Новый Закон Турции о кибербезопасности № 7545: сфера действия, принципы и что он означает для иностранного бизнеса
Закон Турции о кибербезопасности № 7545 (Siber Güvenlik Kanunu) — первый самостоятельный закон страны в этой сфере — действует с 19 марта 2025 года. Он рассматривает кибербезопасность как часть национальной безопасности, передаёт регулирование единому органу и распространяется на иностранные компании исходя из того, что они делают в турецком киберпространстве, а не от того, где они зарегистрированы. Это руководство объясняет, на кого распространяется закон, его основные принципы, что собой представляет новое Управление кибербезопасности, какие обязанности теперь действуют для предприятий с иностранным капиталом, а также уголовные и административные санкции, доходящие до 100 миллионов турецких лир или 5% годовой валовой выручки от продаж.
Что представляет собой Закон № 7545 и почему он важен
Закон № 7545 (Siber Güvenlik Kanunu) был принят 12 марта 2025 года и вступил в силу 19 марта 2025 года — в день его публикации в Официальной газете (Resmî Gazete № 32846). Это первый в Турции комплексный, самостоятельный закон о кибербезопасности.
До принятия Закона № 7545 кибербезопасность регулировалась разрозненно: отраслевыми правилами, разбросанными подзаконными актами, статьями о компьютерных преступлениях Уголовного кодекса Турции (Закон № 5237, TCK, ст. 243-246) и режимом защиты данных по Закону о защите персональных данных № 6698 (KVKK — Kişisel Verilerin Korunması Kanunu, аналог GDPR). Новый закон сводит выработку политики, надзор и правоприменение под единый национальный орган и определяет кибербезопасность как неотъемлемую часть национальной безопасности.
Для иностранных инвесторов ключевой момент — широта охвата: обязанности не ограничиваются компаниями с турецким капиталом. Закон прямо распространяется на иностранных физических и юридических лиц, которые ведут деятельность, оказывают услуги или имеют присутствие в турецком киберпространстве.
Распространяется ли закон на вашу компанию?
Критерий по Закону № 7545 — это деятельность и присутствие в турецком киберпространстве, а не гражданство или место регистрации. Иностранная компания, не имеющая офиса в Турции, всё равно может подпасть под закон, если она затрагивает турецкие сети, пользователей или данные. Используйте таблицу ниже как первичную проверку, а затем поручите юристу подтвердить вашу точную позицию.
| Ваша ситуация | Вероятная позиция по Закону № 7545 |
|---|---|
| У вас есть турецкая дочерняя компания или филиал, эксплуатирующий ИТ-системы | В сфере действия как охватываемое юридическое лицо |
| Вы продаёте SaaS или онлайн-услуги клиентам в Турции | Вероятно, в сфере действия через присутствие и деятельность в киберпространстве |
| Вы размещаете данные на серверах, расположенных в Турции | Вероятно, в сфере действия |
| Вы поставляете или эксплуатируете системы для сектора критической инфраструктуры (см. ниже) | В сфере действия, с наиболее тяжёлыми обязанностями |
| Вы ведёте только специфическую разведывательную или военную деятельность по её собственному регулирующему закону | Выведено за рамки данного режима |
Закон охватывает государственные учреждения, профессиональные организации со статусом публичного учреждения, физических лиц, а также юридических лиц и объединения без образования юридического лица, действующие в киберпространстве. Если вы решаете, выходить ли на рынок или провести реструктуризацию, наша команда может проконсультировать по созданию или структурированию вашего турецкого юридического лица так, чтобы соответствие требованиям было заложено с первого дня.
15 секторов критической инфраструктуры
Компании, связанные с критической инфраструктурой, несут наиболее обширные обязанности по закону. Совет по кибербезопасности официально определил секторы критической инфраструктуры 5 мая 2026 года. Этих секторов 15:
- Цифровая инфраструктура
- Цифровые услуги
- Электронные коммуникации
- Энергетика
- Финансы
- Продовольствие и сельское хозяйство
- Производство
- Государственные услуги
- СМИ и кризисные коммуникации
- Почта и грузоперевозки
- Здравоохранение
- Оборонная промышленность
- Управление водными ресурсами
- Транспорт
- Космос
Основные принципы, лежащие в основе закона
Принципы Закона № 7545 показывают, как регулятор, вероятно, будет толковать более детальные нормы. Среди них:
- Национальная безопасность: кибербезопасность рассматривается как неотделимая от национальной безопасности Турции.
- Институционализация и устойчивость: безопасность должна быть встроена в структуры и процессы, а не решаться спонтанно.
- Отечественные и национальные решения: поощряется использование разработанных внутри страны, авторизованных продуктов и услуг.
- Разделённая ответственность: каждый участник экосистемы отвечает за её защиту.
- Верховенство права и основные права: меры должны оставаться законными, соразмерными и уважающими частную жизнь.
Принципы защиты частной жизни и основных прав пересекаются с KVKK (Закон № 6698) и гарантиями Конституции Турции. На практике вам следует вести соответствие требованиям кибербезопасности и соответствие требованиям по персональным данным совместно. Мы разбираем это пересечение в нашем руководстве о том, как режим защиты данных KVKK (Закон № 6698) влияет на вашу компанию, а более широкую картину того, как Турция регулирует новые технологии, можно увидеть здесь.
Управление кибербезопасности и Совет по кибербезопасности
Режим находится в ведении национального органа — Управления кибербезопасности (Siber Güvenlik Başkanlığı), созданного Президентским указом № 177 от 8 января 2025 года и подчинённого непосредственно Президентству. Первый Директор по кибербезопасности Турции был назначен 24 октября 2025 года, а Конституционный суд 3 июня 2025 года отклонил иск об оспаривании Указа № 177, так что орган прочно закреплён.
Над ним стоит Совет по кибербезопасности (Siber Güvenlik Kurulu) под председательством Президента Республики (когда Президент не присутствует, председательствует Вице-президент), который определяет стратегию и политику. В полномочия Управления входит право:
- издавать нормативные акты, стандарты и обязательные технические и административные требования;
- проводить проверки и аудиты охватываемых субъектов;
- налагать административные санкции и штрафы;
- авторизовать и сертифицировать продукты, услуги и персонал в области кибербезопасности; а также
- определять критические инфраструктуры и устанавливать специфические для них обязанности.
Практическое последствие — правило о закупках: государственные учреждения и операторы критической инфраструктуры должны использовать только продукты и услуги, авторизованные или сертифицированные Управлением. Иностранным поставщикам следует заранее планировать этот путь авторизации и учитывать его в стратегии на уровне совета директоров. Когда кибербезопасность влияет на структуру сделки или инвестиционный риск, наша команда предоставляет корпоративные консультации и сопровождение M&A для иностранных инвесторов.
Ключевые обязанности для бизнеса
Обязанности калибруются по секторам и по статусу критической инфраструктуры, но охватываемым организациям следует ожидать базового набора:
- Уведомление об инцидентах: сообщать о киберинцидентах и уязвимостях в Управление без промедления (законодательная обязанность уже действует; точный формат, пороги и сроки ожидают подзаконного регулирования).
- Меры безопасности: внедрять и поддерживать технические и административные меры защиты, соразмерные риску.
- Содействие аудиту: держать системы доступными для проверки и предоставлять назначенным инспекторам доступ, инфраструктуру и информацию, которые им требуются.
- Использование авторизованных продуктов: для государственных органов и критической инфраструктуры — закупать только авторизованные Управлением продукты и услуги в области кибербезопасности.
- Корпоративное управление: встроить кибербезопасность в надзор за рисками на уровне совета директоров с документированными политиками и чёткой ответственностью.
Санкции: уголовные наказания и административные штрафы
Закон № 7545 подкрепляет свои обязанности как уголовными наказаниями, так и административными штрафами, поэтому несоблюдение — это серьёзный риск. Уголовные составы находятся в статье 16 и действуют параллельно с существующими составами компьютерных преступлений Уголовного кодекса Турции (Закон № 5237, ст. 243-246).
Уголовные составы по статье 16
| Деяние | Наказание |
|---|---|
| Отказ или воспрепятствование предоставлению запрошенной информации, документов, программного обеспечения, данных или оборудования органам/инспекторам | лишение свободы 1-3 года + судебный штраф 500-1 500 дней |
| Осуществление регулируемой деятельности без требуемой авторизации | лишение свободы 2-4 года + судебный штраф 1 000-2 000 дней |
| Нарушение обязательств о конфиденциальности | лишение свободы 4-8 лет |
| Незаконное получение, утечка или раскрытие данных о критических публичных услугах | лишение свободы 3-5 лет |
| Кибератака на элементы национальной киберсилы | лишение свободы 8-12 лет |
| Хранение, передача или продажа данных, полученных в результате такой атаки | лишение свободы 10-15 лет |
Статья 16 также усиливает эти наказания: на одну треть, если правонарушитель является государственным должностным лицом, и от половины до двукратного размера, если деяние совершено в составе организации. Точную нумерацию подпунктов и режим в отношении нескольких соучастников следует сверить с действующей редакцией закона, прежде чем на них полагаться.
Административные штрафы
Управление может налагать возрастающие административные штрафы, причём самые тяжёлые уровни зарезервированы за нарушениями в сфере критической инфраструктуры:
| Нарушение | Штраф |
|---|---|
| Физические лица, нарушающие обязанность содействия проверке | 100 000-1 000 000 турецких лир |
| Общие нарушения законодательных обязанностей | 1 000 000-10 000 000 турецких лир |
| Нарушения обязанностей в сфере критической инфраструктуры | 10 000 000-100 000 000 турецких лир |
| Коммерческие компании, препятствующие аудиту / не исполняющие обязанности перед инспекторами | до 5% годовой валовой выручки от продаж |
Как Закон № 7545 соотносится с KVKK
Один киберинцидент может одновременно задействовать два режима. Они раздельны — с разными регуляторами и разными штрафами, — так что вы можете нести обязанности по обоим за одно и то же событие.
| Закон № 7545 (кибербезопасность) | Закон № 6698 (KVKK) | |
|---|---|---|
| Защищает | Киберпространство и национальную безопасность | Персональные данные и частную жизнь |
| Регулятор | Управление кибербезопасности | Орган по защите персональных данных (KVKK) |
| Типичный повод | Киберинцидент, атака, провал аудита | Утечка персональных данных или незаконная обработка |
| Правоприменение | Уголовные наказания + административные штрафы (до 5% оборота) | Административные штрафы + отдельная уголовная ответственность по TCK |
Когда атака приводит к раскрытию персональных данных клиентов, вам может потребоваться уведомить и Управление кибербезопасности, и орган KVKK — по разным правилам и в разные сроки. Постройте единый план реагирования на инциденты, удовлетворяющий обоим режимам. По стороне защиты данных см. наше руководство о соблюдении требований KVKK, а по ландшафту угроз — наш обзор тенденций киберпреступности и защитных стратегий в Турции.
Что ещё предстоит и за чем следить
Рамочная конструкция действует, но значительная часть операционной детализации — нет. Считайте соответствие требованиям движущейся целью и регулярно перепроверяйте свою позицию.
- Перечень критической инфраструктуры: официально определён 5 мая 2026 года (15 секторов выше).
- Присутствие Управления: официальный сайт запущен 14 мая 2026 года — с формами для отчётности и бюллетенями безопасности.
- Подзаконные акты: yönetmelik и tebliğ, устанавливающие пороги, форматы отчётности, технические стандарты и процедуры аудита, не были опубликованы по состоянию на середину 2026 года — уже после срока 19 марта 2026 года.
- Сертификация продуктов: ожидается открытие пути авторизации/сертификации продуктов кибербезопасности с более поздним законодательным горизонтом (по сообщениям — 19 марта 2027 года); иностранным поставщикам следует готовить документацию заранее.
Как иностранным компаниям подготовиться
Единый правоприменимый режим меняет картину соответствия требованиям для любого бизнеса, связанного с Турцией. Практические первые шаги:
- Оцените, попадаете ли вы в сферу действия по своей деятельности и присутствию и затрагиваете ли вы один из 15 секторов критической инфраструктуры.
- Сопоставьте обязанности по Закону № 7545 с вашей программой KVKK (Закон № 6698) и правилами любых отраслевых регуляторов, чтобы закрыть пробелы и избежать дублирования.
- Выстройте процесс обнаружения инцидентов и уведомления, способный оперативно отчитываться перед Управлением, и сохраняйте доказательства каждого уведомления.
- Пересмотрите вашу технологическую цепочку поставок и договоры на предмет требования об авторизованных продуктах, особенно если вы продаёте критической инфраструктуре или эксплуатируете её.
- Внесите кибербезопасность в повестку совета директоров с документированным корпоративным управлением, поскольку штрафы от оборота и личная уголовная ответственность делают её стратегическим риском, а не сноской для ИТ-отдела.
Поскольку подзаконное регулирование по Закону № 7545 всё ещё развивается, а исход зависит от конкретных фактов, турецкий юрист должен проанализировать вашу ситуацию, прежде чем вы будете полагаться на любые общие рекомендации. Свяжитесь с Lexin Legal, чтобы обсудить, как Закон о кибербезопасности применяется к вашим операциям в Турции. Напишите нам по-русски — переписку ведём на русском; при необходимости организуем переводчика (за дополнительную плату). Также ознакомьтесь с полным спектром наших юридических услуг для иностранцев и инвесторов.
Частые вопросы
Когда Закон Турции о кибербезопасности № 7545 вступил в силу?
Закон № 7545 был принят 12 марта 2025 года и вступил в силу 19 марта 2025 года — в день его публикации в Официальной газете (Resmî Gazete № 32846). Это первый в Турции специализированный, комплексный закон о кибербезопасности. Многие операционные детали по-прежнему зависят от подзаконного регулирования, которое по состоянию на середину 2026 года ещё не было опубликовано.
Распространяется ли Закон № 7545 на иностранные компании?
Да, потенциально. Закон применяется исходя из деятельности и присутствия в турецком киберпространстве, а не из гражданства. Иностранная компания, которая обслуживает турецких клиентов, размещает данные в Турции или ведёт операции, связанные с турецкими сетями, может попасть в сферу действия, причём обязанности наиболее тяжёлые для компаний, связанных с 15 определёнными секторами критической инфраструктуры.
Что такое Управление кибербезопасности?
Управление кибербезопасности (Siber Güvenlik Başkanlığı) — это национальный регулятор, созданный Президентским указом № 177 от 8 января 2025 года и подчинённый Президентству. Оно издаёт правила и стандарты, проводит проверки, налагает штрафы, авторизует продукты и услуги в области кибербезопасности и определяет критические инфраструктуры. Над ним стоит Совет по кибербезопасности под председательством Президента Республики.
Какие санкции предусмотрены Законом о кибербезопасности?
Статья 16 устанавливает уголовные наказания от 1 до 3 лет лишения свободы (за отказ предоставить запрошенную информацию инспекторам, с судебным штрафом) вплоть до 8-12 лет за кибератаку на национальную киберсилу и 10-15 лет за хранение, передачу или продажу данных, полученных в результате такой атаки. Административные штрафы — от 100 000 турецких лир для физических лиц до 100 000 000 турецких лир за нарушения в сфере критической инфраструктуры, и до 5% годовой валовой выручки от продаж, если коммерческая компания препятствует аудиту.
Как Закон № 7545 соотносится с законом Турции о защите данных?
Это раздельные, но пересекающиеся режимы с разными регуляторами и разными штрафами. Обязанности по кибербезопасности по Закону № 7545 следует вести совместно с обязанностями по персональным данным по Закону о защите персональных данных № 6698 (KVKK). Один инцидент может задействовать оба режима — по разным правилам и срокам, — поэтому лучше всего вести единый скоординированный план реагирования на инциденты.
Изданы ли уже подзаконные акты по Закону № 7545?
Не в полном объёме. Перечень критической инфраструктуры из 15 секторов был официально определён 5 мая 2026 года, а сайт Управления запущен 14 мая 2026 года, но подробные акты и циркуляры, устанавливающие пороги, форматы отчётности и процедуры аудита, не были опубликованы по состоянию на середину 2026 года — уже после срока 19 марта 2026 года. Поскольку ситуация быстро меняется, вам следует проверить текущее положение, прежде чем на него полагаться.
