7545 Sayılı Siber Güvenlik Kanunu: Kimleri Kapsar, Şirketlerin Yükümlülükleri ve Cezalar
7545 sayılı Siber Güvenlik Kanunu, Türkiye'nin ilk müstakil siber güvenlik kanunu olarak 19 Mart 2025'te yürürlüğe girdi ve siber güvenliği bir milli güvenlik meselesi olarak ele alıyor. Kanun; kamu kurumlarını, kritik altyapı işletmecilerini ve siber uzayda faaliyet gösteren tüm şirket ve bireyleri kapsar; siber olay bildirimi, denetime uyum ve onaylı ürün kullanımı gibi yükümlülükler getirir. Bu rehberde kapsamı, Siber Güvenlik Başkanlığı'nın yetkilerini, şirketlerin somut yükümlülüklerini, idari para cezalarını (yıllık brüt satış hasılatının yüzde 5'ine kadar) ve Kanun'daki hapis cezalarını sade bir dille açıklıyoruz.
7545 Sayılı Siber Güvenlik Kanunu Nedir, Neden Önemli?
7545 sayılı Siber Güvenlik Kanunu, 12 Mart 2025'te kabul edilen ve 19 Mart 2025 tarihli Resmî Gazete'de (sayı 32846) yayımlanarak aynı gün yürürlüğe giren, Türkiye'nin ilk kapsamlı ve müstakil siber güvenlik kanunudur. Kanun'dan önce siber güvenlik dağınık bir görünümdeydi: sektörel düzenlemeler, çeşitli ikincil mevzuat, Türk Ceza Kanunu'ndaki bilişim suçları (TCK 5237 m. 243-246) ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) bir arada işliyordu.
Yeni Kanun; politika belirleme, denetim ve yaptırım yetkilerini tek bir ulusal otoritede toplar ve siber güvenliği milli güvenliğin ayrılmaz bir parçası olarak konumlandırır. Şirketler için kritik nokta şudur: yükümlülükler yalnızca büyük teknoloji firmalarıyla sınırlı değildir. Siber uzayda faaliyet gösteren, hizmet sunan ya da burada bir varlık bulunduran her gerçek ve tüzel kişi Kanun kapsamına girebilir.
Bilişim sistemlerine bağımlılığın arttığı her sektörde, fidye yazılımları, veri sızıntıları ve hizmet kesintileri ciddi mali ve itibari kayıplara yol açıyor. Kanun, bu riski tek bir uygulanabilir çerçeve altında düzenleyerek hem kamu kurumlarına hem de özel sektöre somut yükümlülükler yüklüyor. Şirketinizin bilişim ve veri güvenliği uyumunu bu yeni düzenleme ışığında gözden geçirmek artık bir tercih değil, hukuki bir gerekliliktir.
Kanun Şirketinizi Kapsıyor mu? Kapsam ve Muhatap Kitle
7545 sayılı Kanun'da ölçüt, faaliyetin niteliği ve siber uzaydaki varlıktır; şirketin büyüklüğü ya da sektörü tek başına belirleyici değildir. Kanun; kamu kurum ve kuruluşlarını, kamu kurumu niteliğindeki meslek kuruluşlarını, gerçek ve tüzel kişiler ile tüzel kişiliği bulunmayan kuruluşları kapsar. Bir başka deyişle, internet üzerinden hizmet veren bir KOBİ de, bir bankanın sistemlerini işleten bir teknoloji firması da kapsam içinde olabilir.
| Durumunuz | 7545 sayılı Kanun karşısındaki olası konumunuz |
|---|---|
| Bilişim sistemleri işleten bir şirket / işletmesiniz | Kapsam içinde (yükümlü tüzel kişi) |
| İnternet üzerinden hizmet, yazılım veya platform sunuyorsunuz | Faaliyet ve siber varlık üzerinden büyük olasılıkla kapsamda |
| Müşteri verilerini barındırıyor veya işliyorsunuz | Büyük olasılıkla kapsamda |
| Kritik altyapı sektörlerinden birine sistem/hizmet sağlıyorsunuz | En ağır yükümlülüklerle birlikte kapsamda |
| Yalnızca kendi özel kanunlarına tabi istihbari/askeri faaliyet yürütüyorsunuz | Bu rejimin dışında (istisna) |
Kapsam değerlendirmesi her zaman somut faaliyete bağlıdır. Bir şirket grubu içinde hangi tüzel kişinin yükümlü olduğu, hangi sistemlerin kritik sayıldığı ve sözleşmelerle riskin nasıl paylaştırıldığı ayrı ayrı incelenmelidir. Yapınızı kurarken ya da yeniden düzenlerken uyumu baştan tasarlamak için şirketler hukuku ve ticaret hukuku alanındaki desteğimizden yararlanabilirsiniz.
Kritik Altyapı Sektörleri Hangileridir?
En geniş yükümlülükler, kritik altyapı ile bağlantılı kuruluşlara aittir. Siber Güvenlik Kurulu tarafından kritik altyapı sektörleri ayrıca belirlenir. Kamuoyuna yansıyan listede yer alan başlıca sektörler şunlardır:
- Dijital altyapı
- Dijital hizmetler
- Elektronik haberleşme
- Enerji
- Finans
- Gıda ve tarım
- İmalat / üretim
- Kamu hizmetleri
- Medya ve kriz iletişimi
- Posta ve kargo
- Sağlık
- Savunma sanayii
- Su yönetimi
- Ulaştırma
- Uzay
Sektör listesi ve kritik altyapı tanımı, ikincil mevzuat ve Kurul kararlarıyla zaman içinde netleşmektedir; bu nedenle güncel düzenlemeyi her işlemde teyit etmek önemlidir.
Kanunun Temel İlkeleri
7545 sayılı Kanun'daki temel ilkeler, düzenleyici otoritenin ayrıntılı kuralları nasıl yorumlayacağına dair yön verir. Başlıca ilkeler şunlardır:
- Milli güvenlik: Siber güvenlik, Türkiye'nin milli güvenliğinin ayrılmaz bir parçası olarak ele alınır.
- Kurumsallaşma ve sürdürülebilirlik: Güvenlik, geçici tedbirlerle değil, yapı ve süreçlere yerleştirilerek sağlanır.
- Yerli ve milli çözümler: Yerli olarak geliştirilen, onaylı ürün ve hizmetlerin kullanımı teşvik edilir.
- Ortak sorumluluk: Ekosistemdeki her aktör, sistemin korunmasından sorumludur.
- Hukuka uygunluk ve temel haklar: Alınan tedbirler hukuka uygun, ölçülü ve özel hayatın gizliliğine saygılı olmalıdır.
Mahremiyet ve temel haklara ilişkin ilkeler, 6698 sayılı KVKK ile ve Anayasa'nın özel hayatın gizliliğini koruyan hükümleriyle örtüşür. Uygulamada siber güvenlik uyumunu ve kişisel veri uyumunu birlikte yürütmek gerekir. Bu örtüşmeyi ve veri güvenliği yükümlülüklerini KVKK ve bilişim hukuku başlığı altında değerlendiriyoruz.
Siber Güvenlik Başkanlığı ve Siber Güvenlik Kurulu
Rejim, ulusal bir otorite olan Siber Güvenlik Başkanlığı bünyesinde işler. Başkanlık, 8 Ocak 2025 tarihli 177 sayılı Cumhurbaşkanlığı Kararnamesi ile kurulmuş ve doğrudan Cumhurbaşkanlığına bağlanmıştır. Onun üzerinde, strateji ve politikaları belirleyen Siber Güvenlik Kurulu yer alır; Kurula Cumhurbaşkanı başkanlık eder.
Başkanlığın başlıca yetkileri arasında şunlar bulunur:
- Düzenleyici işlemler, standartlar ve bağlayıcı teknik/idari gereklilikler çıkarmak;
- Kapsamdaki kuruluşlar nezdinde inceleme ve denetim yapmak;
- İdari yaptırım ve para cezası uygulamak;
- Siber güvenlik ürün, hizmet ve personelini yetkilendirmek/belgelendirmek;
- Kritik altyapıları belirlemek ve bunlara özgü yükümlülükler getirmek.
Bunun pratik bir sonucu da tedarik kuralıdır: kamu kurumları ve kritik altyapı işletmecileri, yalnızca Başkanlık tarafından yetkilendirilen veya belgelendirilen ürün ve hizmetleri kullanabilir. Bu nedenle teknoloji tedarik kararlarının ve sözleşmelerinin bu onay sürecini dikkate alacak şekilde planlanması gerekir. Siber güvenliğin işlem yapısını veya yatırım riskini etkilediği durumlarda şirketler hukuku ekibimiz destek sağlar.
Şirketlerin Temel Yükümlülükleri Nelerdir?
Yükümlülükler sektöre ve kritik altyapı niteliğine göre değişmekle birlikte, kapsamdaki kuruluşların aşağıdaki temel ödevleri beklemesi gerekir:
- Siber olay bildirimi: Siber olayları ve güvenlik açıklarını gecikmeksizin Başkanlığa bildirmek (yasal yükümlülük yürürlüktedir; bildirim formu, eşik ve süreler ikincil mevzuatla netleşir).
- Güvenlik tedbirleri: Riskle orantılı teknik ve idari güvenlik tedbirlerini almak ve sürdürmek.
- Denetime uyum: Sistemleri denetime hazır tutmak; görevlendirilen denetçilere gerekli erişim, altyapı ve bilgiyi sağlamak.
- Onaylı ürün kullanımı: Kamu kurumları ve kritik altyapı için yalnızca Başkanlıkça onaylı siber güvenlik ürün ve hizmetlerini tedarik etmek.
- Yönetişim: Siber güvenliği yönetim kurulu düzeyinde risk gözetimine dahil etmek; yazılı politikalar ve net sorumluluk zinciri kurmak.
Cezalar: Hapis Cezaları ve İdari Para Cezaları
7545 sayılı Kanun, yükümlülükleri hem hapis cezaları hem de idari para cezaları ile destekler; bu nedenle uyumsuzluk ciddi bir hukuki risktir. Cezai hükümler, TCK 5237'deki mevcut bilişim suçları (m. 243-246) ile birlikte uygulanır.
Kanun'daki hapis cezası gerektiren fiiller
| Fiil | Öngörülen ceza (Kanun'a göre) |
|---|---|
| Talep edilen bilgi, belge, yazılım, veri veya donanımı yetkililere/denetçilere vermekten kaçınma veya engelleme | 1-3 yıl hapis + adli para cezası |
| Gerekli yetki/onay olmaksızın düzenlemeye tabi faaliyet yürütme | 2-4 yıl hapis + adli para cezası |
| Gizlilik yükümlülüğünün ihlali | 4-8 yıl hapis |
| Kritik kamu hizmetlerine ilişkin verilerin hukuka aykırı ele geçirilmesi, sızdırılması veya ifşası | 3-5 yıl hapis |
| Milli siber güç unsurlarına yönelik siber saldırı | 8-12 yıl hapis |
| Böyle bir saldırıyla elde edilen verinin saklanması, aktarılması veya satılması | 10-15 yıl hapis |
Kanun, bu cezaların kamu görevlisi tarafından veya bir örgüt faaliyeti çerçevesinde işlenmesi hâlinde artırılmasını da öngörür. Madde numaraları, ceza miktarları ve artırım oranları, uygulamada güncel kanun metni üzerinden teyit edilmelidir.
İdari para cezaları
Başkanlık, kademeli idari para cezaları uygulayabilir; en ağır kademeler kritik altyapı ihlallerine ayrılmıştır:
| İhlal türü | İdari para cezası aralığı (Kanun'a göre) |
|---|---|
| Gerçek kişilerin denetime uyum yükümlülüğünü ihlali | 100.000 - 1.000.000 TL |
| Yasal yükümlülüklerin genel ihlali | 1.000.000 - 10.000.000 TL |
| Kritik altyapı yükümlülüklerinin ihlali | 10.000.000 - 100.000.000 TL |
| Ticari şirketin denetimi engellemesi / denetçi yükümlülüklerini yerine getirmemesi | Yıllık brüt satış hasılatının %5'ine kadar |
7545 Sayılı Kanun ile KVKK Birlikte Nasıl Uygulanır?
Tek bir siber olay, aynı anda iki ayrı rejimi tetikleyebilir. 7545 sayılı Siber Güvenlik Kanunu ile 6698 sayılı KVKK, ayrı düzenleyiciler ve ayrı yaptırımlar içeren farklı rejimlerdir; aynı olay için her ikisi kapsamında da yükümlülükleriniz doğabilir.
| 7545 sayılı Kanun (Siber Güvenlik) | 6698 sayılı KVKK | |
|---|---|---|
| Koruduğu değer | Siber uzay ve milli güvenlik | Kişisel veriler ve özel hayatın gizliliği |
| Düzenleyici otorite | Siber Güvenlik Başkanlığı | Kişisel Verileri Koruma Kurumu (KVKK) |
| Tipik tetikleyici | Siber olay, saldırı, denetime uyumsuzluk | Veri ihlali veya hukuka aykırı veri işleme |
| Yaptırım | Hapis cezaları + idari para cezaları (cironun %5'ine kadar) | İdari para cezaları + TCK kapsamında ayrı cezai sorumluluk |
Bir saldırı müşterilerin kişisel verilerini de ifşa ediyorsa, hem Siber Güvenlik Başkanlığı'na hem de Kişisel Verileri Koruma Kurumu'na, farklı kurallar ve farklı süreler içinde bildirim yapmanız gerekebilir. Bu nedenle her iki rejimi de karşılayan tek bir siber olay müdahale planı kurmak en sağlıklı yoldur. Veri ihlali sürecinde tazminat ve sorumluluk boyutu için tazminat hukuku alanındaki desteğimizi de değerlendirebilirsiniz.
İkincil Mevzuat ve Takip Edilmesi Gerekenler
Çerçeve yürürlükte olmakla birlikte, uygulamaya ilişkin ayrıntıların önemli bir kısmı ikincil mevzuatla şekillenmektedir. Bu nedenle uyumu hareketli bir hedef olarak görmek ve durumu düzenli aralıklarla yeniden kontrol etmek gerekir.
- Kritik altyapı listesi: Siber Güvenlik Kurulu kararıyla belirlenir ve zaman içinde güncellenebilir.
- Başkanlığın faaliyetleri: Bildirim formları ve güvenlik bültenleri Başkanlık tarafından duyurulur; resmî kanallar takip edilmelidir.
- Uygulama yönetmelikleri: Eşikleri, bildirim usullerini, teknik standartları ve denetim prosedürlerini belirleyen yönetmelik ve tebliğler kademeli olarak çıkarılmaktadır.
- Ürün belgelendirmesi: Siber güvenlik ürünlerine ilişkin yetkilendirme/belgelendirme süreci aşamalı olarak işlemekte olup, ilgili belgelerin erkenden hazırlanması yerinde olur.
Şirketler Uyum İçin Hangi Adımları Atmalı?
Tek ve uygulanabilir bir rejim, Türkiye'deki bilişim sistemleriyle bağlantılı her işletme için uyum tablosunu değiştirmiştir. Atılması gereken pratik ilk adımlar şunlardır:
- Faaliyetinizin ve siber varlığınızın sizi kapsama alıp almadığını, kritik altyapı sektörlerinden birine dokunup dokunmadığınızı değerlendirin.
- 7545 sayılı Kanun yükümlülüklerini mevcut KVKK programınızla ve varsa sektörel düzenleyici kurallarla eşleştirin; boşlukları kapatın, mükerrerliği önleyin.
- Başkanlığa hızla bildirim yapabilecek bir siber olay tespit ve bildirim süreci kurun; her bildirimin kanıtını saklayın.
- Onaylı ürün gerekliliği açısından teknoloji tedarik zincirinizi ve sözleşmelerinizi gözden geçirin; özellikle kritik altyapıya hizmet veriyorsanız.
- Siber güvenliği yönetim kurulu gündemine yazılı yönetişimle taşıyın; çünkü ciroya dayalı cezalar ve kişisel cezai sorumluluk, bunu bir BT dipnotundan stratejik bir riske dönüştürür.
İkincil mevzuat gelişmeye devam ettiğinden ve sonuçlar somut olaya göre değiştiğinden, genel bir rehbere dayanmadan önce hukuki durumunuzun bir avukat tarafından değerlendirilmesi yerinde olur. Şirketinize özgü uyum, sözleşme ve risk yönetimi konularında bizimle iletişime geçebilir ve KVKK ve bilişim hukuku ile ticaret hukuku alanındaki hizmetlerimizi inceleyebilirsiniz.
Sıkça sorulan sorular
7545 sayılı Siber Güvenlik Kanunu ne zaman yürürlüğe girdi?
7545 sayılı Kanun 12 Mart 2025'te kabul edilmiş ve 19 Mart 2025 tarihli, 32846 sayılı Resmî Gazete'de yayımlanarak aynı gün yürürlüğe girmiştir. Türkiye'nin ilk müstakil ve kapsamlı siber güvenlik kanunudur. Uygulamaya ilişkin birçok ayrıntı, kademeli olarak çıkarılan ikincil mevzuatla netleşmektedir; bu nedenle güncel düzenlemeyi teyit etmek önemlidir.
Siber Güvenlik Kanunu hangi şirketleri kapsar?
Kanun; kamu kurum ve kuruluşlarını, kamu kurumu niteliğindeki meslek kuruluşlarını, gerçek ve tüzel kişiler ile tüzel kişiliği bulunmayan kuruluşları kapsar. Ölçüt, faaliyetin niteliği ve siber uzaydaki varlıktır. İnternet üzerinden hizmet veren bir KOBİ de, müşteri verisi işleyen bir şirket de kapsam içine girebilir; en ağır yükümlülükler ise kritik altyapı ile bağlantılı kuruluşlara aittir.
Siber Güvenlik Başkanlığı'nın görev ve yetkileri nelerdir?
Siber Güvenlik Başkanlığı, 8 Ocak 2025 tarihli 177 sayılı Cumhurbaşkanlığı Kararnamesi ile kurulmuş ve doğrudan Cumhurbaşkanlığına bağlı ulusal düzenleyici otoritedir. Düzenleyici işlemler ve standartlar çıkarır, denetim yapar, idari para cezası uygular, siber güvenlik ürün ve hizmetlerini yetkilendirir ve kritik altyapıları belirler. Üzerinde, Cumhurbaşkanının başkanlık ettiği Siber Güvenlik Kurulu yer alır.
Siber Güvenlik Kanunu'ndaki cezalar nelerdir?
Kanun, hem hapis cezaları hem de idari para cezaları öngörür. Talep edilen bilgiyi vermekten kaçınma 1-3 yıl hapisten başlar; milli siber güç unsurlarına yönelik siber saldırı 8-12 yıla, bu saldırıyla elde edilen verinin saklanması/aktarılması/satılması 10-15 yıla kadar çıkar. İdari para cezaları gerçek kişiler için 100.000 TL'den, kritik altyapı ihlallerinde 100.000.000 TL'ye kadar uzanır; ticari şirketin denetimi engellemesi hâlinde yıllık brüt satış hasılatının %5'ine kadar ceza uygulanabilir.
Siber olay bildirimini kime ve nasıl yapmam gerekir?
Kanun, kapsamdaki kuruluşlara siber olayları ve güvenlik açıklarını gecikmeksizin Siber Güvenlik Başkanlığı'na bildirme yükümlülüğü getirir. Bildirimin tam formu, eşikleri ve süreleri ikincil mevzuatla belirlenmektedir. İlgili usul tam olarak netleşmemiş olsa bile yükümlülük yürürlüktedir; bu nedenle bir siber olayda Başkanlığa derhal bildirim yapmak ve atılan adımları yazılı olarak belgelemek doğru yaklaşımdır.
7545 sayılı Kanun ile KVKK arasındaki ilişki nedir?
Bunlar ayrı ama örtüşen rejimlerdir; ayrı düzenleyicileri ve ayrı yaptırımları vardır. 7545 sayılı Kanun siber uzayı ve milli güvenliği, 6698 sayılı KVKK ise kişisel verileri korur. Müşteri verilerini de etkileyen tek bir siber olay, hem Siber Güvenlik Başkanlığı'na hem de Kişisel Verileri Koruma Kurumu'na, farklı kurallar ve sürelerle bildirim yükümlülüğü doğurabilir. Bu nedenle her iki rejimi de karşılayan tek bir müdahale planı kurmak en sağlıklı yoldur.
Şirketim küçük bir işletme; yine de bu Kanun'a uymak zorunda mıyım?
Kapsam, şirketin büyüklüğüne değil faaliyetin niteliğine ve siber uzaydaki varlığa bağlıdır. Bu nedenle internet üzerinden hizmet veren, müşteri verisi işleyen ya da bilişim sistemleri kullanan küçük işletmeler de Kanun kapsamına girebilir. Yükümlülüklerin yoğunluğu kritik altyapı niteliğine göre değişir; somut durumunuzun bir avukat tarafından değerlendirilmesi, hangi ödevlerin sizin için geçerli olduğunu netleştirir.
İdari para cezasına itiraz edebilir miyim?
Başkanlık tarafından uygulanan idari para cezalarına karşı idari yargı yolu açıktır. İdari yaptırımlara itiraz, ilgili usul kurallarına ve sürelere tabidir; cezanın türü ve dayanağına göre başvuru mercii ve süreleri değişebilir. Cezayı tebliğ aldığınızda süre kaçırmamak için vakit kaybetmeden hukuki değerlendirme almanız ve başvuru yolunu somut olaya göre belirlemeniz önerilir.
