top of page
Ara

7545 Sayılı Siber Güvenlik Kanunu ve Getirdiği Yükümlülükler ile Cezalar

  • Yazarın fotoğrafı: Av. Furkan Mert Özkaynak
    Av. Furkan Mert Özkaynak
  • 19 Oca
  • 6 dakikada okunur
Kısaltmalar

SGK veya Kanun

7545 sayılı Siber Güvenlik Kanunu

CBK

Cumhurbaşkanlığı Kararnamesi

Başkanlık

Siber Güvenlik Başkanlığı

Giriş

7545 sayılı Siber Güvenlik Kanunu (“SGK” veya “Kanun”) 19 Mart 2025 tarihinde 32846 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir (SGK 20). Kanunun amacı, Türkiye’deki özel kişiler ve kamusal nitelikteki kuruluşların içten ve dıştan gerçekleşebilecek siber saldırılara hazırlıklı hale getirilmesidir (SGK 1). Bu amacın gerçekleştirilmesi doğrultusunda kanunla kapsamındaki kişi ve kuruluşlara yönelik çeşitli yükümlülükler getirilmiş ve Siber Güvenlik Başkanlığı (“Başkanlık”) kurulmuştur.


Kanunun Kapsamı: Neredeyse Herkes

Kanun, doğrudan ya da dolaylı olarak internete, elektronik haberleşme veya bilgisayar ağlarına bağlı olan tüm bilişim sistemlerini ve bunları birbirine bağlayan ağlardan oluşan ortamda faaliyet gösteren, yani siber uzayda varlık gösteren (SGK 3/1/i) neredeyse herkesi kapsamaktadır (SGK 2/1). Yalnızca istihbari faaliyetler Kanunun kapsamının dışındadır (SGK 2/2).


Siber Güvenlik Başkanlığı

Kanunla kurulan Başkanlığın özel kişileri ilgilendiren en önemli görevi siber güvenliğe ilişkin yükümlülüklere uyulup uyulmadığını tespit etmek ve ihlal tespit edilmesi halinde yaptırım uygulamaktır (SGK 5/h; 8). Bunun dışında, siber güvenliğe ilişkin çeşitli düzenlemeler yapma görevi de Başkanlığa aittir. Ancak 8 Ocak 2025 tarihinde yürürlüğe giren 177 sayılı CBK ile kurulan Başkanlığın bu makalenin yazıldığı tarihte tespit edilebilmiş bir regülasyonu bulunmamaktadır. 25 Aralık 2025 günü yürürlüğe giren ve 177 sayılı CBK’yı değiştiren 192 sayılı CBK’nın varlığı ve henüz ikincil düzenlemelerin hayata geçmemesi Başkanlığın tam anlamıyla faaliyetlerine başlamadığını göstermektedir.


Kanunla Getirilen Yükümlülükler ve Aykırılık Halinde Uygulanacak İdari Para Cezaları

7545 sayılı Kanunla şirketleri de ilgilendirebilecek çeşitli yükümlülükler getirilmiştir. Bununla birlikte, belirli yükümlülüklere aykırılık halinde 100 milyon TL veya şirket cirosunun %5’ine kadar çıkan ağır para cezaları öngörülmüştür.

  1. Bilgi Verme Yükümlülüğü (SGK 7/1/a): Kanun uyarınca talep edilen bilgi ve belgelerin öncelikle ve zamanında Başkanlığa iletilmesi gerekmektedir.

  2. Gerekli Tedbirleri Alma ve Tespit Edilen Durumları Bildirme Yükümlülüğü (SGK 7/1/b): Siber güvenliğe ilişkin öngörülen tedbirleri almak ve tespit edilen zaafiyet veya olayların bildirilmesi gereklidir. Aykırılık halinde, bir milyon Türk lirasından on milyon Türk lirasına idari para cezası verilir. (SGK 16/10)

  3. Yetkili Kimselerden Siber Güvenliğe İlişkin Mal ve Hizmetleri Tedarik Etme Yükümlülüğü (SGK 7/1/c): Kamu kurum ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik ürün, sistem ve hizmetlerin yetkilendirilmiş ve belgelendirilmiş siber güvenlik uzman, üretici ve şirketlerinden tedarik etmek gerekir. Aykırılık halinde bir milyon Türk lirasından on milyon Türk lirasına idari para cezası verilir. (SGK 16/10)

  4. Yetkilendirmeye Tabi Siber Güvenlik Şirketlerinin Faaliyetlerinden Önce İzin Alması Yükümlülüğü (SGK 7/1 ç): Sertifikasyon, yetkilendirme ve belgelendirmeye tabi siber güvenlik şirketlerince faaliyete başlamadan önce mevcut düzenlemeler çerçevesinde Başkanlığın onayını almak gerekmektedir.

  5. Siber Güvenlik Düzenlemelerine Uygun Davranma Yükümlülüğü (SGK 7/1/d): Siber güvenliğe ilişkin çıkarılan düzenleyici işlemlere uygun davranmak zorunludur.

  6. Siber Güvenlik Ürün ve Şirketlerine İlişkin İş Ve İşlemler Hakkında Bildirim veya İzin Alınması (SGK 18): Siber güvenlik ürünleri ve şirketlerine ilişkin iş ve işlemlerin Başkanlığa bildirilmesi veya onayının alınması gerekmektedir. Bu yükümlülüğe aykırılık halinde on milyon Türk lirasından yüz milyon Türk lirasına kadar idari para cezası verilir (SGK 16/10).

  7. Denetim İçin Gerekli Altyapıyı Temin Etmek ve Çalışır Tutmak İçin Gerekli Tedbirlerin Alınması (SGK 8/4): Denetime tabi tutulanlar, ilgili cihaz, sistem, yazılım ve donanımları verilen sürelerde denetlemeye açık tutmak, denetim için gerekli altyapıyı temin etmek ve çalışır vaziyette tutmak için gerekli önlemleri almak zorundadır. Bu yükümlülüğe aykırılık halinde yüz bin Türk lirasından bir milyon Türk lirasına kadar; eğer ihlali ticaret şirketi gerçekleştirmiş ise yüz bin Türk lirasından az olmamak üzere bağımsız denetimden geçmiş yıllık finansal tablolarında yer alan brüt satış hasılatının yüzde 5’ine kadar idari para cezası verilir (SGK 16/11).


Denetim Usulü

Siber Güvenlik Başkanlığı, görevleri ile ilgili hallerde SGK’nın kapsamına giren her türlü fiil ve işlemi denetleyebilir; bu amaçla mahallinde inceleme yapabilir veya yaptırabilir ancak kamu kurum ve kuruluşları ile kritik altyapılardaki denetimler Başkanlık personelince veya refakatinde yapılabilir. (SGK 8/1)

Denetimle görevlendirilenler; yürüttükleri denetim faaliyetleriyle sınırlı olarak elektronik ortamdaki verinin, belgelerin, elektronik altyapının, cihaz, sistem, yazılım ve donanımlarının incelenmesi, bunlardan kopya, dijital suret veya örnek alınması, konuyla ilgili yazılı veya sözlü açıklama istenmesi, gerekli tutanakların düzenlenmesi, tesislerin ve işletiminin incelenmesi konularında yetkilidir. Denetime tabi tutulanlar, ilgili cihaz, sistem, yazılım ve donanımları verilen sürelerde denetlemeye açık tutmak, denetim için gerekli altyapıyı temin etmek ve çalışır vaziyette tutmak için gerekli önlemleri almak zorundadır. (SGK 8/4)

Millî güvenlik, kamu düzeni, suç işlenmesinin veya siber saldırıların önlenmesi amacıyla hâkim kararı üzerine veya gecikmesinde sakınca bulunan hâllerde Cumhuriyet savcısının yazılı emri ile konutta, işyerinde ve kamuya açık olmayan kapalı alanlarda arama yapılabilir, uzun süreli hizmet aksamasına yol açmayacak ve kesintisiz şekilde kopya çıkarma ve el koyma işlemi gerçekleştirilebilir. Çıkarılan kopyanın bir nüshası ilgilisine teslim edilir ve bu husus tutanağa geçirilerek imza altına alınır. Bu işlemlerin yapılabilmesi için makul sebeplerin oluştuğunun gerekçeleriyle birlikte gösterilmesi gerekir. Hâkim kararı olmaksızın yapılan arama ve gerçekleştirilen kopya çıkarma ve el koyma işlemleri 24 saat içinde görevli hâkimin onayına sunulur. Hâkim, kararını 48 saat içinde açıklar; aksi hâlde çıkarılan kopyalar ve çözümü yapılan metinler derhâl imha edilir ve el koyma kendiliğinden kalkar. Yetkilendirilmiş veri merkezi işletmecilerinin veri merkezlerinde sadece hâkim kararıyla arama, kopya çıkarma ve el koyma işlemi yapılabilir. Bu fıkra kapsamına giren talepler bakımından Ankara sulh ceza hâkimliği yetkili ve görevlidir. Ancak kamu kurum ve kuruluşları bakımından hâkim kararı aranmaz. (SGK 8/5)


Yükümlülüklere Aykırılık Halinde İdari Para Cezası Verme Usulü

İdari para cezalarının uygulanmasından önce ilgilinin savunması alınır. Savunma istendiğine ilişkin yazının tebliğ tarihinden itibaren otuz gün içinde savunma verilmemesi halinde, ilgilinin savunma hakkından feragat ettiği kabul edilir. (SGK 17/1)

Kanunda tanımlanan kabahatlerden birinin idari yaptırım kararı verilinceye kadar birden çok kez işlendiğinin tespit edilmesi halinde ilgili gerçek veya tüzel kişiye tek idari para cezası verilir ve verilecek ceza iki katını aşmayacak şekilde artırılarak uygulanır. (SGK 17/2)

Kabahatin işlenmesi nedeniyle bir menfaat temin edilmesi veya zarara sebebiyet verilmesi halinde verilecek idari para cezasının miktarı bu menfaat veya zararın üç katından az beş katından fazla olamaz. (SGK 17/2)

Başkanlık tarafından verilen idari para cezaları, tebliğ tarihinden itibaren bir ay içinde ödenir. (SGK 17/3)

Bu Kanun uyarınca verilen idari para cezası kararlarına karşı idari yargı yoluna başvurulabilir. (SGK 17/5)


Siber Güvenlik Suçları

7545 sayılı Kanunla bazı fiiller 15 yıla kadar hapis ve iki bin güne kadar adli para cezasını gerektirecek şekilde suç olarak düzenlenmiştir.

  1. Kamu kurum ve kuruluşları hariç olmak üzere Kanun ile yetkilendirilen mercilerin ve denetim görevlilerinin görev ve yetkileri kapsamında istedikleri bilgi, belge, yazılım, veri ve donanımı vermeyenler veya bunların alınmasına engel olanlar bir yıldan üç yıla kadar hapis ve beşyüz günden binbeşyüz güne kadar adli para cezası ile cezalandırılır. (SGK 16/1)

  2. Kanun uyarınca alınması gerekli onay, yetki veya izinleri almaksızın faaliyet yürütenler iki yıldan dört yıla kadar hapis ve bin günden ikibin güne kadar adli para cezası ile cezalandırılır. (SGK 16/2)

  3. Sır saklama yükümlülüğünü yerine getirmeyenlere dört yıldan sekiz yıla kadar hapis cezası verilir. (SGK 16/3)

  4. Kanun kapsamında veri sızıntısı nedeniyle daha önce yer alan kişisel veya kritik kamu hizmeti kapsamına giren kurumsal verileri, kişilerin veya kurumların izni olmaksızın ücretli veya ücretsiz şekilde erişime açan, paylaşan veya satışa çıkaranlara üç yıldan beş yıla kadar hapis cezası verilir. (SGK 16/4)

  5. Kanun kapsamında veri sızıntısı olmadığını bildiği halde halk arasında endişe, korku ve panik yaratmak ya da kurumları veya şahısları hedef göstermek amacıyla siber güvenlikle ilgili veri sızıntısı olduğuna yönelik gerçeğe aykırı içerik oluşturanlara veya bu maksatla bu içerikleri yayanlara iki yıldan beş yıla kadar hapis cezası verilir. (SGK 16/5)

  6. Türkiye Cumhuriyeti’ne yönelik olarak siber saldırıda bulunan veya bu saldırı neticesinde elde ettiği her türlü veriyi bulunduranlara fiil daha ağır bir cezayı gerektiren başka bir suç oluşturmadığı takdirde sekiz yıldan oniki yıla kadar hapis cezası verilir. Bu saldırı neticesinde elde ettiği her türlü veriyi yayan, başka bir yere gönderen veya satışa çıkaranlara on yıldan on beş yıla kadar hapis cezası verilir. (SGK 16/6)

  7. Siber Güvenlik Başkanlığında çalışanların, görevlerinden ayrılmalarından itibaren 2 yıl geçmeden Başkanlığın izni dışında siber güvenlik alanında herhangi bir görev almaları veya faaliyette bulunmaları ya da Başkanlık nezdindeki görevleri çevresinde edindikleri bilgi, belge ve verinin Başkanlıktan izin alınmadan yayımlamaları veya açıklamaları halinde üç yıldan beş yıla kadar hapis cezası verilir. (SGK 16/8)

  8. Kanundan kaynaklanan görev ve yetkilerini kötüye kullananlara veya kritik altyapıların siber saldırılara karşı korunması kapsamında görevinin gereklerine aykırı hareket etmek suretiyle veri ihlali yaşanmasına sebebiyet verenlere bir yıldan üç yıla kadar hapis cezası verilir. (SGK 16/9)

SGK 16/1-6 arasında sayılan suçlara ilişkin verilecek ceza, suçun kamu görevlisi tarafından işlenmesi halinde üçte bir oranında, birden fazla kişi tarafından işlenmesi halinde yarı oranında ve bir örgütün faaliyeti çerçevesinde işlenmesi halinde yarısından iki katına kadar artırılır. (SGK 16/7)


Sonuç

7545 sayılı Siber Güvenlik Kanunu 19 Mart 2025 tarihinde yürürlüğe girmiş ve Kanunun yayımlanmasından önce 177 sayılı CBK ile 25 Aralık 2025 günü Siber Güvenlik Başkanlığı kurulmuştur. Henüz Başkanlık kanaatimizce kuruluş aşamasında olup, Kanundan kaynaklanan düzenleme yetkilerini kullanmaya başlamamıştır. Bununla birlikte, ileride gerçekleşmesi muhtemel düzenlemelere ve denetimlere yönelik şimdiden hazırlanmakta fayda bulunmaktadır. Nitekim, belirli ihlallerin varlığı halinde Kanun ağır cezalar öngörmektedir.



bottom of page