19 Mart 2025 tarihinde yürürlüğe giren Siber Güvenlik Kanunu (“Kanun”) ile ilk defa Türkiye’de siber güvenlik konusunu düzenleyen kapsamlı yasal çerçeve oluşturulmuştur. Kanun ile Siber Güvenlik Başkanlığı (“Başkanlık”) kurulmuş ve Başkanlığa siber güvenlik politikalarının belirlenmesi, uygulanması ve denetlenmesi noktasında geniş yetkiler tanınmıştır. Siber güvenlik, bir milli güvenlik meselesi olarak ele alınmakta ve hem kamu hem de özel sektörü kapsayan önemli yükümlülükler öngörülmektedir. 

Aşağıda başlıklar altında kritik altyapı sektörlerinde faaliyet gösteren şirketlere Kanun ile getirilen yükümlülükler ele alınacaktır.

A.      KRİTİK ALTYAPI KAVRAMI

Kanun, kritik altyapı kavramını işlediği bilginin/verinin gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda can kaybına, büyük ölçekli ekonomik zarara ve güvenlik açıklarına veya kamu düzeninin bozulmasına yol açabilecek bilişim sistemlerini barındıran altyapılar olarak tanımlamaktadır.  Bilişim sistemleri kavramı ise bilgi ve iletişim teknolojileri vasıtasıyla sağlanan her türlü hizmetin, işlemin ve verinin sunumunda kullanılan donanım, yazılım, sistem ve aktif veya pasif durumda bulunan tüm diğer bileşenler olarak tanımlanmıştır.

Kritik altyapı sektörlerinin neler olacağı, Siber Güvenlik Kurulu tarafından belirlenecektir. Başkanlık ise bu sektörlerde kritik altyapı niteliği taşıyan altyapıları belirleyecektir. Kanun öncesinde elektronik haberleşme, enerji, su yönetimi, ulaştırma, sağlık ile bankacılık ve finans sektörleri kritik altyapı sektörleri olarak kabul edilmektedir. Kanun sonrasındaki dönemde de dijital altyapıları içerecek şekilde genişletilmesi öngörülmektedir. Aşağıdaki sektörler de AB’de ikincil önemde kritik altyapı sektörü olarak kabul edildiği için ülkemizde de kapsama alınmaları ihtimal dahilinde değerlendirilmektedir:

1.      Posta ve kargo hizmetleri,
2.      Atık yönetimi,
3.      Kimyasal üretim ve dağıtımı,
4.      Genel üretim,
5.      Dijital hizmetler,
6.      Araştırma.

Hemen Görüşme Planlayın ve Rehberlik Alın!

B.      KRİTİK ALTYAPI SAĞLAYICILARIN YÜKÜMLÜLÜKLERİ

Kanun ile kritik altyapı sağlayıcılarına getirilmiş yükümlülükler aşağıdaki başlıklar altında paylaşılmaktadır. Kanunun öngördüğü adli ve idari yaptırımlar ekteki tabloda gösterilmiştir.

I.        Başkanlığın Erişim Yetkileri

Başkanlık, Kanun kapsamındaki faaliyetlerle sınırlı olmak üzere her türlü bilgi, belge, veri veya kayıtları alma yetkisine sahiptir. Yine aynı kapsamda Başkanlık, bilgi işlem merkezlerinden ve iletişim altyapısından yararlanabilmekte veya bunlarla irtibat kurabilmektedir. Söz konusu taleplerle muhatap olan kişiler, herhangi bir mevzuata dayanarak söz konusu taleplere uyum sağlamaktan imtina edemeyeceklerdir.

Öte yandan Başkanlıkça elde edilen veriler 2 yıl süreyle saklanacak ve akabinde imha edilecektir. Elde edilebilecek kişisel veriler ile ticari sırlar ise, erişim sebebinin ortadan kalkması ile silinecek, imha edilecek ya da anonim hale getirilecektir. Ayrıca Başkanlık personeline gizlilik yükümlülüğü getirilmiştir.

Başkanlık, tüm bilişim sistemlerindeki log kayıtlarını kendi bünyesinde toplayabilecek, saklayabilecek veya değerlendirebilecektir. Söz konusu kayıtlara dayanarak da dilediği raporları hazırlayıp ilgili kurum ve kuruluşlarla paylaşabilecektir.

Kritik altyapı sağlayıcıları da Başkanlığın talep edeceği her türlü veri, bilgi, belge, donanım, yazılım ve diğer her türlü katkıyı öncelikle ve zamanında Başkanlığa iletmekle yükümlü kılınmıştır. Ayrıca kritik altyapı sağlayıcıları; hizmet sundukları alanda tespit ettikleri tüm zafiyet ve siber olayları Başkanlığa bildirmek zorundadır.

II.      Başkanlık Denetimi

Başkanlığın, siber güvenlik denetimi yapma ya da yetkilendirdiği bağımsız denetçiler vasıtasıyla bu denetimi yaptırma yetkisi bulunmaktadır. Başkanlık söz konusu denetimleri uzaktan ya da yerinde denetim olarak gerçekleştirebilecektir. Kritik altyapılarda yapılacak denetimlerde, Başkanlık personeli refakati şartı bulunmaktadır.

Denetim faaliyetleri sırasında denetçilerin her türlü fiziki ya da dijital ortama erişim yetkisi vardır. Denetlenenlerin de bunlara erişim yetkisi tanımlama zorunluğu bulunmaktadır.

Başkanlığın, milli güvenlik, kamu düzeni, suç işlenmesinin ya da siber saldırının önlenmesi amacıyla konutta, işyerinde ya da kamuya açık olmayan kapalı alanlarda, hakim kararı ya da gecikmesinde sakınca bulunan hallerde cumhuriyet savcısı kararı ve hakim onayı ile arama, kopya çıkarma ve el koyma işlemleri yapması mümkündür. Yetkilendirilmiş veri merkezi işletmecilerinin veri merkezlerinde ise sadece hakim kararı ile arama, kopya çıkarma ve el koyma işlemi yapılabilmektedir.

III.    Siber Güvenlik Olaylarında Başkanlığın Rolü

Başkanlığın görevleri arasında zafiyet ve sızma testleri ile risk analizleri yaptırmak da bulunmaktadır. Ayrıca Başkanlık siber tehdit istihbaratları elde etmek ve bunları paylaşmakla da mükellef kılınmıştır.

Başkanlık, siber güvenliğin sağlanması amacıyla bilişim sistemlerine uygun bulacağı yazılım ve donanımların kurulmasını talep edebilmektedir. Bunların toplayacağı verileri de kendi bilişim sistemlerine aktarabilecek ve gerekli gördüğü siber olay tespitine yönelik araç ve metotları kullanabilecektir.

Başkanlık, siber olaylara maruz kalanlara yerinde veya uzaktan siber olay müdahale desteği sağlayabilecektir.

IV.   Siber Güvenlik Ürün ve Hizmetlerinin Kullanımı

Kanun, siber güvenliğin sağlanmasına yönelik çalışmalarda yerli ve milli ürünlere öncelik verilmesini zorunlu tutmaktadır. Kanaatimizce bu hüküm, aynı özellik ve kapasiteye sahip ürünler arasından yerli ve milli olanların tercih edilmesi gerekliliği şeklinde yorumlanmalıdır.

Kritik altyapı sağlayıcılar, siber güvenlik konusunda sadece Başkanlık tarafından onaylanmış ürün ve hizmetleri kullanabileceklerdir.

C.     DEĞERLENDİRME VE ÖNERİLER

Kanun çerçevesinde kritik altyapı sağlayıcıları için sıkı yükümlülükler öngörülmektedir. Özellikle Başkanlığın kapsamlı denetim ve takip yetkileri ile siber güvenliğe ilişkin ürünler ya da hizmet kullanımına ilişkin düzenlemeler hem siber güvenlik yönetişimi hem de siber güvenlik kapasitesinde önemli değişimler gerektirmektedir. Bu çerçevede, Kanunun tam olarak uygulanmaya başlayacağı 2 yıllık geçiş süreci dikkate alınarak, kritik altyapı sağlayıcılarına aşağıdaki öneriler sunulmaktadır:

1.      Kritik altyapı teşkil edebilecek ticari faaliyetlerin tespiti ile bunların mümkün olduğunca diğer ticari faaliyetlerden ayrıştırılması,

2.      Mevcut siber güvenlik kapasitesinin haritalanması ile Kanuna uyum için gerekli ön hazırlıkların tamamlanması,

3.      Siber güvenlik organizasyonunun, Başkanlık ile iletişimi de içerecek şekilde güçlendirilmesi.

Son olarak konuyla ilgili ikincil düzenlemelerin yakından takip edilmesi tavsiye edilmektedir.

Hemen Görüşme Planlayın ve Rehberlik Alın!

EK: İLGİLİ ADLİ VE İDARİ YAPTIRIMLAR TABLOSU

YAPTIRIM GEREKTİREN FİİLİN TANIMI

YAPTIRIM

Denetimler çerçevesinde istenilen bilgi, belge, yazılım, veri veya donanımın verilmemesi ya da bunların alınmasına engel olunması

1 ila 3 yıl hapis

500 gün ila 1500 gün adli para cezası (750.000 TL’ye kadar)

Kanun uyarınca alınması gereken onay, yetki veya izinleri almaksızın faaliyette bulunulması

2 ila 4 yıl hapis

1000 gün ila 2000 gün adli para cezası (1.000.000 TL’ye kadar)

Kanun kapsamındaki sır saklama yükümlülüklerine uyulmaması

4 ila 8 yıl hapis

Kanundan kaynaklanan görev ve yetkilerin kötüye kullanılması veya kritik altyapıların siber saldırılara karşı korunması kapsamında görevin gereklerine aykırı hareket etmek suretiyle veri ihlali yaşanmasına sebebiyet verilmesi

1 ila 3 yıl hapis

Siber güvenliğe ilişkin mevzuatın öngördüğü tedbirlerin alınmaması ya da hizmet sunulan alanda tespit edilen siber olay ya da zafiyetlerin bildirilmemesi

1.000.000 TL ila 10.000.000 TL idari para cezası

Kamu kurum veya kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik ürün, sistem veya hizmetlerinin, Başkanlık tarafından yetkilendirilmemiş ya da belgelendirilmemiş kişilerden tedarik edilmesi

1.000.000 TL ila 10.000.000 TL idari para cezası

Siber güvenlik şirketlerinin ihracat kısıtlamalarına veya yatırım süreçlerine ilişkin kontrollere aykırı hareket etmeleri

10.000.000 TL ila 100.000.000 TL idari para cezası

Denetim yapılmasına herhangi bir şekilde engel olunması

Bağımsız denetimden geçmiş yıllık finansal tablolarda yer alan brüt satış hasılatının %5’i oranında idari para cezası

 

19 Mart 2025: Türkiye’de Siber Güvenlikte Kritik Değişim
19 Mart 2025’te yürürlüğe giren Siber Güvenlik Kanunu ile Türkiye’de kapsamlı bir siber güvenlik düzenlemesi getirilmiş, Siber Güvenlik Başkanlığı kurulmuştur. Kanun, şirketler için yeni fırsatlar ve yükümlülükler öngörmekte, kritik altyapılar için denetim ve sertifikasyon zorunluluğu getirmektedir.
PitgrowthAv. Dr. Fatih Burak Uzun