Emin Çelik & Partners Emin ÇelikTeknoloji Hukuku
EN Bize Ulaşın

Ana Sayfa / Görüşler

Güvenlik Tedbirlerini Gerektiği Gibi Almamak: Siber Güvenlik Mevzuatı Kapsamında Şirketleri Bekleyen Yaptırımlar

Siber Güvenlik Uyarıları5 Haziran 20268 dk okumaAv. Emin Çelik
Güvenlik Tedbirlerini Gerektiği Gibi Almamak: Siber Güvenlik Mevzuatı Kapsamında Şirketleri Bekleyen Yaptırımlar

Kısa cevap: 7545 sayılı Siber Güvenlik Kanunu, mevzuatın öngördüğü siber güvenlik tedbirlerini almayanlara 1.000.000 TL'den 10.000.000 TL'ye kadar idari para cezası öngörüyor; zarar doğmuşsa ceza bu zararın üç ila beş katına kadar çıkabiliyor. Aynı ihmal kişisel verileri de riske atıyorsa KVKK m. 18/1-b devreye giriyor ve iki kabahatten somut olayda hangisinin cezası daha ağırsa o uygulanıyor. Denetim yükümlülüklerine aykırılıkta ise ticari şirketler için ceza, brüt satış hasılatının yüzde beşine kadar uzanabiliyor.

Tedbir alma yükümlülüğünün kapsamı

Siber Güvenlik Kanunu'nun 7. maddesinin birinci fıkrasının (b) bendi, kapsama giren gerçek ve tüzel kişilere "siber güvenliğe yönelik olarak millî güvenlik, kamu düzeni veya kamu hizmetinin gereği gibi yürütülmesi amacıyla mevzuatın öngördüğü tedbirleri alma" yükümlülüğü getiriyor. Dikkat edilirse Kanun, tedbirlerin listesini kendisi vermiyor; "mevzuatın öngördüğü tedbirler"e atıf yapıyor. Bu, çerçeve norm tekniğidir: tedbirlerin somut içeriği, Başkanlıkça çıkarılacak ikincil düzenlemelerle ve sektörel mevzuatla doldurulacak.

Bu yapının pratik sonucu şu: yükümlülüğünüzün sınırlarını tek bir metinden okuyamazsınız. Elektronik haberleşme, bankacılık, enerji, sağlık gibi sektörlerde hâlihazırda yürürlükte olan güvenlik düzenlemeleri, bu çerçevenin içini dolduran "mevzuat" kapsamındadır ve bunlara aykırılık artık yalnızca sektörel yaptırımın değil, Siber Güvenlik Kanunu m. 16/10'daki genel cezanın da konusudur.

Ceza rejimi: üç katman

Kanun'un yaptırım sistematiği üç katmanlı okunmalı:

Birinci katman — tedbir almama (m. 16/10): Mevzuatın öngördüğü siber güvenlik tedbirlerini almayanlara 1.000.000 TL'den 10.000.000 TL'ye kadar idari para cezası verilir. Aynı aralık, zafiyet ve siber olayları bildirmeme ile kamu kurumları ve kritik altyapılarda yetkilendirilmemiş tedarikçiden ürün ve hizmet alımı için de geçerlidir.

İkinci katman — nispi ceza (m. 17/2): İhlal sonucunda bir zarar ortaya çıkmış veya menfaat elde edilmişse, ceza bu tutarın üç ila beş katına kadar belirlenebilir. Milyonlarca kullanıcının etkilendiği bir olayda bu hüküm, sabit üst sınırı anlamsız kılacak büyüklükte cezalara kapı aralıyor.

Üçüncü katman — denetim yükümlülükleri (m. 16/11): Cihaz, sistem, yazılım ve donanımlarını denetime açık tutma ve gerekli altyapıyı çalışır vaziyette bulundurma yükümlülüğüne aykırı davrananlara kural olarak 100.000 TL'den 1.000.000 TL'ye kadar ceza verilir. Ancak yükümlülüğü ihlal eden bir ticari şirketse ceza, 100.000 TL'den az olmamak üzere, bağımsız denetimden geçmiş yıllık finansal tablolardaki brüt satış hasılatının yüzde beşine kadar çıkabilir. Ciro bazlı bu ceza modeli, Türk idari yaptırım pratiğinde rekabet hukuku dışında pek görülmeyen, GDPR'ı andıran bir sertliktir.

KVKK ile çakışma: hangi ceza uygulanır?

Şirketlerin önemli bir kısmı için siber güvenlik tedbiri aynı zamanda kişisel veri güvenliği tedbiridir. Veri tabanı şifrelemesinin yapılmaması, erişim yetkilerinin kontrolsüz bırakılması, log tutulmaması gibi ihmaller hem KVKK m. 12/1'i hem de siber güvenlik mevzuatını aynı anda ihlal eder. Tek bir ihmalle iki kabahat birden işlendiğinde Kabahatler Kanunu m. 15/1 uygulanır: yalnızca en ağır idari para cezası verilir (fikri içtima).

Sorun, "en ağır" cezanın hangisi olduğunun soyut olarak belirlenememesi. KVKK m. 18/1-b'nin 2025 aralığı 204.285 - 13.620.402 TL; Siber Güvenlik Kanunu m. 16/10'un aralığı 1.000.000 - 10.000.000 TL. Üst sınırda KVKK, alt sınırda Siber Güvenlik Kanunu daha ağır. Üstelik nispi ceza ihtimali denkleme girdiğinde soyut karşılaştırma büsbütün imkânsızlaşıyor. Konuyu derinlemesine inceleyen Akgün ve Akıncı'nın vardığı sonuç, kanaatimizce de isabetlidir: hangi cezanın daha ağır olduğu, somut olayda hesaplanan cezalar karşılaştırılarak belirlenmelidir.¹ Bu da Kişisel Verileri Koruma Kurumu ile Siber Güvenlik Başkanlığı arasında, henüz kurulmamış ama acilen kurulması gereken bir koordinasyon mekanizmasını zorunlu kılıyor.

Şu noktayı da netleştirelim: KVKK m. 12 kapsamındaki her yükümlülük bu çakışmanın içinde değil. Hukuka aykırı açıklama yasağı (m. 12/4), iç denetim yükümlülüğü (m. 12/3) ve ihlal bildirimi (m. 12/5) gibi doğrudan kişisel verilerin korunmasına yönelik yükümlülükler, siber güvenlik mevzuatının kapsamına girmediğinden bu alanlarda yalnızca KVKK uygulanmaya devam ediyor.

Hukuka uygunluk denetimi nasıl yapılır? Uyum için yol haritası

Tedbir yükümlülüğüne uyumun ispatı, tedbirin alınmış olmasından ibaret değildir; alındığının belgelenebilmesi gerekir. Denetim ve incelemelerde şirketten istenecekler bellidir:

  1. Tedbir envanteri: Hangi teknik tedbirin (şifreleme, ağ segmentasyonu, EDR, yedekleme, erişim kontrolü) ve hangi idari tedbirin (politikalar, eğitimler, gizlilik taahhütleri, tedarikçi sözleşmeleri) ne zaman devreye alındığını gösteren güncel bir envanter.
  2. Risk analizi: Tedbirlerin keyfî değil, bir risk değerlendirmesine dayalı olarak seçildiğini gösteren dokümantasyon. KVKK'nın Kişisel Veri Güvenliği Rehberi bu konuda asgari çerçeveyi çiziyor.
  3. Test ve denetim kayıtları: Sızma testleri, zafiyet taramaları ve iç denetim raporları. Test yaptırmamış bir şirketin "gerekli tedbirleri aldım" savunması, uygulamada ikna edicilikten uzaktır.
  4. Olay müdahale kapasitesi: Tedbir yükümlülüğü statik değildir; olay anında devreye girecek müdahale planının varlığı ve test edilmişliği de tedbir kavramının içindedir.
  5. Tedarik zinciri kontrolü: Kamu kurumlarına ve kritik altyapılara hizmet verenler için yetkilendirilmiş tedarikçi şartına uyum ayrıca kritik; bu şarta aykırılık bağımsız bir ceza kalemidir.

Sonuç yerine: maliyet karşılaştırması

Orta ölçekli bir şirket için kapsamlı bir siber güvenlik uyum programının maliyeti, m. 16/10'daki cezanın alt sınırının genellikle altındadır. Nispi ceza, ciro bazlı denetim cezası, KVKK cephesindeki paralel yaptırımlar, tazminat davaları ve itibar kaybı da hesaba katıldığında, tedbir yükümlülüğüne uyum bir gider kalemi değil, bilanço koruması olarak okunmalıdır. Yeni mevzuat döneminde "başımıza gelmez" yaklaşımının fiyat etiketi artık kanunda yazılı.

Kaynaklar

  1. Akgün, Mustafa / Akıncı, Muhammed Furkan, "Kişisel Verilerin Korunması Kanunu'nda Düzenlenen Kabahatler ile Siber Güvenlik Kanunu'nda Düzenlenen Kabahatler Arasında İçtima İlişkisi", Ankara Hacı Bayram Veli Üniversitesi Hukuk Fakültesi Dergisi, 2026, C. 30, S. 3, s. 1399-1455.
  2. 7545 sayılı Siber Güvenlik Kanunu, m. 7, 8, 16, 17, 18; 6698 sayılı KVKK, m. 12, 18; 5326 sayılı Kabahatler Kanunu, m. 15.
  3. Kişisel Verileri Koruma Kurumu, Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler).
  4. Kangal, Zeynel T., Kabahatler Hukuku, İstanbul (içtima sistemine ilişkin genel çerçeve için).

Bu konuda hukuki desteğe mi ihtiyacınız var?

Şirketinizin durumuna özel değerlendirme için iletişime geçin.

Görüşme Planla

← Tüm yazılar