19 Mart 2025’te resmi gazetede yayımlanan 7545 sayılı Siber Güvenlik Kanunu ile dijital dünyada güvenlik sektöründe adeta yeni bir sayfa açıldı. Siber Güvenlik Kanunu sayesinde aslında uygulamada dağınık şekilde yer alan düzenlemeler bir araya getirilmiştir. Bununla birlikte yeni kurulan Siber Güvenlik Başkanlığı ve Siber Güvenlik Kurulu düzenleyici ve denetleyici yetki sahibi olmuşlardır. Siber Güvenlik Kanunu ile Türkiye’nin siber uzaydaki milli gücünü koruma, siber tehditlere karşı dayanıklı bir yapı oluşturma hedeflenmiştir. Şirketlerde bu kapsamda IT ve hukuk departmanlarının eşgüdümlü çalışması kritik rol oynamaktadır. Tam da bu noktada GRC ekiplerine büyük iş düşmektedir. Çünkü kanun ile birlikte siber olay bildirim zorunluluğu, yalnızca yetkilendirilmiş kişilerden hizmet alma, veri güvenliği politikası ve sertifikasyon süreçlerinin belgelendirilmesi gibi birçok yeni yükümlülük doğmuştur.
Siber Güvenlik Kanunu Amacı ve Kapsamı:
7545 sayılı kanunun amacını şu şekilde özetleyebiliriz;
- Hem mevcut hem de muhtemel tehditlerin tespit ve bertaraf edilmesi,
- Türkiye Cumhuriyeti’nin siber uzaydaki milli gücünü oluşturan unsurların, iç ve dış tehditlere karşı korunması,
- Ülke genelinde siber güvenlik strateji ve politikalarının belirlenmesi,
- Siber Güvenlik Kurulu kurulması ve kurulun işleyişine dair esasların belirlenmesi
Kanun, siber uzayda faaliyetlerde bulunan, hizmet sunan kamu kurumları, gerçek/tüzel kişileri ve tüzel kişiliği olmayan kuruluşları kapsar.
Gizlilik, Bütünlük, Erişilebilirlik İlkeleri:
Siber güvenliğin temel öğeleri olan gizlilik, bütünlük ve erişilebilirlik kanunda tek tek tanımlanmamaktadır. Ancak, birçok maddede dolaylı yollardan siber güvenliğin yapıtaşları olarak ele alınmıştır.
Siber Saldırı, Zaafiyet ve Siber Tehdit Kavramları:
Bu kavramlar kanunun 3. Maddesinde doğrudan tanımlanmıştır.
Siber Saldırı, madde 3 fıkra ğ: “Siber uzaydaki bilişim sistemlerinin ve bu sistemler tarafından işlenen verinin gizliliği, bütünlüğü veya erişilebilirliğini ortadan kaldırmak amacıyla, siber uzayın herhangi bir yerindeki kişi veya bilişim sistemlerine yönelik olarak kasıtlı yapılan işlemleri,”
Siber Tehdit, madde 3 fıkra h: “Bilişim sistemlerinin, bu sistemlerde bulunan veya bu sistemler tarafından işlenen verinin gizlilik, bütünlük veya erişilebilirliğinin ihlal edilmesine neden olabilecek potansiyel tehlikeleri,”
Zaafiyet, madde 3 fıkra l: “Siber uzayda yer alan varlıkların herhangi bir siber tehdit tarafından istismar edilebilecek zayıflık ve güvenlik açıklarını,”
Siber Varlık ve Siber Uzay Tanımı:
Diğer tanımlara ek olarak bu iki kavram da siber güvenlik kanununda açıkça tanımlanmıştır.
Siber Uzay, madde 3 fıkra i: “Doğrudan ya da dolaylı olarak internete, elektronik haberleşme veya bilgisayar ağlarına bağlı olan tüm bilişim sistemlerini ve bunları birbirine bağlayan ağlardan oluşan ortamı,”
Ayrıca yukarıda bahsettiğim, “Siber olay”, “Tehdit” ve “Siber saldırı” gibi kavramların tamamı siber uzayda gerçekleşir.
Varlık (Siber), madde 3 fıkra k: “Elektronik veya fiziksel ortamlarda yer alan ve iletişim yoluyla aktarılabilen veriyi içeren tüm bilgi ve bilgi işleme olanaklarını, veriyi kullanan veya taşıyan personeli ve veriyi barındıran fiziksel mekânları,”
Bu noktada aşina olduğumuz kısım yalnızca yazılım ve donanım varlıkları gibi gelse de aslında ISO 27001’deki bilgi varlık envanterimiz gibi, veriyi işleyen insanlar ve mekanlar da varlık tanımının bir parçasıdır. Bu noktada varlıkların korunması esastır.
Kanunun Temel İlkeleri ve Açıklamaları:
Siber güvenliğin sağlanmasına dair temel ilkeler kanunun 4. maddesinde düzenlenmektedir. İlgili maddede esas olan ana tema, siber güvenliğin milli güvenliğin bir parçası olduğu gerçeğidir. Bu ilkeler kanunun uygulanması aşamasında oldukça yol gösterici, gelin ilkeleri derinlemesine inceleyelim;
| TEMEL İLKE | AÇIKLAMA |
| “Siber güvenlik milli güvenliğin ayrılmaz bir parçasıdır.” | Siber tehditler kesinlikle milli güvenlik kapsamında değerlendirilir. |
| “ Kritik altyapı ve bilişim sistemlerinin korunması ile güvenli bir siber uzay oluşturulması temel hedeftir.” | Özellikle enerji, sağlık ve haberleşme gibi kritik sistemlerin siber tehditlerden korunması önceliktir. |
| “Siber güvenlikle ilgili çalışmalar kurumsallık, süreklilik ve sürdürülebilirlik temelli yürütülür.” | Bu alandaki çalışmalar planlı, sürekli ve kurumsal olmalıdır. |
| “Siber güvenlik tedbirlerinin, hizmet ve ürünlerin tüm yaşam döngüsü boyunca uygulanması esastır.” | Güvenlik, tüm ürün ve hizmet yaşam döngüsü boyunca uygulanmalıdır. |
| “Siber güvenliğin sağlanmasına yönelik çalışmalarda öncelikle yerli ve milli ürünler tercih edilir.” | Siber güvenlik için yerli ürün kullanımı teşvik edilir. |
| “Ortak Sorumluluk” | Kamu veya özel tüm aktörler siber güvenlikten sorumludur. |
| “Siber güvenlik süreçlerinin yürütülmesinde hesap verebilirlik esastır.” | Süreçlerde şeffaflık ve sorumluluk esastır. |
| “Siber güvenlik politika ve strateji geliştirme çalışmaları sürekli gelişim yaklaşımı ile yürütülür.” | Siber stratejiler sürekli güncellenmeli ve güncel tehditlere uyum sağlanmalıdır. |
| “Nitelikli insan kaynağı” | Siber güvenlik uzmanı istihdamı için teşvikler artmalıdır. |
| “Toplumsal farkındalık ve kültür” | Toplum genelinde siber güvenlik kültürü yaygınlaşmalıdır. |
| “Hukukun üstünlüğü, temel insan hak ve hürriyetleri ile mahremiyetin korunması ilkeleri temel esas kabul edilir.” | Hukukun üstünlüğü ve mahremiyet esasır. |
Şirketlerin Tabi Olduğu Düzenlemeler:
Kanunun 7. Maddesinde, bilişim sistemleri kullanarak veri işleyen, toplayan ya da benzer faaliyetlerde bulunan kamu dışındaki tüm kuruluşları kapsayan yükümlülükler şu şekildedir:
- Başkanlığın talebi üzerine bilgi ve belge sunma zorunluluğu,
- Siber olay bildirimi zorunluluğu,
- Yetkili kişilerden hizmet alma zorunluluğu,
- Sertifikasyon ve faaliyet izni (siber güvenlik firmaları için),
- Başkanlığın yayımladığı stratejik belgelerle uyum süreci
Sonuç olarak, yükümlülüklere uyulmaması sonucunda şirketler hakkında 1 milyondan 10 milyon TL’ye kadar idari para cezası veya hapis cezası uygulanabilecektir.
Geçiş Süreci Nasıl Olacak?
Geçici 1. maddeye göre, BTK ve Dijital Dönüşüm Ofisi‘nin siber güvenlik faaliyetleri, kanunun yürürlüğe girmesinden itibaren 6 ay içinde Başkanlığa devredilecektir. Kurumlara ait bilgi işlem sistemleri, varlıklar ve personel de bu sürece dahil edilecektir. Siber güvenlik alanında çalışan personel, uygun görülmeleri halinde yeni kuruma geçebilecek ve hakları korunacaktır.
Ayrıca, özel sektör ve STK’lar da 1 yıl içinde sertifikasyon ve yetkilendirme süreçlerini tamamlamak zorundadır. Aksi takdirde, siber güvenlik faaliyetleri durdurulacaktır. İkincil düzenlemeler 1 yıl içinde yürürlüğe girecek, bu süreçte mevcut düzenlemelerle çelişmeyen hükümler geçerli olacaktır.
