Siber Güvenlik Kanunu (“Kanun”), 19.03.2025 tarihli 32846 sayılı Resmî Gazete’de yayımlanarak yürürlüğe girdi. Kanun, siber uzaydaki tehditlerin tespit ve bertaraf edilmesini, siber olayların muhtemel etkilerinin azaltılmasını, çeşitli aktörlerin siber saldırılara yönelik korunmasını ve ülkenin siber güvenliğinin güçlenmesini amaçlamaktadır. Kanun, doğrudan veya dolaylı olarak internette, elektronik haberleşme veya bilgisayar ağlarına bağlı olan tüm bilişim sistemlerinde ve bunları birbirine bağlayan ağlarda (siber uzayda) varlık gösteren, faaliyet yürüten ve hizmet sunan kamu kurum ve kuruluşlarını, kamu kurumu niteliğindeki meslek kuruluşlarını, gerçek ve tüzel kişileri ve tüzel kişiliği bulunmayan kuruluşları kapsamaktadır. Aşağıda detaylarına yer verilen Kanun’un uygulanmasına ilişkin düzenlemelerin bir yıl içinde yürürlüğe konacağı düzenlenmiştir.

1. Siber Güvenlik Başkanlığı

Kanun ile Siber Güvenlik Başkanlığının (“Başkanlık”) görevlerini düzenlemiştir. Buna göre Başkanlık, (i) kritik altyapılar ve bilişim sistemlerinin dayanıklılığının artırılmasına ve bunların siber saldırılara karşı korunmasına, siber saldırıların tespitine ve bunlarla mücadele edilmesine, siber tehdit istihbaratı toplanmasına, zararlı yazılımlarına incelenmesine; (ii) kritik altyapılar ile ait oldukları kurumların ve konumların belirlenmesine; (iii) kamu kurum ve kuruluşları ile kritik altyapıların veri envanteri dâhil olmak üzere tüm varlıklarının envanterinin tutulmasına ve varlıklara yönelik risk analizinin gerçekleştirilmesine, kamu kurum ve kuruluşları ile kritik altyapıların sahip olduğu varlıkların kritikliğine göre güvenlik tedbirlerinin alınmasına ve güvenliğinin sağlanmasına; (iv) siber olaylara müdahale ekibi kurulmasına; (v) siber güvenlik alanında uyulacak usul ve esaslar ile standartların belirlenmesine, bu alanda test ve sertifikasyon işlemlerinin yürütülmesine, bu alanda denetimlerin yapılmasına ve yaptırımların uygulanmasına; (vi) siber güvenlik ürün ve hizmetlerinin ve bunları sağlayacak işletmelerin taşıması gereken niteliklerin belirlenmesine ve bunların denetlenmesine ilişkin kuralların belirlenmesine yönelik faaliyetleri yürütecektir.

2. Siber Güvenlik Kurulu

Kanun ile Siber Güvenlik Kurulunun (“Kurul”) kurulmasına karar verilmiştir. Kurul, Cumhurbaşkanı, Cumhurbaşkanı Yardımcısı, Adalet Bakanı, Dışişleri Bakanı, İçişleri Bakanı, Milli Savunma Bakanı, Sanayi ve Teknoloji Bakanı, Ulaştırma ve Altyapı Bakanı, Milli Güvenlik Kurulu Genel Sekreteri, Milli İstihbarat Teşkilatı Başkanı, Savunma Sanayii Başkanı ve Siber Güvenlik Başkanından oluşur. Kurul; (i) siber güvenlik ile ilgili politika, strateji, eylem ve planı ve diğer düzenleyici işlemleri ve bunların istisnalarını belirlemeye, (ii) Başkanlık tarafından hazırlanan siber güvenlik alanına ilişkin yol haritasını uygulamaya, (iii) siber güvenlik alanındaki teşvikleri belirlemeye ve insan kaynağını geliştirecek kararlar almaya, (iv) kritik altyapı sektörlerini belirlemeye ve (v) Başkanlık ile diğer kamu kurum ve kuruluşları arasındaki ihtilaflar hakkında karar almaya yetkilidir.

3. Bilişim Sistemlerini Kullanmak Suretiyle Hizmet Sunan, Veri Toplayan, İşleyen ve Benzeri Faaliyet Yürütenlerin Sorumlulukları

Kanun, bilişim sistemlerinin kullanmak suretiyle hizmet sunan, veri toplayan, işleyen ve benzeri faaliyet yürütenlerin görev ve sorumluluklarını düzenlemiştir. Buna göre anılan aktörler; (i) Başkanlık tarafından talep edilen her türlü bilgi ve belgeyi paylaşmak, (ii) siber güvenliğe yönelik milli güvenlik, kamu düzeni veya kamu hizmetinin gereği gibi ifası amacıyla gerekli tedbirleri almak ve hizmet sundukları alanda tespit ettikleri zafiyet ve siber olayları gecikmeksizin Başkanlık’a bildirmek, (iii) kamu kurum ve kuruluşları ile kritik altyapılarda kullanılacak ürün ve hizmetleri yetkilendirilmiş ve belgelendirilmiş siber güvenlik uzmanlarından, üreticilerinden veya şirketlerinden almak, (iv) Başkanlık tarafından geliştirilen politika ve stratejilere uyumlu olmak zorundadır.

Ayrıca sertifikasyon, yetkilendirme ve belgelendirmeye tabi siber güvenlik şirketleri, faaliyete başlamadan önce mevcut düzenlemeler çerçevesinde Başkanlığın onayını almak zorundadır. Siber güvenlik ürün ve hizmetlerinin yurt dışına satışı da Başkanlık’ın onayı üzerine mümkün olacaktır. Siber güvenlik şirketlerinin birleşme, bölünme, pay devri veya satış işlemleri de Başkanlık’a bildirilecek, bu işlemlerden siber güvenlik şirketi üzerinde münferiden veya birlikte doğrudan veya dolaylı kontrol hakkı veya karar alma yetkisi tanıyanlar Başkanlık onayına tabi olacaktır.

4. Yaptırımlar

Kanun, öngördüğü yükümlülüklerin ihlali halinde çeşitli ve ağır yaptırımlar düzenlemektedir. Buna göre (i) Kanun tarafından yetkilendirilen mercilerin ve denetim görevlilerinin talep ettiği bilgi ve belgeyi sağlamamak, (ii) gerekli onay, yetki ve izinler alınmaksızın faaliyet yürütmek, (iii) sır saklama yükümlülüğünü ihlal etmek, (iv) sızdırılan verileri yaymak, (v) veri sızıntısı olmadığı bilgisine rağmen endişe ve paniğe yol açmak amacıyla veri sızıntısı olduğuna dair gerçeğe aykırı içerik oluşturmak, (vi) siber saldırı düzenlemek, saldırı sonucu elde edilen verileri yaymak, (vii) Kanun uyarınca tanınan görev ve yetkilerini kötüye kullanmak veya bu görevi gereği saldırıya karşı koruma yükümlülüğünü ihlal etmek yönündeki eylemler hakkında hapis cezası öngörülmüştür.

Öte yandan bilişim sistemlerinin kullanmak suretiyle hizmet sunan, veri toplayan, işleyen ve benzeri faaliyet yürütenlerin siber güvenlik zafiyetlerini ve siber olayları Başkanlık’a bildirmemesi halinde ve siber güvenlik hizmetinin yetkilendirilmiş ve belgelendirilmiş siber güvenlik uzmanlarından, üreticilerinden veya şirketlerinden alınmaması halinde bir milyon Türk lirasından on milyon Türk lirasına kadar idari para cezası düzenlenmiştir. Siber güvenlik şirketleri için düzenlenen yükümlülüklerin ihlali halinde ise on milyon Türk lirasından yüz milyon Türk lirasına kadar idari para cezası düzenlenmiştir. Nihayet Başkanlık denetimi sürecine dair düzenlenen yükümlülüklerin ihlali halinde yüz bin Türk lirasından bir milyon Türk lirasına kadar idari para cezası düzenlenmiştir. Denetim yükümlülüklerini ihlal eden tarafın ticari şirket olması halinde üst sınır olarak brüt satış hasılatının %5’i üst sınır olarak belirlenmiştir.

Herhangi bir sorunuz olması halinde bize ulaşabilirsiniz.