2025 Tarihli Siber Güvenlik Kanunu Çerçevesinde Hukuki Yükümlülükler ve Uygulama Alanları

2025 Tarihli Siber Güvenlik Kanunu Çerçevesinde Hukuki Yükümlülükler ve Uygulama Alanları

Dijital dünyada yaşanan gelişmeler, kamu düzeni, ulusal güvenlik ve birey hakları açısından siber güvenliğin stratejik bir alan haline gelmesine neden olmuştur. Artan siber saldırılar, veri ihlalleri ve elektronik haberleşme sistemlerine yönelik tehditler, Türkiye'de mevzuat düzenlemelerinin güncellenmesini zorunlu kılmıştır. Bu ihtiyacın bir sonucu olarak 19 Mart 2025 tarihinde Resmî Gazete'de yayımlanan 7545 sayılı Siber Güvenlik Kanunu, Türkiye'de siber hukuk alanında temel referans niteliği taşıyan çerçeve kanun olarak yasalaşmıştır.

1. Genel Amaç ve Kanunun Uygulama Alanı

7545 sayılı Siber Güvenlik Kanunu’nun genel amacı; kamu kurumları, özel hukuk tüzel kişilikleri, kritik altyapı hizmeti sunan işletmeler ile bireylerin kullandığı bilişim sistemlerinin siber tehditlere karşı korunmasını sağlamaktır. Kanun, siber uzayda faaliyet gösteren her türlü aktörü kapsam altına almış, sadece kamu kurumlarına yönelik bir düzenleme olmanın ötesine geçerek özel sektörü ve bireyleri de sorumluluk altına sokmuştur.

2. Siber Güvenlik Başkanlığı’nın Kurumsal Statüsü ve Yetkileri

Kanunla birlikte, Cumhurbaşkanlığı Kararnamesi ile kurulan Siber Güvenlik Başkanlığı, kamu tüzel kişiliğine sahip, idari ve mali özerkliği bulunan merkezi bir idare birimi haline gelmiştir. Başkanlık;

• Ulusal siber güvenlik politikalarını uygulamak,
• Kritik altyapı sağlayıcıların sistemlerini denetlemek,
• Sızma testleri ve siber risk analizlerini yapmak,
• Sertifikasyon ve yetkilendirme faaliyetlerini yürütmek,
• Olay bildirimlerini almak ve analiz etmek

gibi görevlerle donatılmıştır. Başkanlık ayrıca, sektörel düzenlemeleri yapma ve yaptırım uygulama yetkisine de sahiptir.

3. Siber Güvenlik Kurulu’nun Yapısı ve Stratejik Rolü

Cumhurbaşkanı'nın başkanlığında oluşan Siber Güvenlik Kurulu, ulusal düzeyde siber güvenlik stratejilerini belirleyen karar organıdır. Kurul;

• Kritik altyapıları belirlemek,
• Ulusal siber güvenlik planlarını onaylamak,
• Sektörel politikalar arasındaki uyumu sağlamak,
• Siber olaylara yönelik koordinasyonu yönetmek

gibi işlevlere sahiptir. Kurul kararları, kamu kurumları ve ilgili tüzel kişilikler açısından bağlayıcıdır.

4. Veri Sorumluları ve Kritik Altyapı Kuruluşları Açısından Yükümlülükler

Kanun, bilişim sistemi kullanan ve veri işleyen kamu ve özel sektör aktörlerine çok boyutlu yükümlülükler getirmiştir. Bu yükümlülüklerin başlıcalararı:

• Yetkisiz erişimlere karşı teknik ve idari tedbir alma,
• Siber olayların ivedilikle Başkanlığa bildirilmesi,
• Sertifikasız yazılım ve donanım kullanımının önlenmesi,
• Risk analizlerinin ve sızma testlerinin periyodik olarak yaptırılması,
• Siber olaylara müdahale ekiplerinin ve planlarının oluşturulması,
• Eğitim ve iç denetim sistemlerinin kurulması.

Kurumlar, bu sorumlulukların yerine getirilmesinde gerekli organizasyon yapısını oluşturmakla ve yeterli kaynağı ayırmakla yükülüdür.

5. Hukuki Sonuçlar ve Yaptırım Mekanizması

Kanun, getirdiği yükümlülüklere aykırı hareket edilmesi durumunda uygulanacak yaptırımları da ayrıntılı olarak düzenlemiştir:

• İdari para cezaları,
• Yetki iptali,
• Faaliyet durdurma,
• Denetim ve raporlama zorunluluklarının ihlali durumunda kamuya ifşaa kadar uzanabilecek tedbirler

söz konusudur. Ayrıca, Kanun kapsamındaki ihlallerin ayrıca bir suç teşkil etmesi halinde, genel ceza hukuku hükümleri de uygulanabilecektir.

6. Kanun'un KVKK ile İlişkisi ve Etkileşimi

Siber Güvenlik Kanunu ile 6698 sayılı KİŞisel Verilerin Korunması Kanunu (KVKK) arasında doğrudan bir etkileşim söz konusudur. Zira siber güvenlik ihlalleri, çoğu zaman veri ihlalleriyle birlikte gerçekleştirilmektedir. Bu nedenle kurumlar, hem KVKK kapsamındaki veri sorumluluğu hem de Siber Güvenlik Kanunu kapsamındaki sistem sorumluluğuna birlikte riayet etmek zorundadır. Veri ihlallerinin hem KVK Kurumu'na hem de Siber Güvenlik Başkanlığı'na ayrı ayrı raporlanması zorunluluğu gündeme gelmektedir.

7. Sonuç ve Değerlendirme

7545 sayılı Siber Güvenlik Kanunu, sadece teknik bir mevzuat düzenlemesi değil, aynı zamanda hukukun dijital düzen karşısındaki pozisyonunu da tanımlayan bir çerçeve sunmaktadır. Bu kanun, veri, sistem ve altyapı güvenliğinin ayrılmaz bir bütün olduğunu ortaya koymakta; kurumların bu bütüncül perspektifle hareket etmelerini zorunlu kılmaktadır.

Kurum içi idari yapılardan teknik birimlere, hukuk birimlerinden üst yönetim kademelerine kadar her seviyede bilinçli, sistemli ve mevzuata uygun bir siber güvenlik stratejisi geliştirilmesi, sadece yasal zorunluluk değil, aynı zamanda kurumsal sürdürülebilirlik açısından da zarurettir.