Günümüzde dijital dönüşüm ve teknolojik ilerlemeler, siber güvenlik olgusunu kritik bir konu haline getirmekte ve devletler için öncelikli stratejik alanlardan biri yapmaktadır. 12 Mart 2025 tarihinde TBMM’de kabul edilen ve 19 Mart 2025 tarihinde Resmi Gazetede yayınlanan yeni Siber Güvenlik Kanunu, ulusal güvenliği güçlendiriyor ve siber tehditlerle etkin mücadeleyi hedefleyen kapsamıyla öne çıkıyor. Bu yazıda, yeni yasal düzenlemenin temel gerekçelerini, getirdiği yenilikleri ve Türkiye’nin siber güvenlik alanındaki mevcut durumunu değerlendiriyoruz.

Siber Tehditler

Yapay zekâ, blok zincir, büyük veri, kuantum ve bulut gibi teknolojiler yeni fırsatlar sunarken tehdit yüzeyini de büyütüyor. Kritik altyapı (enerji, su, ulaştırma, finans, sağlık, haberleşme vb.) ve kamu veya özel sektör sistemlerinin korunması, ulusal güvenliğin ayrılmaz bir parçası haline geldi. Hibrit/asimetrik saldırı yöntemleri, devlet destekli kampanyalar ve organize suç yapıları; kamu-özel sektörün ortak refleks geliştirmesini zorunlu kılıyor.

Araştırmalar

Araştırmalara göre, Türkiye’de internet kullanıcıları günlük ortalama 7,5 saatlerini internette geçiriyor ve bunun 3 saatini sosyal medyada harcıyor. Mobil abone sayısı 93,3 milyona, sabit ve mobil genişbant abone sayısı ise toplamda 92,6 milyona ulaşmış durumda. Bu rakamlar, dijital dönüşümün hızını ve siber güvenlik ihtiyacının artışını gözler önüne sermektedir.

Dünyada siber güvenlik alanında hibrit ve asimetrik savaş yöntemleri öne çıkıyor; devlet destekli siber sızdırmalar, terör örgütlerinin ve organize suç yapılarının siber saldırıları, finans, enerji, sağlık ve haberleşme sistemleri gibi kritik altyapıları tehdit ediyor. 2024 itibariyle her hafta kurum başına ortalama 1.876 siber saldırı gerçekleşiyor, bu oran 2023’e göre %75 artış anlamına geliyor.

Mevzuat İhtiyacı

İnternet ve genişbant penetrasyonundaki artış, dijital hizmetlere bağımlılığı yükseltirken olay bildirimi, delil muhafazası ve tedarik zinciri güvenliği gibi konuları ön plana taşıyor. Bu bağlamda şirketler; olay müdahale planı, 7/24 bildirim süreçleri ve üçüncü taraf (tedarikçi) güvenlik kriterlerini standartlaştırmak zorunda kalmıştır.

Türkiye, Uluslararası Telekomünikasyon Birliği’nin 2024 yılında yayımladığı Küresel Siber Güvenlik Endeksi’ne göre „Rol Model Ülke“ kategorisinde yer almakla birlikte, kapsamı bir siber güvenlik mevzuatına sahip olmaması nedeniyle eksiklik yaşıyor. Bu yasa, kamu kurumları, özel sektör ve bireyler için standartlar belirleyerek bu boşluğu gideriyor.

Yenilikler: Kurumlar, Görevler, Yükümlülükler

Kanun, strateji ve politikaların belirlenmesi için Siber Güvenlik Kurulunu; teknik koordinasyon, denetim ve bildirim süreçleri için Siber Güvenlik Başkanlığını öngörüyor. Ulusal SOME/USOM yapılarıyla koordinasyonun güçlendirilmesi hedefleniyor.

Kamu kurumları, kamu kurumu niteliğinde meslek kuruluşları, özel sektör ve siber uzayda faaliyet gösteren gerçek/tüzel kişiler Kanun kapsamındadır (istisnalar saklıdır). Kritik altyapılar için ilave tedbir ve raporlama yükümlülükleri söz konusudur.

Temel Yükümlülükler

• Bilgi-belge sağlama: Başkanlığın talep ettiği veri, belge, yazılım, donanım ve benzeri desteklerin zamanında ve öncelikli sunulması,
• Siber olay bildirimi: Hizmet alanlarında tespit edilen siber olay/güvenlik açıklarının derhâl bildirilmesi,
• Yetkilendirilmiş ürün/hizmet: Kamu kurumları ve kritik altyapılarda, Başkanlıkça yetkilendirilmiş/sertifikalı siber güvenlik ürün, sistem ve hizmetlerin kullanımı,
• İç denetim–risk analizi ve SOME kapasitesi: Olay müdahale planları, delil koruma, kayıt/log yönetimi ve düzenli test/faaliyetler.
• Yerli ve millî önceliği. Siber güvenlik çalışmalarında yerli ve millî ürünlere öncelik verilir; tedarik süreçlerinde bu ilke gözetilir.

Denetimler, İdari ve Cezai Yaptırımlar

Başkanlık; yükümlülüklerin yerine getirilmesini denetleyebilir, gerekli bilgi-belgeleri talep edebilir. Engelleme veya yerine getirmeme hallerinde cezai ve idari yaptırımlar söz konusudur.

İdari para cezaları – örnek aralıklar.

• Yetkilendirilmiş ürün/hizmet kullanımına aykırılık: 1.000.000 – 10.000.000 TL,
• Yükümlülüklerin ihlâli/olay bildirimi eksikliği gibi hallerde: 100.000 – 1.000.000 TL; ihlâl bir ticari şirket tarafından işlenmişse bağımsız denetimden geçmiş brüt satış hasılatının %5’ine kadar idari para cezası,
• Bazı özel statüdeki siber güvenlik şirketleri için 10.000.000 – 100.000.000 TL aralıklarında idari para cezaları öngörülebilir (ihlâlin türüne göre).

Bilgi-belge taleplerine engel olma, yetkisiz faaliyet, sır saklama yükümlülüğünün ihlâli gibi fiiller; hapis ve adli para cezaları ile sonuçlanabilir.

Olay bildirimi pratiğine ilişkin olarak Kanun sabit bir süre yerine “derhâl” esasını benimser. Bu nedenle 7/24 iletişim noktası, yükseltilmiş izleme, kanıt saklama/raporlama ve kurum içi tatbikatların standart hale getirilmesi gerekir.

Dijital Dünya ile Entegrasyon

Bu yasa, Türkiye’nin dijital dünya ile entegrasyonunu güvenli bir zeminde gerçekleştiriyor. Siber Güvenlik Kurulu ve Siber Güvenlik Başkanlığı ile merkezi bir otorite oluşarak siber olaylara hızlı ve etkili müdahale edilmesini sağlıyor. Kamu kurumları ve kritik altyapılardaki sistemler güçlendirilirken, yerli siber güvenlik ekosistemi destekleniyor.

Uluslararası Hukuk

Siber güvenlik, uluslararası hukuk açısından giderek daha fazla önem kazanıyor. Birleşmiş Milletler (BM), Avrupa Birliği (AB) ve NATO gibi uluslararası organizasyonlar, siber tehditlerle başa çıkmak için hukuki düzenlemeler ve stratejik politikalar geliştiriyor. BM, devletlerin siber uzaydaki faaliyetlerine dair sorumluluklarını belirlemeye yönelik çalışmalar yaparken, siber saldırıları uluslararası hukukun temel prensipleri çerçevesinde değerlendiriyor.

Avrupa Birliği’nin Genel Veri Koruma Tüzüğü (GDPR), kişisel verilerin korunmasına yönelik en kapsamlı düzenlemelerden biri olarak öne çıkıyor. GDPR, özellikle veri ihlalleri ve siber saldırılar konusunda sert yaptırımlar öngörüyor. AB ayrıca, Ağ ve Bilgi Sistemleri Direktifi (NIS2) ile üye devletlerin kritik altyapılarının siber güvenliğini artırmaya yönelik ortak standartlar belirliyor.

ABD’de ise Federal Bilgi Güvenliği Yönetimi Yasası (FISMA) ve Siber Güvenlik Bilgi Paylaşım Yasası (CISA) gibi yasalar, kritik altyapıların korunmasını ve kamu-özel sektör iş birliğinin artırılmasını hedefliyor. ABD hükümeti, özel şirketlerin siber saldırılarla mücadelede daha fazla sorumluluk üstlenmesini teşvik eden çeşitli düzenlemeler getiriyor.

NATO, Siber Savunma Politikaları kapsamında üyelerinin siber tehditlere karşı ortak hareket etmesini sağlıyor. 2016 yılında NATO, siber uzayı resmi olarak bir operasyonel alan olarak tanımış ve askeri stratejilerinin bir parçası haline getirmiştir. NATO üyesi ülkeler, siber güvenlik alanında daha güçlü iş birlikleri kurarak kolektif savunma mekanizmalarını güçlendiriyor.

Mukayeseli Hukuk

Farklı ülkeler, siber güvenliği sağlamak için çeşitli yasal düzenlemeler geliştirmiş durumda. Türkiye’nin yeni Siber Güvenlik Kanunu, Avrupa ve ABD‚deki düzenlemelerle benzerlikler taşıyor ancak yerel şartlara uygun özgün bir yapı sunuyor. Özellikle kritik altyapıların korunması ve merkezi bir siber güvenlik otoritesinin kurulması, uluslararası uygulamalarla paralellik gösteriyor.

Birleşik Krallık’ta Ulusal Siber Güvenlik Merkezi (NCSC), devlet kurumları ve özel sektör için rehberlik sağlıyor ve siber tehditlerle mücadelede koordinasyonu artırıyor. Almanya’da ise BT Güvenlik Yasası 2.0, kritik altyapıların güvenliğini artırmak ve zorunlu güvenlik önlemleri getirmek amacıyla yürürlüğe girmiştir. Çin, Siber Güvenlik Yasası ile veri egemenliği konusunda daha katı düzenlemeler getirirken, devlet kontrolünü artırmayı hedefliyor. Rusya ise siber güvenlik politikalarını ulusal güvenlik stratejisi çerçevesinde ele alarak devlet destekli koruma önlemlerine odaklanıyor.

Türkiye’nin Siber Güvenlik Kanunu, bu küresel eğilimleri takip ederek kritik altyapı güvenliğini sağlamayı, kamu-özel sektör iş birliğini güçlendirmeyi ve uluslararası iş birliklerine açık bir düzenleme çerçevesi oluşturmayı amaçlıyor. Ancak, başarılı bir uygulama için uluslararası hukuki çerçeve ile uyumlu hareket edilmesi ve küresel iş birliklerinin artırılması kritik önem taşıyor.

Hukuk Hizmetleri

• Uyum programları (envanter, risk, SOME/USOM, politika/prosedür, tedarikçi ve sözleşmeler),
• Acil olay bildirimi (delil muhafazası, resmi bildirim metinleri, kurumlar arası koordinasyon),
• Denetim ve yaptırım süreçleri (itiraz/savunma),
• Yönetim kurulu brifingleri, eğitim ve tatbikatlar

alanlarında uçtan uca destek sunuyoruz. Yeni Kanun kapsamındaki yükümlülüklerinizi pratik yol haritası ile hayata geçirmenize yardımcı oluyoruz.