19 Mart 2025 tarihli Resmî Gazete’de 7545 sayılı Siber Güvenlik Kanunu (“Kanun”) yayımlanmış olup; yayım tarihi itibariyle yürürlüğe girmiştir.

Kanun ulusal siber güvenlik kapasitesini güçlendirmek, kritik altyapıları korumak ve siber tehditlere karşı etkin önlemler almak amacıyla yürürlüğe girmiştir.

Kanun; siber uzayda varlık gösteren, faaliyet yürüten, hizmet sunan kamu kurum ve kuruluşları, kamu kurumu niteliğinde meslek kuruluşları, gerçek ve tüzel kişiler ile tüzel kişiliği bulunmayan kuruluşları kapsamaktadır.

Detaylar aşağıdadır:

1. Siber Güvenliğe İlişkin Yükümlülükler

    Kanun kapsamında yer alan ve bilişim sistemleri kullanmak suretiyle hizmet sunan, veri toplayan, işleyen ve benzeri faaliyet yürütenlerin siber güvenliğe ilişkin görev ve sorumlulukları düzenlenmiş olup bunlar aşağıdaki gibidir:

    • Siber Güvenlik Başkanlığı’nın (“Başkanlık”) görev ve faaliyetleri kapsamında talep ettiği her türlü veri, bilgi, belge, donanım, yazılım ve diğer her türlü katkıyı öncelikle ve zamanında Başkanlığa iletmek.
    • Siber güvenliğe yönelik olarak milli güvenlik, kamu düzeni veya kamu hizmetinin gereği gibi yürütülmesi amacıyla mevzuatın öngördüğü tedbirleri almak, hizmet sundukları alanda tespit ettikleri zafiyet veya siber olayları gecikmeksizin Başkanlığa bildirmek.
    • Kamu kurumları ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik ürün, sistem ve hizmetleri Başkanlık tarafından yetkilendirilmiş ve belgelendirilmiş siber güvenlik uzmanlarından, üreticilerden veya şirketlerden tedarik etmek.
    • Sertifikasyon, yetkilendirme ve belgelendirmeye tabi siber güvenlik şirketlerince faaliyete başlamadan önce mevcut düzenlemeler çerçevesinde Başkanlığın onayını almak.
    • Siber olgunluğun artırılmasına yönelik Başkanlık tarafından geliştirilen politika, strateji, eylem planı ile yayımlanan diğer düzenleyici işlemlerde yer alan hususları yerine getirmek ve gerekli tedbirleri almak.

    İlaveten Kanun kapsamında Başkanlık adına, siber olaylara müdahale ekipleri kurma, kurdurma ve bu ekipleri denetleme görevi de öngörülmüştür.

    2. Denetim Yükümlülükleri

    • Başkanlık, Kanun’da belirtilen görevleri ile ilgili olarak gerekli gördüğü hallerde Kanun kapsamına giren her türlü fiil ve işlemi denetleyebilir; bu amaçla mahallinde inceleme yapabilir veya yaptırabilir. Denetim, Kanun kapsamındaki kurum, kuruluş ve ilgili diğer gerçek ve tüzel kişilerin Kanun hükümleriyle ilgili faaliyet ve işlemlerini kapsar. Denetime Başkanlık personeli, yetkilendirilmiş ve belgelendirilmiş bağımsız denetçiler ve bağımsız denetim kuruluşları yetkilidir. Bu yetki, Siber Güvenlik Başkanı tarafından görevlendirilenler tarafından kullanılır. Kamu kurum ve kuruluşları ile kritik altyapılarda denetimler, Başkanlık personelince veya refakatinde yapılır.
    • Denetimle görevlendirilenler; yürüttükleri denetim faaliyetleriyle sınırlı olarak elektronik ortamdaki verinin, belgelerin, elektronik altyapının, cihaz, sistem, yazılım ve donanımlarının incelenmesi, bunlardan kopya, dijital suret veya örnek alınması, konuyla ilgili yazılı veya sözlü açıklama istenmesi, gerekli tutanakların düzenlenmesi, tesislerin ve işletiminin incelenmesi konularında yetkilidir.
    • Denetime tabi tutulanlar, ilgili cihaz, sistem, yazılım ve donanımları verilen sürelerde denetlemeye açık tutmak, denetim için gerekli altyapıyı temin etmek ve çalışır vaziyette tutmak için gerekli önlemleri almak zorundadır.
    • Milli güvenlik, kamu düzeni, suç işlenmesinin veya siber saldırıların önlenmesi amacıyla hâkim kararı üzerine veya gecikmesinde sakınca bulunan hâllerde Cumhuriyet savcısının yazılı emri ile konutta, işyerinde ve kamuya açık olmayan kapalı alanlarda arama yapılabilir, uzun süreli hizmet aksamasına yol açmayacak ve kesintisiz şekilde kopya çıkarma ve el koyma işlemi gerçekleştirilebilir. 

    3. Siber Güvenlik Şirketlerine İlişkin Ek Yükümlülükler

      • Kanun ile birlikte siber güvenlik ürün, sistem, yazılım, donanım ve hizmetlerin yurt dışına satışı, Başkanlıkça belirlenecek usul ve esaslara uygun olarak yapılır. Bu usul ve esaslarda yer alacak izne tabi ürünlerin yurt dışına satışında Başkanlık onayı alınır.
      • Siber güvenlik ürün, sistem, yazılım, donanım ve hizmetleri üreten şirketlerin birleşme, bölünme, pay devri veya satış işlemleri Başkanlığa bildirilir. Bu işlemler kapsamında gerçek veya tüzel kişilere münferiden veya birlikte şirket üzerinde doğrudan veya dolaylı kontrol hakkı veya karar alma yetkisi sağlayan işlemler Başkanlık onayına tabidir.
      • Başkanlık onayı alınmaksızın gerçekleştirilen işlemler hukuki bir geçerlilik kazanmaz. Başkanlık, bu madde kapsamında yapılacak işlemlerle ilgili olarak kurum ve kuruluşlardan bilgi ve belge talep edebilir.

      4. Cezai Yaptırımlar

      Kanun kapsamında hem cezai hükümler hem de idari yaptırım hükümleri düzenlenmiştir. Bu konulara ilişkin bilgiler aşağıda yer almaktadır:

      a. Bilgi ve Belge Sağlama Yükümlülüğü: Yetkili merciler ve denetim görevlilerinin talep ettiği bilgi, belge, yazılım, veri ve donanımı vermeyenler veya bunların alınmasına engel olanlar 1-3 yıl hapis ve 500-1500 gün adli para cezası ile cezalandırılır.

        b. Yetkisiz Faaliyet: Kanun ile öngörülen onay, yetki veya izinleri almadan faaliyet gösterenler 2-4 yıl hapis ve 1000-2000 gün adli para cezası ile cezalandırılır.

        c. Sır Saklama Yükümlülüğü: Gizlilik yükümlülüğünü ihlal edenler 4-8 yıl hapis cezası alır.

        d. Yetkisiz Veri Paylaşımı: Kişisel veya kritik kamu hizmeti kapsamındaki verileri izinsiz paylaşan veya satanlara 3-5 yıl hapis cezası verilir.

        e. Yanıltıcı Siber Güvenlik Bilgisi Yayma: Gerçeğe aykırı veri sızıntısı haberleri yayanlara 2-5 yıl hapis cezası verilir.

        f. Türkiye’nin Siber Güvenliğine Yönelik Saldırılar: Siber saldırı düzenleyenler 8-12 yıl, saldırı sonucu elde edilen verileri yayanlar 10-15 yıl hapis cezasına çarptırılır.

        Yukarıda belirtilen maddeler kapsamında verilecek ceza, suçun kamu görevlisi tarafından işlenmesi halinde 1/3 oranında, birden fazla kişi tarafından işlenmesi halinde 1/2 oranında ve bir örgütün faaliyeti çerçevesinde işlenmesi halinde 1/2 ila 2 katı oranında artırılacaktır.

        g. Başkanlık Personeli için Yasaklanan Hükümlere Aykırılık: Kanun’da sayılan ve Başkanlık personeli açısından yasaklanan hükümlere aykırı davrananlara 3-5 yıl hapis cezası verilir.

        h. Kritik Altyapıların Korunmasına Aykırılık: Kanundan kaynaklanan görev ve yetkilerini kötüye kullananlara veya kritik altyapıların siber saldırılara karşı korunması kapsamında görevinin gereklerine aykırı hareket etmek suretiyle veri ihlali yaşanmasına sebebiyet verenlere 1-3 yıl hapis cezası verilir.

        i. İdari Para Cezaları:

        • Kanun’da belirlenen görev ve yükümlülükleri yerine getirmeyenlere 1 milyon TL – 100 milyon TL arasında idari para cezası uygulanır.
        • Kanun hükümleri uyarınca denetime tabi tutulanların denetime ilişkin yükümlülüklerini ihlal etmeleri durumunda 100 bin TL- 1 milyon TL arasında idari para cezası uygulanır.

        Eğer bu ihlal ticari şirketler tarafından gerçekleşirse, 100 bin TL’den az olmamak üzere, ilgili şirketin yıllık brüt satış hasılatının %5’ine kadar idari para cezası kesilir.

        Belirtmek isteriz ki Kanun uyarınca idari para cezası uygulanmadan önce ilgilinin savunması alınacak olup, bu sürece ilişkin detaylı bilgi de kanun kapsamında düzenlenmektedir.

        Herhangi bir sorunuz olursa, bizimle iletişime geçebilirsiniz.

        Batuhan Şahmay
        Ortak | [email protected]
        Özlem Özdemir Yılmaz
        Kıdemli Avukat | [email protected]
        Naz Tarım
        Avukat | [email protected]