Kategori: Siber Güvenlik Hukuku Yazar: Av. Ayşe Ece Acar Tarih: Mayıs 2026
5 Mayıs 2026’da Türkiye’nin siber güvenlik gündeminde önemli bir gelişme yaşandı.
Siber Güvenlik Kurulu, Cumhurbaşkanı Erdoğan başkanlığında toplandı. Toplantı basına kapalı olarak gerçekleşti; ancak ardından yapılan resmi açıklama, şirketlerin yakından takip etmesi gereken somut kararlar dikkat çekti: Kritik altyapı sektörleri resmen belirlendi.
Bu kararın hukuki ve pratik yansımaları, 7545 Sayılı Siber Güvenlik Kanunu kapsamında faaliyet gösteren şirketler açısından doğrudan sonuçlar doğuruyor.
Toplantıda Neler Konuşuldu?
Resmi açıklamaya göre toplantının gündeminde dört ana başlık yer aldı: Kritik altyapıların korunması, dijital sistemlerin güvenliği, yerli ve milli teknolojilerde kapasite geliştirilmesi ve veri egemenliği.
Toplantıda yapılan en kritik vurgu şu oldu: “Siber güvenlik, millî güvenliğin ayrılmaz bir parçasıdır.” Bu cümle, siber güvenliğin artık teknik bir IT meselesi olmaktan çıkıp devletin en üst düzey gündeminde yer aldığının resmi tescili niteliğinde.
Veri egemenliği konusuna ayrı bir başlık ayrılması ise dikkat çekici. Resmi açıklamada “verinin yalnızca teknik bir unsur değil, aynı zamanda stratejik bir değer olduğu” vurgulandı. Bu yaklaşım, yakın vadede veri lokalizasyonu ve yurt dışı veri aktarımına ilişkin düzenlemelerin gündemin üst sıralarına çıkabileceğine işaret ediyor.
15 Kritik Altyapı Sektörü Resmen Belirlendi
Toplantının en somut çıktısı bu oldu. Kritik Altyapı Sektörleri olarak şu 15 alan kararlaştırıldı: Dijital Altyapılar, Dijital Hizmetler, Elektronik Haberleşme, Enerji, Finans, Gıda ve Tarım, İmalat Sanayi, Kamu Hizmetleri, Medya ve Kriz İletişimi, Posta ve Kargo, Sağlık, Savunma Sanayii, Su Yönetimi, Ulaştırma ve Uzay.
Bu liste, 7545 Sayılı Siber Güvenlik Kanunu’nun uygulama alanını somutlaştırıyor. Kanun, kritik altyapı sektörlerinde faaliyet gösteren şirketlere ek yükümlülükler getiriyor — ancak bu sektörlerin tam listesi bugüne kadar netleşmemişti. Artık netleşti.
Bu Karar Şirketler İçin Ne Anlama Geliyor?
7545 Sayılı Kanun kapsamında kritik altyapı statüsüne giren sektörlerdeki şirketler, standart yükümlülüklerin ötesinde ek gerekliliklerle karşı karşıya kalacak. Siber Güvenlik Başkanlığı tarafından yetkilendirilmiş ve sertifikalandırılmış ürün ve hizmet kullanma zorunluluğu bu gereklilikler arasında yer alıyor. Yerli ve milli siber güvenlik çözümlerine öncelik verme yükümlülüğü de gündemin üst sıralarına çıkıyor.
Şu ana kadar alt düzenlemeler yayımlanmadığı için bu yükümlülüklerin tam kapsamı belirsizdi. Kritik altyapı sektörlerinin artık resmi olarak belirlenmesi, alt düzenlemelerin de hızla gündeme geleceğine işaret ediyor. Sertifikasyon süreci başladığında, kritik altyapı sektöründeki şirketlerin bir yıl içinde bu süreci tamamlaması gerekecek. Tamamlamayanlara ise faaliyetten men yaptırımı uygulanabilecek.
Siber Güvenlik Başkanlığı’nın Genişleyen Rolü
5 Mayıs toplantısının arka planını anlamak için Başkanlığın kuruluş sürecini hatırlatmak gerekiyor. 8 Ocak 2025’te 177 sayılı Cumhurbaşkanlığı Kararnamesi ile kurulan Siber Güvenlik Başkanlığı, Aralık 2025’te çıkan yeni kararname ile görev alanını önemli ölçüde genişletti. Dijital Dönüşüm Ofisi kapatılarak tüm görevleri Başkanlığa devredildi. Bünyesinde Kamu Yapay Zeka Genel Müdürlüğü ve Dijital Devlet Genel Müdürlüğü kuruldu. Kamuda yapay zeka uygulamalarına ilişkin tüm yetkiler tek çatı altında toplandı.
Yani Başkanlık artık yalnızca siber güvenlikle değil, dijital devlet altyapısı ve kamuda yapay zeka uygulamalarıyla da ilgileniyor. Bu genişleme, ilerleyen dönemde özel sektörü de kapsayan yeni düzenlemelerin zeminini oluşturuyor.
Veri Egemenliği: Önümüzdeki Dönemin Gündem Maddesi
Toplantı açıklamasında veri egemenliğine ayrıca yer verilmesi, bu konunun yakında somut hukuki düzenlemelere konu olacağına işaret ediyor. Şirketlerin müşteri verilerini hangi sunucularda tuttuğu, yurt dışına hangi verileri aktardığı ve bu aktarımların hukuki dayanakları — tüm bu sorular önümüzdeki dönemde çok daha sık gündeme gelecek.
Bu çerçevede KVKK’nın yurt dışı veri aktarım hükümleri ile Siber Güvenlik Kanunu’nun veri güvenliği yükümlülüklerinin birlikte değerlendirilmesi giderek daha kritik bir hal alıyor.
Şirketiniz Bu Listede mi?
Belirlenen 15 sektörden herhangi birinde faaliyet gösteriyorsanız yapılması gereken ilk adım şu: Mevcut uyum durumunuzu değerlendirin, 7545 Sayılı Kanun kapsamındaki yükümlülüklerinizi belirleyin ve alt düzenlemeler yayımlandığında hızla harekete geçebilmek için hazırlıklı olun.
Alt düzenlemeler geldiğinde uyum süreci hızla başlayacak. Bugünden hazırlık yapan şirketler, hem hukuki risklerini minimize etmiş hem de sektörde stratejik bir avantaj elde etmiş olacak.
Siber Güvenlik Kanunu kapsamındaki yükümlülüklerinizi, kritik altyapı statüsünün şirketinize yansımalarını ve uyum sürecinin nasıl planlanması gerektiğini değerlendirmek konularında alanında uzman bir avukattan hukuki yardım almak, bu sürecin sağlıklı yönetilmesi açısından kritik önem taşıyor.
Bu makale yalnızca genel bilgilendirme ve farkındalık amacıyla hazırlanmıştır; hukuki tavsiye, görüş veya danışmanlık hizmeti niteliği taşımamaktadır. Her somut olay kendi koşulları ve güncel mevzuat çerçevesinde ayrıca değerlendirilmelidir. Makale içeriğine dayanılarak alınan kararlardan doğabilecek sonuçlardan ACR Legal ve Av. Ayşe Ece Acar sorumlu tutulamaz.
© 2026 ACR Legal | Av. Ayşe Ece Acar — ayseeceacar.av.tr. Tüm hakları saklıdır. Bu makalenin tamamı veya bir bölümü, kaynak gösterilse dahi izinsiz çoğaltılamaz, yayımlanamaz veya ticari amaçla kullanılamaz.
