19 Mart 2025 tarihli ve 32846 sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren 7545 sayılı Siber Güvenlik Kanunu (“Kanun”), Türkiye’de siber güvenliğe ilişkin hukuki altyapıyı kapsamlı bir şekilde yeniden yapılandırmıştır. Bu düzenleme, yalnızca kamu otoritelerini değil; özel sektör, meslek kuruluşları ve bireyleri de doğrudan etkileyen geniş bir düzenleme olmuştur.
Kanun, yalnızca devlet kurumlarını değil; gerçek ve tüzel kişileri, kamu kurumu niteliğindeki meslek kuruluşlarını ve tüzel kişiliği bulunmayan yapıları da içine alacak şekilde geniş bir kapsam belirlemiş olup internete, bilgisayar sistemlerine veya iletişim ağlarına bağlı tüm dijital ortamları içine alacak biçimde detaylıca tanımlamıştır.
YENİ BİR KURUMSAL YAPILANMA
Kanun’dan önce yayımlanan Cumhurbaşkanlığı Kararnamesi ile kurulan Siber Güvenlik Başkanlığı, bu alandaki en yetkili kamu kurumu olarak yapılandırılmıştır. Daha önce Bilgi Teknolojileri ve İletişim Kurumu, Ulaştırma ve Altyapı Bakanlığı ile Cumhurbaşkanlığı Dijital Dönüşüm Ofisi arasında dağılmış olan görev ve yetkiler bu Başkanlıkta, tek bir çatı altında toplanmıştır.
Ayrıca, Cumhurbaşkanı’nın başkanlık edeceği Siber Güvenlik Kurulu da oluşturulmuştur. Kurul; strateji, politika, eylem planı ve düzenleyici işlemlerin belirlenmesinde karar mercii olacaktır.
Bunlar ile birlikte; Kanun, Başkanlığa geniş bir denetim yetkisi tanımaktadır:
- Elektronik veri, belge, sistem, yazılım ve donanımların incelenmesi,
- Kritik altyapıların belirlenmesi, siber dayanıklılığının artırılması ve siber saldırılara karşı korunması,
- Siber güvenlik denetimlerinin gerçekleştirilmesi ve uygun yaptırımların uygulanması,
- Siber güvenlikle ilgili politika, strateji, eylem planı ve diğer düzenleyici işlemlere yönelik kararların alınması ve ülke çapında uygulanmasına ilişkin kararların alınması yetkileri tanınmıştır.
Önemle belirtmek gerekir ki; Başkanlığa konutta, iş yerinde ve kamuya açık olmayan kapalı alanlarda arama yapma ve bu kapsamda kopya çıkarma ve el koyma yetkisi de tanınmıştır. Ancak bu, “millî güvenlik, kamu düzeni, suç işlenmesinin veya siber saldırıların önlenmesi” amaçlarıyla sınırlı tutulmuştur. Kamuya kapalı alanlarda yapılacak aramalar için hâkim kararı; gecikmesinde sakınca bulunan hâllerde ise Cumhuriyet savcısının yazılı emri zorunlu tutulmuştur.
YÜKÜMLÜLÜKLER VE YAPTIRIMLAR
Kanun, bilgi sistemleri kullanan tüm kişi ve kuruluşlara doğrudan yükümlülükler getirmiştir. Bu yükümlülükler arasında:
- Başkanlığın talep ettiği bilgi, belge, donanım, yazılım ve diğer unsurların sunulması,
- Denetime açık olunması ve gerekli teknik altyapının sağlanması,
- Siber olayların gecikmeden bildirilmesi,
- Başkanlıkça belirlenen sertifikalı ürün ve hizmetlerin kullanılması,
- Siber güvenlik tedbirlerinin alınması,
- Düzenleyici işlemler doğrultusunda gerekli adımların atılması yer almaktadır.
Bu yükümlülüklere aykırı davrananlara hem idari para cezaları hem de bazı durumlarda hapis cezası öngörülmüştür.
İşbu yükümlülüklerin yanında Kanun, siber güvenlik ihlallerine karşı ciddi yaptırımlar uygulanacağını belirtmiştir. İlgili yaptırımlardan özetle;
- Başkanlığa bilgi/belge vermeyenlere: 1-3 yıl hapis ve adli para cezası,
- Denetime engel olanlara: 100.000 TL – 1.000.000 TL arası idari para cezası (ticari şirketlerde bu rakam, brüt satış hasılatının %5’ine kadar çıkarılabilir),
- Siber güvenlik tedbirlerine uymayanlara: 1.000.000 TL – 10.000.000 TL arası idari para cezası,
- Olay bildirimi yapmayanlara: 1.000.000 TL – 10.000.000 TL arası idari para cezası uygulanacağı belirtilmiştir.
Kanun ile ayrıca, ceza hukukuna yeni suç tipleri kazandırılmıştır. Bu suçlar;
- Türkiye’nin siber uzaydaki millî gücüne yönelik saldırı: 8-12 yıl hapis cezasını öngören,
- Bu saldırılar sonucu elde edilen verilerin yayılması, satışı veya aktarımı: 10-15 yıl hapis cezasını öngören,
- Kritik kamu verileri veya kişisel verilerin izinsiz paylaşılması: 3-5 yıl hapis cezasını öngören,
- Gerçeğe aykırı veri sızıntısı içeriklerinin yayılması: 2-5 yıl hapis cezasını öngören, şeklindeki suçlardır.
Belirtmek gerekir ki, bu suçların kamu görevlisi eliyle veya örgütlü şekilde işlenmesi hâlinde cezalar artırılacaktır.
ÖZEL SEKTÖRE YÖNELİK DÜZENLEMELER
Son olarak, siber güvenlik alanında faaliyet gösteren şirketler için kurumsal ve ticari açılardan yeni kurallar getirilmiştir:
- Faaliyet izinleri, yetkilendirme ve sertifikasyon süreçlerinin bir yıl içinde tamamlanması zorunludur,
- Şirket birleşmeleri, pay devirleri ve satış işlemleri Başkanlık onayına tabidir,
- Siber güvenlik ürün ve hizmetlerinin ihracı Başkanlık denetimine alınmıştır,
- Gereken şartları yerine getirmeyen dernekler mahkeme kararıyla kapatılabilecektir ve ticaret şirketleri ise ticaret sicilinden terkin edilmek üzere faaliyet alanlarındaki “siber güvenlik” ibaresini silerek tasfiye süreçlerini başlatmakla yükümlü olacaktır.
SONUÇ VE DEĞERLENDİRMELERİMİZ
İşbu köklü ve kapsamlı düzenlemeler mucibince; 7545 sayılı Kanun ile ülkemizde uzun süredir ihtiyaç duyulan, tek merkezli bir yapının inşası gerçekleştirilmiştir. Bu düzenlemelerin hayata geçirilmesi ve uygulanması konusunda Başkanlığın rolü büyük olup, ilerleyen günlerde hukukun üstünlüğü ve temel hakların korunması ilkelerine bağlı kalınarak güvenli bir dijital ortamın inşa edileceği kanaatindeyiz.
Kaynakça
İşbu konuya ilişkin Yönetmelik metni, duyuru ve kararlara aşağıdaki bağlantılardan ulaşabilirsiniz:
https://www.resmigazete.gov.tr/eskiler/2025/03/20250319-1.htm
https://www.resmigazete.gov.tr/eskiler/2025/01/20250108-1.pdf
*Yasal Uyarı*
İşbu makale bilgi ve deneyim paylaşımına yönelik olup yazıların içerdiği bilgilerin güvenilirliği veya güncelliği konusunda hukuki güvence vermemektedir. Çelikbaş Hukuk Ofisi, bu makalede yer alan her türlü bilgi ve sair içeriklerin doğrudan veya dolaylı olarak kullanılmasından oluşacak zararlardan hiçbir şekilde sorumlu değildir.
Bu sitede paylaşılan bilgiler yalnızca bilgilendirme amaçlıdır; Türkiye Cumhuriyeti Barolar Birliği’nin ilgili düzenlemeleri uyarınca reklam, teklif, hukuki öneri veya danışmanlık teşkil etmez. Bu bilgilerin iletilmesi hiçbir şekilde avukat müvekkil ilişkisi oluşturmaz. Bu bilgiler en son hukuki durumu yansıtmayabileceğinden okuyucular güncel durum hakkında bir avukata danışarak hareket etmelidirler.