Dijitalleşme hız kazandıkça siber tehditler de büyüyor. Türkiye bu gerçeği yasal bir çerçeveye oturttu: 7545 Sayılı Siber Güvenlik Kanunu, 19 Mart 2025’te Resmî Gazete’de yayımlanarak yürürlüğe girdi.
Bu kanun yalnızca siber saldırganları değil, aynı zamanda dijital ortamda hizmet sunan, veri işleyen veya bilişim sistemi kullanan herkesi etkiliyor. Peki şirketiniz bu kanun kapsamında mı? Ve eğer öyleyse ne yapmanız gerekiyor?
Kanun Kimi Kapsıyor?
7545 sayılı Kanun son derece geniş bir uygulama alanına sahip. Bilişim sistemleri kullanarak hizmet sunan, veri toplayan, işleyen veya benzeri faaliyetler yürüten tüm gerçek ve tüzel kişiler kanun kapsamında yer alıyor.
Başka bir deyişle: Bir web sitesi üzerinden hizmet sunuyorsanız, müşteri verisi topluyorsanız, dijital bir altyapı kullanıyorsanız — bu kanun büyük ihtimalle sizi de etkiliyor.
Özellikle şu sektörler birincil hedef kitle olarak öne çıkıyor: telekomünikasyon, enerji, finans, sağlık, ulaştırma ve elektronik ticaret. Ancak kanunun kapsamı bunlarla sınırlı değil.
Temel Yükümlülükler ve Cezalar
Kanunun getirdiği yükümlülükler ile bunlara aykırılık halinde öngörülen yaptırımlar aşağıdaki tabloda özetlenmiştir:
| Yükümlülük | Açıklama | Yaptırım |
|---|---|---|
| Bilgi ve belge sunma | SGB’nin talep ettiği her türlü veri, belge, yazılım ve donanımı gecikmeksizin sunmak | 1 – 3 yıl hapis + adli para cezası |
| Siber olay bildirimi | Tespit edilen siber güvenlik açıklarını ve olaylarını SGB’ye bildirmek | 1 – 10 milyon TL idari para cezası |
| Zafiyet bildirimi | Sistemlerdeki güvenlik açıklarının Başkanlığa raporlanması | 1 – 10 milyon TL idari para cezası |
| Denetim yükümlülükleri | SGB denetimine tabi olmak, denetçilere gerekli erişimi sağlamak | 100.000 TL – 1 milyon TL (ticari şirketlerde yıllık brüt satış hasılatının %5’ine kadar) |
| Sertifikasyon zorunluluğu | Siber güvenlik alanında faaliyet gösteren şirketlerin SGB onaylı sertifikasyon alması | Sertifikasyon tamamlanmazsa faaliyetten men, tüzel kişiliğin sona erdirilmesi |
| İzinsiz faaliyet yasağı | Gerekli onay, yetki veya izin alınmadan siber güvenlik alanında faaliyet yürütmemek | 2 – 4 yıl hapis + 1.000 – 2.000 gün adli para cezası |
| Sır saklama yükümlülüğü | Görev kapsamında edinilen bilgilerin gizli tutulması | 4 – 8 yıl hapis |
| Veri sızıntısı yasağı | Siber uzayda kişisel veya kurumsal verilerin izinsiz paylaşılmaması veya satılmaması | 3 – 5 yıl hapis |
| Yurt dışı satış ve birleşme bildirimi | Siber güvenlik ürün/hizmetlerinin yurt dışına satışı ve şirket birleşme/devir işlemlerinin SGB’ye bildirilmesi ve onayına sunulması | 10 – 100 milyon TL idari para cezası, işlemin geçersizliği |
| Milli siber güce saldırı yasağı | TC’nin siber uzaydaki milli gücüne saldırı veya ele geçirilen verilerin dağıtımı | 8 – 12 yıl hapis; dağıtım halinde 10 – 15 yıl hapis |
| Gerçeğe aykırı içerik yasağı | Kamuoyunda panik yaratmak amacıyla asılsız siber güvenlik içeriği üretmek veya yaymak | 2 – 5 yıl hapis |
Not: Suçun kamu görevlisi tarafından işlenmesi halinde ceza 1/3 oranında, birden fazla kişi tarafından işlenmesi halinde 1/2 oranında, örgüt kapsamında işlenmesi halinde ise 1/2’sinden 2 katına kadar artırılmaktadır.
Dikkat: Alt Düzenlemeler Henüz Yayımlanmadı
Kanunun yürürlüğe girmesinden bu yana geçen bir yıla rağmen, uygulamaya ilişkin ikincil mevzuat — yönetmelikler ve tebliğler — henüz kamuoyuyla paylaşılmadı. Bu durum, şirketler açısından ciddi bir belirsizlik ortamı yaratıyor.
Kanun, bu ikincil düzenlemelerin 19 Mart 2026’ya kadar yürürlüğe girmesini öngörüyordu. Ancak bu süre dolmuş olmasına rağmen düzenlemeler henüz yayımlanmadı.
Bu belirsizlik iki anlama geliyor: Temel yükümlülükler (bilgi sunma, siber olay bildirimi, zafiyet bildirimi) hâlihazırda yürürlükte. Ancak sertifikasyon ve denetim gibi daha ayrıntılı düzenlemeler için alt mevzuat bekleniyor.
Bu ortamda şirketlerin yapması gereken şey beklemeye geçmek değil, hazırlanmaya başlamaktır.
KVKK ile Kesişim: Çifte Yükümlülük
Siber Güvenlik Kanunu ile KVKK birbirinden bağımsız düzenlemeler gibi görünse de pratikte iç içe geçmiş bir uyum süreci gerektiriyor.
Siber olay bildirimi her iki kanun kapsamında da zorunlu. KVKK’da 72 saatlik bildirim yükümlülüğü varken Siber Güvenlik Kanunu da benzer bir zorunluluk getiriyor.
Veri sızıntısı hem KVKK’da hem de Siber Güvenlik Kanunu’nda yaptırıma bağlanmış durumda. Aynı olay iki ayrı kanun kapsamında iki ayrı soruşturmaya konu olabilir.
Kısacası: KVKK uyumunu tamamlamış bir şirket, Siber Güvenlik Kanunu açısından daha güçlü bir başlangıç noktasına sahip demektir. Ama KVKK uyumu, Siber Güvenlik Kanunu uyumunun yerini tutmuyor.
Özel Hukuk Sorumluluğu: Gözden Kaçan Risk
Kanun kapsamındaki şirketlerin karşılaşabileceği risk yalnızca idari yaptırımlar ve ceza hukuku değil. Yargı kararları, siber güvenlik önlemlerini yeterince almayan işletmelerin üçüncü kişilere karşı tazminat sorumluluğuyla da karşılaşabileceğini ortaya koyuyor.
Bir şirketin dolandırıcılık tespit sistemi kurmaması ya da log yönetimini ihmal etmesi — ve bunun sonucunda müşteri zarara uğraması — artık yalnızca bir idari sorun değil, tazminat davası riskidir.
Şirketiniz Ne Yapmalı?
Mevcut durumu değerlendirin: Bilişim sistemleri kullanıyor musunuz? Veri topluyor veya işliyor musunuz? Siber güvenlik alanında faaliyet yürütüyor musunuz?
Temel yükümlülükleri inceleyin: Bilgi ve belge sunma, siber olay ve zafiyet bildirimi yükümlülükleriniz bugün itibarıyla yürürlükte.
Alt düzenlemeleri takip edin: Sertifikasyon ve denetim süreçlerine ilişkin düzenlemeler yayımlandığında hızla harekete geçmeniz gerekecek.
KVKK uyumunuzu gözden geçirin: İki kanun arasındaki kesişim noktalarını belirleyin, çifte riski minimize edin.
Hukuki destek alın: Alt düzenlemeler belirsizken ve mevcut yükümlülükler yürürlükteyken profesyonel hukuki değerlendirme stratejik bir avantaja dönüşüyor.
Sonuç
7545 sayılı Siber Güvenlik Kanunu, Türkiye’nin dijital güvenlik alanındaki en kapsamlı yasal düzenlemesi. Ancak yayımlanmasının üzerinden bir yıl geçmesine rağmen ikincil mevzuat henüz tamamlanmadı — bu durum hem belirsizlik hem de hazırlık için bir pencere anlamına geliyor.
Alt düzenlemeler yayımlandığında uyum süreci hızla başlayacak. Şimdiden hazırlık yapan şirketler, hem hukuki risklerini minimize etmiş hem de rakiplerine karşı stratejik bir avantaj elde etmiş olacak.
Şirketinizin Siber Güvenlik Kanunu kapsamındaki yükümlülüklerini ve KVKK ile kesişim noktalarını değerlendirmek ister misiniz? ACR Legal olarak bu süreçte yanınızdayız.
Yasal Uyarı ve Bilgilendirme Notu
Bu makale yalnızca genel bilgilendirme ve farkındalık amacıyla hazırlanmıştır; hukuki tavsiye, görüş veya danışmanlık hizmeti niteliği taşımamaktadır. Her somut olay kendi koşulları ve güncel mevzuat çerçevesinde ayrıca değerlendirilmelidir. Makale içeriğine dayanılarak alınan kararlardan doğabilecek sonuçlardan ACR Legal ve Av. Ayşe Ece Acar sorumlu tutulamaz.
© 2026 ACR Legal | Av. Ayşe Ece Acar — ayseeceacar.av.tr. Tüm hakları saklıdır. Bu makalenin tamamı veya bir bölümü, kaynak gösterilse dahi izinsiz çoğaltılamaz, yayımlanamaz veya ticari amaçla kullanılamaz.
