7545 SAYILI SİBER GÜVENLİK KANUNU
Teknolojinin yaşamın her alanına entegre olmasıyla birlikte siber tehditler ciddi bir ulusal güvenlik meselesi haline gelmiş; bu durum, devletleri stratejik güvenlik politikalarında siber güvenliğe özel yer vermeye yöneltmiştir. Türkiye’de de bu ihtiyaç doğrultusunda hazırlanan 7545 sayılı Siber Güvenlik Kanunu (“Kanun”), siber uzaydaki millî güvenliğe yönelik tehditlerin tespiti ve bertarafı, kamu ve özel sektörün siber saldırılara karşı korunması, siber olayların etkilerini azaltacak esasların belirlenmesi ve ülke genelinde siber güvenliği güçlendirecek strateji ve politikaların oluşturulması amacıyla düzenlenmiştir. Kanun, 12 Mart 2025’te kabul edilip 19 Mart 2025 tarihli ve 32846 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir.
Siber Güvenlik Kanunu, Türkiye’nin siber uzaydaki güvenliğini sağlamaya yönelik olarak kamu ve özel sektör dahil tüm aktörlere bağlayıcı sorumluluklar getirmekte; teknik önlemlerin yanı sıra kurumsal denetim ve cezai yaptırımları da içeren kapsamlı bir yasal çerçeve sunmaktadır. 19 Mart 2025 tarihli ve 32846 sayılı Resmi Gazete’de yayımlanan Kanun’un 4. maddesi, “Temel İlkeler” başlığı altında siber güvenliğin milli güvenliğin ayrılmaz bir parçası olduğu vurgulanmış, kritik altyapıların korunması, kurumsallık, süreklilik ve sürdürülebilirlik esaslarına dayalı bir yönetim yaklaşımı benimsenmiştir. Ayrıca, ürün ve hizmetlerin tüm yaşam döngüsünde güvenlik tedbirlerinin uygulanması, yerli ve millî çözümlerin öncelikli olarak tercih edilmesi, tüm kamu kurumları ile gerçek ve tüzel kişilerin gerekli tedbirleri alma sorumluluğu taşıdığı açıkça hükme bağlanmıştır. Hesap verebilirlik, sürekli gelişim, nitelikli insan kaynağı kapasitesinin artırılması, siber güvenlik kültürünün toplum genelinde yaygınlaştırılması ile mahremiyet ve temel haklara saygı gibi ilkelere de özel vurgu yapılmıştır.
Kanun’un 7. maddesi, bilişim sistemleri kullanarak hizmet sunan tüm gerçek ve tüzel kişilere önemli sorumluluklar yüklemekte ve siber güvenliğin sağlanmasında kurumsal iş birliğini zorunlu kılmaktadır. Buna göre, bu kapsamda yer alan kişi ve kuruluşlar; Siber Güvenlik Başkanlığı’nın görev ve faaliyetleri doğrultusunda talep ettiği her türlü veri, bilgi, belge, yazılım ve donanımı öncelikli ve zamanında sağlamakla yükümlüdür. Ayrıca, hizmet verdikleri alanda tespit ettikleri herhangi bir siber zafiyet ya da olayın gecikmeden Başkanlığa bildirilmesi zorunlu tutulmuştur. Kamu kurumları ve kritik altyapılarda kullanılan tüm siber güvenlik ürün, sistem ve hizmetlerinin yalnızca Başkanlık tarafından yetkilendirilmiş kişi ve kuruluşlardan tedarik edilmesi gerekmektedir. Yine, sertifikasyon ve yetkilendirme süreçlerine tabi şirketlerin faaliyetlerine başlamadan önce Başkanlık onayını almaları bir diğer hukuki zorunluluk olarak belirlenmiştir. Bu kapsamda, Başkanlık tarafından geliştirilen strateji, eylem planı ve diğer düzenleyici işlemlerde öngörülen hususların uygulanması ve gerekli önlemlerin alınması tüm ilgili aktörlerin yükümlülüğü altındadır. Kanun, yalnızca bireysel sorumluluklar değil, aynı zamanda kamusal koordinasyonun da önemini vurgulamakta; Başkanlık ile kamu kurumları, özel sektör ve diğer kuruluşlar arasında sürekli bir iş birliği mekanizmasının işletilmesini öngörmektedir.
İlgili kanunun 8. maddesi uyarınca, denetim boyutu da siber güvenliğin sadece bildirim ve yükümlülükler çerçevesinde değil, etkin gözetim ve yaptırımlarla da destekleneceğini göstermektedir. 8. madde kapsamında Siber Güvenlik Başkanlığı, gerektiğinde yerinde ya da uzaktan inceleme yapma, bilişim altyapılarını, verileri, yazılım ve donanımları denetleme yetkisiyle donatılmıştır. Denetim süreci yalnızca Başkanlık personelince değil, ayrıca yetkilendirilmiş bağımsız denetçiler ve denetim kuruluşları tarafından da yürütülebilir. Bu kapsamda denetlenen kurum ve kişilerin, sistemlerini denetime hazır halde bulundurması ve gerekli teknik altyapıyı sağlaması zorunludur. Ayrıca, millî güvenlik veya kamu düzeni gibi durumlarda gecikmesinde sakınca bulunan hâllerde, Cumhuriyet savcısının yazılı emriyle arama ve el koyma işlemleri yapılabileceği, hâkim onayına ise sonradan başvurulacağı düzenlenmiştir. Bu noktada kamu kurumlarında hâkim kararı aranmayacağına dair hüküm, yargı denetimiyle idari denetim arasında dikkatle korunması gereken sınır açısından hukuki tartışmalara açık bir alan yaratmaktadır. Öte yandan, denetim sürecinin öncelik ve risk esaslarına göre programlanması, Başkanlığın gözetim faaliyetlerini keyfilikten uzak, ölçülebilir kriterlere dayalı olarak yürütmesini öngörmektedir. Bu düzenlemeler, sadece güvenliği değil aynı zamanda hesap verebilirliği de ön planda tutan modern bir denetim yaklaşımını yansıtmaktadır.
7545 sayılı Kanun’un 16. maddesi, siber güvenliğe ilişkin yükümlülüklerin ihlali durumunda uygulanacak cezai yaptırımları ayrıntılı şekilde düzenlemekte ve bu alanda caydırıcılığı artırmayı hedeflemektedir. Yetkili mercilere bilgi veya belge sunmayanlara bir yıldan üç yıla kadar hapis ve adli para cezası öngörülürken; yetkisiz şekilde siber güvenlik faaliyeti yürütenler iki ila dört yıl arasında değişen hapis cezası ile cezalandırılmaktadır. Sır saklama yükümlülüğünün ihlali durumunda dört ila sekiz yıl, kişisel veriler veya kritik kamu hizmeti kapsamına giren kurumsal verilerin yasa dışı şekilde sızdırılması, paylaşılması ya da satılması hâlinde ise üç ila beş yıl arasında hapis cezası uygulanmaktadır. Ayrıca, siber uzayda herhangi bir veri sızıntısı olmadığını bildiği hâlde halkta korku, panik veya infial yaratmak amacıyla bu yönde gerçeğe aykırı içerik üreten ya da yayanlara iki ila beş yıl arasında hapis cezası verilebilmektedir. Türkiye Cumhuriyeti’nin siber uzaydaki millî gücünü oluşturan unsurlara yönelik siber saldırılarda bulunanlar veya bu saldırılar sonucunda elde ettikleri verileri siber uzayda bulunduranlar, eğer fiil daha ağır bir suçu oluşturmuyorsa, sekiz yıldan on iki yıla kadar hapis cezası ile cezalandırılır. Bu saldırı sonucu elde edilen verilerin yayılması, başka bir yere aktarılması veya satışa çıkarılması hâlinde ise ceza on yıldan on beş yıla kadar artırılmaktadır. Ayrıca, bu fiillerin kamu görevlisi tarafından işlenmesi, birden fazla kişiyle birlikte gerçekleştirilmesi ya da örgüt faaliyeti çerçevesinde işlenmesi durumlarında cezalar, sırasıyla üçte bir, yarı oranında ve yarısından iki katına kadar artırılarak uygulanır. Bu hükümler, siber güvenliğin yalnızca teknik değil aynı zamanda ciddi hukuki sorumluluklar barındıran bir alan haline geldiğini açıkça ortaya koymaktadır.
Sonuç
Dijitalleşmenin hızla yaygınlaştığı günümüzde, siber güvenlik yalnızca teknik bir mesele olmaktan çıkarak kamusal düzenin, millî güvenliğin ve temel hakların korunmasına yönelik bütünsel bir güvenlik alanı hâline gelmiştir. 7545 sayılı Siber Güvenlik Kanunu, kamu ve özel sektör dâhil tüm paydaşlara hem kapsamlı yükümlülükler hem de ciddi denetim ve cezai sorumluluklar getirmektedir. Önümüzdeki süreçte, bu yasal çerçevenin ikincil mevzuatla desteklenmesi ve uygulamada tutarlılıkla hayata geçirilmesi, siber güvenlikte sürdürülebilir başarı için belirleyici olacaktır.