Skip to main content
Bilgi Notu

Türkiye’de Siber Güvenlik Kanunu Yürürlüğe Girdi

21 Mart 2025

Uzun yıllardır çeşitli raporlama faaliyetleri, mevzuat çalışmaları ve eylem planları ile şekillenen siber güvenlik alanındaki yoğun çalışmalar, 19 Mart 2025 Çarşamba tarihli 32846 sayılı Resmî Gazete’de yayımlanan 7545 sayılı Siber Güvenlik Kanunu (“Kanun”) ile birlikte mevzuatta yerini almıştır.            Özellikle 5809 sayılı Elektronik Haberleşme Kanunu ve ilki 2013-2014 dönemi için hazırlanan ve 2016-2019, 2020-2023 ve 2024-2028 dönemleri için hazırlanan versiyonlar ile devam eden Ulusal Siber Güvenlik Stratejileri ve Eylem Planları başta olmak üzere bu alanda yapılan çeşitli alt yapı çalışmalarının, Kanun’un yürürlüğe girmesi öncesinde geçen yıldan beri hızlandırıldığı görülmekteydi:

7 Eylül 2024

Ulusal Siber Güvenlik Stratejisi ve Eylem Planı (2024-2028), 32655 sayılı Resmi Gazete’de yayımlanan 2024/11 sayılı Genelge ile yürürlüğe girmiştir.

Siber dayanıklılık, proaktif siber savunma ve caydırıcılık, insan odaklı siber güvenlik yaklaşımı, teknolojinin güvenli kullanımı ve siber güvenliğe katkısı, siber tehditlerle mücadelede yerli ve milli teknolojiler ve uluslararası alanda Türkiye markası başlıklarıyla 6 adet stratejik amaç, bu amaçlar doğrultusunda 18 hedef ve ilgili kurum ve kuruluşlarla Eylem Planı paylaşılmıştır.
8 Ocak 2025 32776 sayılı Resmi Gazete’de yayımlanan 177 sayılı Cumhurbaşkanlığı Kararnamesi ile Cumhurbaşkanlığına bağlı, kamu tüzel kişiliğini haiz, özel bütçeli ve Ankara merkezli Siber Güvenlik Başkanlığı kurulmuştur.
10 Ocak 2025 Siber Güvenlik Başkanlığı’nın görev ve yetkilerini düzenleyecek, siber güvenlik olaylarının merkezi şekilde izlenmesi, tespiti ve bertaraf edilmesinin sağlanması, denetim süreçleri, standardizayon süreçleri ve siber suçları düzenleyeren caydırıcılığı sağlamayı hedefleyen çatı bir kanun niteliğini taşıyan Siber Güvenlik Kanunu teklifi ve gerekçesi Türkiye Büyük Millet Meclisi Başkanlığına sunulmuştur. Genel gerekçede, 2024 yılı itibariyle giderek artan siber saldırıların risk potansiyeli kapsamında merkezi idare ve etkin bir mevzuatın önemi vurgulanmıştır.
12 Mart 2025 7545 sayılı Siber Güvenlik Kanunu Türkiye Büyük Millet Meclisi Genel Kurulunda 102’ye karşı 246 oyla kabul edilmiştir.

Kanun’unla ilgili öne çıkan hususlar şunlardır:

  • Kanun ile Türk hukukunda siber güvenlik ilk kez müstakil bir kanun ile düzenlenmiştir.
  • Kanun çerçeve Uygulamaya ilişkin düzenlemelerin ise bir yıl içinde yürürlüğe konması beklenmektedir.
  • Kanun’un uygulanmasındaki temel aktör Siber Güvenlik Başkanlığıdır.
  • Kanun’da siber güvenlik bir ulusal güvenlik unsuru olarak düzenlenmiş ve ilgili düzenlemelerin ihlali, ihlalin niteliğine göre adli veya idari para cezası ile hapis cezası yaptırımına bağlanmıştır.
  • Kanun’un kapsamı oldukça geniştir. Kanun, siber güvenlik alanında faaliyet gösteren kamu kurum ve kuruluşlarına ilişkin düzenlemelerin yanında bu alanda faaliyet gösteren dernekleri, vakıfları ve şirketleri de ilgilendiren konularda Siber Güvenlik Başkanlığına yetki vermektedir.
  • Detaylı hususların önemli bir kısmı uygulama düzenlemelerine bırakılmakla birlikte Kanun kapsamında yer alan ve bilişim sistemleri kullanmak suretiyle hizmet sunan, veri taşıyan ve benzer faaliyetler yürütenler için talep üzerine bilgi belge verme, siber olayları Başkanlığa bildirme, kritik altyapı ürünlerine ilişkin tedarik kısıtlarına uygun davranma ve ilgili sertifikasyon ve yetkilendirme düzenlemeleri kapsamında kalındığı ölçüde faaliyet öncesinde Başkanlığın onayını alma gibi genel sorumluluklar öngörülmüştür.
  • İkincil düzenlemelerin yürürlüğe konulmasına kadar geçen süre için ise mevcut düzenlemelerin uygulanmasını Kanun’a da uygun olduğu ölçüde devam ettiren bir geçiş süreci öngörülmüştür.

Kanun’un düzenlemeleri madde bazında ise aşağıdaki gibi özetlenebilir:

Madde İçerik
Amaç Kanun Madde 1 uyarınca, Kanun’un amacının “siber uzaydaki milli gücünü meydana getiren bütün unsurlarına karşı içten ve dıştan yöneltilen mevcut ve muhtemel tehditlerin tespit ve bertaraf edilmesi, siber olayların muhtemel etkilerini azaltmaya yönelik esasların belirlenmesi, kamu kurum ve kuruluşları, kamu kurumu niteliğinde meslek kuruluşları, gerçek ve tüzel kişiler ile tüzel kişiliği bulunmayan kuruluşların siber saldırılara karşı korunmasına yönelik gerekli düzenlemelerin yapılması, ülkenin siber güvenliğini güçlendirmek için strateji ve politikaların belirlenmesi ile Siber Güvenlik Kurulunun kurulmasına ilişkin esasları düzenlemek olduğu belirtilmiştir.
Kapsam Kanun, siber uzayda varlık gösteren, faaliyet yürüten, hizmet sunan kamu kurum ve kuruluşları, kamu kurumu niteliğinde meslek kuruluşları, gerçek ve tüzel kişiler ile tüzel kişiliği bulunmayan kuruluşları kapsamaktadır.

Polis Vazife ve Salahiyet Kanunu, Sahil Güvenlik Komutanlığı Kanunu, Jandarma Teşkilat, Görev ve Yetkileri Kanunu, Devlet İstihbarat Hizmetleri, Milli İstihbarat Teşkilatı Kanunu ve Türk Silahlı Kuvvetleri İç Hizmet Kanunu uyarınca yürütülen faaliyetler Kanun kapsamı dışında tutulmuştur.
Tanımlar Kanun Madde 3 ile, barındırma, bilişim sistemleri, kritik altyapı, kritik kamu hizmeti, siber güvenlik, siber olay, siber saldırı, siber tehdit, siber tehdit istihbaratı, siber uzay, zafiyet gibi önemli kavramların tanımı yapılmıştır.

İlgili maddede, siber güvenlik, “siber uzayı oluşturan bilişim sistemlerinin saldırılardan korunmasını, bu ortamda işlenen verinin gizlilik, bütünlük ve erişilebilirliğinin güvence altına alınmasını, saldırıların ve siber olayların tespit edilmesini, bu tespitlere karşı tepki ve alarm mekanizmalarının devreye alınmasını ve sonrasında yaşanan siber olay öncesi duruma geri döndürülmesini kapsayan faaliyetler bütünü” olarak tanımlanmıştır.
Temel İlkeler Kanun Madde 4 ile on bir adet temel ilke belirlenmiştir. Bu temel ilkelerle,

  • Siber güvenliğin milli güvenliğin ayrılmaz bir parçası olması,
  • Temel hedefin kritik altyapı ve bilişim sistemlerinin korunması ile güvenli siber uzay oluşturulması olduğu,
  • Siber güvenliğe ilişkin çalışmaların kurumsallık, süreklilik ve sürdürebilirlik temelli yürütüldüğü,
  • Siber güvenlik tedbir, hizmet ve ürünlerin tüm yaşam döngüsü boyunca uygulanmasının esas olduğu,
  • Siber güvenlik çalışmalarında öncelikle yerli ve milli ürünlerin tercih edildiği,
  • Siber güvenlik politika ve stratejilerinin yürütülmesi, siber saldırıların önlenmesi/etkisinin azaltılmasına yönelik gerekli tedbirlerin alınmasından tüm kamu kurum ve kuruluşları ile gerçek ve tüzel kişilerin sorumlu olduğu,
  • Siber güvenlik süreçlerinin yürütülmesinde hesap verilebilirliğin esas olduğu,
  • Politika ve strateji geliştirme çalışmalarının sürekli gelişim yaklaşımı ile yürütüldüğü,
  • Alana ilişkin nitelikli insan kaynağı kabiliyet ve kapasitesinin artırılmasına yönelik çalışmaların teşvik edildiği,
  • Siber güvenlik kültürünün toplum geneline yaygınlaştırılmasının hedeflendiği,
  • Hukukun üstünlüğü, temel insan hak ve hürriyetleri ile mahremiyetin korunması ilkeleri temel esas kabul edildiği

vurgulanmıştır.
Başkanlığın Görev ve Yetkileri Kanun’un 5, 6, 7 ve 8. maddelerinde, Başkanlığın görevleri, yetkileri, sorumlulukları ve denetime ilişkin hükümlere yer verilmiştir. Bu kapsamda, Başkanlığın temel görevleri, siber tehditleri önleme, risk analizleri, siber güvenlik standartlarının uygulanmasının temini, siber olaylara müdahale ekipleri (SOMA) oluşturma, standart ve sertifikasyon süreçlerini yönetme ve uluslararası işbirliklerini yönetme olarak belirlenmiştir.
Bilişim Sistemleri Kullanmak Suretiyle Hizmet Sunan, Veri Toplayan, İşleyen ve Benzeri Faaliyette Bulunanların Sorumlulukları ve İş Birliği Yükümlülükleri Kanun kapsamında yer alan ve bilişim sistemleri kullanmak suretiyle hizmet sunan, veri toplayan, işleyen ve benzeri faaliyet yürütenlerin:

  • Başkanlıkla her türlü bilgi ve belge için işbirliğinde bulunması,
  • siber güvenliğe ilişkin mevzuatın öngördüğü tedbirleri alması, hizmet sundukları alandaki zafiyetleri ya da ortaya çıkan siber olayları gecikmeksizin Başkanlığa bildirmesi,
  • kamu kurumları ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik ürün, sistem ve hizmetleri Başkanlık tarafından yetkilendirilmiş ve belgelendirilmiş siber güvenlik uzman ve şirketlerinden tedarik etmesi,
  • sertifikasyon, yetkilendirme ve belgelendirmeye tabi siber güvenlik şirketlerinin faaliyete başlamadan önce Başkanlıktan onay alması ve
  • Başkanlık tarafından geliştirilen politika, strateji, eylem planı ve yayımlanan diğer düzenleyici işlemlerde yer alan hususları yerine getirmesi ve gerekli tedbirleri alması gerekmektedir.
Siber Güvenlik Kurulu Kanun’un 9. Maddesinde, Cumhurbaşkanı, Cumhurbaşkanı Yardımcısı, Adalet Bakanı, Dışişleri Bakanı, İçişleri Bakanı, Milli Savunma Bakanı, Sanayi ve Teknoloji Bakanı, Ulaştırma ve Altyapı Bakanı, Milli Güvenlik Kurulu Genel Sekreteri, Milli İstihbarat Teşkilatı Başkanı, Savunma Sanayii Başkanı ve Siber Güvenlik Başkanı’ndan oluşan Siber Güvenlik Kurulu’nun yapısı ve görevlerine yer verilmiştir.
Personele İlişkin Hükümler Kanun’un üçüncü bölümünde personele ilişkin hükümlere yer verilmiştir.

Bu kapsamda, yasak hükümler başlıklı Madde 12 uyarınca Başkanlıkta kadrolu veya sözleşmeli statüde görev yapanlardan Başkanlık ile herhangi bir nedenle ilişiği kesilenlerin Başkanlıktan muvafakat almadan iki yıl süreyle yurt içi veya yurt dışında siber güvenlik alanında resmi veya özel başka görev alması ve Başkanlıktaki görev ve faaliyetler kapsamında edinilen bilgi, belge ve benzeri her türlü verinin yetki dışında medya araçları ile yayılması yasaklanmıştır.

Kanun sır saklama yükümlülüğü başlıklı Madde 13 ile Başkanlık tarafından yürütülen görev ve faaliyetler kapsamında kamuya, ilgililere ve üçüncü kişilere ait gizlilik taşıyan bilgiler, kişisel veriler, ticari sırlar ve bunlara ait belgelerin yetkili merci dışı taraflara açıklanması ile gerçek ve tüzel kişilerin menfaatine kullanılması yasaklanmıştır.
Cezai Hükümler ve İdari Para Cezaları Kanun’un 16. Maddesinde cezai hükümler ve idari para cezalarına, 17. Maddesinde idari para cezalarının uygulanmasına ilişkin hükümlere yer verilmiştir.

Cezai Hükümler ve İdari Para Cezaları
Fiil Ceza
Kamu kurumları ve kuruluşları hariç olmak üzere yetkili merci ve denetim görevlilerinin görev ve yetkileri kapsamında istenen bilgi, belge, yazılım, veri ve donanımın verilmemesi ya da alınmasına engel olunması Bir yıldan üç yıla kadar hapis ve beş yüz günden bin beş yüz güne kadar adli para cezası
Kanun uyarınca alınması gereken onay, yetki ve izinleri almaksızın faaliyet yürütülmesi İki yıldan dört yıla kadar hapis ve bin günden iki bin güne kadar adli para cezası
Sır saklama yükümlülüğünün yerine getirilmemesi Dört yıldan sekiz yıla kadar hapis cezası
Siber uzayda veri sızıntısı nedeniyle daha önce yer alan kişisel veya kritik kamu hizmeti kapsamına giren kurumsal verileri, kişilerin veya kurumların izni olmaksızın ücretli veya ücretsiz şekilde erişime açılması, paylaşılması, satışa çıkarılması Üç yıldan beş yıla kadar hapis cezası
Siber uzayda veri sızıntısı olmadığını bildiği halde halk arasında endişe, korku ve panik yaratmak ya da kurumları veya şahısları hedef göstermek amacıyla siber güvenlikle ilgili veri sızıntısı olduğuna yönelik gerçeğe aykırı içerik oluşturulması ve bu maksatla içeriklerin yayınlanması İki yıldan beş yıla kadar hapis cezası
Türkiye Cumhuriyeti’nin siber uzaydaki milli gücünü meydana getiren unsurlarına yönelik olarak siber saldırıda bulunmak veya bu saldırı neticesinde elde edilen her türlü verinin siber uzayda bulundurulması

Saldırı neticesinde elde edilen her türlü verinin siber uzayda yayılması, başka bir yere gönderilmesi veya satışa çıkarılması

 Fiil daha ağır bir cezayı gerektiren başka bir suç oluşturmadığı takdirde sekiz yıldan on iki yıla kadar hapis cezası

 

 

 

On yıldan on beş yıla kadar hapis cezası
Yukarıdaki fiiller için verilecek ceza:

  • Fiilin kamu görevlisi tarafından işlenmesi halinde üçte bir,
  • Fiilin birden fazla kişi tarafından işlenmesi halinde yarı oranında,
  • Fiilin örgüt faaliyeti çerçevesinde işlenmesi halinde yarısından iki katına kadar artırılır.
Personele ilişkin yasaklanan hükümlere aykırı davranışlar Üç yıldan beş yıla kadar hapis cezası
Kanun’dan kaynaklanan görev ve yetkilerin kötüye kullanılması ve kritik altyapıların siber saldırılara karşı korunması kapsamında görevinin gereklerine aykırı hareket etmek suretiyle veri ihlali yaşanmasına sebebiyet vermek Bir yıldan üç yıla kadar hapis cezası
Siber güvenliğe yönelik olarak milli güvenlik, kamu düzeni veya kamu hizmetinin gereği gibi yürütülmesi amacıyla mevzuatın öngördüğü tedbirleri almamak, hizmet sunulan alanda tespit edilen zafiyet veya siber olayların gecikmeksizin Başkanlığa bildirilmemesi

Kamu kurumları ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik ürün, sistem ve hizmetleri Başkanlık tarafından yetkilendirilmiş ve belgelendirilmiş siber güvenlik uzmanlarından, üreticilerden veya şirketlerden tedarik edilmemesi

 Bir milyon Türk lirasından on milyon Türk lirasına kadar idari para cezası
Siber güvenlik ürün, sistem, yazılım, donanım ve hizmetlerin Başkanlıkça belirlenecek usul ve esaslara uygun yapılmaması, yurt dışına satışlarda Başkanlık onayının alınmaması

Siber güvenlik ürün, sistem, yazılım, donanım ve hizmetleri üreten şirketlerin birleşme, bölünme, pay devri işlemlerinin Başkanlığa bildirilmemesi, bu işlemler kapsamında şirket üzerinde doğrudan ya da dolaylı kontrol hakkı veya karar alma yetkisi sağlayan işlemler için Başkanlık onayının alınmaması

 

 On milyon Türk lirasından yüz milyon Türk lirasına kadar idari para cezası
Başkanlığın denetim yetkisi kapsamında görevlendirilenler tarafından yapılan denetimlere tabi tutulanların, ilgili cihaz, sistem, yazılım ve donanımları verilen sürelerde denetlemeye açık tutmaması, denetim için gerekli altyapıyı temin etmemesi ve çalışan vaziyette tutmak için gerekli önlemleri almaması Yüz bin Türk lirasından bir milyon Türk lirasına kadar idari para cezası.

İlgili yükümlülüklerin ticari şirketler tarafından yerine getirilmemesi durumunda ilgili idari para cezası, yüz bin Türk lirasından az olmamak üzere, bağımsız denetimden geçmiş yıllık finansal tablolarda yer alan brüt satış hasılatının 5%’ine kadar verilmektedir.

İdari para cezalarının uygulanmasından önce ilgililerinin savunması talep edilir.

Savunmanın istendiğine dair yazının tebliğ tarihinden otuz gün içerisinde savunma verilmemesi durumunda ilgili kişinin savunma hakkından feragat ettiği kabul edilir.

İdari para cezalarının, tebliğ tarihinden itibaren 1 ay içerisinde ödenmesi gerekmektedir.
Siber Güvenlik Ürünleri ve Şirketleri Siber güvenlik ürün, sistem, yazılım, donanım ve hizmetlerin Başkanlıkça belirlenecek usul ve esaslara uygun yapılması ve yurt dışına satışlarda Başkanlık onayının alınması zorunlu tutulmuştur.

Ayrıca, siber güvenlik ürün, sistem, yazılım, donanım ve hizmetleri üreten şirketlerin birleşme, bölünme, pay devri işlemlerinin Başkanlığa bildirilmesi, bu işlemler kapsamında şirket üzerinde doğrudan ya da dolaylı kontrol hakkı veya karar alma yetkisi sağlayan işlemler için Başkanlık onayının alınması zorunlu tutulmuştur.
Geçiş Düzenlemeleri Kanun Geçici Madde 1 ile Bilgi Teknolojileri Kurumu (BTK) ve Dijital Dönüşüm Ofisi bünyesinde siber güvenlik faaliyetlerine ilişin varlıklar, altyapılar, borç ve alacakların 6 ay içerisinde Siber Güvenlik Başkanlığına devredilmesi, siber güvenlik faaliyetlerinde çalışa personelin talep edilmesi ve uygun görülmesi durumunda 9 ay içerisinde Siber Güvenlik Başkanlığı bünyesine geçmesi öngörülmüştür.

Ayrıca, siber güvenlik alanında faaliyet icra eden dernek, dernek federasyonları, vakıflar ve ticaret şirketlerinin, ilgili düzenlemelerin yürürlüğe girmesinden itibaren bir yıl içerisinde Başkanlığın belirlediği ilke ve esaslar çerçevesinde sertifikasyon, yetkilendirme ve belgelendirme işlemlerini tamamlaması zorunlu tutulmuştur. Aksi halde, siber güvenlik alanında faaliyette bulunulamayacaktır.

Önümüzdeki süreçte bu alandaki mevzuat çalışmaları ve bunlara uyum faaliyetlerinin benzer bir hızla devam edeceği öngörülmektedir.

Kanun Geçici Madde 1 uyarınca, Kanun’un uygulanmasına ilişkin düzenlemelerin bir yıl içerisinde yürürlüğe konulacağının belirtildiği de göz önüne alındığında, özellikle, siber güvenlik yazılım, donanım, ürün ve hizmetlerinin bulundurması gereken asgari güvenlik kriterleri, bu ürün ve hizmetleri tedarik edecek gerçek ve tüzel kişilere yönelik sertifikasyon ve yetkilendirme süreçleri ile bu ürün ve hizmetleri ihraç etmek isteyen taraflara ilişkin belirlenecek kriterler de somutlaştırılacaktır.

Konuya ilişkin daha fazla bilgi almak için, bizimle iletişime geçebilirsiniz.

Mehmet Karlı

Mail: mkarli@kabinelaw.com

Dr. Osman Gazi Güçlütürk

Zeynep Ekinci

Mail: zekinci@kabinelaw.com

Yasal uyarı: Bu bilgilendirme notu, yalnızca hukuki gelişmelere yönelik bilgilendirme amacı taşımaktadır. Hukuki tavsiye ya da reklam teşkil etmemektedir.

You May Also Like

Bilgi Notu Sermaye Piyasası Kurul Karar Organı’nın 1484 sayılı İlke Kararı Yayımlanmıştır

Sermaye Piyasası Kurul Karar Organı’nın 1484 sayılı İlke Kararı Yayımlanmıştır

gugur
gugur20 Eylül 2024
Bilgi Notu Sermaye Piyasası Kurulu, Kripto Varlık Hizmet Sağlayıcıları için Çerçeveyi Çizmeye Devam Ediyor

Sermaye Piyasası Kurulu, Kripto Varlık Hizmet Sağlayıcıları için Çerçeveyi Çizmeye Devam Ediyor

gugur
gugur14 Ağustos 2024
Bilgi Notu Yürürlüğe Giren Avrupa Birliği Yapay Zekâ Tüzüğü’nün Türkiye ve Türkiye’deki Aktörlere Etkisi

Yürürlüğe Giren Avrupa Birliği Yapay Zekâ Tüzüğü’nün Türkiye ve Türkiye’deki Aktörlere Etkisi

gugur
gugur1 Ağustos 2024

Leave a Reply