Türkiye’de Siber Güvenlik Hukukunun Yeni Dönemi

25 Mayıs 2026

Dijitalleşmenin hız kazanması, birçok kritik alanın bilgi teknolojileri sistemleri üzerinden yürütülmesine neden olmuş; bu durum siber güvenliği yalnızca teknik bir konu olmaktan çıkararak doğrudan ulusal güvenlik, ekonomik istikrar ve kurumsal sürdürülebilirlik ile bağlantılı stratejik bir alan haline getirmiştir. Özellikle kritik altyapılara, finansal sistemlere, enerji tesislerine ve kamu kurumlarına yönelik artan siber saldırılar, devletlerin siber güvenlik alanındaki hukuki ve kurumsal yapılarını yeniden şekillendirmesine yol açmıştır.

Türkiye’de de bu dönüşüm sürecine paralel olarak son yıllarda siber güvenlik alanında kurumsal ve düzenleyici altyapısında önemli ölçüde gelişmeler yaşanmıştır. Bu sürecin en önemli dönüm noktası ise 19 Mart 2025 Çarşamba tarihli ve 32846 sayılı Resmî Gazete ile yayımlanarak yürürlüğe giren 7545 sayılı Siber Güvenlik Kanunu (“Kanun”) olmuştur. Söz konusu Kanun ile siber güvenlik, doğrudan milli güvenliğin ayrılmaz bir parçası olarak tanımlanarak Türkiye’de ilk kez siber güvenlik alanında sistematik, kapsamlı ve merkezi bir yasal çerçeve oluşturulmuştur. Kanun’un kamu kurum ve kuruluşları, kamu niteliği taşıyan meslek örgütleri; ayrıca gerçek ve tüzel kişileri ve tüzel kişiliği bulunmayanlar da dahil olmak üzere siber uzayda faaliyet gösteren ve hizmet sunan tüm ilgilileri kapsadığı belirtilerek tüm aktörler için çeşitli teknik ve yönetsel yükümlülükler öngörülmüştür.

Oluşturulan Yeni Kurumsal Yapılar

7545 sayılı Kanun ile birlikte ise siber güvenlik yapısı daha merkezi ve kurumsal bir modele dönüştürülmüştür. Bu kapsamda Cumhurbaşkanlığı’na bağlı Siber Güvenlik Başkanlığı kurulmuştur. Başkanlık’a; siber tehditlerle mücadele edilmesi, mevzuat çalışmalarının yürütülmesi, siber güvenlik faaliyetlerinde koordinasyonun sağlanması, standartların, güvenlik kriterlerinin, usul ve esasların belirlenmesi, sertifikasyon, yetkilendirme ve belgelendirme süreçlerinin yönetilmesi, denetim faaliyetlerinin yürütülmesi ve yaptırım uygulanması gibi düzenleyici, denetleyici ve koordinasyon sağlayıcı geniş yetkiler tanınmıştır.

Kanun ile birlikte ayrıca Cumhurbaşkanlığı’na bağlı olarak faaliyet gösterecek Siber Güvenlik Kurulu da kurulmuştur. Kurul’a; siber güvenlikle ilgili politika, strateji, eylem planlarının hazırlanması, Başkanlık tarafından hazırlanan siber güvenlik alanına ilişkin teknoloji yol haritasının ülke çapında uygulanmasının sağlanması, teşvik verilecek öncelikli alanların belirlenmesi, kritik altyapı sektörlerinin belirlenmesi, kurumlar arası ihtilafların çözülmesi gibi ulusal siber güvenlik politikalarının belirlenmesi, kamu kurumları arasındaki koordinasyonun sağlanması ve stratejik karar alma süreçlerinin yürütülmesine ilişkin üst düzey yetkiler tanınmıştır.

Yükümlülükler, Denetim Mekanizması ve Yaptırımlar

7545 sayılı Siber Güvenlik Kanunu ile birlikte, kamu kurum ve kuruluşlarının yanı sıra özel sektör bakımından da kapsamlı yükümlülükler öngörülmüş; siber güvenlik alanında merkezi bir denetim ve yaptırım rejimi oluşturulmuştur. Söz konusu yükümlülükler ve yaptırımların başlıcaları aşağıda yer almaktadır:

  • Özel sektör kuruluşlarının siber güvenlik alanında yetkilendirilen mercilerin ve denetim görevlilerinin talep ettiği bilgi, belge, yazılım, veri ve donanımın eksiksiz ve zamanında verilmesi zorunlu kılınmış olup vermeyenler veya bunların alınmasına engel olanların 1 ile 3 yıl arasında hapis cezası ve 500 ile 1.500 gün arasında adli para cezası ile cezalandırılması öngörülmüştür.
  • Kanun kapsamında gerekli onay, yetki veya izinleri almaksızın faaliyet yürütenler hakkında 2 ile 4 yıl arasında hapis cezası ve 1.000 ile 2.000 gün arasında adli para cezası uygulanması öngörülmüştür.
  • Başkanlık tarafından yürütülen görev ve faaliyetler kapsamında edinilen kamuya, ilgililere ve üçüncü kişilere ait gizlilik taşıyan bilgiler, kişisel veriler, ticari sırlar ve bunlara ait belgelere ilişkin sır saklama yükümlülüğü düzenlenmiş olup uymayanlar hakkında 4 ile 8 yıl arasında hapis cezası öngörülmüştür.
  • Kişisel ve kritik kamu hizmeti kapsamındaki kurumsal verilerin izinsiz olarak ücretli veya ücretsiz şekilde erişime açan, paylaşan veya satışa çıkaran kişiler hakkında 3 ile 5 yıl arasında hapis cezası öngörülmüştür.
  • Halk arasında endişe, korku ve panik yaratmak ya da kurumları veya şahısları hedef göstermek amacıyla siber güvenlikle ilgili veri sızıntısı olduğuna yönelik gerçeğe aykırı içerik oluşturan ya da yayan kişiler hakkında 2 ile 5 yıl arasında hapis cezası öngörülmüştür.
  • Türkiye’nin siber uzaydaki milli gücünü meydana getiren unsurlarına yönelik siber saldırıda bulunan veya elde ettiği veriyi siber uzayda bulunduranlar hakkında 8 ile 12 yıl arasında hapis cezası; verileri yayan, gönderen veya satışa çıkaranlar hakkında ise 10 ile 15 yıl arasında hapis cezası öngörülmüştür.
  • Bilişim sistemlerini kullanmak suretiyle hizmet sunan, veri toplayan, işleyen ve benzeri faaliyet yürütenlerin siber güvenliğe yönelik olarak milli güvenlik, kamu düzeni veya kamu hizmetinin gereği gibi yürütülmesi amacıyla mevzuatın öngördüğü tedbirleri alması ve hizmet sundukları alanda tespit ettikleri zafiyet veya siber olayları gecikmeksizin Başkanlık’a bildirmesi; kamu kurumları ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik ürün, sistem ve hizmetlerinin ise Başkanlık tarafından yetkilendirilmiş ve belgelendirilmiş siber güvenlik uzmanlarından, üreticilerden veya şirketlerden tedarik edilmesi zorunlu kılınmıştır. Bu yükümlülüklere aykırılı halinde ise 1.000.000,00-TL ile 10.000.000,00-TL arasında idari para cezası uygulanacağı öngörülmüştür.
  • Siber güvenlik alanında faaliyet gösteren özel sektör kuruluşları tarafından ilgili ürün, sistem, yazılım, donanım ve hizmetleri yurt dışına satışından önce Başkanlık’tan onay alınması ve birleşme, bölünme, pay devri veya satış işlemlerinin Başkanlık’a bildirilmesi zorunlu kılınmıştır. Aksi halde 10.000.000,00-TL ile 100.000.000,00-TL arasında idari para cezası uygulanacağı öngörülmüştür.
  • Denetime tabi tutulanların; ilgili cihaz, sistem, yazılım ve donanımları verilen sürelerde denetlemeye açık tutmaması, denetim için gerekli altyapıyı temin etmemesi ve çalışır vaziyette tutmak için gerekli önlemleri almaması durumunda 100.000,00-TL ile 1.000.000,00-TL arasında idari para cezası uygulanacağı, ticari şirketlere ise yıllık finansal tablolarında yer alan brüt satış hasılatının yüzde 5’ine kadar idari para cezası uygulanacağı öngörülmüştür.

Bu kapsamda Başkanlık; her türlü fiil ve işlemi denetlemeye, bağımsız denetçiler veya bağımsız denetim kuruluşları görevlendirmeye, bu amaçla mahallinde inceleme yapmaya veya yaptırmaya ve yaptırım uygulamaya yetkili kılınmıştır. Ayrıca millî güvenlik, kamu düzeni, suç işlenmesinin veya siber saldırıların önlenmesi amacıyla hâkim kararı üzerine veya gecikmesinde sakınca bulunan hâllerde Cumhuriyet savcısının yazılı emri ile konutta, işyerinde ve kamuya açık olmayan kapalı alanlarda arama yapma ve uzun süreli hizmet aksamasına yol açmayacak ve kesintisiz şekilde kopya çıkarma ve el koyma işlemi gerçekleştirme yetkisini de haizdir.

Sonuç

7545 sayılı Kanun ile birlikte Türkiye’de siber güvenlik yaklaşımı; yalnızca siber saldırılara müdahaleye dayalı geleneksel yapıdan çıkarılarak AB NIS 2 Direktifi, AB Dijital Operasyonel Dayanıklılık Yasası ve NATO Siber Savunma Politikaları gibi düzenlemelerle paralel şekilde; risk yönetimi, siber dayanıklılık, kritik altyapı güvenliği, kurumsal koordinasyon, denetim mekanizmaları ve regülasyon temelli bütüncül bir modele dönüştürülmüştür.

Ancak Kanun’da siber güvenlik alanına ilişkin temel bir çerçeve çizilmiş; Kanun’un uygulama alanını somutlaştıracak ikincil düzenlemeler ise henüz yürürlüğe konulmamıştır. Bu doğrultuda teknik standartlar, denetim kriterleri, kritik altyapı sınıflandırmaları, olay bildirim süreçleri, sertifikasyon sistemleri ve sektörel yükümlülükler gibi hususların ikincil düzenlemeler ile şekillenmesi beklenmektedir.