19 Mart 2025 tarihinde yürürlüğe giren Siber Güvenlik Kanunu (“Kanun”) ile Türkiye’de ilk defa siber güvenlik konusunu düzenleyen kapsamlı yasal çerçeve oluşturulmuştur. Kanun ile Siber Güvenlik Başkanlığı (“Başkanlık”) kurulmuş ve Başkanlığa siber güvenlik politikalarının belirlenmesi, uygulanması ve denetlenmesi noktasında geniş yetkiler tanınmıştır. Siber güvenlik, bir milli güvenlik meselesi olarak ele alınmakta ve hem kamu hem de özel sektörü kapsayan önemli yükümlülükler öngörülmektedir.
Aşağıda başlıklar altında siber güvenlik şirketlerinin, Kanun ile elde edeceği fırsatlar ve kendilerine getirilen yükümlülükler ele alınacaktır.
1- Siber Güvenlik Şirketleri için Fırsatlar
Kanun, siber güvenlik alanında kamunun faaliyetlerini arttırarak, özel sektörde de çeşitli ticari fırsatlar doğurmaktadır. Kanun’a göre Başkanlık tarafından kritik altyapı sayılacak sistemler belirlenecek ve buna bağlı olarak da söz konusu sistemlerin sektöründe faaliyet gösteren şirketlere çeşitli yükümlülükler getirilecektir. AB uygulamasına da paralel olarak, Kanun çerçevesinde ilk etapta kritik altyapı kapsamına alınması öngörülen sektörlerin aşağıdaki şekilde belirleneceği değerlendirilmektedir:
- Enerji,
- Ulaşım,
- Bankacılık ve finans,
- Sağlık,
- Su tesisleri (içme, arıtma vb.),
- Elektronik haberleşme ve dijital altyapılar.
Kanun, kritik altyapılarda Başkanlığın siber güvenliğe ilişkin denetim yapmasını, bu kapsamda sızma testleri dâhil çeşitli kontroller gerçekleştirmesini ve bu amaçla bağımsız denetçileri yetkilendirmesini öngörmektedir. Ayrıca siber güvenlik ürün veya hizmetlerinin de sertifikalandırılması zorunluluğu getirilmekte, yerli ve milli siber güvenlik ürünlerine öncelik verilmesi hüküm altına alınmaktadır. Tüm bu sebeplerle Kanunun tam olarak uygulanmaya başlaması ile bağımsız denetim hizmetlerine ve sertifikalı siber güvenlik ürün ya da hizmetlerine, kamu kurum veya kuruluşları ile kritik altyapı sektörlerinde faaliyet gösteren şirketler tarafından yoğun talep geleceği öngörülmektedir.
2- Siber Güvenlik Şirketlerinin Yükümlülükleri
Kanun ile siber güvenlik şirketlerine özel olarak getirilmiş yükümlülükler aşağıda listelenmektedir:
- İhracat Sınırlaması: Siber güvenlik ürün, sistem, yazılım, donanım ve hizmetlerinin yurtdışına satışına ilişkin usul ve esaslar Başkanlıkça belirlenecektir. Bu çerçevede çıkarılacak ikincil düzenlemelerle siber güvenliğe ilişkin ihracata dair ilave kurallar öngörülecektir. Bazı ihracat kalemlerinde ise Başkanlık izni gerekecektir.
- Yatırım Süreçlerinin Kontrolü: Yukarıda sayılan alanlarda faaliyet gösteren siber güvenlik şirketlerinin birleşme, bölünme, pay devri veya satış işlemlerinin tamamı Başkanlığa bildirilecektir. Söz konusu şirketler üzerindeki doğrudan veya dolaylı kontrol veya karar alma hakkı sağlayan işlemler, Başkanlığın onayına bağlanmıştır. Dolayısıyla bu şirketlerin yatırım süreçleri, Başkanlık denetimine geçmiştir.
- Faaliyet İzni: Siber güvenlik alanında faaliyet gösteren şirket, dernek, dernek federasyonu veya vakıfların, Kanun’un yürürlük tarihinden itibaren 2 yıl içerisinde Başkanlık tarafından çıkarılacak ikincil düzenlemelere uygun şekilde sertifikasyon, yetkilendirme veya belgelendirme işlemlerini tamamlamaları gerekmektedir. Bu yükümlülüğe uyum sağlayamayanların, siber güvenlik faaliyetleri durdurulacaktır.
- Ürün ya da Hizmet Sertifikalandırması: Başkanlık, kamu kurum ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik ürün ve hizmetlerini sertifikalandıracaktır. Böylelikle söz konusu yerlerde sadece sertifika sahibi ürün ya da hizmetler kullanılabilecektir.
Başkanlığın, Kanun çerçevesindeki görevlerini yerine getirebilmesi için, log kayıtları da dahil olmak üzere her türlü bilgi, belge veya veriye erişme ile bilişim sistemleri ile irtibat kurma gibi çok geniş erişim yetkileri mevcuttur. İlaveten Başkanlığın yerinde veya uzaktan denetim yapma yetkisi de bulunmaktadır. Başkanlıktan gelebilecek bu gibi taleplerin, ivedilikle yerine getirilmesi gerekmektedir.
Siber güvenlik şirketleri, tespit ettikleri siber olaylarla zafiyetleri, Başkanlığa derhal bildirmek zorundadır.
Kanunun öngördüğü adli ve idari yaptırımlar ekteki tabloda gösterilmiştir.
3- Değerlendirme ve Öneriler
Kanun çerçevesinde siber güvenlik şirketleri için sıkı yükümlülükler öngörülmektedir. Buna karşılık ise yükümlülükleri sağlayabilen şirketlere ciddi bir faaliyet alanı açılmıştır. Mevcut durum itibarıyla, 2 yıllık geçiş dönemi içerisinde siber güvenlik şirketlerine aşağıdaki öneriler sunulmaktadır:
- Ticari faaliyetlerin yurtdışı ve yurtiçi olmak üzere ikiye ayrılarak, yurtdışı ile yurtiçi faaliyetlerin birbirinden ayrılması (böylelikle Kanunun ihracata ilişkin kısıtlamalarının etkilerinin hafifletilebileceği düşünülmektedir),
- Kanunun getirdiği yükümlülüklere uyum için gerekli ön çalışmaların yapılması.
Son olarak konuyla ilgili ikincil düzenlemelerin yakından takip edilmesi tavsiye edilmektedir.
EK: İlgili Adli ve İdari Yaptırımlar Tablosu
YAPTIRIM GEREKTİREN FİİLİN TANIMI | YAPTIRIM |
Denetimler çerçevesinde istenilen bilgi, belge, yazılım, veri veya donanımın verilmemesi ya da bunların alınmasına engel olunması | 1 ila 3 yıl hapis 500 gün ila 1500 gün adli para cezası (750.000 TL’ye kadar) |
Kanun uyarınca alınması gereken onay, yetki veya izinleri almaksızın faaliyette bulunulması | 2 ila 4 yıl hapis 1000 gün ila 2000 gün adli para cezası (1.000.000 TL’ye kadar) |
Kanun kapsamındaki sır saklama yükümlülüklerine uyulmaması | 4 ila 8 yıl hapis |
Kanundan kaynaklanan görev ve yetkilerin kötüye kullanılması veya kritik altyapıların siber saldırılara karşı korunması kapsamında görevin gereklerine aykırı hareket etmek suretiyle veri ihlali yaşanmasına sebebiyet verilmesi | 1 ila 3 yıl hapis |
Siber güvenliğe ilişkin mevzuatın öngördüğü tedbirlerin alınmaması ya da hizmet sunulan alanda tespit edilen siber olay ya da zafiyetlerin bildirilmemesi | 1.000.000 TL ila 10.000.000 TL idari para cezası |
Kamu kurum veya kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik ürün, sistem veya hizmetlerinin, Başkanlık tarafından yetkilendirilmemiş ya da belgelendirilmemiş kişilerden tedarik edilmesi | 1.000.000 TL ila 10.000.000 TL idari para cezası |
Siber güvenlik şirketlerinin ihracat kısıtlamalarına veya yatırım süreçlerine ilişkin kontrollere aykırı hareket etmeleri | 10.000.000 TL ila 100.000.000 TL idari para cezası |
Denetim yapılmasına herhangi bir şekilde engel olunması | Bağımsız denetimden geçmiş yıllık finansal tablolarda yer alan brüt satış hasılatının %5’i oranında idari para cezası |
Discussion