siber güvenlik kanunu
mertalibulut

Siber Güvenlik Kanunu

19.03.2025 tarihinde 7545 sayılı Siber Güvenlik Kanunu (“Kanun“) 32846 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir.

Siber Güvenlik Kanunu ile beraber siber güvenlik kavramı çerçevesi genişletilmiş hem kamu hem özel sektörün üzerine düşen yükümlülükler getirilmiş olup, kanun çerçevesinde yükümlülüklerin yerine getirilmemesi de bazı yaptırımlara tabi tutulmuştur. 

Kanunun amacı, kanunda “Türkiye Cumhuriyeti’nin siber uzaydaki milli gücünü meydana getiren bütün unsurlarına karşı içten ve dıştan yöneltilen mevcut ve muhtemel tehditlerin tespit ve bertaraf edilmesi, siber olayların muhtemel etkilerini azaltmaya yönelik esasların belirlenmesi, kamu kurum ve kuruluşları, kamu kurumu niteliğinde meslek kuruluşları, gerçek ve tüzel kişiler ile tüzel kişiliği bulunmayan kuruluşların siber saldırılara karşı korunmasına yönelik gerekli düzenlemelerin yapılması, ülkenin siber güvenliğini güçlendirmek için strateji ve politikaların belirlenmesi ile Siber Güvenlik Kurulunun kurulmasına ilişkin esasları düzenlemektir.” olarak ifade edilmiştir.

7545 sayılı Siber Güvenlik Kanunu ayrıca mevzuatımızda yer alan bazı kavramların sistematik olarak tanımlamalarını yapmıştır.

  • Bilişim sistemleri: Bilgi ve iletişim teknolojileri vasıtasıyla sağlanan her türlü hizmetin, işlemin ve verinin sunumunda kullanılan donanım, yazılım, sistem ve aktif veya pasif durumda bulunan tüm diğer bileşenleri,
  • Kritik altyapı: İşlediği bilginin veya verinin gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda can kaybına, büyük ölçekli ekonomik zarara ve güvenlik açıklarına veya kamu düzeninin bozulmasına yol açabilecek bilişim sistemlerini barındıran altyapıları,
  • Kritik kamu hizmeti: Ulusal, toplumsal veya ekonomik faaliyetlerin sürdürülmesi için gerekli olan ve kesintiye uğraması veya zarar görmesi halinde ulusal güvenlik, ülkenin sosyal veya ekonomik refahı, kamu düzeni veya sağlığı ya da diğer hizmetlerin sunumu üzerinde önemli bir etki oluşturabilecek ülke genelinde tekel veya sınırlı ikame ile sunulan hizmeti,
  • Siber güvenlik: Siber uzayı oluşturan bilişim sistemlerinin saldırılardan korunmasını, bu ortamda işlenen verinin gizlilik, bütünlük ve erişilebilirliğinin güvence altına alınmasını, saldırıların ve siber olayların tespit edilmesini, bu tespitlere karşı tepki ve alarm mekanizmalarının devreye alınmasını ve sonrasında yaşanan siber olay öncesi duruma geri döndürülmesini kapsayan faaliyetler bütününü,
  • Siber saldırı: Siber uzaydaki bilişim sistemlerinin ve bu sistemler tarafından işlenen verinin gizliliği, bütünlüğü veya erişilebilirliğini ortadan kaldırmak amacıyla, siber uzayın herhangi bir yerindeki kişi veya bilişim sistemlerine yönelik olarak kasıtlı yapılan işlemleri,
  • Siber olay: Bilişim sistemlerinin veya verinin gizlilik, bütünlük veya erişilebilirliğinin ihlal edilmesini,
  • Siber tehdit: Bilişim sistemlerinin, bu sistemlerde bulunan veya bu sistemler tarafından işlenen verinin gizlilik, bütünlük veya erişilebilirliğinin ihlal edilmesine neden olabilecek potansiyel tehlikeleri,
  • Siber tehdit istihbaratı: Siber uzaydaki varlıklara yönelik mevcut veya potansiyel siber tehdit unsurları ile siber saldırılar hakkında bir araya getirilmiş, dönüştürülmüş, analiz edilmiş, yorumlanmış veya zenginleştirilmiş bilgiyi,
  • Siber uzay: Doğrudan ya da dolaylı olarak internete, elektronik haberleşme veya bilgisayar ağlarına bağlı olan tüm bilişim sistemlerini ve bunları birbirine bağlayan ağlardan oluşan ortamı,
  • SOME: Siber olaylara müdahale ekibini,
  • Varlık: Elektronik veya fiziksel ortamlarda yer alan ve iletişim yoluyla aktarılabilen veriyi içeren tüm bilgi ve bilgi işleme olanaklarını, veriyi kullanan veya taşıyan personeli ve veriyi barındıran fiziksel mekânları,
  • Zafiyet: Siber uzayda yer alan varlıkların herhangi bir siber tehdit tarafından istismar edilebilecek zayıflık ve güvenlik açıklarını, ifade eder.

Siber Güvenlik Kanunu Kapsamında Şirketlerin Yükümlülükleri

Siber Güvenlik Kanunu kapsamında yer alan ve bilişim sistemleri kullanmak suretiyle hizmet sunan, veri toplayan, işleyen ve benzeri faaliyet yürüten şirketlerin bir takım sorumlulukları mevcuttur. Bu sorumluluklar;

  • Siber Güvenlik Başkanlığı’nın talep ettiği her türlü veri, bilgi, belge, donanım, yazılım ve diğer her türlü katkıyı öncelikle ve zamanında iletmek,
  • Siber güvenliğe yönelik olarak milli güvenlik, kamu düzeni veya kamu hizmetinin gereği gibi yürütülmesi amacıyla mevzuatın öngördüğü tedbirleri almak, hizmet sundukları alanda tespit ettikleri zafiyet veya siber olayları gecikmeksizin Siber Güvenlik Başkanlığı’na bildirmek,
  • Kamu kurumları ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik ürün, sistem ve hizmetleri Siber Güvenlik Başkanlığı tarafından yetkilendirilmiş ve belgelendirilmiş siber güvenlik uzmanlarından, üreticilerden veya şirketlerden tedarik etmek,
  • Sertifikasyon, yetkilendirme ve belgelendirmeye tabi siber güvenlik şirketlerince faaliyete başlamadan önce mevcut düzenlemeler çerçevesinde Siber Güvenlik Başkanlığı’nın onayını almak,
  • Siber olgunluğun artırılmasına yönelik Siber Güvenlik Başkanlığı tarafından geliştirilen politika, strateji, eylem planı ile yayımlanan diğer düzenleyici işlemlerde yer alan hususları yerine getirmek ve gerekli tedbirleri almak

şirketlerin en temel yükümlülükleri arasındadır. 

Siber Güvenli Kanunu’ndaki Yükümlülüklere Uymamanın Cezai Yaptırımları

Siber Güvenlik Kanunu kapsamında belirtilen yükümlülüklere uyulmaması halinde cezai yaptırımlar öngörülmüş olup, mevzuata aykırılık halinde gerek hapis cezası gerekse de idari para cezası uygulanması sonucunu doğurabilecektir.

  • Siber Güvenlik Kanunu ile yetkilendirilen mercilerin ve denetim görevlilerinin görev ve yetkileri kapsamında istedikleri bilgi, belge, yazılım, veri ve donanımı vermeyenler veya bunların alınmasına engel olanlar, bir yıldan üç yıla kadar hapis ve beşyüz günden binbeşyüz güne kadar adli para cezası,
  • Kanun uyarınca alınması gerekli onay, yetki veya izinleri almaksızın faaliyet yürütenler,iki yıldan dört yıla kadar hapis ve bin günden ikibin güne kadar adli para cezası,
  • Sır saklama yükümlülüğünü yerine getirmeyenlere,dört yıldan sekiz yıla kadar hapis cezası,
  • Siber uzayda veri sızıntısı nedeniyle daha önce yer alan kişisel veya kritik kamu hizmeti kapsamına giren kurumsal verileri, kişilerin veya kurumların izni olmaksızın ücretli veya ücretsiz şekilde erişime açan, paylaşan veya, satışa çıkaranlara üç yıldan beş yıla kadar hapis cezası,
  • Siber uzayda veri sızıntısı olmadığını bildiği halde halk arasında, endişe, korku ve panik yaratmak ya da kurumları veya şahısları hedef göstermek amacıyla siber güvenlikle ilgili veri sızıntısı olduğuna yönelik gerçeğe aykırı içerik oluşturanlara veya bu maksatla bu içerikleri yayanlara iki yıldan beş yıla kadar hapis cezası, 
  • Türkiye’nin siber uzaydaki milli gücünü meydana getiren unsurlarına yönelik olarak siber saldırıda bulunan veya bu saldırı neticesinde elde ettiği her türlü veriyi siber uzayda bulunduranlara, fiil daha ağır bir cezayı gerektiren başka bir suç oluşturmadığı takdirde sekiz yıldan oniki yıla kadar, bu saldırı neticesinde elde ettiği her türlü veriyi siber uzayda yayan, başka bir yere gönderen veya satışa çıkaranlara on yıldan onbeş yıla kadar hapis cezası,
  • Bu Kanundan kaynaklanan görev ve yetkilerini kötüye kullananlara veya kritik altyapıların siber saldırılara karşı korunması kapsamında görevinin gereklerine aykırı hareket etmek suretiyle veri ihlali yaşanmasına sebebiyet verenlere bir yıldan üç yıla kadar hapis cezası ile cezalandırılmaları 

şeklinde yaptırımlar öngörülmüştür. Ayrıca İdari Para Cezalarının uygulanma ve savunma alınması  usulü de kanunda belirtilmiştir.

Siber Güvenlik Kanunu kapsamında birçok kanunda değişiklikler yapılmaya başlanmıştır. Şirketlerin gerek Siber Güvenlik Kanunu’na gerekse de Siber Güvenlik Kanunu’na dayalı olarak değiştirilen diğer kanunlara uyumu çok önemlidir. Aksi takdirde uyumun olmamasının yaptırımları ağır olduğundan idari para cezaları dışında hapis cezaları ile de karşılaşma riskleri olabilecektir. 

Av. Mert Ali Bulut

Av. Mert Ali Bulut

İstanbul Barosu’na kayıtlı avukattır.

Eğitim

Galileo Galilei İtalyan Lisesi mezunudur. İstanbul Bilgi Üniversitesi Hukuk Fakültesi ve Avrupa Birliği İlişkileri bölümlerinde çift anadal yapmıştır. Aynı üniversitede Ekonomi Hukuku alanında yüksek lisans eğitimini “Eser Sözleşmesi Kapsamında Yapı Alacaklısı İpoteği” başlıklı tez çalışması ile tamamlamıştır.

Uzmanlık Alanları

  • Şirketler Hukuku
  • İş Hukuku
  • Sözleşmeler Hukuku
  • Ceza Hukuku
  • İdare Hukuku
  • İcra ve İflas Hukuku
  • Gayrimenkul Hukuku