Emin Çelik & Partners Emin ÇelikTeknoloji Hukuku
EN Bize Ulaşın

Ana Sayfa / Görüşler

Siber Güvenlik Başkanlığı'na Siber Olay Bildirimi Nasıl Yapılır?

Siber Güvenlik Uyarıları10 Haziran 20267 dk okumaAv. Emin Çelik
Siber Güvenlik Başkanlığı'na Siber Olay Bildirimi Nasıl Yapılır?

Kısa cevap: 7545 sayılı Siber Güvenlik Kanunu uyarınca, bilişim sistemleri kullanarak hizmet sunan, veri toplayan ve işleyen herkes, hizmet sundukları alanda tespit ettikleri zafiyet veya siber olayları gecikmeksizin Siber Güvenlik Başkanlığı'na bildirmek zorundadır. Yükümlülüğün ihlali 1.000.000 TL'den 10.000.000 TL'ye kadar idari para cezasına tabidir. Bildirimin usul ve esaslarını ayrıntılandıracak ikincil mevzuat henüz tamamlanma aşamasındadır; bu rehber, ilgili yönetmelikler yayımlandıkça güncellenecektir.

Yeni bir yükümlülük, yeni bir muhatap

Türkiye'de siber olay bildirimi uzun süre sektörel düzenlemelerle (bankacılık, elektronik haberleşme, enerji) ve Ulusal Siber Olaylara Müdahale Merkezi (USOM) koordinasyonundaki SOME yapılanmasıyla yürütüldü. 12 Mart 2025'te kabul edilen 7545 sayılı Siber Güvenlik Kanunu, bu dağınık tabloyu tek bir genel yükümlülük ve tek bir merkezi otorite etrafında topladı: Cumhurbaşkanlığına bağlı Siber Güvenlik Başkanlığı.

Kanun'un 7. maddesinin birinci fıkrasının (b) bendi, kapsama giren herkese iki şeyi bildirme yükümlülüğü getiriyor: hizmet sundukları alanda tespit ettikleri zafiyetler ve siber olaylar. Bu ayrım önemli; yükümlülük yalnızca gerçekleşmiş saldırıları değil, henüz istismar edilmemiş güvenlik açıklarını da kapsıyor. Sisteminizde kritik bir açık tespit eden güvenlik ekibinizin bulgusu, artık yalnızca teknik bir iç mesele değil, hukuki bir bildirim konusudur.

Kimler yükümlü?

Kanun'un kapsamı geniş tutulmuş durumda: bilişim sistemleri kullanmak suretiyle hizmet sunan, veri toplayan, işleyen ve benzeri faaliyetleri yürüten gerçek ve tüzel kişiler. Pratikte bu tanımın dışında kalabilecek ticari işletme bulmak zor. E-ticaret siteleri, SaaS sağlayıcıları, lojistik firmaları, sağlık kuruluşları, eğitim kurumları; kısacası dijital altyapı üzerinden faaliyet gösteren herkes potansiyel yükümlü.

Kamu kurumları ve kritik altyapı işletmecileri için Kanun ayrıca daha sıkı yükümlülükler (yetkilendirilmiş tedarikçi kullanma, denetime açık olma) öngörüyor; ancak bildirim yükümlülüğü bu dar kapsamla sınırlı değil, genel niteliktedir.

"Gecikmeksizin" ne demek?

KVKK tarafında Kurul'un 72 saatlik somut bir süre belirlemesine karşılık, Siber Güvenlik Kanunu "gecikmeksizin" ifadesini kullanıyor ve bu ifade 72 saatten daha katı bir standarda işaret ediyor. Olayın doğrulanmasının ardından makul olmayan her bekleme, yükümlülüğün ihlali olarak değerlendirilebilir. Karşılaştırma için: AB'nin NIS2 Direktifi, önemli olaylar için 24 saat içinde erken uyarı ve 72 saat içinde olay bildirimi şeklinde kademeli bir sistem kuruyor. Türk ikincil mevzuatının da benzer bir kademelendirmeye gitmesi sürpriz olmaz; yönetmelik yayımlandığında bu bölümü güncelleyeceğiz.

Bildirim hangi kanaldan yapılır?

Bu yazının kaleme alındığı tarihte, bildirimin şekline, içeriğine ve kanalına ilişkin usul ve esasları düzenleyen ikincil mevzuat henüz yayımlanmış değil. Mevcut durumda uygulamada izlenebilecek yol şöyle:

  1. USOM kanalları: Ulusal Siber Olaylara Müdahale Merkezi'nin ihbar mekanizmaları (usom.gov.tr üzerindeki bildirim kanalları), siber olayların ulusal otoriteye iletilmesinde fiilen kullanılan kanal olmaya devam ediyor.
  2. Sektörel SOME'ler: Sektörel düzenlemeye tabi kuruluşlar (bankalar, elektronik haberleşme işletmecileri, enerji şirketleri) kendi sektörel SOME'lerine ve düzenleyici otoritelerine yönelik mevcut bildirim yükümlülüklerini ayrıca sürdürmek zorunda.
  3. Yazılı bildirim: Tereddüt hâlinde, olayın Başkanlığa hitaben yazılı olarak ve ispatlanabilir bir kanaldan (KEP) bildirilmesi, "gecikmeksizin bildirme" yükümlülüğünün ifa edildiğini belgelemek açısından güvenli bir yaklaşımdır.

Bildirimin asgari içeriği konusunda da yönetmeliği beklemek gerekiyor; ancak uluslararası pratik ışığında olayın tespit tarihi, niteliği, etkilenen sistemler, tahmini etki ve alınan ilk müdahale tedbirlerinin bildirimde yer alması beklenmelidir. Eksik bilgiyle yapılan erken bildirim, tam bilgiyle yapılan geç bildirimden her zaman daha güvenlidir.

Cezalar: sabit aralık artı nispi ceza riski

Bildirim yükümlülüğüne aykırılığın yaptırımı, Kanun'un 16. maddesinin 10. fıkrasında düzenleniyor: 1.000.000 TL'den 10.000.000 TL'ye kadar idari para cezası. Ancak burada durmamak gerekiyor; Kanun'un 17. maddesinin 2. fıkrası, ihlal sonucunda bir zarar doğmuş veya menfaat elde edilmişse cezanın bu tutarın üç ila beş katına kadar belirlenebilmesine imkân tanıyor. Bildirilmeyen bir siber olayın büyük bir zarara yol açtığı senaryoda ceza, sabit üst sınırın çok ötesine geçebilir.

Bir de işin KVKK boyutu var. Siber olay aynı zamanda kişisel verilerin ele geçirilmesiyle sonuçlanmışsa, Kişisel Verileri Koruma Kurulu'na ve ilgili kişilere yapılacak bildirim ayrı bir yükümlülüktür. Güncel doktrinin ortaya koyduğu üzere, iki bildirim yükümlülüğünün içerik ve muhatapları farklı olduğundan, ikisinin de ihmali hâlinde gerçek içtima uygulanır ve her iki otorite ayrı ayrı ceza keser.¹ Başkanlığa bildirmiş olmanız Kurul'a karşı yükümlülüğünüzü, Kurul'a bildirmiş olmanız Başkanlığa karşı yükümlülüğünüzü ortadan kaldırmaz.

Şirketiniz için yapılacaklar listesi

  • Olay müdahale planınıza Siber Güvenlik Başkanlığı bildirimini ayrı bir adım olarak ekleyin; KVKK bildirimiyle birleştirmeyin.
  • Zafiyet yönetimi sürecinizi gözden geçirin: hangi seviyedeki açıkların "bildirilecek zafiyet" sayılacağına dair bir iç eşik ve onay mekanizması belirleyin.
  • Bildirim yetkisinin kimde olduğunu netleştirin; gece yarısı tespit edilen bir olayda "kim imzalayacak" tartışması, "gecikmeksizin" standardının en sık ihlal nedenidir.
  • Sektörel bildirim yükümlülükleriniz varsa (BDDK, BTK, EPDK), bunların yeni genel yükümlülükle paralel yürüyeceğini unutmayın.
  • İkincil mevzuatı takip edin. Bu rehber, yönetmelikler yayımlandığında güncellenecektir; gelişmelerden haberdar olmak için bültenimize abone olabilirsiniz.

Kaynaklar

  1. Akgün, Mustafa / Akıncı, Muhammed Furkan, "Kişisel Verilerin Korunması Kanunu'nda Düzenlenen Kabahatler ile Siber Güvenlik Kanunu'nda Düzenlenen Kabahatler Arasında İçtima İlişkisi", Ankara Hacı Bayram Veli Üniversitesi Hukuk Fakültesi Dergisi, 2026, C. 30, S. 3, s. 1399-1455.
  2. 7545 sayılı Siber Güvenlik Kanunu, m. 3, 7, 16, 17.
  3. Avrupa Parlamentosu ve Konseyi'nin (AB) 2022/2555 sayılı Direktifi (NIS2), m. 23.

Not: Bu yazıdaki usule ilişkin açıklamalar, Siber Güvenlik Kanunu'na ilişkin ikincil mevzuatın henüz yayımlanmamış olması nedeniyle mevcut uygulama ve uluslararası örnekler esas alınarak hazırlanmıştır. İlgili yönetmelikler yayımlandığında yazı güncellenecektir.

Bu konuda hukuki desteğe mi ihtiyacınız var?

Şirketinizin durumuna özel değerlendirme için iletişime geçin.

Görüşme Planla

← Tüm yazılar