top of page
Ara

Siber Güvenlik Kanunu İncelemesi

  • Paksoy
  • 21 Mar
  • 8 dakikada okunur
Siber Güvenlik Temsili

Siber Güvenlik Kanunu, 19 Mart 2025 Çarşamba günü Resmî Gazete’de yayımlanarak yürürlüğe girmiştir. Kanun, özellikle bilgi ve bilişim teknolojileri, finans, telekomünikasyon gibi sektörlerde faaliyet gösteren özel şirketler ile siber güvenlik alanında faaliyet gösteren dernek, derneklerden oluşan federasyonlar, vakıflar ile ticaret şirketleri için mevzuata uyum sağlanması gerekliliği bakımından önem taşımaktadır. Aşağıda Siber Güvenlik Kanunu incelemesi yapılmıştır.

 

1. Kanunun Amacı


Kanunun temel amacı, Türkiye’nin siber uzaydaki milli gücünü oluşturan tüm unsurlar karşısında iç ve dış kaynaklı mevcut ve muhtemel tehditleri tespit etmek, bertaraf etmek ve siber olayların etkilerini azaltacak önlemleri belirlemek olarak açıklanmıştır. Buna ek olarak kamu kurum ve kuruluşlarının, kamu kurumu nitelikli meslek kuruluşlarının, gerçek ve tüzel kişilerin ve tüzel kişiliği bulunmayan kuruluşların siber saldırılara karşı korunması için gerekli düzenlemelerin yapılması, strateji ve politikaların oluşturulması ve nihayetinde Siber Güvenlik Kurulu’nun kurulmasının esasları düzenlemek hedeflenmiştir.

 

2. Kapsam

Kanun, siber uzayda varlık gösteren ve hizmet sunan kamu kurum ve kuruluşları, kamu kurumu niteliğindeki meslek kuruluşları, gerçek ve tüzel kişiler ile tüzel kişiliği bulunmayan kuruluşları kapsamaktadır. Ancak, istihbari faaliyetler gibi belirli güvenlik ve savunma alanında yürütülen faaliyetler, ilgili diğer kanunlarla düzenlendiğinden bu kanun kapsamı dışında bırakılmıştır (Polis Vazife ve Salâhiyet Kanunu, Sahil Güvenlik Komutanlığı Kanunu, Jandarma Teşkilat, Görev ve Yetkileri Kanunu uyarınca yürütülen istihbari faaliyetler, Devlet İstihbarat Hizmetleri ve Milli İstihbarat Teşkilatı Kanunu ile Türk Silahlı Kuvvetleri İç Hizmet Kanunu).

 

Kanun, siber uzay kavramını, doğrudan ya da dolaylı olarak internete, elektronik haberleşme veya bilgisayar ağlarına bağlı olan tüm bilişim sistemleri ve bunları birbirine bağlayan ağlardan oluşan ortam olarak tanımlamıştır. Siber uzayda ‘varlık’ ifadesi ise, elektronik veya fiziksel ortamlarda yer alan ve iletişim yoluyla aktarılabilen veriyi içeren tüm bilgi ve bilgi işleme olanaklarını, veriyi kullanan veya taşıyan personeli ve veriyi barındıran fiziksel mekânları ifade etmektedir.

 

3. İlkeler

Siber güvenliğin sağlanmasında belirli temel ilkeler sayılmıştır. Siber güvenlik milli güvenliğin ayrılmaz bir parçası olarak görülmüş ve bu alandaki çalışmaların kurumsallık, süreklilik ve sürdürülebilirlik temelli yürütülmesi ilkeler arasında gösterilmiştir. 

Siber güvenlik tedbirlerinin, hizmet ve ürünlerin tüm yaşam döngüsü boyunca uygulanması esas kabul edilmiştir. Ayrıca siber güvenliğin sağlanmasına yönelik çalışmalarda öncelikle yerli ve milli ürünler tercih edilecektir. 

Siber güvenlik politika ve stratejilerinin yürütülmesi ile siber saldırıların önlenmesi veya etkisinin azaltılmasına yönelik gerekli tedbirlerin alınmasından tüm kamu kurum ve kuruluşları ile gerçek ve tüzel kişiler sorumlu tutulmuştur. Siber güvenlik süreçlerinin yürütülmesinde hesap verebilirlik temel ilkelerdendir. 

Siber güvenlik alanında nitelikli insan kaynağı kabiliyet ve kapasitesinin artırılmasına yönelik çalışmalar teşvik edilecektir. Ayrıca siber güvenlik kültürünün toplum genelinde yaygınlaştırılması ve hukukun üstünlüğü, temel insan hak ve hürriyetleri ile mahremiyetin korunması hedef ilkelerdendir.


4. Siber Güvenlik Başkanlığı’nın Görevleri

Kanunun 5. Maddesi Siber Güvenlik Başkanlığı’nın görevlerini düzenlemektedir.

  • Kritik altyapılar ve bilişim sistemlerinin siber dayanıklılığının artırılması, siber saldırıların tespiti, önlenmesi ve etkilerinin azaltılması.

  • Zafiyet analizleri, sızma testleri ve risk değerlendirmeleri yaparak, siber tehditlere karşı proaktif önlemler almak.

  • Kamu kurumları ve kritik altyapıların varlık envanterlerinin tutulmasını sağlamak; bu envanterlere yönelik risk analizlerinin gerçekleştirilmesine olanak tanımak.

  • Siber olaylara müdahale ekipleri (SOME) kurmak, denetlemek ve bu ekiplerin olgunluk seviyelerini artırmak amacıyla tatbikatlar düzenlemek.

  • Siber güvenlik standartlarının, test ve sertifikasyon süreçlerinin geliştirilmesi ve uygulanmasını sağlamak başkanlığın görevidir.

 

5. Siber Güvenlik Başkanlığı’nın Yetkileri

Kanunun 6. Maddesi Siber Güvenlik Başkanlığı’nın yetkilerini düzenlemektedir. Başkanlık,  yukarıda sayılan görevlerini yerine getirirken aşağıdaki yetkileri kullanır:


Başkanlık, kanun kapsamındakilerin siber saldırılara karşı korunması ve bu saldırıların kaynağına karşı caydırıcılık sağlanması için gerekli tedbiri alır veya aldırır. Bu kapsamda bilişim sistemlerine uygun bulunan yazılım ve donanım ürünlerinin kurulum ve entegrasyonunu sağlayabilir, bu ürünler tarafından üretilen veya toplanan veri ve log kayıtlarını Başkanlık yönetiminde bulunan bilişim sistemlerine aktarabilir, siber olayların tespitine yönelik gerekli yöntemi ve aracı kullanabilir.


Kanun kapsamındakilerden siber olaya maruz kalanlara yerinde veya uzaktan siber olay müdahale desteği sağlayabilir, siber uzayda bulunan veya elde ettiği veri, imaj veya log kayıtları üzerinden saldırılara ait izleri takip edebilir, bunları inceleyerek delillendirebilir, suç teşkil ettiği değerlendirilen bulguları adli makamlar ve diğer ilgililer ile paylaşır, yurt içi ve yurt dışındaki paydaşlar ile koordinasyon sağlayabilir.


Kanun kapsamındakilerden, yürüttüğü faaliyetlerle sınırlı olmak üzere bilgi, belge, veri ve kayıtları alabilir ve değerlendirmesini yapabilir, bunlara ait arşivlerden, elektronik bilgi işlem merkezlerinden ve iletişim altyapısından yararlanabilir ve bunlarla irtibat kurabilir. Bu kapsamda elde edilen bilgi, belge, veri ve kayıtlar, en fazla iki yıl süreyle çalışmaya konu edilir ve çalışma süresi sonrasında imha edilir.


Bilişim sistemlerindeki log kayıtlarını bünyesinde toplayabilir, saklayabilir, değerlendirebilir. Bunlar hakkında rapor hazırlayarak ilgili kurum ve kuruluşlar ile paylaşabilir.


Bu Kanun kapsamındaki kurum, kuruluş ve ilgili diğer gerçek ve tüzel kişiler ile tüzel kişiliği bulunmayan kuruluşları sınıflandırabilir, faaliyetlerini icra ederken gerektiğinde sadece belirli bir kısmını kapsayan hükümler oluşturabilir.


Kamu kurum ve kuruluşları ile kritik altyapıların bilişim sistemlerinde kullanılacak ve siber güvenliğe etkisi olan yazılım, donanım, ürün ve hizmetlere dair kriterler ile Başkanlığa yapılacak bildirimlere ilişkin usul ve esasları belirler.


Siber güvenlik yazılım, donanım, ürün ve hizmetlerinin asgari güvenlik kriterlerini belirler. Bunları sağlayacak veya tedarik edecek gerçek ve tüzel kişilere yönelik sertifikasyon, yetkilendirme ve belgelendirme süreçlerini yönetir. Siber güvenlik yazılım, donanım, ürün ve hizmetlerinin belirlenecek standartlara uygun hale getirilmesini talep edebilir, bu talebe uyum sağlamayanların kullanılmasını önleyici tedbirler alabilir.


Kanun uyarınca yürütülen iş ve işlemler kapsamında kişisel veriler; hukuka ve dürüstlük kurallarına uygun şekilde, doğru ve gerektiğinde güncel olmak kaydıyla, belirli, açık ve meşru amaçlarla, işlendiği amaçla bağlantılı, sınırlı ve ölçülü olmak kaydıyla ve işlendiği amaç için gerekli olan süre kadar muhafaza edilmek üzere işlenir. Kanunda belirtilen yetkiler çerçevesinde elde edilecek kişisel veriler ve ticari sırlar; bu verilere erişilmesini gerektiren sebeplerin ortadan kalkması halinde resen silinir, yok edilir veya anonim hale getirilir.


Yetkilerin kullanılmasına ilişkin usul ve esasların Cumhurbaşkanı tarafından çıkarılacak yönetmelikle belirleneceği düzenlenmiştir.

 

6. Siber Güvenlik Kurulu

Kurulda, Cumhurbaşkanı, Cumhurbaşkan Yardımcısı, Adalet, Dışişleri, İçişleri, Milli Savunma, Sanayi ve Teknoloji, Ulaştırma ve Altyapı bakanları; ayrıca Milli Güvenlik Kurulu Genel Sekreteri, Milli İstihbarat Teşkilatı Başkanı, Savunma Sanayii Başkanı ve Siber Güvenlik Başkanı yer almaktadır.

 

Kurulun görevleri, siber güvenlikle ilgili politika, strateji, eylem planı ve düzenleyici işlemlerin belirlenmesi ile teknoloji yol haritasının uygulanması, siber güvenlik alanında öncelikli sektörlerin ve insan kaynağının geliştirilmesi, kurumlar arası ihtilafların giderilmesi gibi kararları almaktır.

 

 

7. Denetim

Siber Güvenlik Başkanlığı, kanun kapsamındaki tüm kurum, kuruluş ve kişilerin siber güvenlikle ilgili faaliyetlerini denetleme yetkisine sahiptir. Denetim kapsamında mahallinde inceleme ve dijital ortamdaki verilerin, log kayıtlarının toplanması, gerekli durumlarda arama, kopya çıkarma ve el koyma işlemleri sayılmıştır.

 

Denetimle görevlendirilenler; yürüttükleri denetim faaliyetleriyle sınırlı olarak elektronik ortamdaki verinin, belgelerin, elektronik altyapının, cihaz, sistem, yazılım ve donanımlarının incelenmesi, bunlardan kopya, dijital suret veya örnek alınması, konuyla ilgili yazılı veya sözlü açıklama istenmesi, gerekli tutanakların düzenlenmesi, tesislerin ve işletiminin incelenmesi konularında yetkilidir.

 

Denetime tabi tutulanlar, ilgili cihaz, sistem, yazılım ve donanımları verilen sürelerde denetlemeye açık tutmak, denetim için gerekli altyapıyı temin etmek ve çalışır vaziyette tutmak için gerekli önlemleri almak zorundadır.

 

Arama, hakim kararı üzerine veya gecikmesinde sakınca bulunan hâllerde Cumhuriyet savcısının yazılı emri ile konutta, işyerinde ve kamuya açık olmayan kapalı alanlarda yapılabilecek, uzun süreli hizmet aksamasına yol açmayacak ve kesintisiz şekilde kopya çıkarma ve el koyma işlemi gerçekleştirilebilecektir. Yetkilendirilmiş veri merkezi işletmecilerinin veri merkezlerinde sadece hakim kararıyla arama, kopya çıkarma ve el koyma işlemi yapılabilir. Kamu kurum ve kuruluşları bakımından hakim kararı aranmaz.

 

8. İşbirliği

Kanun, siber güvenlik kapsamındaki tüm gerçek ve tüzel kişilerin, ilgili veri, belge ve altyapı bilgilerini zamanında ve eksiksiz olarak yetkili mercilere iletmelerini, siber olayları gecikmeksizin bildirmelerini öngörmektedir. Bu kapsamda, kamu kurumları, özel sektör ve siber güvenlik alanında faaliyet gösteren diğer kuruluşlar arasında koordinasyon ve işbirliğinin artırılması hedeflenmiştir.

 

9. Siber Güvenlik Ürünleri ve Şirketleri

Siber güvenlik ürün, sistem, yazılım, donanım ve hizmetlerin yurt dışına satışı, Başkanlıkça belirlenecek usul ve esaslara uygun olarak yapılacaktır. Bu usul ve esaslarda yer alacak izne tabi ürünlerin yurt dışına satışında Başkanlık onayı alınır.

 

Siber güvenlik ürün, sistem, yazılım, donanım ve hizmetleri üreten şirketlerin birleşme, bölünme, pay devri veya satış işlemleri Başkanlığa bildirilecektir. Bu işlemler kapsamında gerçek veya tüzel kişilere münferiden veya birlikte şirket üzerinde doğrudan veya dolaylı kontrol hakkı veya karar alma yetkisi sağlayan işlemler Başkanlık onayına tabidir. Başkanlık onayı alınmaksızın gerçekleştirilen işlemler hukuki bir geçerlilik kazanmaz. Başkanlık, bu madde kapsamında yapılacak işlemlerle ilgili olarak kurum ve kuruluşlardan bilgi ve belge talep edebilir. Uygulamaya ilişkin detaylar ise yine Başkanlık tarafından yayımlanacak usul ve esaslar ile belirlenecektir.

 

 

10.Bilişim sistemleri kullanarak hizmet sunan, veri toplayan ve işleyenlerin görev ve sorumlulukları:

Kanun kapsamında yer alan ve bilişim sistemleri kullanmak suretiyle hizmet sunan, veri toplayan, işleyen ve benzeri faaliyet yürütenlere, siber güvenliğin sağlanması amacıyla bazı görev ve sorumluluklar yüklenmiştir.

 

Veri ve Bilgi İletimi: Başkanlık tarafından talep edilen her türlü veri, bilgi, belge, donanım, yazılım ve diğer katkılar zamanında ve öncelikli olarak Başkanlığa iletilmelidir.

 

Siber Güvenlik Tedbirleri: Mevzuata uygun olarak, milli güvenlik ve kamu hizmetlerinin düzgün işleyebilmesi için gerekli siber güvenlik tedbirleri alınmalı ve tespit edilen zafiyet veya siber olaylar derhal Başkanlığa bildirilmelidir.

 

Siber Güvenlik Ürün ve Hizmet Tedariki: Kamu kurumları ile kritik altyapılar için siber güvenlik ürünleri ve hizmetleri, Başkanlık tarafından yetkilendirilmiş uzmanlar veya belgelendirilmiş şirketlerden temin edilmelidir.

 

Onay Alınması: Sertifikasyon, yetkilendirme ve belgelendirme süreçlerine tabi olan siber güvenlik şirketleri, faaliyetlerine başlamadan önce Başkanlık'tan onay almalıdır.

 

Siber Olgunluk: Başkanlık tarafından belirlenen politika ve stratejiler doğrultusunda siber olgunluğun artırılmasına yönelik gerekli tedbirler alınmalıdır.

 

11.Uyum ve Geçiş Düzenlemeleri

Siber güvenlik alanında faaliyet gösteren dernek, derneklerden oluşan federasyonlar, vakıflar ile ticaret şirketleri, düzenlemelerin yürürlüğe girmesinden itibaren bir yıl içerisinde Başkanlığın belirlediği ilke ve esaslar çerçevesinde sertifikasyon, yetkilendirme ve belgelendirme işlemlerini tamamlamakla yükümlüdür. Bu yükümlülüğün yerine getirilmemesi halinde siber güvenlik alanında faaliyette bulunulamaz.

 

Bu süre sonunda söz konusu yükümlülüklerini yerine getirmeyen dernek, vakıf ve federasyonların tüzel kişiliklerine, Başkanlığın talebi üzerine Türk Medenî Kanununun ilgili hükümlerine göre mahkeme kararıyla son verilir ve mahkeme tarafından yargılama sürecinde gerekli tedbirler alınır.

 

Ticaret şirketleri ise aynı süre içinde yükümlülüklerini yerine getirmediği takdirde ticaret unvanlarında ve faaliyet konularında yer alan siber güvenliğe ilişkin ibareleri şirket sözleşmelerinden çıkarır veya ticaret sicilinden terkin edilmeleri amacıyla tasfiye süreçlerini başlatır.

 

12.Cezai Hükümler ve İdari Para Cezaları

Yukarıda sayılan sorumlulukları yerine getirmeyen kişilere uygulanacak cezai yaptırımlar ise şu şekildedir:

 

Veri ve Bilgi İletimi Yükümlülüğüne Uymama: Başkanlık tarafından talep edilen veri, bilgi, yazılım, donanım ve diğer katkıları vermeyen veya bunların alınmasına engel olanlar, 1 yıldan 3 yıla kadar hapis ve 500 günden 1500 güne kadar adli para cezası ile cezalandırılır.

 

Onay Alınmaksızın Faaliyet Yürütme: Gerekli onay, yetki veya izinleri almaksızın faaliyet yürütenler, 2 yıldan 4 yıla kadar hapis ve 1000 günden 2000 güne kadar adli para cezası ile cezalandırılır.

 

Sır Saklama Yükümlülüğüne Uymama: Sır saklama yükümlülüğünü yerine getirmeyenler, 4 yıldan 8 yıla kadar hapis cezası ile cezalandırılır.

 

Veri Sızıntısı ve Paylaşma: Kişisel veya kritik kamu verilerini izinsiz bir şekilde paylaşan, erişime açan veya satışa çıkaranlar, 3 yıldan 5 yıla kadar hapis cezası ile cezalandırılır.

 

Gerçek Dışı Veri Sızıntısı Yayma: Veri sızıntısı olmadığını bildiği halde halk arasında panik yaratacak şekilde yanlış içerik oluşturan veya yayanlara, 2 yıldan 5 yıla kadar hapis cezası verilir.

 

Siber Saldırı ve Veri Yayma: Türkiye Cumhuriyeti’nin siber uzaydaki milli gücünü hedef alan bir saldırı gerçekleştirenler, 8 yıldan 12 yıla kadar hapis cezası ile cezalandırılır. Elde edilen verileri yayarak veya satanlara ise 10 yıldan 15 yıla kadar hapis cezası verilir.

 

Ceza Artırımına Sebep Olan Durumlar: Suçun kamu görevlisi tarafından işlenmesi durumunda ceza üçte bir oranında, birden fazla kişi tarafından işlenmesi halinde yarı oranında, bir örgüt tarafından işlenmesi halinde ise yarısından iki katına kadar artırılır.

 

Başkanlığın Onayına Aykırılık: 12. maddeye aykırı davrananlara 3 yıldan 5 yıla kadar hapis cezası verilir.

 

Görev Kötüye Kullanımı ve Veri İhlali: Bu Kanundan kaynaklanan görev ve yetkileri kötüye kullanan veya kritik altyapıların siber saldırılara karşı korunması kapsamında veri ihlali yaşanmasına sebebiyet verenlere 1 yıldan 3 yıla kadar hapis cezası verilir.

 

İdari Para Cezaları:

  • Madde 7'nin b ve c bentlerindeki yükümlülükleri yerine getirmeyenlere, 1 milyon TL’den 10 milyon TL’ye kadar idari para cezası uygulanır.

  • Madde 18'in yükümlülüklerini yerine getirmeyenlere, 10 milyon TL’den 100 milyon TL’ye kadar idari para cezası uygulanır.

  • Madde 8'in yükümlülüklerini yerine getirmeyenlere, 100 bin TL’den 1 milyon TL’ye kadar idari para cezası verilir. Ticari şirketler için bu ceza, yıllık brüt satış hasılatının %5'ine kadar olabilir.

 

İdari Para Cezalarının Uygulanması:

  • İdari para cezası verilmeden önce ilgili kişilerin savunması alınır.

  • Birden çok kabahat işlendiğinde tek ceza uygulanır ve ceza iki katına kadar artırılır.

  • Cezalar, tebliğ tarihinden itibaren bir ay içinde ödenir. Ödenmeyen cezalar, 6183 sayılı Amme Alacaklarının Tahsil Usulü Hakkında Kanun'a göre vergi daireleri tarafından tahsil edilir.

 

 

 

 

 

 

 

 

 

 

bottom of page