İnsanlık tarihi, değişimlerin ve dönüşümlerin tarihidir. Bugün bu değişimin motoru dijitalleşme: İnternet her sürecin içine yerleşti, siber tehditler ise işin tam merkezine taşındı. Teknoloji hızla gelişirken, riskler de aynı hızla evriliyor. Bu nedenle kurumsal bilgi güvenliği artık yalnızca bir “IT konusu” değil; insan, süreç ve teknoloji eksenlerinde yönetilmesi gereken bütünleşik bir risk yönetimi zinciri. Eğitim, farkındalık, doğru araçlar ve disiplinli süreçler tek bir çatı altında buluşmadıkça güvenlik tesadüfe bırakılamaz.
Türkiye’de siber güvenlik alanını yatay bir çatı altında düzenleyen 7545 sayılı Siber Güvenlik Kanunu, 12 Mart 2025’te kabul edildi ve 19 Mart 2025 tarihli ve 32846 sayılı Resmî Gazete’de yayımlanarak yürürlüğe girdi. Kanunun birinci maddesi, ülkenin siber uzaydaki millî gücünü oluşturan unsurlara yönelen mevcut ve muhtemel tehditlerin tespiti ve bertarafı, siber olayların etkilerinin azaltılmasına ilişkin esasların belirlenmesi, ilgili tüm kurum ve kuruluşların siber saldırılara karşı korunmasına yönelik düzenlemeler ile ulusal strateji ve politikaların tespiti ve Siber Güvenlik Kurulu’nun kuruluş esaslarını düzenlemektedir.
Kimleri İlgilendiriyor?
Kanun, “siber uzay”da faaliyet gösteren herkesi kapsıyor; kamu kurumları, kamu kurumu niteliğinde meslek kuruluşları, gerçek ve tüzel kişiler ve tüzel kişiliği olmayan yapılar. Siber uzay; internete, elektronik haberleşme altyapılarına veya bilgisayar ağlarına bağlı tüm bilişim sistemlerini ifade ediyor.
Siber Güvenlik Kurulu:
Siber Güvenlik Kurulu; Cumhurbaşkanlığı başkanlığında toplanır, üyeleri arasında Cumhurbaşkanı Yardımcısı, ilgili bakanlar ve Siber Güvenlik Başkanı yer alır. Cumhurbaşkanının katılmadığı toplantılarda Kurula Cumhurbaşkanı Yardımcısı başkanlık eder. Kurul, politika, strateji ve eylem kararlarını alır; kritik altyapı sektörlerini belirleme yetkisine sahiptir.
Kurul kararlarına dayanarak strateji, politika ve eylem planlarını hazırlamakla görevli olan Siber Güvenlik Başkanlığı, 8 Ocak’ta Cumhurbaşkanlığı Kararnamesi ile kurulmuştur.
Kanunun Temel İlkeleri Nelerdir?
- Siber güvenlik, millî güvenlik mimarisinin bütünleyici bir unsurudur.
- Siber güvenlik hizmeti sunanlar ve ürün geliştirenler, yaşam döngüsünün tüm safhalarında güvenliği gözetir ve uygulamalarını buna göre tasarlar.
- Yerli ve millî nitelikteki ürün ve çözümlere öncelik verilir.
- Güvenlik, güvenlik birimleriyle sınırlı olmayan, herkesin üstlendiği ortak bir sorumluluktur.
- Siber güvenlik alanında insan kaynağı desteklenir; yetkinliklerin artırılması ve geliştirilmesi hedeflenir.
- Hukukun üstünlüğü esas alınır; temel hak ve özgürlüklerin korunması güvence altına alınır.
7545 sayılı Siber Güvenlik Kanunu, kapsamı gereği “siber uzay”da faaliyeti olan herkesi kamu kurumları, kamu kurumu niteliğindeki meslek kuruluşları, gerçek/tüzel kişiler ve tüzel kişiliği olmayan yapılar için kritiktir.
Özellikle kritik altyapı sektörlerindeki işletmeler (enerji, finans, ulaştırma, sağlık, elektronik haberleşme vb.) ile siber güvenlik ürünü/hizmeti sunan firmalar; denetim, standart ve sertifikasyon, yetki gibi yükümlülükler nedeniyle doğrudan etkilenir. Büyük ve orta ölçekli, hassas veri işleyen tüm şirketler için de yönetişim, bütçe ve insan kaynağı planlamasını üst yönetim düzeyine taşıyan bir uyum getirir. Uyumsuzluk; bilgi-belge vermeme, izinsiz faaliyet, sır saklama ihlali ve veri sızıntısı gibi başlıklarda hapis ve adli para cezalarıyla sonuçlanabilir.
Siber Güvenlik Kanunu’nda Hangi Cezalar Var?
Kanunda yer alan bazı cezai hükümler ve idari para cezaları özetle şöyledir:
- Bilgi ve belgeyi vermeme / engelleme: Kamu kurum ve kuruluşları hariç, bu Kanunla yetkilendirilen merciler ile denetim görevlilerinin görev kapsamındaki bilgi, belge, yazılım, veri ve donanım taleplerini karşılamayan ya da bunların teminine engel olan kişiler, 1 yıldan 3 yıla kadar hapis ve 500 günden 1.500 güne kadar adli para cezası ile cezalandırılır.
- İzinsiz faaliyet: Kanun gereği alınması zorunlu onay, yetki veya izin olmadan faaliyet yürütenlere 2 yıldan 4 yıla kadar hapis ve 1.000 günden 2.000 güne kadar adli para cezası verilir.
- Sır saklama yükümlülüğünün ihlali: Sır saklama görevini yerine getirmeyenler için 4 yıldan 8 yıla kadar hapis cezası öngörülür.
- Veri sızıntısı içeriğinin yayılması/satışı: Siber uzayda gerçekleşen veri sızıntısı sonucu daha önce yer almış kişisel veriler veya kritik kamu hizmeti kapsamındaki kurumsal veriler, ilgili kişi veya kurumların izni olmaksızın ücretli ya da ücretsiz erişime açılır, paylaşılır veya satışa sunulursa 3 yıldan 5 yıla kadar hapis cezası uygulanır.
- Gerçeğe aykırı sızıntı iddiası: Siber uzayda veri sızıntısı olmadığını bildiği hâlde, halkta endişe, korku ve panik yaratmak ya da kurumları/şahısları hedef göstermek amacıyla siber güvenlikle ilgili yalan içerik üreten veya bu amaçla yayanlara 2 yıldan 5 yıla kadar hapis cezası verilir.
- Millî siber güce saldırı ve verilerin elde tutulması/dağıtımı: Türkiye Cumhuriyeti’nin siber uzaydaki millî gücünü oluşturan unsurlara siber saldırıda bulunan veya bu saldırı neticesinde elde ettiği her türlü veriyi siber uzayda bulunduran kişiler, eylem daha ağır bir suçu oluşturmuyorsa 8 yıldan 12 yıla kadar hapis ile cezalandırılır. Bu verileri siber uzayda yayan, başka yere gönderen veya satışa çıkaranlar için ceza 10 yıldan 15 yıla kadar hapsolarak belirlenir.
- Nitelikli hâller (ceza artışı): Yukarıdaki suçların kamu görevlisi tarafından işlenmesi hâlinde ceza üçte bir oranında, birden fazla kişi tarafından işlenmesi hâlinde yarı oranında, örgüt faaliyeti çerçevesinde işlenmesi hâlinde ise yarısından iki katına kadar artırılır.
CFECERT olarak, kurumların siber güvenlik alanında mevzuata uyumunu, risklerini doğru yönetmesini ve yetkinliklerini artırması için eğitim ve belgelendirme hizmetlerimizle hem çalışanlarınıza farkındalık kazandırıyor hem de süreçlerinizi uluslararası standartlarla uyumlu hale getiriyoruz. Daha fazla bilgi ve iş birliği için bizimle info@cfecert.co.uk adresinden iletişime geçebilirsiniz.
Kaynak: https://www.resmigazete.gov.tr
