7545 sayılı Siber Güvenlik Kanunu
- 1 gün önce
- 3 dakikada okunur
7545 sayılı Siber Güvenlik Kanunu, Türkiye'nin dijital sınırlarını korumak amacıyla 19 Mart 2025 tarihinde yürürlüğe giren ve siber uzayı millî güvenliğin ayrılmaz bir parçası olarak tanımlayan ilk müstakil yasal düzenlemedir. Dijitalleşmenin hız kazandığı günümüzde, kamu kurumlarından özel sektöre kadar tüm aktörleri kapsayan bu kanun, siber tehditleri bertaraf etmek için radikal bir dönüşüm başlatmıştır.
İşte siber güvenlik stratejilerinde yeni bir dönem başlatan bu kanunun getirdiği köklü değişiklikler, getirdiği yükümlülükler ve şirketlerin uyması gereken kurallar.
Yeni Kurumsal Yapı: Siber Güvenlik Başkanlığı ve Kurulu
Kanun ile birlikte dağınık yürütülen siber güvenlik süreçleri, tek bir merkezi otorite çatısı altında birleştirilmiştir.
Siber Güvenlik Başkanlığı: Cumhurbaşkanlığı'na bağlı olarak kurulan Başkanlık; ülke genelinde risk analizi yapma, denetim usullerini belirleme ve siber tehditleri önleme konularında tam yetkilidir.
Siber Güvenlik Kurulu: Ulusal stratejileri belirlemek ve sektörlerin önceliklerini koordine etmek üzere yeniden yapılandırılmıştır.
SOME Yapılanması: Siber Olaylara Müdahale Ekipleri (SOME), yeni kurumsal ekosistemin merkezinde yer alarak olay anında hızlı aksiyon alınmasını sağlar.
Kanunun Kapsamı: Kimler Muhatap?
Kanunun etki alanı yalnızca devlet daireleri ile sınırlı kalmayıp dijital dünyada veri işleyen neredeyse tüm yapıları içine almaktadır.
Kamu Kurumları: Tüm bakanlıklar, bağlı kuruluşlar ve yerel yönetimler.
Meslek Kuruluşları: Kamu kurumu niteliğindeki tüm meslek odaları ve birlikler.
Özel Sektör Şirketleri: Bilişim sistemleri üzerinden hizmet sunan, e-ticaret yapan veya dijital veri işleyen tüm gerçek ve tüzel kişiler.
Kritik Altyapılar: Enerji, savunma sanayii, telekomünikasyon, finans ve sağlık gibi stratejik sektörler.
Şirketlerin Yerine Getirmesi Gereken Temel Yükümlülükler
7545 sayılı Kanun, şirketlerin yönetim kurullarına ve bilgi işlem yöneticilerine doğrudan teknik ve idari sorumluluklar yükler.
Siber Olay Bildirimi: Yaşanan siber saldırılar ve veri ihlalleri, gecikmeksizin doğrudan Siber Güvenlik Başkanlığı'na rapor edilmelidir.
Onaylı Hizmet Alımı: Şirketler, siber güvenlik ürün ve hizmetlerini yalnızca Başkanlık tarafından yetkilendirilmiş akredite firmalardan tedarik edebilir.
Denetimlere Açık Olma: Kuruluşlar, siber güvenlik altyapılarının düzenli olarak denetlenmesine izin vermekle yükümlüdür.
Kritik Altyapı Koruma: Stratejik sektörlerdeki şirketlerin kesintisiz çalışma ve gelişmiş gözlemlenebilirlik sistemleri kurması zorunludur.
KVKK ve Türk Ceza Kanunu ile İlişkisi: Paradigma Değişimi
7545 sayılı Kanun, veri ihlallerini sadece idari birer hata olmaktan çıkarıp millî güvenlik sorunu statüsüne yükseltmiştir.
Hukukçular tarafından paylaşılan Tevetoğlu Hukuk Bürosu incelemelerine göre, yeni yasa TCK'daki bazı bilişim suçlarını ve KVKK'nın veri güvenliğine ilişkin yaptırımlarını fiilen ikinci plana itmiştir. Kitlesel veri hırsızlığı, yapay zekâ ile manipüle edilmiş sahte içerikler veya kritik sistemlere yetkisiz erişim gibi durumlarda savcılıklar artık doğrudan 7545 sayılı Kanun kapsamında ağır ceza mahkemelerinde dava açmaktadır. KVKK ise daha çok aydınlatma yükümlülüğü ve açık rıza süreçleri gibi idari alanlarda kalmıştır.
Ağır Cezalar ve Yaptırımlar: Şakası Yok!
Yükümlülüklerin yerine getirilmemesi durumunda şirketleri ve yöneticileri oldukça ciddi hukuki yaptırımlar beklemektedir.
Yüksek İdari Para Cezaları: Kanun hükümlerini ihlal eden organizasyonlara, her bir ihlal için 1 milyon TL'den 10 milyon TL'ye kadar idari para cezası kesilebilir.
Katlamalı Cezalar: Eğer ihlal sebebiyle bir kamu zararı oluşmuş veya haksız menfaat sağlanmışsa, ceza miktarı bu zararın 3 ila 5 katına kadar artırılır.
Hapis Cezaları: Siber güvenlik alanında yasa dışı faaliyet yürüten, veri sızdıran ya da görevini kötüye kullanan kişilere yönelik hapis cezaları getirilmiştir.
Savunma Süresi: Kendisine ceza tebliğ edilen tarafların 30 gün içinde savunma yapma hakkı bulunur; bu sürede savunma verilmezse haktan feragat edilmiş sayılır.
Uyum Süreci: Şirketler Ne Yapmalı?
Kanunun yürürlüğe girmesinin ardından şirketlere teknik ve yönetsel yapılarını uyumlu hâle getirmeleri için 1 yıllık bir geçiş süresi tanınmıştır. Bu süreçte firmaların hızla şu adımları atması gerekir:
Mevcut Durum Analizi: Şirketlerin öncelikle iç işleyiş denetim süreçlerini gözden geçirerek siber güvenlik açıklarını kapatacak kontrol listeleri oluşturması şarttır.
SOME Yapılandırması: Şirket içi siber olaylara müdahale süreçleri ve irtibat personeli netleştirilmelidir.
Altyapı Yenileme: Kullanılan güvenlik yazılımları, yedekleme sistemleri ve veri merkezi barındırma çözümleri, kanunun kriterlerine uygun hale getirilmelidir.
7545 sayılı Siber Güvenlik Kanunu, siber dünyayı bir lüks değil, devletin ve şirketlerin varoluşsal bir savunma cephesi haline getirmiştir. Cezai yaptırımlarla karşılaşmamak ve en önemlisi dijital varlıkları güvende tutmak için geç kalmadan yasal uyum sürecinizi tamamlamalısınız.
Uyumluluk süreçleri ve ürünve çözümler için bizlere ulaşabilirsiniz.



Yorumlar