Özgün Law Firm

1.Giriş

Siber güvenlik, dijitalleşmenin hızla yaygınlaştığı günümüz çağında ulusal güvenliğin ve ekonomik istikrarın ayrılmaz bir parçası haline gelmiştir. Türkiye, bu alandaki boşluğu doldurmak ve siber tehditlere karşı kapsamlı ve güçlü bir savunma mekanizması oluşturmak amacıyla 7545 sayılı Siber Güvenlik Kanunu'nu 12 Mart 2025 tarihinde kabul etmiştir. 19 Mart 2025 tarihinde Resmî Gazete’ de yayımlanarak yürürlüğe giren Kanun, siber uzaydaki milli gücü korumayı, kritik altyapıları güvence altına almayı ve siber olaylara etkin müdahale edebilmeyi amaçlamaktadır.

Kanun, kamu kurumlarından özel sektöre kadar geniş bir yelpazede siber güvenlik standartlarını belirlerken, aynı zamanda Siber Güvenlik Kurulu gibi yeni bir kurumsal yapının kurulmasına ilişkin esasları düzenlemekle beraber, Kanunun getirdiği cezai hükümler ve idari yaptırımlar, siber güvenlik ihlallerinin önüne geçmek için caydırıcı bir rol üstlenmektedir.

Bu içerikte, 7545 sayılı Siber Güvenlik Kanunu'nun temel amaçları, kapsamı ve hukuki düzenlemeleri incelenecek; Kanunun Türkiye'nin siber güvenlik politikaları, aynı zamanda, Kanunun getirdiği yenilikler konuları ele alınarak, siber güvenlik alanındaki ve gelecekteki hukuki durumlara ışık tutulacaktır.

 

2. Siber Güvenlik Kanun’un Amacı

7545 Siber Güvenlik Kanunu’nun amacı, Kanunun 1. maddesinde açıklanmıştır. Söz konusu Kanun ile

·       Siber uzaydaki milli gücü oluşturan bütün unsurlara yönelik içten ve dıştan tehditleri tespit ve bertaraf etmek,

·       Siber olayların muhtemel etkilerini azaltmaya yönelik esasların belirlenmesi,

·       Kamu kurum ve kuruluşları, kamu kurumu niteliğinde meslek kuruluşları, gerçek ve tüzel kişiler ile tüzel kişiliği bulunmayan kuruluşların Siber saldırılara karşı korunmasını sağlamak,

·       Siber Güvenlik Kurulu’nun kurulması ve siber güvenlik stratejilerinin belirlenmesi amaçlanmaktadır.

3. Kanunun Temel İlkeleri

7545 sayılı Siber Güvenlik Kanunu'nun 4. maddesinde düzenlenen temel ilkeler, Türkiye'nin siber güvenlik politikalarının hukuki çerçevesini oluşturmaktadır. Bu ilkeler devletin siber güvenlik yaklaşımını şekillendiren en temel prensipleri içermektedir:

·       Siber güvenlik milli güvenliğin ayrılmaz bir parçası olarak kabul edilmiştir.

·       Kritik altyapı ve bilişim sistemlerinin korunması, güvenli bir siber uzay oluşturulması temel hedef olarak belirlenmiştir.

·       Siber güvenlik çalışmalarının kurumsal bir yapıda, sürekli ve sürdürülebilir şekilde yürütülmesi temel alınmıştır.

·       Siber güvenlik tedbirlerinin ürün ve hizmetlerin tüm yaşam döngüsü boyunca uygulanması temel hedef olarak belirlenmiştir.

·       Siber güvenlik çalışmalarında öncelikle yerli ve milli ürünlerin tercih edilmesi ilkesi benimsenmiştir.

·       Tüm kamu kurumları ile gerçek ve tüzel kişilerin siber güvenlik tedbirlerini alma sorumluluğu düzenlenmiştir.

·       Siber güvenlik süreçlerinde şeffaflık ve hesap verebilirlik esas alınmıştır.

·       Siber güvenlik politikalarının dinamik bir şekilde sürekli geliştirilmesi öngörülmüştür.

·       Nitelikli insan kaynağının yetiştirilmesi ve kapasitenin artırılması hedeflenmiştir.

·       Siber güvenlik kültürünün toplum geneline yaygınlaştırılması amaçlanmıştır.

·       Tüm bu çalışmaların hukukun üstünlüğü, temel insan hak ve hürriyetleri ile mahremiyetin korunması ilkeleri çerçevesinde yürütülmesi esası kabul edilmiştir.

Söz konusu ilkeler, Kanun'un uygulanmasında yol gösterici nitelikte olup, siber güvenlik alanında atılacak tüm adımların bu prensipler çerçevesinde gerçekleştirilmesi gerekmektedir.

4. Kanun Kimleri Kapsıyor?

Türkiye'nin siber güvenlik alanındaki milli güvenlik stratejilerini ve koruma mekanizmalarını düzenleyen 7545 Sayılı Siber Güvenlik Kanunu, geniş bir yelpazedeki kurum ve kuruluşları ve kişileri kapsamakla beraber Kanun, kritik altyapıları ve hizmet verenleri güvenlik tedbirleri almaya ve belirlenen kurallara uymaya zorunlu kılar.

Kanun, siber uzayda varlık gösteren, faaliyet yürüten, hizmet sunan kamu kurum ve kuruluşları, kamu kurumu niteliğindeki meslek kuruluşları, gerçek ve tüzel kişiler, ile tüzel kişiliği bulunmayan kuruluşları kapsar.

Ancak Kanun, bazı istisnaları da içermektedir. Polis Vazife ve Salahiyet Kanunu, Sahil Güvenlik Komutanlığı Kanunu ve Jandarma Teşkilat, Görev ve Yetkileri Kanunu uyarınca yürütülen istihbarat faaliyetleri ve devlet istihbarat hizmetleri Millî İstihbarat Teşkilâtı kanunu ve Türk Silahlı Kuvvetleri Kanunu bu kapsamın dışında tutulmuştur.

5. Siber Güvenlik Başkanlığı’nın Görevleri

Günümüz dijital çağında, siber güvenlik artık yalnızca bir teknoloji meselesi değil, aynı zamanda milli güvenliğin ayrılmaz bir parçası haline gelmiştir. Türkiye, bu alandaki eksiklikleri gidermek ve siber tehditlere karşı daha etkin bir savunma mekanizması oluşturmak amacıyla 7545 Sayılı Siber Güvenlik Kanunu’nu yürürlüğe koymuştur. Bu Kanunla, Siber Güvenlik Başkanlığı önemli yetkilerle donatılarak, ülkenin siber güvenlik politikalarını yönetmekle görevlendirilmiştir. Siber Güvenlik Başkanlığı, Kanunun uygulanması noktasında büyük bir role ve öneme sahiptir. Kanunun 5. maddesinde Siber Güvenlik Başkanlığının görevleri belirtilmiştir. Bu kapsamda Siber Güvenlik Başkanlığının görevleri;

5.1. Siber Dayanıklılığın Arttırılmasına Yönelik Faaliyetlerin Belirlenmesi ve Uygulanması

Siber Güvenlik Başkanlığı’nın en temel görevlerinden biri, siber dayanıklılığın arttırılmasına yönelik faaliyetler yapmaktır. Bu kapsamda;

• Siber saldırılara karşı korunma ve siber saldırıların tespiti için faaliyet yürütür.
• Muhtemel saldırıların önlenmesine ve etkilerinin azaltılmasında veya ortadan kaldırılmasına yönelik faaliyetler yürütür.
• Kamu kurum ve kuruluşları için siber güvenlik tedbirlerinin alınmasını sağlar. 
• Zafiyet analizleri ve sızma testleri yaparak güvenlik açıklarını tespit eder.

• Kritik altyapıları belirler ve bu sistemlerin siber saldırılara karşı dayanıklılığını artırır.

Bu çalışmalar, Türkiye’nin siber saldırılara karşı proaktif bir savunma geliştirmesine yardımcı olup bu çalışmalar neticesinde olası bir siber saldırı durumunda, hizmet kesintileri en aza indirilebilecektir.

5.2. Siber Olaylara Müdahale Ekipleri (SOME) Kurmak ve Yönetmek

Siber saldırılar anlık olarak gerçekleşebilir ve hızlı müdahale gerektirir. Siber Güvenlik Başkanlığı;

• Siber Olaylara Müdahale Ekipleri (SOME) kurar ve bu ekiplerin eğitimlerini koordine eder.
• Siber tatbikatlar düzenleyerek, kurumların acil durum hazırlıklarını test edip siber olaylara müdahale kabiliyetlerini ölçer.
•  Yurt dışındaki SOME’lerle iş birliği yaparak bilgi paylaşımını sağlar.

Bu ekipler, siber saldırıların etkilerini en kısa sürede ortadan kaldırmak için çalışır.

5.3. Siber Güvenlik Standartları ve Sertifikasyon

Siber Güvenlik Başkanlığı, siber güvenlik alanına ilişkin standartları hazırlarken siber güvenlik alanına ilişkin yazılım, ürün, donanım hizmetlerine yönelik test ve sertifikasyon işlemleri yürüterek ilgili kurumlar ile koordineli olarak çalışır.

5.4. Denetim ve Yaptırımlar

Kanuna uyumun sağlanması için Siber Güvenlik Başkanlığı geniş denetim yetkilerine sahiptir. Bu doğrultuda, Siber Güvenlik Başkanlığı;

• Kamu kurumları ve kritik altyapı işletmecilerinin siber güvenlik önlemlerini denetler.
• Mevzuata aykırı hareket edenlere, denetim sonucuna göre yaptırım uygular.

Bu denetimler, siber güvenlik kurallarının etkin bir şekilde uygulanmasını garanti altına alır.

6. Siber Güvenlik Başkanlığının Yetkileri

Siber Güvenlik Başkanlığı, 7545 sayılı Kanun'un 6. maddesinde belirtilen yetkiler çerçevesinde faaliyetlerini yürütür. Başkanlığın yetkileri şunlardır:

6.1. Siber Saldırılara Yönelik Tedbir

Siber saldırılara karşı korunması ve caydırıcılık için gerekli tedbir ve önlemleri alır. Bu kapsamda, bilişim sistemlerine yazılım ve donanım ürünlerinin kurulumunu sağlayıp bu ürünler tarafından üretilen veri ve log kayıtlarını toplayıp değerlendirebilir.

6.2. Siber Olaylara Müdahale, Log Kayıtlarını Toplama ve Değerlendirme Yetkisi

Siber olaya maruz kalanlara yerinde ve uzaktan siber olay desteği sağlanırken siber uzayda bulunan log kayıtlarını toplamak, saklamak ve değerlendirmek ve bu kayıtlar hakkında rapor hazırlayarak ilgili kurumlarla paylaşmak Siber Güvenlik Başkanlığı’nın yetkisi dahilindedir.

 

6.3.Personel Tefriki ve Uluslararası İlişkiler

Bakanlıklar ve diğer kamu kurumlarıyla koordineli olarak ihtiyaç halinde personel tefrik edip Uluslararası kuruluşlar ve ülkelerle ilişkiler yürütmek, bilgi alışverişinde bulunmak ve ülkeyi temsil etme yetkisine haizdir.

 

6.4. Denetim ve Yetkilendirme Yetkisi

7545 sayılı Siber Güvenlik Kanunu'nun 8. maddesi, Siber Güvenlik Başkanlığı'na geniş kapsamlı denetim yetkileri tanımakla beraber Siber Güvenlik Başkanlığı'na etkin bir denetim mekanizması sunmaktadır. Söz konusu madde uyarınca, Başkanlık; Kanun kapsamındaki kamu kurum ve kuruluşları, gerçek ve tüzel kişilerin siber güvenlikle ilgili faaliyetlerini denetleme yetkisine haizdir.  Denetim sürecinde Başkanlık, uygulama esaslarını belirler. Teknik inceleme faaliyeti Başkanlık personeli ile gerçekleştirilebileceği gibi, Başkanlık tarafından görevlendirilen bağımsız denetçi veya kuruluşlar vasıtasıyla da yaptırılabilir.

 

Denetim faaliyetleri, Başkanlık tarafından öncelik ilkeleri ile risk değerlendirmelerine dayalı bir program dahilinde gerçekleştirilir. Gereklilik hallerinde, program dışı denetimler de yapılabilir. Denetim sırasında; elektronik verilerin incelenmesi, dijital kopyaların alınması, sistem ve altyapıların fiziki kontrollerinin yapılması söz konusu olabilir. Denetimle görevlendirilenler bu süreçte gerekli teknik altyapıyı sağlamak ve denetime elverişli ortamı sağlamakla yükümlüdür.

 

Milli güvenlik veya kamu düzeni, suç işlenmesinin veya siber saldırılara engel olunması amacıyla, hâkim kararıyla veya gecikmesinde sakınca bulunan hallerde Cumhuriyet savcısının yazılı emriyle bilişim sistemlerine el konulabilir, veri kopyaları alınabilir ve konutta, iş yerinde, kamuya açık olmayan kapalı alanlarda arama işlemleri gerçekleştirilebilir.

 

7. Siber Güvenlik Kurulu

Siber Güvenlik Kurulu, Türkiye'nin siber güvenlik politikalarını belirlemek ve koordinasyonu sağlamak amacıyla oluşturulmuş olup kurul, Cumhurbaşkanı, Cumhurbaşkanı Yardımcısı, Adalet Bakanı, Dışişleri Bakanı, İçişleri Bakanı, Milli Savunma Bakanı, Sanayi ve Teknoloji Bakanı, Ulaştırma ve Altyapı Bakanı, Milli Güvenlik Kurulu Genel Sekreteri, Millî İstihbarat Teşkilâtı Başkanı, Savunma Sanayii Başkanı ve Siber Güvenlik Başkanından oluşmaktadır. Kurula, Cumhurbaşkanının katılmadığı hallerde Cumhurbaşkanı Yardımcısı başkanlık etmektedir.

Kurulun görevleri madde 9 da açıkça sıralanmıştır. Buna göre kurulun temel görevleri;

Siber güvenlik politikalarını, stratejilerini ve eylem planlarını belirlemek ve bu işlemlere yönelik kararlar almak, kritik altyapı sektörlerini tanımlamak, siber güvenlik alanına yönelik teknoloji yol haritalarını onaylamak, siber güvenlik alanındaki insan kaynağının geliştirilmesine yönelik karar almaktır.  Cumhurbaşkanı tarafından çıkarılacak yönetmelikle komisyon ve çalışma gruplarının çalışma usul ve esasları belirlenir.

Siber Güvenlik Kurulu, siber güvenlikle ilgili kararların ulusal güvenlik perspektifiyle ve yetkili mercilerin koordinasyonuyla alınmasını sağlayarak, Türkiye'nin siber alandaki direncini artırma amacıyla hareket eder.

8. Cezai Hükümler ve İdari Para Cezalarının Uygulanması

7545 sayılı Siber Güvenlik Kanunu, Türkiye'nin siber güvenlik alanındaki yetkinliğini güçlendirmeyi ve siber tehditlere karşı etkin ve kararlı bir mücadele mekanizması oluşturmayı hedef ve amaç edinmiştir. Bu husus bakımından Kanun'un 16. maddesi, ihlaller karşısında caydırıcılığı sağlamak ve hukuki güvenliği tesis etmek amacıyla cezai yaptırımlar ve idari para cezaları öngörmektedir. Bu madde, Kanun'un uygulanmasına verilen önemin ve kanunun uygulanması noktasındaki kararlılığın en somut göstergelerinden biridir; zira siber güvenlik ihlallerinin yol açabileceği milli güvenlik riskleri ve kamu düzenine yönelik tehditler dikkate alınarak, bir yaptırım uygulanması benimsenmiştir.

Madde 16'ya göre, siber güvenlikle ilgili görev ve yetkileri kötüye kullanma, kritik altyapılara yönelik ihmalkâr davranışlar, veri ihlalleri ve siber saldırılar gibi eylemler, hapis cezaları ve ağır idari para cezalarıyla karşılık bulmaktadır. Bunlar;

·       Yetkili mercilere bilgi ve belge vermeyenler veya denetime engel olanlar için 1-3 yıl hapis ve 500-1.500 gün adli para cezası,

·       Onay, izin ve yetki almaksızın faaliyet yürütenler için 2-4 yıl hapis ve 1.000-2.000 gün adli para cezası,

·       Sır saklama yükümlülüğünü ihlal edenler için 4-8 yıl hapis cezası,

·       Kurumsal verileri, kişilerin veya kurumların izni olmaksızın ücretli veya ücretsiz şekilde erişime açanlar için 3-5 yıla kadar hapis cezası,

·       Halk arasında endişe, korku ve panik yaratmak ya da kurumları veya şahısları hedef göstermek amacıyla siber güvenlikle ilgili gerçeğe aykırı içerik oluşturanlara veya yayanlara 2-5 yıla kadar hapis cezası

·       Türkiye'nin siber varlıklarına yönelik saldırı düzenleyenler için 8-12 yıl hapis cezası,

·        Siber saldırı neticesinde elde ettiği her türlü veriyi siber uzayda yayan, başka bir yere gönderen veya satışa çıkaranlar için 10-15 yıla kadar hapis cezası verilir

·       Kamu görevlilerinin suç işlemesi, halinde 1/3 oranında   birden fazla kişinin iştirak etmesi halinde yarı oranında örgütün faaliyet çerçevesinde işlemesi halinde 2 katına kadar cezalar arttırılır.

·       Görev ve yetkilerini kötüye kullananlara veya görevinin gereklerine aykırı hareket etmek suretiyle veri ihlali yaşanmasına sebebiyet verenler için 1-3 yıla kadar hapis cezası,

·       7. nci maddenin birinci fıkrasının (b) ve (c) bentlerindeki görev ve sorumluluklarını yerine getirmeyenler için 1.000.000 Türk lirasından 10.000.000 Türk lirasına kadar, 18 inci maddedeki görev ve sorumluluklarını yerine getirmeyenler için ise 10.000.000 Türk lirasından 100.000.000 Türk lirasına kadar idari para cezası,

·       8 inci maddenin dördüncü fıkrasındaki yükümlülüklerini yerine getirmeyenler için, 100.000 Türk lirasından 1.000.000 Türk lirasına kadar, bu yükümlülüklerin ticari şirketlerce yerine getirilmemesi halinde 100.000 Türk lirasından az olmamak üzere bağımsız denetimden geçmiş yıllık finansal tablolarında yer alan brüt satış hasılatının yüzde 5’ine kadar idari para cezası verilir.

Sonuç olarak Madde 16, hem bireyler hem de kurumlar nezdinde siber güvenlik kurallarına uyulmasını teminat altına alan, kapsamlı ve caydırıcı bir hukuki çerçeve sunmaktadır.

 

9. Sonuç

7545 sayılı Siber Güvenlik Kanunu, Türkiye'nin dijital dönüşüm sürecinde siber güvenliği stratejik bir öncelik haline getiren kapsamlı bir düzenlemedir. 19 Mart 2025 tarihinde yürürlüğe giren Kanun, siber tehditlere karşı ulusal bir savunma mekanizması oluşturmayı, kritik altyapıları korumayı ve siber güvenlik politikasının toplum genelinde yaygınlaştırmayı ve bilinirliğini arttırmayı hedeflemektedir. Kanun kapsamında oluşturulan Siber Güvenlik Başkanlığı ve Siber Güvenlik Kurulu, politika belirleme, koordinasyon ve denetim süreçlerini yöneterek milli bir siber güvenlik yapısı inşa etmektedir. Kanun'un getirdiği ağır cezai yaptırımlar ve idari para cezaları, düzenlemelerin etkin şekilde uygulanmasını teminat altına alırken, temel hak ve özgürlüklerin korunmasına yönelik ilkeler ile hukuki denge sağlanmaya çalışılmıştır.  Siber güvenliğin milli güvenliğin ayrılmaz bir parçası olarak kabul edildiği söz konusu düzenleme ile Türkiye'nin dijital egemenliğini güçlendirmeye yönelik önemli bir adım atılmıştır. Bu Kanunun uygulanmasına ilişkin düzenlemeler, bir yıl içinde yürürlüğe girecek olup söz konusu düzenlemeler yürürlüğe girinceye kadar mevcut düzenlemelerin bu Kanuna aykırı olmayan hükümleri uygulanacaktır. Kanun'un etkin bir şekilde uygulanması, uygulama sürecindeki kararlılık, kurumlar arası iş birliği ve toplumsal farkındalıkla doğrudan ilişkili olacaktır.

Av. Berre Şahin

 

Kaynakça:

1. 7545 Sayılı Siber Güvenlik Kanunu, Resmî Gazete, 19 Mart 2025