Ticari ve Hukuki Danışmanlık

Siber Güvenlik Kanunu (7545): Şirketlerin Yükümlülükleri ve İdari Cezalar

Siber Güvenlik Kanunu ve şirket yükümlülükleri

Yasal Dayanak

7545 sayılı Siber Güvenlik Kanunu, 19 Mart 2025 tarihli ve 32846 sayılı Resmî Gazete'de yayımlanarak yürürlüğe girmiştir. Bu, Türkiye'de siber güvenlik alanında yürürlüğe giren ilk kapsamlı düzenlemedir.

Kanun; Siber Güvenlik Kurulu'nun ve Siber Güvenlik Başkanlığı'nın kurulmasını öngörmüş, ardından Başkanlık faaliyete geçmiş ve ilk Siber Güvenlik Başkanı atanmıştır.

Kanunun 7. maddesindeki temel yükümlülükler yürürlüğe girmiş olup, bildirim formatı ve süreleri gibi uygulama detayları ikincil mevzuatla netleştirilmektedir.

Kanun Neyi Amaçlar, Kimleri Kapsar?

Kanunun amacı; ülkenin siber uzaydaki millî gücünü oluşturan unsurları iç ve dış tehditlere karşı korumak, siber olayların muhtemel etkilerini azaltmak ve bu alanda strateji ile politikalar belirlemektir.

Kapsamı oldukça geniştir: kamu kurumları, kamu kurumu niteliğindeki meslek kuruluşları, gerçek ve tüzel kişiler ile tüzel kişiliği bulunmayan kuruluşlar dâhil siber uzayda faaliyet gösteren tüm yapıları içerir.

Bu nedenle düzenleme, yalnızca büyük teknoloji şirketlerini değil, dijital varlık ve hizmetleri olan hemen her işletmeyi ilgilendirmektedir.

Kimleri Etkiler?

Başta kritik altyapı sağlayıcıları (enerji, finans, haberleşme, sağlık gibi) olmak üzere tüm özel sektör kuruluşlarını.

Yazılım ve teknoloji firmalarını, dijital platform işletenleri ve yoğun veri işleyen şirketleri.

Siber güvenlik ürün, sistem veya hizmeti üreten, satan ya da bu hizmetleri dışarıdan alan tüm işletmeleri.

Şirketlerin Temel Yükümlülükleri

Siber Güvenlik Kurulu veya yetkili denetim mercilerine talep hâlinde bilgi ve belge sunma yükümlülüğü.

Tespit edilen güvenlik zafiyetlerinin yetkili mercilere bildirilmesi.

Yaşanan siber olayların öngörülen usul ve sürelerde bildirilmesi.

Kritik altyapılarda risk analizi yapılması, zafiyetlerin tespit edilmesi ve önleyici/denetleyici tedbirlerin alınması.

Siber güvenlik ürün ve hizmeti sunan firmalar için öngörülen yetkilendirme ve onay süreçlerine uyulması.

Yükümlülüklerin uygulama ayrıntıları ikincil mevzuatla şekillendiğinden, geçiş takviminin yakından izlenmesi gerekir.

Yaptırımlar ve Hukuki Riskler

Denetim ve bilgi/belge sunma yükümlülüklerinin yerine getirilmemesi hâlinde 1 milyon TL'den 10 milyon TL'ye kadar idari para cezası uygulanabilir.

Kasıtlı veri sızıntısı veya yetkisiz erişim gibi fiiller için hapis cezaları (örneğin 3 ila 5 yıl) öngörülmüştür.

Bildirim yapılmayan siber olaylarda ve yükümlülük ihlallerinde disiplin ve lisans/yetki iptali gibi yaptırımlar gündeme gelebilir.

Risk yalnızca idari para cezasıyla sınırlı değildir; faaliyet sürekliliğinin kesintiye uğraması ve kurumsal itibarın zarar görmesi çoğu zaman daha büyük maliyet doğurur.

Sonuç ve Tavsiye

Şirketler, kanunun getirdiği yükümlülükleri karşılamak için iç siber güvenlik yapılanmalarını, görev tanımlarını ve bildirim prosedürlerini şimdiden kurmalıdır.

Düzenli risk analizi, yazılı bir olay müdahale planı, çalışan farkındalık eğitimi ve tedarikçi sözleşmelerine siber güvenlik maddelerinin eklenmesi; hem mevzuata uyumu hem de hukuki korumayı güçlendirir.

Sürecin teknik ve hukuki boyutlarının birlikte yürütülmesi, uyum maliyetini ve yaptırım riskini azaltır.

Merak Ettiklerin ve Detaylı Bilgi İçin
Bizimle İletişime Geç!