Siber Güvenlik Kanunu Yayımlandı

7545 Sayılı Siber Güvenlik Kanunu, 19 Mart 2025’te Yürürlüğe Girdi. Kanun, Siber Tehditlerin Önlenmesi ve Kritik Altyapıların Korunması ile İlgili Düzenlemeler İçermektedir

1.Siber Güvenlik Başkanlığı

8 Ocak 2025 tarihinde Resmî Gazete ’de yayımlanan 177 Sayılı Cumhurbaşkanlığı Kararnamesi ile Siber Güvenlik Başkanlığı (“Başkanlık”) kurulmuştu. Kanun ile birlikte, Başkanlık’ın görev, sorumluluk ve yetkilerinin kapsamı belirlenmiştir.

Başkanlık Tarafından Yürütülecek Siber Güvenlik Denetim ve Müdahale Mekanizmaları:

• Siber Olaylara Müdahale Ekipleri (SOME) kurulacak ve bu ekipler, kamu kurumları ve kritik altyapılarda güvenlik ihlallerine anında müdahale edecektir.
• Sızma testleri ve güvenlik analizleri zorunlu hale getirilmiş, kamu kurumları ve kritik altyapılara sahip kuruluşların düzenli olarak güvenlik denetimlerinden geçmesi şart koşulmuştur.
• Bağımsız denetçiler ve denetim kuruluşları yetkilendirilerek, siber güvenlik politikalarının uygulanması sağlanacaktır.

• Kritik kamu hizmetleri kesintiye uğramaması gereken ve ulusal güvenlik açısından önemli görülen sektörleri kapsamaktadır. Bu kapsamda veri güvenliği, ağ altyapısı ve sistem güvenliği öncelikli hale getirilmiştir.
• Siber tehdit istihbaratı sağlanarak erken uyarı mekanizmaları oluşturulacak ve olası saldırılara karşı önleyici tedbirler alınacaktır.
• Kamu ve özel sektörde bilgi sistemlerinin güvenliğini sağlamak amacıyla standartların oluşturulması ve sertifikasyon süreçlerinin yürütülmesi esasa bağlanmıştır.
• Bilişim sistemleri ve veri yönetimi konusunda kamu kurumlarının sorumlulukları artırılmış, sistemlerin güvenliğini sağlamak için sürekli güncellemeler yapılması zorunlu hale getirilmiştir.

2. Kanun Kapsamındaki Hizmet Sağlayıcılar

Kanun, bilişim sistemleri kullanmak suretiyle hizmet sunan, veri toplayan, işleyen ve benzeri faaliyet yürütenlerin görev ve sorumluluklarının da kapsamını belirlemiştir:

• Başkanlığın yetki alanına giren faaliyetler çerçevesinde talep edilen her türlü veri, bilgi, belge, donanım, yazılım ve diğer katkıları eksiksiz ve zamanında Başkanlığa sunmak.
• Hizmetin sunulduğu alanlarda tespit edilen zafiyet veya siber olayları gecikmeksizin Başkanlığa bildirmek.
• Faaliyete başlamadan önce, sertifikasyon, yetkilendirme ve belgelendirme gerektiren siber güvenlik şirketleri tarafından mevcut düzenlemeler nezdinde Başkanlıktan onay almak.
• Başkanlık tarafından belirlenen politika, strateji ve eylem planları doğrultusunda siber olgunluğu artırmaya yönelik düzenlemelere uyum sağlamak ve gerekli önlemleri almak.

3. Siber Güvenlik Kurulu

Kanun, Siber Güvenlik Kurulu’nun (“Kurul”), kurulmasına ilişkin esasları, yapısını ve yetkilerini detaylı şekilde düzenlemektedir. Cumhurbaşkanı, ilgili bakanlar ve üst düzey yetkililerden oluşan Kurul, siber güvenlik politikalarının belirlenmesi, strateji ve eylem planlarının oluşturulması, kritik altyapı sektörlerinin tespiti ve sektörel teşviklerin planlanması gibi önemli görevleri üstlenmektedir. Ayrıca, Kurul gerektiğinde komisyon ve çalışma grupları kurarak teknik düzeyde çalışmalar yürütebilmekte ve ilgili uzmanları sürece dahil edebilmektedir.

4. Cezai Hükümler ve Yaptırımlar

Siber Güvenlik Kanunu, siber tehditlere karşı caydırıcılığı artırmak amacıyla cezai yaptırımlar içermektedir. Buna göre:

• Yetkilendirme ve onay almadan faaliyet gösterenler için 2 ila 4 yıl hapis ve 1 milyon TL’den 10 milyon TL’ye kadar idari para cezası,
• Siber saldırılar sonucunda kritik altyapıların zarar görmesine neden olanlara 8 ila 12 yıl hapis cezası,
• Kişisel veya kritik kamu hizmeti verilerini izinsiz paylaşanlara 3 ila 5 yıl hapis cezası uygulanacak, bu verileri satanlara veya başka bir yere gönderenlere ise 10 ila 15 yıl hapis cezası,
• Yanıltıcı siber güvenlik haberleri yayanlar veya sahte veri sızıntıları oluşturanlara 2 ila 5 yıl hapis cezası,
• Kanundan kaynaklanan görev ve yetkilerini kötüye kullananlara veya kritik altyapıların siber saldırılara karşı korunması kapsamında görevinin gereklerine aykırı hareket etmek suretiyle veri ihlali yaşanmasına sebebiyet verenlere 1 ila 3 yıl kadar hapis cezası, 
• Kanun kapsamında milli güvenlik, kamu düzeni veya kamu hizmetinin gereği gibi yürütülmesi amacıyla öngörülen tedbirleri almayan, tespit edilen zafiyet veya siber olayları gecikmeksizin Başkanlığa bildirmeyen kuruluşlar bakımından 1 milyon TL’den 10 milyon TL’ye kadar idari para cezası,
• Siber güvenlik ürün, sistem, yazılım, donanım ve hizmetlerinin Başkanlık tarafından belirlenen usul ve esaslara uygun üretilmemesi, siber güvenlik alanında faaliyet gösteren şirketlerin birleşme, bölünme veya pay devri işlemlerinin Başkanlığa bildirilmemesi ve bu işlemler sonucunda şirket üzerinde doğrudan ya da dolaylı kontrol hakkı sağlayan değişiklikler için Başkanlık onayı alınmaması durumlarında 10 milyon TL’den 100 milyon TL’ye kadar idari para cezası,
• Siber güvenlik kurallarına uymayan ticari şirketlere, bağımsız denetimden geçmiş yıllık brüt satış hasılatlarının %5’ine kadar idari para cezası öngörülmüştür.

5. Siber Güvenlik Ürünleri ve Şirketlerine Yönelik Düzenlemeler

Kanun, siber güvenlik ürünlerinin, yazılımlarının ve hizmetlerinin yurt dışına satışını belirli kurallara bağlamıştır. Bu tür ürünlerin ihracatı bakımından Başkanlık tarafından belirlenen usul ve esaslara uygun olarak sürecin yürütülmesi ve izne tabi olan ürünler için Başkanlık onayı alınması öngörülmüştür. Ayrıca, siber güvenlik alanında faaliyet gösteren şirketlerin birleşme, bölünme, pay devri ve satış işlemleri de Başkanlığa bildirilmesi zorunlu kılınmıştır. Eğer bu işlemler sonucunda şirket üzerinde doğrudan ya da dolaylı kontrol hakkı el değiştiriyorsa, bu değişiklik Başkanlık onayına tabi olacaktır. Onay alınmadan yapılan işlemler ise geçersiz sayılacaktır.

6. Uyumluluk ve Geçiş Süreci

Kanun, mevcut siber güvenlik sistemlerinin yeni düzenlemelere uyum sağlaması için belirli geçiş süreçleri öngörmektedir.

• Bilgi Teknolojileri ve İletişim Kurumu (BTK) ve Dijital Dönüşüm Ofisi’ne ait siber güvenlik faaliyetleri altı ay içinde Siber Güvenlik Başkanlığı’na devredilecektir.
• Siber güvenlik alanında faaliyet gösteren şirketler, belirlenen ilkelere uygun olarak bir yıl içinde sertifikasyon ve yetkilendirme süreçlerini tamamlamak zorundadır.
• Kanunun uygulanmasına yönelik düzenlemelerin bir yıl içinde yürürlüğe girmesi öngörülmektedir. Bu süre zarfında, mevcut mevzuatta yer alan ve kanuna aykırılık teşkil etmeyen hükümler geçerliliğini koruyacaktır.

Kanun, Başkanlık ve ilgili kurumların görev ve sorumluluklarını tanımlayarak siber tehditlere karşı risk analizi, istihbarat ve denetim mekanizmalarını düzenlemektedir. Ayrıca, siber güvenlik alanındaki düzenlemelerin kapsamını belirleyerek kurumların gerekli önlemleri almasını ve dijital tehditlere karşı koordineli bir yapı oluşturulmasını sağlamaktadır.

İlgili Kanuna bu bağlantı üzerinden ulaşabilirsiniz.