafları karara bağlamak ile görevlendirilmiştir.

Kurul’un sekretarya hizmetleri Siber Güvenlik Başkanlığı tarafından yürütülmekte olup, çalışma usul ve esasları Cumhurbaşkanı tarafından çıkarılacak yönetmelikle düzenlenmektedir.

  1. Siber Güvenliğe İlişkin Görev, Sorumluluklar ve İş Birliği

Bilişim sistemleri kullanarak hizmet sunan, veri toplayan, işleyen ve benzeri faaliyetleri yürüten tüm gerçek ve tüzel kişiler, ulusal siber güvenliğin sağlanması amacıyla belirlenen yükümlülüklere uymakla sorumludur. Bu sorumluluklar, milli güvenliğin korunması, kamu düzeninin sağlanması ve kritik altyapıların siber tehditlere karşı dayanıklılığının artırılması hedefi doğrultusunda şekillendirilmiştir. Bu kapsamda, ilgili kişi ve kuruluşların Başkanlık ile etkin bir iş birliği içinde hareket etmesi ve kendilerine düşen yükümlülükleri eksiksiz yerine getirmesi büyük önem taşımaktadır.

İlgili kişi ve kuruluşlar, Başkanlığın görev ve faaliyetleri kapsamında talep ettiği her türlü veri, bilgi, belge, donanım, yazılım ve diğer gerekli dokümanları gecikmeksizin, eksiksiz ve öncelikli olarak Başkanlığa iletmekle yükümlüdür.

Bilişim sistemleri üzerinden hizmet sunan kişi ve kuruluşlar, siber güvenlik önlemlerini almak, tespit ettikleri zafiyetleri ve siber olayları gecikmeksizin Başkanlığa bildirmekle yükümlüdür. Siber olaylar, hizmet sundukları sistemlerin bütünlüğüne, gizliliğine ve erişilebilirliğine zarar verebilecek nitelikte olduğundan bu olayların en kısa sürede tespit edilerek gerekli müdahalelerin yapılabilmesi için Başkanlık ile koordineli çalışılması gerekmektedir. Aynı şekilde, siber uzayda yer alan varlıkların siber tehditler tarafından istismar edilebilecek güvenlik açıkları da Başkanlığa derhal iletilmelidir.

Özellikle kamu kurumları ve kritik altyapılarda kullanılan siber güvenlik ürünleri, sistemleri ve hizmetleri, yalnızca Başkanlık tarafından yetkilendirilmiş ve belgelendirilmiş siber güvenlik uzmanlarından, üreticilerden veya şirketlerden tedarik edilmelidir. Bu düzenleme, siber güvenlik alanında belirli standartların oluşturulmasını ve kritik altyapılarda güvenilir, etkin çözümler kullanılmasını sağlamaya yöneliktir.

Siber güvenlik alanında faaliyet gösterecek olan sertifikasyon, yetkilendirme ve belgelendirmeye tabi siber güvenlik şirketleri, faaliyete başlamadan önce mevcut düzenlemeler çerçevesinde Başkanlığın onayını almak zorundadır.

Nitekim siber güvenliğin sağlanması, yalnızca teknik önlemlerle değil, aynı zamanda kurumsal farkındalığın artırılmasıyla mümkündür. Bu kapsamda, bilişim sistemlerini kullanan kişi ve kuruluşlar, Başkanlık tarafından geliştirilen politika, strateji ve eylem planlarını takip etmek, yayımlanan diğer düzenleyici işlemlerde belirtilen hususları yerine getirmek ve gerekli tedbirleri almakla yükümlüdür. Başkanlık, ulusal siber güvenliğin güçlendirilmesi amacıyla belirli periyotlarla tatbikatlar düzenleyebilir, risk değerlendirmeleri yapabilir ve ilgili kişi ve kuruluşlara yönelik rehberler yayımlayabilir. Bu gibi düzenlemelere uyum sağlanması, siber saldırılara karşı dayanıklılığı artıracak ve siber olgunluğun gelişmesine katkıda bulunacaktır.

Bu kapsamda bilişim sistemleri aracılığıyla hizmet sunan kişi ve kuruluşların, siber güvenlik alanında üzerlerine düşen yükümlülükleri titizlikle yerine getirmesi gerekmektedir. Başkanlık ile sürekli ve etkin bir iletişim halinde olmak, siber tehditlere karşı proaktif önlemler almak ve siber güvenlik politikalarına uyum sağlamak, ülkemizin dijital altyapılarının korunmasına önemli katkılar sunacaktır. Bu bağlamda hem bireysel hem de kurumsal düzeyde siber güvenlik farkındalığının artırılması ve belirlenen düzenlemelere uyum gösterilmesi, güvenli bir siber ekosistem oluşturulmasının temel taşlarından biri olacaktır.

  1. Denetim ve Yetkilendirme

Kanun, Başkanlığı ve yetkilendirilmiş bağımsız denetçileri, Kanun kapsamındaki kurum, kuruluş ve ilgili diğer gerçek ve tüzel kişilerin faaliyet ve işlemlerini denetlemekle yetkilendirmiştir. Bu doğrultuda, Başkanlık gerektiğinde mahallinde inceleme yapabilir veya yetkilendirilmiş bağımsız denetim kuruluşları aracılığıyla denetim gerçekleştirebilir. Kamu kurumları ve kritik altyapılara yönelik denetimler ise yalnızca Başkanlık personeli tarafından veya onların refakatinde yürütülmektedir.

Denetimler, Başkanlığın belirlediği önemlilik ve öncelik ilkeleri doğrultusunda, risk değerlendirmelerine dayalı olarak planlanıp yürütülecektir. Denetim sürecinde yetkilendirilen personel ve bağımsız denetçiler; ilgili sistemler, yazılımlar, donanımlar ve elektronik altyapı üzerinde inceleme yapabilir, verilerden kopya alabilir ve konuyla ilgili sözlü ya da yazılı açıklamalar talep edebilir. Denetime tabi tutulan kişi ve kuruluşlar, bu süreçte iş birliği yapmak, gerekli altyapıyı sağlamak ve sistemlerini çalışır halde tutmakla yükümlüdür.

  1. Siber Güvenlik Ürünleri ve Şirketleri

Siber güvenlik ürün, sistem, yazılım, donanım ve hizmetlerinin yurt dışına satışı, Başkanlıkça belirlenecek usul ve esaslara uygun olarak gerçekleştirilmektedir. Bu çerçevede izne tabi ürünlerin yurt dışına satışında Başkanlık onayı alınması gerekmektedir.

Ayrıca, Kanun’daki düzenlemeler uyarınca siber güvenlik ürün ve hizmetleri üreten şirketlerin birleşme, bölünme, pay devri veya satış işlemleri Başkanlığa bildirilmelidir. Bu işlemler sonucunda gerçek veya tüzel kişilere doğrudan veya dolaylı kontrol hakkı ya da karar alma yetkisi sağlayan durumlar Başkanlık onayına tabi tutulmaktadır. Keza Başkanlık onayı alınmaksızın gerçekleştirilen işlemler hukuki geçerlilik kazanamamaktadır.

  1. Yaptırımlar

Söz konusu Kanun kapsamında getirilen yükümlülüklere aykırı hareket edenler hakkında çeşitli cezai yaptırımlar ve idari para cezaları öngörülmektedir.

Yetkili mercilerin ve denetim görevlilerinin talep ettiği bilgi, belge, yazılım, veri ve donanımın verilmemesi veya bunların temin edilmesine engel olunması durumunda hapis ve adli para cezası uygulanacaktır. Keza Kanun’da öngörülen onay, yetki veya izinleri almaksızın faaliyet yürütenler de hapis ve adli para cezası ile cezalandırılacaktır.

Sır saklama yükümlülüğüne aykırı hareket edenler, siber uzayda kişisel veya kritik kamu hizmeti kapsamına giren verileri izinsiz şekilde paylaşan veya satışa çıkaranlar, gerçeğe aykırı siber güvenlik verileri oluşturan veya yayan kişiler hapis cezası ile cezalandırılacaktır.

Bilişim sistemleri üzerinden hizmet sunanların, siber güvenlik açıklarını bildirme yükümlülüğünü yerine getirmemesi durumunda ve siber güvenlik ürünlerinin yurtdışına satışı veya ilgili şirketlerin birleşme, devir ve satış işlemlerinde Başkanlık onayının alınmaması halinde ise idari para cezası uygulanacaktır.

Denetim süreçlerine uyulmaması halinde ise kişi ve şirketler hakkında idari para cezasının uygulanması söz konusudur. İdari para cezaları uygulanmadan önce ilgilinin savunması alınacak olup birden fazla kez işlenen kabahatlerde tek idari para cezası uygulanacak ancak belirli oranlarda artırılacaktır. Ayrıca belirtilmelidir ki, idari para cezalarına karşı idari yargı yolu açıktır.