12 Mart 2025 tarihinde Türkiye Büyük Millet Meclisi'nde 7545 sayılı Siber Güvenlik Kanunu ("Kanun") kabul edilmiş olup 19 Mart 2025 tarihinde 32846 sayılı Resmî Gazete ile yayımlanmakla yürürlüğe girmiştir.
Kanun, siber uzaya yönelik içten ve dıştan yöneltilen veya yöneltilebilecek olan tehditlerin tespit ve bertaraf edilmesi ile ülkenin siber güvenliğinin güçlendirilmesine ilişkin politikaların belirlenmesini, siber olayların muhtemel etkilerinin azaltılmasını, siber saldırılara karşı saldırının muhataplarının korunmasını ve Siber Güvenlik Kurulunun ("Kurul") kurulmasına ilişkin esasların belirlenmesini amaç edinmektedir.
Siber uzayda varlık gösteren, faaliyet yürüten, hizmet sunan; kamu kurum ve kuruluşlar, kamu kurumu niteliğinde meslek kuruluşları, gerçek kişiler, tüzel kişiler ve tüzel kişiliği bulunmayan kuruluşlar Kanun kapsamındadır.
Siber güvenliğin sağlanması için Kanun uyarınca birçok temel ilke benimsenmiş olup siber güvenliğin milli güvenliğin ayrılmaz bir parçası olduğu düzenlenmiştir. Bu kapsamda siber güvenliğe ilişkin çalışmalar kurumsallık, süreklilik ve sürdürülebilirlik esasları ile yürütülecektir. Bu çalışmalarda öncelikle yerli ve milli ürünlerin tercih edilmesi bir diğer temel ilkedir. Bu alanda nitelikli insan kaynağı kabiliyet ve kapasitesinin artırılmasına yönelik çalışmaların teşviki planlanmakta olup ayrıca toplum genelinde siber güvenlik kültürünün yaygınlaştırılması hedeflenmektedir. Kanun ile hukukun üstünlüğü, temel insan hak ve hürriyetleri ile mahremiyetin korunmasına ilişkin ilkelerin temel esas olarak kabul edileceği öngörülmüştür.
Kanun ile Siber Güvenlik Başkanlığı'nın ("Başkanlık") görev, yetki, sorumluluk ve denetim yetkisine ilişkin düzenlemeler de yapılmıştır. Başkanlık; siber saldırılara yönelik yürütülen faaliyetler kapsamında zafiyet ve sızma testleri ile varlıklara yönelik risk analizleri yapmak veya yaptırmak, siber tehditlerle mücadele etmek, siber tehdit istihbaratı elde etmek, oluşturmak ve paylaşmak, zararlı yazılım inceleme faaliyetleri yürütmek ile görevlendirilmiştir. Kamu kurum ve kuruluşlarının tüm varlıklarının envanterlerinin tutulması, risk analizinin gerçekleştirilmesi, varlıkların kritikliğine göre güvenlik tedbiri alınması da Başkanlık tarafından icra edilecek görevler arasında sayılmıştır. Başkanlık tarafından siber güvenlik denetimi gerçekleştirilmesi ile siber olaylara müdahale ekiplerinin kurulması da düzenlenmiştir.
Başkanlık'ın Kanun kapsamında sayılan yetkileri arasında; siber saldırılara karşı korunma ve saldırıların kaynağına karşı caydırıcılık sağlanması için gerekli tedbirleri almak, siber güvenlik konularında ihtiyaç duyulması halinde personel görevlendirmek ve bilişim sistemlerindeki log kayıtlarını bünyesinde toplamak, saklamak, değerlendirmek ve rapor oluşturarak ilgili kurum ve kuruluşlar ile paylaşmak bulunmaktadır. Kanun kapsamına giren her türlü fiil ve işlemi denetlemeye yetkili olarak Başkanlık'ın personeli, yetkilendirilmiş ve belgelendirilmiş bağımsız denetçiler ile bağımsız denetim kuruluşları sayılmıştır. Bu sayılanlarca yapılacak olan denetim faaliyeti önemlilik ve öncelik ilkeleri ile risk değerlendirmeleri kapsamında oluşturulacak programa uygun olarak yürütülecektir.
Kanun ile düzenlenmiş olan bir diğer husus da Siber Güvenlik Kurulu'na ilişkin esaslardır. Bu çerçevede Kurul, Cumhurbaşkanı, Cumhurbaşkanı Yardımcısı, Adalet Bakanı, Dışişleri Bakanı, İçişleri Bakanı, Milli Savunma Bakanı, Sanayi ve Teknoloji Bakanı, Ulaştırma ve Altyapı Bakanı, Milli Güvenlik Kurulu Genel Sekreteri, Milli İstihbarat Teşkilatı Başkanı, Savunma Sanayii Başkanı ve Siber Güvenlik Başkanından oluşacaktır. Kurul ile, siber güvenlikle ilgili politika, strateji, eylem planı ve diğer düzenleyici işlemlere yönelik kararların alınması, alınan kararların tamamından veya bir kısmından istisna tutulacak kurum ve kuruluşların belirlenmesi, Başkanlık tarafından hazırlanan siber güvenlik alanına ilişkin teknoloji yol haritasının ülke çapında uygulanmasına yönelik kararların alınması ve siber güvenlik alanında teşvik verilecek öncelikli alanların belirlenmesi ile siber güvenlik alanındaki insan kaynağının geliştirilmesine yönelik kararların alınması amaçlanmaktadır.
7545 sayılı Siber Güvenlik Kanunu birçok cezai düzenleme ve yaptırımla öngörmektedir. Aşağıdaki düzenlemelere göre verilecek olan cezanın, suçun kamu görevlisi tarafından işlenmesi halinde üçte bir oranında, birden fazla kişi tarafından işlenmesi halinde yarı oranında ve bir örgütün faaliyeti çerçevesinde işlenmesi halinde yarısından iki katına kadar arttırılacağı düzenlenmiştir.
| Cezai Düzenlemeler | Yaptırımlar |
|---|---|
| Kamu kurum ve kuruluşları hariç olmak üzere bu Kanunla yetkilendirilen mercilerin ve denetim görevlilerinin görev ve yetkileri kapsamında istedikleri bilgi, belge, yazılım, veri ve donanımın verilmemesi, bunların alınmasına engel olunması | 1 yıldan 3 yıla kadar hapis ve 500 günden 1500 güne kadar adli para cezası verilir. |
| Kanun uyarınca alınması gerekli onay, yetki veya izinleri almaksızın faaliyet yürütülmesi | 2 yıldan 4 yıla kadar hapis ve 1000 günden 2000 güne kadar adli para cezası verilir. |
| Sır saklama yükümlülüğünün yerine getirilmemesi | 4 yıldan 8 yıla kadar hapis cezası verilir. |
| Siber uzayda veri sızıntısı nedeniyle daha önce yer alan kişisel veya kritik kamu hizmeti kapsamına giren kurumsal verilerin, kişilerin veya kurumların izni olmaksızın ücretli veya ücretsiz şekilde erişime açılması, paylaşılması veya satışa çıkarılması | 3 yıldan 5 yıla kadar hapis cezası verilir. |
| Siber uzayda veri sızıntısı olmadığını bilinilmesine rağmen halk arasında endişe, korku ve panik yaratılması | 2 yıldan 5 yıla kadar hapis cezası verilir. |
| Türkiye Cumhuriyeti'nin siber uzaydaki milli gücünü meydana getiren unsurlarına yönelik olarak siber saldırıda bulunulması veya bu saldırı neticesinde elde ettiği her türlü veriyi siber uzayda bulundurulması | Fiil daha ağır bir cezayı gerektiren başka bir suç oluşturmadığı takdirde 8 yıldan 12 yıla kadar hapis cezası verilir. |
Kanun ile Kanun'un ihlalini teşkil edecek hallerde idari para cezalarına hükmedileceği öngörülmüştür. Kanun kapsamında yer alan ve bilişim sistemleri kullanmak suretiyle hizmet sunan, veri toplayan, işleyen ve benzeri faaliyet yürütenlerin görev ve sorumluluklarını yerine getirmemesi halinde 1 milyon Türk lirasından 10 milyon Türk lirasına kadar idari para cezası verilecektir. Başkanlık onayına tabi durumlarda onayın alınmaması halinde 10 milyon Türk lirasından 100 milyon Türk lirasına kadar idari para cezası verileceği düzenlenmiştir. Kanun kapsamında denetime tabi tutulanların, ilgili cihaz, sistem, yazılım ve donanımları verilen sürelerde denetlemeye açık tutmak, denetim için gerekli altyapıyı temin etmek ve çalışır vaziyette tutmak için gerekli önlemlerin alınmaması durumunda ise 100.000 Türk lirasından 1 milyon Türk lirasına kadar idari para cezasına hükmolunacağı öngörülmektedir.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
