SİBER GÜVENLİK KANUNU HAKKINDA BİLGİ NOTU
Siber Güvenlik Kanunu (“Kanun”) 12.03.2025 tarihinde TBMM Genel Kurulu’nda kabul edilerek
yasalaşmıştır. Kanun, siber güvenliğe dair düzenlemeleri ve Siber Güvenlik Kurulu (“Kurul”)
kurulmasına ilişkin esasları içermektedir. İşbu Kanun’da yer alan önemli düzenlemelere aşağıda
değinilmiştir.
I. Kanun’un Kapsamı
Kanun, siber uzayda faaliyet gösteren, hizmet sunan (i) kamu kurum ve kuruluşları, (ii) kamu
kurumu niteliğinde meslek kuruluşları, (iii) gerçek ve tüzel kişiler ile (iv) tüzel kişiliği bulunmayan
kuruluşları kapsamaktadır.
Polis Vazife ve Salahiyet Kanunu, Sahil Güvenlik Komutanlığı Kanunu, Jandarma Teşkilat, Görev
ve Yetkileri Kanunu uyarınca yürütülen istihbari faaliyetler ile Devlet İstihbarat Hizmetleri ve Milli
İstihbarat Teşkilat Kanunu ile Türk Silahlı Kuvvetleri İç Hizmet Kanunu uyarınca yürütülen
faaliyetler düzenleme kapsamı dışında tutulmaktadır.
II. Kanun’un Amacı
Kanun’un başlıca amaçları aşağıdaki gibidir:
Siber tehditlerin tespit ve bertaraf edilmesi
Siber Güvenlik Başkanlığı (“Başkanlık”), Başkanlık tarafından kurulacak ve yürütülecek Siber
Olaylara Müdahale Ekipleri (“SOME”) ve istihdam edilecek uzman personel marifetiyle siber
uzaydaki mevcut, olası ve geçmiş ihlal ve saldırıları tespit ve bertaraf edecektir.
Siber güvenliğin güçlendirilmesine ve siber olayların olası etkilerini azaltmaya yönelik strateji
ve politikaların belirlenmesi
Başkanlık, siber olgunluğun geliştirilmesine yönelik yayımladığı bağlayıcı politika, strateji, eylem
planı ve diğer düzenleyici işlemler belirleyecektir.
Siber saldırılara karşı caydırıcı düzenlemeler yapılması
Kanun siber saldırı, ihlali veya Kanun’a aykırılık halleri için ciddi hapis cezaları ile adli ve idari
para cezaları öngörmüştür. (Bakınız: Bölüm VII)
Siber Güvenlik Kurulu’nun kurulması
Cumhurbaşkanı, Cumhurbaşkanı Yardımcısı, Adalet Bakanı, Dışişleri Bakanı, İçişleri Bakanı, Milli
Savunma Bakanı, Sanayi ve Teknoloji Bakanı, Ulaştırma ve Altyapı Bakanı, Milli Güvenlik Kurulu
Genel Sekreteri, Milli İstihbarat Teşkilatı Başkanı, Savunma Sanayii Başkanı ve Siber Güvenlik
Başkanından oluşan Siber Güvenlik Kurulu kurulacaktır.
Kurul, (i) siber güvenlikle ilgili politika, strateji, eylem planı ve diğer düzenleyici işlemlere yönelik
kararları alacak (ii) Başkanlık tarafından hazırlanan siber güvenlik alanına ilişkin teknoloji yol
haritasının ülke çapında uygulanmasına yönelik kararlar alacak, (iii) siber güvenlik alanında
teşvik verilecek öncelikli alanları belirleyecek, siber güvenlik alanındaki insan kaynağının
geliştirilmesine yönelik karar alacak, (iv) kritik altyapı sektörlerini belirleyecek ve (v) Başkanlık ile
kamu kurum ve kuruluşları arasında meydana gelebilecek ihtilafları karara bağlayacaktır.
III. Siber Güvenlik Kavramları
Kanun’da birtakım temel siber güvenlik kavramları tanımlanmıştır. Söz konusu kavramlar,
Kanun’un kapsamının tespiti açısından belirleyici özellik taşımaktadır.
Kritik altyapı: İşlediği bilginin/verinin gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda can
kaybına, büyük ölçekli ekonomik zarara ve güvenlik açıklarına veya kamu düzeninin
bozulmasına yol açabilecek bilişim sistemlerini barındıran altyapılardır.
Kritik kamu hizmeti: Ulusal, toplumsal veya ekonomik faaliyetlerin sürdürülmesi için gerekli olan
ve kesintiye uğraması veya zarar görmesi halinde ulusal güvenlik, ülkenin sosyal veya ekonomik
refahı, kamu düzeni veya sağlığı ya da diğer hizmetlerin sunumu üzerinde önemli bir etki
oluşturabilecek ülke genelinde tekel veya sınırlı ikame ile sunulan hizmeti,
Siber uzay: Doğrudan ya da dolaylı olarak internete, elektronik haberleşme veya bilgisayar
ağlarına bağlı olan tüm bilişim sistemlerini ve bunları birbirine bağlayan ağlardan oluşan
ortamdır.
Siber güvenlik: Siber uzayı oluşturan bilişim sistemlerinin saldırılardan korunmasını, bu ortamda
işlenen verinin gizlilik, bütünlük ve erişilebilirliğinin güvence altına alınmasını, saldırıların ve siber
olayların tespit edilmesini, bu tespitlere karşı tepki ve alarm mekanizmalarının devreye
alınmasını ve sonrasında yaşanan siber olay öncesi duruma geri döndürülmesini kapsayan
faaliyetler bütünüdür.
Siber olay: Bilişim sistemlerinin veya bu sistemler tarafından işlenen verinin gizlilik, bütünlük veya
erişilebilirliğinin ihlal edilmesidir.
Siber saldırı: Siber uzaydaki bilişim sistemlerinin ve bu sistemler tarafından işlenen verinin gizliliği,
bütünlüğü veya erişilebilirliğini ortadan kaldırmak amacıyla, siber uzayın herhangi bir yerindeki
kişi veya bilişim sistemlerine yönelik olarak kasıtlı yapılan işlemlerdir.
IV. Siber Güvenlik Başkanlığı
Başkanlığın görevleri başlıca şunlardır:
a) Kritik altyapılar ile ait oldukları kurumları ve konumları belirlemek.
b) SOME’ler kurmak, kurdurmak ve denetlemek,
c) Siber güvenlik alanında faaliyet gösterenlerin uyması gereken usul ve esasları
düzenlemek ve siber güvenlik alanına ilişkin standartları hazırlamak,
d) Siber güvenlik alanına ilişkin yazılım, donanım, ürün, sistem ve hizmetlere yönelik test ve
sertifikasyon işlemlerini yürütmek,
e) Siber güvenlik denetimini gerçekleştirmek ve sonucuna göre yaptırım uygulamak.
f) Kamu kurum ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik ürün ve
hizmetleri ile bunları sağlayacak işletmelerin taşıması gereken niteliklere yönelik teknik
kriterler belirlemek
V. Denetim
Başkanlık, Kanunun kapsamına giren her türlü fiil ve işlemi denetleyebilecektir.
Denetim, bu Kanun kapsamındaki kurum, kuruluş ve ilgili diğer gerçek ve tüzel kişilerin bu Kanun
hükümleriyle ilgili faaliyet ve işlemlerini kapsar.
Denetime tabi tutulanlar, ilgili cihaz, sistem, yazılım ve donanımları verilen sürelerde
denetlemeye açık tutmak, denetim için gerekli altyapıyı temin etmek ve çalışır vaziyette
tutmak için gerekli önlemleri almak zorundadır.
VI. Kanun Kapsamında Öngörülen Sorumluluklar
Tüm kamu kurum ve kuruluşları ile gerçek ve tüzel kişiler, siber güvenlik politika ve stratejilerinin
yürütülmesi ile siber saldırıların önlenmesi veya etkisinin azaltılmasına yönelik gerekli tedbirlerin
alınmasından sorumludur.
Siber güvenliğin sağlanmasına yönelik çalışmalarda öncelikle yerli ve milli ürünler tercih edilir.
Ayrıca, Kanun kapsamında olan ve bilişim sistemleri kullanmak suretiyle hizmet sunan, veri
toplayan, işleyen ve benzeri faaliyet yürütenler için bağlayıcı olacak şekilde düzenlemiştir.
• Başkanlığın görev ve faaliyetleri kapsamında talep ettiği her türlü veri, bilgi, belge,
donanım, yazılım ve diğer her türlü katkıyı öncelikle ve zamanında Başkanlığa iletmek.
• Siber güvenliğe yönelik olarak milli güvenlik, kamu düzeni veya kamu hizmetinin gereği
gibi yürütülmesi amacıyla mevzuatın öngördüğü tedbirleri almak, hizmet sundukları
alanda tespit ettikleri zafiyet veya siber olayları gecikmeksizin Başkanlığa bildirmek.
• Kamu kurumları ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik ürün,
sistem ve hizmetleri Başkanlık tarafından yetkilendirilmiş ve belgelendirilmiş siber
güvenlik uzmanlarından, üreticilerinden veya şirketlerden tedarik etmek.
• Sertifikasyon, yetkilendirme ve belgelendirmeye tabi siber güvenlik şirketlerince
faaliyete başlamadan önce mevcut düzenlemeler çerçevesinde Başkanlığın onayını
almak.
• Başkanlık tarafından geliştirilen politika, strateji, eylem planı ile yayımlanan diğer
düzenleyici işlemlerde yer alan hususları yerine getirmek ve gerekli tedbirleri almak.
VII. Kanun Kapsamında Uygulanacak Cezai Yaptırımlar
Kanun, çeşitli hapis cezaları ile adli ve idari para cezaları öngörmüştür. Bazı önemli hükümler
aşağıdaki gibidir:
• Kanun’la yetkilendirilen mercilerin ve görevlilerin istedikleri bilgi, belge, yazılım, veri ve
donanımı vermeyenler veya bunların alınmasına engel olanlar, 1 yıldan 3 yıla kadar
hapis ve 500 günden 1500 güne kadar adli para cezası ile cezalandırılır. Kamu kurum
ve kuruşları, bu suçun dışında bırakılmıştır.
• Kanun uyarınca alınması gerekli onay, yetki veya izinleri almaksızın faaliyet yürütenler
2 yıldan 4 yıla kadar hapis ve 1000 günden 2000 güne kadar adli para cezası ile
cezalandırılır.
• Önceden yaşanmış bir veri sızıntısı nedeniyle siber uzayda bulunan kişisel veya kritik
kamu hizmeti kapsamına giren kurumsal verileri, ilgili kişi veya kurumun izni olmaksızın
erişime açan, paylaşan veya satışa çıkaranlar 3 yıldan 5 yıla kadar hapis cezası verilir.
Ayrıca hüküm, bu eylemin bir ücret karşılığında olabileceği gibi karşılıksız da
gerçekleştirilebileceğini belirtmektedir.
• Siber uzayda bir veri sızıntısı olmadığını bildiği halde halk arasında endişe, korku ve panik
yaratmak ya da kişi veya kurumları hedef göstermek amacıyla veri sızıntısı
gerçekleşmiş gibi gerçeğe aykırı içerik oluşturanlara veya bu maksatla içerik
yayanlara 2 yıldan 5 yıla kadar hapis cezası verilir.
• Türkiye Cumhuriyeti’nin siber uzaydaki milli gücünü meydana getiren unsurlarına yönelik
olarak siber saldırıda bulunan veya bu saldırı neticesinde elde ettiği her türlü veriyi siber
uzayda bulunduranlara fiil daha ağır bir cezayı gerektiren başka bir suçu oluşturmadığı
takdirde 8 yıldan 12 yıla kadar hapis cezası verilir. Bu saldırı neticesinde elde edilen
verinin siber uzayda yayılması, başka bir yere gönderilmesi veya satışa çıkarılması
durumunda 10 yıldan 15 yıla kadar hapis cezası verilir.
• Kanun’dan kaynaklanan görev ve yetkilerini kötüye kullananlara ve kritik altyapıların
siber saldırılara karşı korunması kapsamında görevinin gereklerine aykırı hareket ederek
veri ihlali yaşanmasına sebep olanlara 1 yıldan 3 yıla kadar hapis cezası verilir.
• Siber güvenlik ürün ve hizmetleri sunan şirketler bakımından yükümlülükleri yerine
getirmeyenlere 10.000.000 Türk Lirası’ndan 100.000.000 Türk Lirası’na kadar idari para
cezası verilir.
• Denetim hükümleri kapsamında, denetime tabi tutulanlar tarafından ilgili cihaz, sistem,
yazılım ve donanımları verilen sürelerde denetlemeye açık tutmak, denetim için gerekli
altyapıları temin etmek ve çalışır vaziyette tutmak için gerekli önlemleri almamak,
100.000 Türk Lirası’ndan 1.000.000 Türk Lirası’na kadar; bu yükümlülüklerin ticari
şirketlerce yerine getirilmemesi halinde 100.000 Türk Lirası’ndan az olmamak üzere
bağımsız denetimden geçmiş yıllık finansal tablolarında yer alan brüt satış hasılatının
%5’ine kadar idari para cezası verilir.