Özgün Law Firm

1. Giriş

21. yüzyılın dijital dönüşüm süreci, devletlerin güvenlik stratejilerinde köklü bir değişimi beraberinde getirmiştir. Gelişen bilgi teknolojileri yalnızca ekonomik ve toplumsal hayatı dönüştürmekle kalmamış; aynı zamanda ulusal güvenliğin yeni bir boyutu olan siber güvenliği stratejik bir öncelik haline getirmiştir. Bu dönüşüm, devletlerin egemenlik alanını siber dünyada yeniden tanımlamalarına ve hukuk sistemlerini bu yeni tehdit ortamına göre yapılandırmalarına neden olmuştur.

Türkiye, özellikle 2010’lu yılların başından itibaren dijital güvenliğe yönelik çeşitli kurumsal ve hukuki adımlar atmış; 2012 yılında Ulusal Siber Güvenlik Stratejisi ve Eylem Planı, ardından Kişisel Verilerin Korunması Kanunu (KVKK), 5651 Sayılı Kanun ve çeşitli ikincil düzenlemelerle mevzuatını kademeli olarak geliştirmiştir. Ancak siber tehditlerin çeşitlenmesi ve siber saldırıların artık kritik altyapılara yönelik sistematik saldırı boyutuna ulaşması, daha kapsamlı ve merkezi bir yasal çerçevenin oluşturulmasını zorunlu kılmıştır.

Bu doğrultuda, 2025 yılı itibarıyla yürürlüğe giren Siber Güvenlik Kanunu, Türkiye’nin siber güvenlik alanındaki en kapsamlı düzenlemesi olma özelliği taşımaktadır. Anılan kanun ile birlikte özellikle kritik altyapıların korunması, kamu ve özel sektörün yükümlülükleri, denetim mekanizmalarının yapısı ve cezai sorumluluklar yeniden tanımlanmıştır.

Bu yazı ile yeni Siber Güvenlik Kanunu’nun hukuki yapısı, denetim mekanizmaları ve sorumluluk ilişkileri anayasal ilkeler ve uluslararası normlar çerçevesinde ele alınacaktır.

2. Yeni Kanunun Temel Hedefleri ve Kapsamı

2.1. Kanunun Gelişme Arka Planı

Türkiye’de siber güvenlik alanında son on beş yılda giderek artan bir farkındalık oluşmuş; ancak bu farkındalık uzun süre dağınık, parçalı ve çoğunlukla sektörel düzeyde kalmıştır. 2012 yılında yayımlanan Ulusal Siber Güvenlik Stratejisi ve Eylem Planı, bu alandaki ilk sistematik adımı temsil etse de bu belge idari bir çerçeve sunmakla sınırlı kalmıştır. 5651 Sayılı Kanun (İnternet Ortamında Yapılan Yayınların Düzenlenmesi Hakkında Kanun) ve Kişisel Verilerin Korunması Kanunu (KVKK) ise belirli alanlarda güvenlik ve mahremiyet dengesini sağlamak için önemli olmakla birlikte, ulusal düzeyde merkezi bir siber güvenlik mimarisi oluşturma amacını taşımamıştır.

Bu sebeple, gelişen tehdit ortamı ve özellikle kritik altyapılara yönelik organize saldırılar karşısında, daha merkezi, geniş kapsamlı ve kamu-özel iş birliğini öngören bir düzenlemenin gerekliliği ortaya çıkmıştır. 2025 yılında yürürlüğe giren Siber Güvenlik Kanunu, işte bu gerekliliğe cevap veren bir “çerçeve yasa” işlevi görmektedir.

2.2. Kanunun Hukuki Dayanakları

2025 tarihli Siber Güvenlik Kanunu, temelde Türkiye Cumhuriyeti Anayasası’nın 5. maddesinde yer alan devletin temel amaç ve görevlerine dayanmakta olup; kamu düzeninin sağlanması, millî güvenliğin korunması ve kişilerin temel hak ve özgürlüklerinin güvence altına alınması hedefleri doğrultusunda kaleme alınmıştır. Anayasa'nın 5. maddesi şu şekilde düzenlenmiştir: “Devletin temel amaç ve görevleri, Türk milletinin bağımsızlığını ve bütünlüğünü, ülkenin bölünmezliğini, Cumhuriyeti ve demokrasiyi korumak; kişinin temel hak ve hürriyetlerini, sosyal hukuk devleti ve adalet ilkeleri içinde, millî dayanışma ve adalet anlayışıyla gerçekleştirmeye çalışmaktır.” Bu çerçevede siber güvenlik alanında devletin müdahalesi, sadece teknik değil, hukuki bir zorunluluk olarak da karşımıza çıkmaktadır.

Siber Güvenlik Kanunu, aynı zamanda kişisel verilerin korunması, özel hayatın gizliliği ve haberleşme özgürlüğü gibi temel haklara doğrudan temas etmektedir. Bu haklar Anayasa’nın 20. maddesinde "Herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir... Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir." ve 22. Maddesinde "Herkes, haberleşme hürriyetine sahiptir... Bu hürriyetin sınırlandırılması, ancak millî güvenlik, kamu düzeni veya suç işlenmesinin önlenmesi amaçlarıyla hâkim kararıyla mümkündür." şeklinde düzenlenmiştir.

Bununla birlikte kanun, mevcut mevzuatla (örneğin 5651, KVKK, Ceza Kanunu) etkileşim hâlindedir. Ancak bu etkileşim yer yer norm çatışmalarına ve uygulama sorunlarına da neden olabilecek niteliktedir. Özellikle kişisel verilerin korunması ile ulusal siber güvenliğin sağlanması arasındaki gerilim, uygulamada dikkatle yönetilmesi gereken bir hukuki denge problemidir.

Siber güvenliğe yönelik düzenlemelerde özellikle orantılılık ilkesi ön plana çıkmaktadır. Her müdahalenin; meşru amaca yönelmesi, elverişli ve gerekli olması, aynı sonucu doğuracak daha hafif bir aracın bulunmaması, ağır yük getirmemesi, orantılılık gerekir. Bu ilkeler hem Anayasa Mahkemesi hem de Danıştay kararlarında sıklıkla vurgulanmaktadır.

2.3. Amaç ve Hedefler

Kanunun genel gerekçesinde, Türkiye'nin artan dijitalleşme süreci karşısında siber tehditlere karşı daha dirençli bir yapı kurma ihtiyacı vurgulanmaktadır. Bu bağlamda temel hedefler şu şekilde sıralanabilir:

Kritik altyapıların korunması: 7545 sayılı Siber Güvenlik Kanunun 3. ve 5. maddelerinde, kritik altyapılar; enerji, sağlık, ulaşım, finans, iletişim, kamu hizmetleri ve diğer stratejik sektörlerde faaliyet gösteren sistemler olarak tanımlanmıştır. Bu altyapıların siber güvenliği, ulusal güvenliğin ayrılmaz bir parçası olarak kabul edilmiştir. Bu nedenle, bu sektörlerde faaliyet gösteren kuruluşlar, özel güvenlik yükümlülüklerine tabidir.

Ulusal siber güvenlik kapasitesinin artırılması: Siber Güvenlik Kanunu, Türkiye'nin ulusal siber güvenlik kapasitesini güçlendirmek amacıyla kamu ve özel sektördeki kuruluşlar için siber olaylara müdahale ekiplerinin kurulmasını zorunlu hale getirmiştir. Bu düzenlemeler, özellikle SOME (Siber Olaylara Müdahale Ekibi) kavramı etrafında şekillenmektedir.​ Bu kapsamda, siber olaylara hazırlık seviyesinin geliştirilmesi amacıyla SOME’lerin olgunluk seviyelerinin ölçülerek mevcut durumun belirlenmesi ve gelişim ihtiyacı bulunan alanlara odaklanılarak yetkinliklerinin daha da üst düzeylere çıkarılması amaçlanmaktadır. Ayrıca sektörel, ulusal ve uluslararası seviyede düzenli olarak gerçekleştirilecek siber güvenlik tatbikatları ve eğitimler ile de yetkinliğin artırılması hedeflenmektedir. [1]

Kurumlar arası koordinasyonun sağlanması: Siber Güvenlik Başkanlığı öncülüğünde kamu-özel iş birliğine dayalı bir koordinasyon mekanizması kurulmuştur. Kanunun 5. maddesinin 1.fıkrasının ç bendine göre, Başkanlık, kamu kurumları ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik ürün ve hizmetleri ile bunları sağlayacak işletmelerin taşıması gereken niteliklere yönelik teknik kriterler belirler ve mevzuat düzenlemeleri yapar. Ayrıca, bunların denetimini yapar veya yaptırır, denetimleri yapacak kuruluşların taşımaları gereken nitelikleri belirler, bu kuruluşları görevlendirir ve gerektiğinde görevlendirmeyi geçici olarak durdurur ya da iptal eder.

Yerli ve milli çözümlerin teşvik edilmesi: ​7545 sayılı Siber Güvenlik Kanunu çerçevesinde, yerli ve milli çözümlerin teşvik edilmesi, özellikle 4. madde ile 5. madde kapsamında düzenlenmiştir. Yazılım, donanım ve siber savunma araçlarında yerli üretim kullanımına öncelik verilmesi öngörülmektedir.

2.4. Kapsam

Kanun, hem kamu kurumlarını hem de belirli ölçütleri taşıyan özel sektör kuruluşlarını kapsamına almakta; ayrıca kritik altyapı işletmecisi olarak tanımlanan tüm gerçek ve tüzel kişileri yükümlü hale getirmektedir. Bu kapsamda enerji, su, ulaştırma, finans, sağlık, kamu yönetimi ve iletişim gibi alanlarda faaliyet gösteren kuruluşlar “öncelikli denetime tabi” sayılmıştır.

Söz konusu düzenlemeler yalnızca teknik güvenlik tedbirlerini değil, aynı zamanda organizasyonel önlemleri, personel eğitimi, risk yönetimi politikaları ve olay müdahale prosedürlerini de kapsamaktadır. Kanun bu yönüyle, sadece ceza ve yaptırım odaklı değil, önleyici ve kapasite geliştirici bir yaklaşım da içermektedir.

3. Yetki Dağılımı ve Kurumsal Yapılanma

3.1. Siber Güvenlik Başkanlığı’nın Rolü

Siber Güvenlik Kanunu [RG: 19.03.2025/32345], Türkiye’deki siber güvenlik faaliyetlerinin koordinasyonu için merkezi bir kurum olan Siber Güvenlik Başkanlığı’nı (SGB) yetkilendirmiştir. Bu Başkanlık, ülkenin siber güvenlik stratejilerini belirleme, uygulama ve izleme konusunda anahtar bir rol üstlenmektedir. Başkanlık, başta Ulusal Siber Güvenlik Stratejisi olmak üzere, tüm kamu ve özel sektörün siber güvenlik planlarını yönlendirecek ve siber saldırılar ile diğer dijital tehditlere karşı karşılıklı iş birliğini geliştirecektir. Ayrıca, Başkanlık, siber güvenlik olaylarına müdahale edecek, bunları izlemek ve raporlamakla sorumlu olacaktır [Siber Güvenlik Kanunu, m. 4].

Başkanlık, yalnızca koordinasyonla sınırlı kalmaz; aynı zamanda denetim yetkileri de taşır. Kamu kurumları ve kritik altyapılar üzerinde siber güvenlik denetimlerini yapacak, mevzuata uyum sağlanmasını garanti altına alacaktır. Yapılacak denetimler, şirketler ve devlet kurumları için düzenli raporlama yükümlülüklerini içerecek ve güvenlik açıklarının tespit edilmesi hâlinde hızlı bir şekilde müdahale edilecektir. [2]

3.2. Bilgi Teknolojileri ve İletişim Kurumu’nun Artan Yetkileri ve İdari Denetim Fonksiyonu

Bilgi Teknolojileri ve İletişim Kurumu (BTK), Kanun öncesinde 5809 sayılı Elektronik Haberleşme Kanunu ve 5651 sayılı Kanun kapsamında yetkiliydi. Yeni düzenlemeyle birlikte BTK: Siber güvenlik standartlarını belirleme, kurum ve kuruluşlara teknik rehberlik sağlama, güvenlik zafiyetlerini tespit etme ve önleyici tedbir alma yetkisi ile donatılmıştır.

BTK’nın bu yeni yetkileri, aynı zamanda idari para cezaları uygulama, belirli sürelerle faaliyeti durdurma ve zorunlu güvenlik testleri talep etme gibi doğrudan yaptırım gücüyle desteklenmiştir.

Hukuki bakımdan BTK’nın bu denli geniş idari tasarruf yetkisi, yetki genişliği keyfiyet dengesi açısından dikkatle yorumlanmalıdır. İdarenin takdir yetkisi, hukuki belirlilik ve ölçülülük ilkesi çerçevesinde sınırlı tutulmalıdır. Bu bağlamda, BTK kararlarına karşı idari yargı yolu açık olmakla birlikte, uygulamada etkin bir denetim sağlanması için bağımsız denetim mekanizmaları önerilmektedir.

3.3. Kritik Altyapı Güvenliğinden Sorumlu Kurumlar

Kritik altyapılar olarak tanımlanan enerji, su, ulaşım, sağlık, finans gibi sektörlerde faaliyet gösteren kurumlar, Siber Güvenlik Kanunu’na göre özel güvenlik yükümlülüklerine sahiptir. Her bir sektör için belirlenen sorumluluklar, sektöre özel riskler ve tehditler doğrultusunda farklılık göstermektedir. Örneğin, enerji sektöründe faaliyet gösteren şirketler, enerji dağıtım sistemlerini siber saldırılara karşı korumakla yükümlüdür. Benzer şekilde, sağlık sektöründe hastane bilgi sistemlerinin güvenliği, hasta verilerinin korunması amacıyla ayrı bir öncelik taşır.

Bu kritik altyapıların korunması, kamu ve özel sektör iş birliğini gerektiren bir durumdur. Kamunun, bu altyapıları belirli güvenlik standartlarına göre denetlemesi, özel sektörün ise kendi altyapılarındaki zafiyetleri zamanında tespit etmesi ve iyileştirme çalışmaları yapması istenmektedir. Kanun, aynı zamanda bu sektörlerdeki organizasyonları düzenli siber güvenlik tatbikatlarına katılmaya zorunlu kılmaktadır [Siber Güvenlik Kanunu, m. 6-8]

3.4. Yerel Yönetimler ve Kurumsal Etkileşim

Siber güvenlik yalnızca merkezi hükümetin sorumluluğunda değildir; yerel yönetimler de dijital güvenlik stratejilerinin bir parçasıdır. Belediyeler ve diğer yerel yönetim birimleri, kendi dijital altyapılarının korunmasından sorumludur. Özellikle, belediyelere ait kamu hizmetlerinin dijitalleşmesiyle birlikte yerel yönetimler, siber tehditlere karşı bir savunma mekanizması kurmak zorundadır. Bu yükümlülükler, sadece bireysel verilerin korunması ile sınırlı olmayıp, aynı zamanda şehir içi ulaşım sistemleri, su ve elektrik dağıtım şebekeleri gibi kritik altyapıları da kapsar.

Yerel yönetimler için belirlenen siber güvenlik düzenlemeleri, Ulusal Siber Güvenlik Stratejisi çerçevesinde merkezi hükümetin belirlediği politika ve stratejilere uyum sağlamak amacı taşır. [T.C. Cumhurbaşkanlığı Dijital Dönüşüm Ofisi, Ulusal Siber Güvenlik Stratejisi ve Eylem Planı (2020–2023)] Ayrıca, yerel yönetimler arasında bilgi paylaşımı ve koordinasyon sağlanarak, yerel düzeydeki siber tehditlere karşı ulusal bir güvenlik şemsiyesi oluşturulması hedeflenmektedir. [Siber Güvenlik Kanunu, m. 10]

3.5. Siber Güvenlikte Kamu-Özel Sektör İş Birliği

Kamu ve özel sektör iş birliği, Siber Güvenlik Kanunu’nun temel yapı taşlarından biridir. Kanun, özel sektörün siber güvenlik yükümlülüklerini, belirli sektörlerdeki şirketlerin ve kuruluşların stratejileri doğrultusunda şekillendirir. Bu doğrultuda, özel sektör kuruluşları, özellikle kritik altyapı sağlayıcıları, denetim ve sertifikasyon süreçlerine tabi tutulacaklardır. Bununla birlikte, özel sektörün siber güvenlik ihlalleri durumunda uygulayacağı cezai yaptırımlar ve raporlama yükümlülükleri de yine kanun ile belirlenmiştir.

Kamu ve özel sektör arasındaki iş birliği yalnızca denetimle sınırlı değildir. Aynı zamanda siber güvenlik eğitimi, teknolojik altyapı geliştirme ve yeni güvenlik çözümlerinin teşvik edilmesi gibi konularda da iş birliği yapılması beklenmektedir. Kamunun belirlediği siber güvenlik standartlarına uyum sağlamak, özel sektörün daha güvenli bir dijital ortamda faaliyet göstermesini ve karşılaştıkları tehditlere karşı daha etkin bir savunma yapmalarını sağlayacaktır. [Siber Güvenlik Kanunu, m. 12-14.]

4. Sorumluluklar ve Hukuki Sonuçlar

Türkiye’de siber güvenliğe ilişkin yasal dönüşüm, yalnızca teknik altyapıların güçlendirilmesiyle sınırlı kalmayıp; kamu kurumları, özel sektör kuruluşları ve bireyler açısından ciddi hukuki sorumluluklar da getirmiştir. Yeni mevzuat, özellikle kritik altyapılarda görev alan kurumlara daha geniş kapsamlı yükümlülükler yüklemekte ve bu yükümlülüklerin ihlali durumunda çeşitli yaptırımlar öngörmektedir.

4.1. Önleyici Yükümlülükler

Yeni düzenlemeler, kurumların yalnızca siber saldırı anında değil, öncesinde de belirli önlemleri almasını zorunlu kılmaktadır. Bu kapsamda; kurumların bilgi güvenliği politikaları oluşturması ve periyodik risk analizleri yapması beklenmektedir. Belirli büyüklüğe ve sektöre sahip kuruluşların uluslararası güvenlik standartlarına (örneğin ISO 27001) uyum sağlaması teşvik edilmekte, bazı durumlarda zorunlu hale getirilmektedir.

Siber olayların belirli süre içinde yetkili mercilere bildirilmesi hem kamu hem de özel sektör açısından temel bir yükümlülük olarak düzenlenmiştir. Bu yükümlülükler sayesinde kurumlar yalnızca kendilerini değil, hizmet verdikleri toplumu ve bağlı oldukları dijital ekosistemi de koruma altına almayı amaçlamaktadır.

4.2. İhlal Durumunda Hukuki Sorumluluklar

Siber güvenlik yükümlülüklerinin yerine getirilmemesi durumunda kurumlar hem idari hem de hukuki yaptırımlarla karşılaşabilmektedir. Bu yaptırımlar arasında idari para cezaları, faaliyet durdurma veya lisans iptali gibi düzenleyici tedbirler, veri ihlali nedeniyle zarar gören kişilere karşı tazminat sorumluluğu, bilişim suçları kapsamında yöneticilere yönelik cezai sorumluluklar yer almaktadır.

Söz konusu yaptırımların kapsamı, ihlalin boyutuna, etkilenen kişilerin sayısına ve kurumun olay karşısındaki tutumuna göre değişiklik gösterebilmektedir.

4.2.1. İdari Sorumluluklar

Siber Güvenlik Kanunun 7. maddesinin (b) fıkrasına göre, siber güvenlik yükümlülüklerini yerine getirmeyen kurumlara idari para cezası uygulanabilir. Bu cezalar, kritik altyapılarda siber güvenlik önlemleri alınmaması, zafiyetlerin Başkanlığa bildirilmemesi, gerekli güvenlik önlemlerinin alınmaması durumlarında devreye girmektedir. İlgili düzenlemeye göre, ihlal durumunda uygulanacak cezaların miktarı 1.000.000 TL ile 10.000.000 TL arasında değişebilmektedir. Bu cezalar, ihlalin ciddiyetine göre belirlenir.

Kanunun 8. maddesinde, siber güvenlik yükümlülüklerini yerine getirmeyen kuruluşların faaliyetlerinin durdurulması veya lisanslarının iptal edilmesi öngörülmektedir. Özellikle kritik altyapılarda faaliyet gösteren şirketler için bu tür yaptırımlar, ulusal güvenlik ve kamunun çıkarları açısından önemli sonuçlar doğurabilir.

4.2.2. Cezai Sorumluluklar

Siber güvenlik ihlali ve ilgili bilişim suçları, cezaî sorumluluk doğurabilir. Bu sorumluluk, kurumların yöneticilerine ve sorumlu çalışanlarına yönelik uygulanabilir. Türkiye’deki Ceza Kanunu ve Bilişim Suçları Kanunu, bu tür ihlallerin cezalandırılmasında önemli bir temel oluşturmaktadır.

Türk Ceza Kanunu (TCK), bilişim suçlarına yönelik hükümler içermektedir. Özellikle, siber güvenlik ihlalleri kapsamında veri hırsızlığı, sistemlere izinsiz giriş, veri bozulması veya yok edilmesi. Bu suçlara ilişkin cezalar TCK'nın 243. ve 244. maddelerinde düzenlenmiştir. Bu maddelere göre, izinsiz erişim sağlamak ve verileri tahrip etmek suçları cezai yaptırımlara tabi tutulmaktadır.

4.3. Kamu ve Özel Sektör Açısından Sorumluluk Ayrımı

Yeni hukukî çerçevede, kamu kurumları ile özel sektör kuruluşları arasında görev ve yetki ayrımı daha belirgin hale getirilmiştir. Kamu kurumları, hem kendi sistemlerini korumakla hem de düzenleyici ve denetleyici rol üstlenmekle yükümlüdür. Özel sektör ise özellikle finans, sağlık, enerji ve ulaştırma gibi kritik sektörlerde daha sıkı bir denetim ve uyum süreciyle karşı karşıyadır.

Küçük ve orta ölçekli işletmeler içinse bu yükümlülükler, kademeli bir geçiş süreciyle uygulanmakta ve rehberlik mekanizmaları üzerinden desteklenmektedir. Böylece dijital güvenlik açısından kapsayıcı ve ölçeklenebilir bir yapı oluşturulması hedeflenmektedir.

5. Uluslararası Yansımalar ve Uyum Süreci

Siber güvenlik, küresel ölçekte iş birliği ve standartlaşma gerektiren bir alandır. Türkiye’de son dönemde gerçekleştirilen hukuki düzenlemeler, sadece ulusal ihtiyaçlara değil, aynı zamanda uluslararası normlara uyum sağlama hedefiyle de şekillenmektedir. Bu bağlamda Avrupa Birliği, NATO, OECD gibi kurumların belirlediği çerçeveler, Türkiye’nin siber güvenlik politikalarının önemli referans noktalarını oluşturmuştur.

5.1. Avrupa Birliği ve NIS 2 Uyum Süreci

Avrupa Birliği'nin güncellenmiş NIS 2 Direktifi, siber güvenliğin yönetimi açısından hem daha kapsamlı yükümlülükler getirmekte hem de kurumlara yönelik denetim ve ceza mekanizmalarını güçlendirmektedir. [3] Türkiye, AB müktesebatına uyum süreci çerçevesinde bu direktifle benzer düzenlemeleri kendi mevzuatına entegre etmeye başlamıştır.

NIS 2 kapsamında özellikle kritik altyapıların korunması, siber olay bildirimi, yönetişim yapılarının güçlendirilmesi ve üst düzey yöneticilerin sorumluluğu gibi başlıklar öne çıkmaktadır. Türkiye’deki yeni yasal çerçeve de benzer şekilde bu alanlarda kurumlara açık ve somut yükümlülükler yüklemektedir.

5.2. NATO ve OECD ile Çok Taraflı İş Birliği

Türkiye'nin NATO üyesi olması, siber savunma politikalarının geliştirilmesinde stratejik ortaklıkları ve bilgi paylaşımını beraberinde getirmektedir. NATO çerçevesinde kabul edilen ortak güvenlik ilkeleri doğrultusunda, Türkiye ulusal siber savunma kapasitesini hem teknik hem de kurumsal anlamda güçlendirme taahhüdü altındadır.

Benzer şekilde, OECD bünyesindeki dijital güvenlik ilkeleri de Türkiye’nin politika geliştirme süreçlerinde etkili olmaktadır. Risk temelli yaklaşımların benimsenmesi, dijital hizmet sağlayıcıların yükümlülüklerinin netleştirilmesi ve kriz anlarında uluslararası koordinasyonun sağlanması gibi başlıklar hem OECD ilkelerinde hem de Türkiye'nin stratejik belgelerinde karşılık bulmaktadır.

5.3. Uluslararası Veri Güvenliği ve Aktarım Rejimleri

Uluslararası veri akışı, siber güvenlik hukukunun önemli bir parçası haline gelmiştir. Özellikle çok uluslu şirketlerin Türkiye’de faaliyet göstermesi ve bulut teknolojilerinin yaygınlaşmasıyla birlikte, sınır ötesi veri transferi konusunda daha hassas düzenlemelere ihtiyaç duyulmaktadır.

Türkiye’nin veri koruma rejimi, Avrupa Birliği’nin Genel Veri Koruma Tüzüğü (GDPR) ile kısmen benzerlik göstermektedir. Ancak tam uyum sağlanabilmesi için mevzuatta bazı güncellemelerin yapılması gerekmektedir. Bu süreçte hem bireylerin temel haklarının korunması hem de dijital ekonominin zarar görmemesi dengesi gözetilmektedir.

6. Sonuç ve Değerlendirme

Türkiye’de siber güvenlik alanında yaşanan hukuki dönüşüm, dijitalleşmenin hızlandığı bir çağda oldukça kritik bir aşamaya işaret etmektedir. Yeni düzenlemeler, yalnızca teknik önlemlerle sınırlı kalmayan; hukuki, kurumsal ve yönetsel düzeyde bütünsel bir yaklaşımı esas alan bir yapının inşa edildiğini göstermektedir.

Kamu kurumları, özel sektör ve bireyler arasında netleşen yetki ve sorumluluk paylaşımı, siber güvenlik politikalarının daha sürdürülebilir ve hesap verebilir hale gelmesini amaçlamaktadır. Bununla birlikte, yeni mevzuatla getirilen bildirim zorunlulukları, sertifikasyon süreçleri ve denetim mekanizmaları, kurumsal düzeyde daha yüksek bir hazırlık düzeyini zorunlu kılmaktadır.

Uluslararası normlarla uyum süreci de Türkiye’nin siber güvenlik hukukunda daha kapsayıcı bir vizyon benimsediğini ortaya koymaktadır. AB’nin NIS 2 Direktifi, NATO stratejileri ve OECD rehberleri ile kurulan uyum, Türkiye’yi dijital dünyada daha güvenli ve saygın bir aktör haline getirme potansiyeli taşımaktadır. Ancak bu dönüşümün etkili ve kalıcı olabilmesi için yalnızca mevzuat değişikliği yeterli değildir. Uygulama kapasitesinin artırılması, farkındalık çalışmalarının yaygınlaştırılması, teknik insan kaynağının güçlendirilmesi ve kurumlar arası iş birliğinin sistematik hale getirilmesi büyük önem arz etmektedir. Ayrıca özel sektörün özellikle KOBİ düzeyinde desteklenmesi ve dijital güvenlik yatırımlarının teşvik edilmesi gereklidir.

Sonuç olarak, Türkiye’de siber güvenlik hukukunda yaşanan bu dönüşüm, dijital egemenliğin korunması ve ulusal güvenliğin sağlanması açısından stratejik bir adımdır. Bu sürecin başarılı bir şekilde sürdürülebilmesi ise çok paydaşlı, esnek ve sürekli güncellenen bir yapının inşa edilmesine bağlıdır.

Av. İdil Akaltun

 

Kaynakça:

1. T.C. Cumhurbaşkanlığı Dijital Dönüşüm Ofisi, Ulusal Siber Güvenlik Stratejisi ve Eylem Planı (2020–2023)

2. Bilgi Teknolojileri ve İletişim Kurumu (BTK), 2020, Bilgi ve İletişim Güvenliği Rehberi

3. Avrupa Birliği – NIS 2 Directive, 2022/2555/EU