Türkiye'nin ilk kapsamlı siber güvenlik kanunu 19 Mart 2025'ten beri yürürlükte — ve sadece kritik altyapıları değil, tüm şirketleri kapsıyor. Sade bir rehber.
Kanun ne getiriyor
7545 sayılı Siber Güvenlik Kanunu, 19 Mart 2025'te Resmî Gazete'de yayımlanarak yürürlüğe girdi. Cumhurbaşkanlığına bağlı Siber Güvenlik Başkanlığı (SGB) ve Siber Güvenlik Kurulu'nu kurdu; kamu kurumlarını ve özel sektörün tamamını kapsayan bağlayıcı yükümlülükler getirdi. Yaygın bir yanılgının aksine kanun yalnızca bankalar, enerji ve telekom gibi kritik altyapıları değil, siber uzayda faaliyet gösteren tüm kurum ve şirketleri ilgilendiriyor.
Bugünden geçerli yükümlülükler
- Güvenlik tedbirlerini uygulamak — SGB'nin yayımladığı politika, strateji ve rehberlerdeki önlemleri almak
- Bilgi ve belge sunmak — Başkanlığın taleplerine zamanında yanıt vermek
- Siber olay ve zafiyet bildirimi — tespit edilen saldırı ve açıkları gecikmeksizin Başkanlığa bildirmek
- Kritik altyapılar için ek yükümlülükler — yetkilendirilmiş/sertifikalı ürün ve hizmet kullanımı, SOME kurma veya sektörel SOME'ye katılma, düzenli zafiyet testleri, log paylaşımı
İkincil mevzuat ve cezalar
Bildirim formatı, süreler ve sertifikasyon usulleri gibi detaylar yönetmeliklere bırakıldı; bu düzenlemelerin bir kısmı hâlâ bekleniyor. Ancak yükümlülüklerin çerçevesi kanunla birlikte yürürlükte — yönetmelik beklemek hazırlığı ertelemek için geçerli bir neden değil. Kanundaki yaptırımlar caydırıcı: bildirim ve tedarik yükümlülüğü ihlallerinde milyonlarca TL'ye ulaşan idari para cezaları (denetimle işbirliği yapmayan ticari şirketlerde yıllık brüt satış hasılatının %5'ine kadar), kritik altyapılara yönelik saldırılarda ise 8-12 yıla varan hapis cezaları öngörülüyor. Tutarlar her yıl yeniden değerleme oranıyla güncelleniyor. Siber güvenlik hizmeti veren şirketler için de SGB yetkilendirmesi ve sertifikasyon süreci geliyor — biz bu sürecin bizzat içindeyiz.
KOBİ hazırlık kontrol listesi
- Varlık envanteri — hangi sunucu, cihaz ve yazılımlar var, kim erişiyor
- Log toplama — olayları bildirebilmek için önce görebilmek gerekir (SIEM)
- Olay müdahale planı — kim, neyi, hangi sırayla yapacak; bildirim süreci dahil
- Temel tedbirler — yama yönetimi, çok faktörlü kimlik doğrulama, 3-2-1 yedekleme, uç nokta koruması
- Tedarikçi kontrolü — güvenlik ürün ve hizmetlerinde yetkilendirme şartlarını takip edin
- Farkındalık eğitimi — olayların çoğu hâlâ e-postayla başlıyor
113SEC nasıl yardımcı olur
Yönetilen güvenlik hizmetimiz kanunun teknik temelini hazır kurar: 7/24 SOC/SIEM izleme ile olaylar görünür olur, bildirim yükümlülüğü operasyonun doğal parçası hâline gelir, olay müdahale ve raporlama denetime hazır tutulur. KVKK ve 7545 uyumunu tek programda birleştiririz.
Bu sayfa bilgilendirme amaçlıdır; hukuki danışmanlık yerine geçmez. Mevzuatın güncel hâli için Resmî Gazete ve SGB duyuruları esastır.