by 
7545 sayılı Siber Güvenlik Kanunu (“Kanun”) 12 Mart 2025 tarihinde kabul edildikten sonra 19 Mart 2025 tarihli Resmi Gazete’de yayınlanarak yürürlüğe girdi.
Temel İlkeler
Kanunun 4. maddesi siber güvenliğin sağlanmasında aşağıdaki temel ilkelere uyulması gerektiğini düzenlemektedir.
- Kurumsallık
- Süreklilik
- Sürdürülebilirlik
- Yerli ve milli ürünlerin tercih edilmesi
- Hesap verilebilirlik
- Politika ve stratejilerin sürekli gelişimi
- Siber güvenlik kültürünün toplum geneline yaygınlaştırılması
- Temel insan hak ve hürriyetleri ile mahremiyetin korunması
Siber Güvenlik Başkanlığı’nın Görev ve Yetkileri
8 Ocak 2025 tarihli Resmi Gazete’de yayınlanan 177 sayılı Siber Güvenlik Başkanlığı Hakkında Cumhurbaşkanlığı Kararnamesi ile kurulan Siber Güvenlik Başkanlığı’nın kararnamede düzenlenen görevlerine Siber Güvenlik Kanunu’nun beşinci maddesi ile ilave görevler eklenmiştir.
Başkanlığın görevleri arasında aşağıdakilere yer verilmiştir.
- Kritik altyapı ve bilişim sistemlerinin siber dayanıklılığını artırmak
- Varlıklara yönelik risk analizleri yapmak
- Siber olaylara müdahale ekipleri (SOME) kurmak
- Sertifikasyon, yetkilendirme ve belgelendirme faaliyetleri yürütmek
- Siber güvenlik alanına ilişkin standartları hazırlamak
- Siber güvenlik alanında faaliyet gösterenlerin uyması gereken usul ve esasları belirlemek
- Siber güvenlik denetimi yapmak ve yaptırım uygulamak
Siber Güvenlik Başkanlığı’nın görevlerini yerine getirirken kullanabileceği yetkileri ise Kanunu’nun altıncı maddesinde düzenlenmiştir.
Başkanlığın yetkileri arasında aşağıdakilere yer verilmiştir:
- Yürüttüğü faaliyetlerle sınırlı olmak üzere bilgi, belge, veri ve kayıtları alabilir ve değerlendirmesini yapabilir. Bu kapsamda elde edilen bilgi, belge, veri ve kayıtlar, en fazla iki yıl süreyle çalışmaya konu edilir ve çalışma süresi sonrasında imha edilir.
- Siber güvenlik denetimi gerçekleştiren bağımsız denetçiler ve bağımsız denetim kuruluşlarını yetkilendirebilir, yetkisini süreli veya süresiz iptal edebilir.
- Siber güvenlik yazılım, donanım, ürün ve hizmetlerinin asgari güvenlik kriterlerini belirler. Bunları sağlayacak veya tedarik edecek gerçek ve tüzel kişilere yönelik sertifikasyon, yetkilendirme ve belgelendirme süreçlerini yönetir.
Başkanlığın geniş erişim yetkileri ile temel ilkeler arasında sayılan “temel insan hak ve hürriyetleri ile mahremiyetin korunması” ilkesi arasındaki dengenin nasıl sağlanacağı uygulamada takip edilmeye değer bir konu olacaktır.
Başkanlığın Denetim Yetkisi
Başkanlık, gerekli gördüğü hallerde yetki alanına giren her türlü fiil ve işlemi denetleyebilir, inceleme yapabilir veya yaptırabilir.
Başkanlık tarafından denetime tabi tutulanlar, ilgili cihaz, sistem, yazılım ve donanımları denetlemeye açık tutmak ve gerekli altyapıyı temin etmek ve çalışır vaziyette tutmak için gerekli önlemleri almakla yükümlüdür.
Başkanlığın, millî güvenlik, kamu düzeni, suç işlenmesinin veya siber saldırıların önlenmesi amacıyla hâkim kararı üzerine veya gecikmesinde sakınca bulunan hâllerde Cumhuriyet savcısının emri ile konutta, işyerinde ve kamuya açık olmayan kapalı alanlarda arama yapma yetkisi vardır.
Siber Güvenlik Kurulu
Siber Güvenlik Kurulu, Cumhurbaşkanı, Cumhurbaşkanı Yardımcısı, Adalet Bakanı, Dışişleri Bakanı, İçişleri Bakanı, Milli Savunma Bakanı, Sanayi ve Teknoloji Bakanı, Ulaştırma ve Altyapı Bakanı, Milli Güvenlik Kurulu Genel Sekreteri, MİT Başkanı, Savunma Sanayi Başkanı ve Siber Güvenlik Başkanından oluşur.
Hizmet Veren, Veri Toplayan ve Veri İşleyenlerin Sorumlulukları
Bilişim sistemleri kullanarak hizmet sunan, veri toplayan, işleyen ve benzeri faaliyet yürütenler,
- Siber Güvenlik Başkanlığının talep ettiği her türlü veri, bilgi, belge, donanım ve yazılımı Başkanlığa iletmekle,
- Siber güvenliğe yönelik olarak mevzuatın öngördüğü tedbirleri almak, hizmet sundukları alanda tespit ettikleri zafiyet veya siber olayları Başkanlığa bildirmekle,
- Kritik altyapılarda kullanılacak siber güvenlik ürün, sistem ve hizmetleri Başkanlık tarafından yetkilendirilmiş ve belgelendirilmiş siber güvenlik uzmanlarından, üreticilerden veya şirketlerden tedarik etmekle ve
- Siber olgunluğun artırılmasına yönelik Başkanlık tarafından geliştirilen politika, strateji, eylem planı ile yayımlanan diğer düzenleyici işlemlere uygun hareket etmekle yükümlüdürler.
Siber güvenlik şirketleri
Siber güvenlik ürünleri üreten veya siber güvenlik hizmeti veren şirketlerin birleşme, bölünme, pay devri veya satış işlemleri Siber Güvenlik Başkanlığına bildirilir. Bu işlemler kapsamında gerçek veya tüzel kişilere şirket üzerinde doğrudan veya dolaylı kontrol hakkı veren işlemler olması halinde söz konusu işlemler Başkanlık onayına tabidir. Başkanlık onayı alınmaksızın gerçekleştirilen işlemler hukuken geçersiz olur.
Kanun İhlalinde Uygulanan Yaptırımlar
Kanunda düzenlenen yaptırımlar arasında aşağıdaki cezai hükümlere ve idari para cezalarına yer verilmektedir:
- Yetkili mercii ve denetim görevlilerinin istedikleri bilgi, belge, yazılım, veri ve donanımı vermeyenler bir yıldan üç yıla kadar hapis ve beşyüz günden binbeşyüz güne kadar adli para cezası ile cezalandırılır.
- Gerekli izinler olmadan faaliyet yürütenler iki yıldan dört yıla kadar hapis ve bin günden ikibin güne kadar adli para cezası ile cezalandırılır.
- Sır saklama yükümlülüğünü yerine getirmeyenlere dört yıldan sekiz yıla kadar hapis cezası verilir.
- Siber uzayda veri sızıntısı nedeniyle daha önce yer alan kişisel veya kritik kamu hizmeti kapsamına giren kurumsal verileri, kişilerin veya kurumların izni olmaksızın ücretli veya ücretsiz şekilde erişime açan, paylaşan veya satışa çıkaranlara üç yıldan beş yıla kadar hapis cezası verilir.
- Siber uzayda veri sızıntısı olmadığını bildiği halde halk arasında endişe, korku ve panik yaratmak ya da kurumları veya şahısları hedef göstermek amacıyla siber güvenlikle ilgili veri sızıntısı olduğuna yönelik gerçeğe aykırı içerik oluşturanlara veya bu maksatla bu içerikleri yayanlara iki yıldan beş yıla kadar hapis cezası verilir.
