Av. Emin Çelik + Av. Emin Çelik +Teknoloji Hukuku
EN Bize Ulaşın

Ana Sayfa / Görüşler

7545 Sayılı Siber Güvenlik Kanunu: Kapsam, Yükümlülükler ve Cezalar

Siber Güvenlik Hukuku18 Haziran 20263 dk okumaAv. Muhammed Emin Çelik
7545 Sayılı Siber Güvenlik Kanunu: Kapsam, Yükümlülükler ve Cezalar

7545 sayılı Siber Güvenlik Kanunu, 19 Mart 2025 tarihli ve 32846 sayılı Resmî Gazete'de yayımlanarak yürürlüğe girdi. Kanun; kamu kurumları ile gerçek ve tüzel kişileri kapsar, Siber Güvenlik Başkanlığı'nı yetkilendirir ve siber olay bildirimi, denetim ve yaptırım esaslarını düzenler.

Kanun ne zaman yürürlüğe girdi?

7545 sayılı Kanun, 19 Mart 2025 tarihli ve 32846 sayılı Resmî Gazete'de yayımlandı ve yayımı tarihinde yürürlüğe girdi. Kanunun uygulanmasına ilişkin ikincil mevzuatın (yönetmelik ve tebliğler) bir yıl içinde çıkarılması öngörülmüştür.

Kapsam: kimler etkileniyor?

Kanun; siber uzayda varlık gösteren, faaliyet yürüten veya hizmet sunan tüm kamu kurum ve kuruluşları, kamu kurumu niteliğindeki meslek kuruluşlarını, gerçek ve tüzel kişiler ile tüzel kişiliği bulunmayan kuruluşları kapsar. Belirli istihbari faaliyetler ile Türk Silahlı Kuvvetlerinin iç hizmet faaliyetleri kapsam dışındadır.

Siber Güvenlik Başkanlığı ve Kurulu

Kanun, idari yapının iki ayağını kurar:

  • Siber Güvenlik Başkanlığı: kritik altyapıların dayanıklılığını artırma, siber saldırıları tespit ve önleme, zafiyet ve sızma testleri, siber tehdit istihbaratı, SOME'lerin (Siber Olaylara Müdahale Ekipleri) kurulması ve denetimi, düzenleme yapma, test ve sertifikasyon ile denetim ve yaptırım uygulama görevlerini yürütür.
  • Siber Güvenlik Kurulu: Cumhurbaşkanı başkanlığında, üst düzey yetkililerden oluşur; politika ve strateji kararları alır, kritik altyapı sektörlerini belirler ve kurumlar arası ihtilafları çözer.

Yükümlülükler: işletmeler ne yapmalı?

Kanun kapsamındaki kişi ve kuruluşların başlıca sorumlulukları şunlardır:

  • Başkanlığın bilgi, belge ve log kaydı taleplerini karşılamak,
  • Siber olayları Başkanlığa bildirmek,
  • Yetkilendirilmiş ürün, sistem ve hizmetleri tedarik etmek,
  • Başkanlıkça belirlenen politika, strateji ve standartlara uymak.

Veri ihlali aynı zamanda kişisel veri içeriyorsa, KVKK kapsamındaki bildirim yükümlülüğü ile siber olay bildirimi birlikte gündeme gelebilir. Çifte bildirim mantığını ayrıntılı ele aldığımız yazı: Siber saldırıda KVKK ve Siber Güvenlik Başkanlığı'na çifte bildirim.

Yaptırımlar: idari para cezaları ve cezai hükümler

Kanun, idari ve cezai yaptırımları birlikte düzenler:

  • İdari para cezaları: Kanunda öngörülen görev ve sorumlulukları yerine getirmeyenlere uygulanır; cezalara karşı yargı yolu açıktır.
  • Yetkisiz faaliyet: gerekli onay, yetki veya izinleri almaksızın faaliyet yürütenler için iki yıldan dört yıla kadar hapis ve bin günden iki bin güne kadar adli para cezası öngörülmüştür.
  • Ağırlaştırılmış fiiller: veri sızdırma, sır saklama yükümlülüğünün ihlali ve siber saldırı gibi fiiller için daha ağır hapis cezaları düzenlenmiştir.

Rakamlar ve dilimler ikincil mevzuatla ve uygulamayla detaylanacağından, somut bir durumda güncel metnin esas alınması gerekir.

Hazırlık için pratik adımlar

  1. Varlık envanteri ve kritik altyapı/kritik kamu hizmeti kapsamı değerlendirmesi,
  2. Siber olay tespit ve bildirim prosedürü (kim, ne zaman, hangi kanaldan),
  3. Tedarik zincirinde yetkilendirilmiş ürün/hizmet kontrolü,
  4. KVKK ile entegre ihlal müdahale planı,
  5. Yönetim kurulu seviyesinde sorumluluk ve raporlama.

Konuyla ilgili faaliyet alanımız: Siber Güvenlik Hukuku ve KVKK & GDPR Uyumu.

Sıkça Sorulan Sorular

7545 sayılı Siber Güvenlik Kanunu ne zaman yürürlüğe girdi?

Kanun, 19 Mart 2025 tarihli ve 32846 sayılı Resmî Gazete'de yayımlandı ve yayımı tarihinde yürürlüğe girdi. Uygulamaya ilişkin ikincil mevzuatın bir yıl içinde çıkarılması öngörülmüştür.

Kanun hangi kuruluşları kapsıyor?

Siber uzayda faaliyet yürüten veya hizmet sunan tüm kamu kurumlarını, meslek kuruluşlarını, gerçek ve tüzel kişiler ile tüzel kişiliği olmayan kuruluşları kapsar. Belirli istihbari faaliyetler ve TSK'nın iç hizmet faaliyetleri kapsam dışındadır.

Siber olay bildirimi zorunlu mu?

Evet. Kanun kapsamındaki kişi ve kuruluşlar siber olayları Siber Güvenlik Başkanlığı'na bildirmek ve Başkanlığın bilgi/belge taleplerini karşılamakla yükümlüdür. Olay kişisel veri de içeriyorsa KVKK bildirimi ayrıca gündeme gelir.

Kanuna aykırılığın yaptırımı nedir?

Görev ve sorumluluklarını yerine getirmeyenlere idari para cezası uygulanır; yetkisiz faaliyet yürütenler için iki yıldan dört yıla kadar hapis ve adli para cezası, veri sızdırma ve siber saldırı gibi fiiller için daha ağır cezalar öngörülmüştür.

Bu konuda hukuki desteğe mi ihtiyacınız var?

Şirketinizin durumuna özel değerlendirme için iletişime geçin.

Görüşme Planla

← Tüm yazılar