Mart 2025'te Resmî Gazete'de yayımlanan 7545 sayılı Siber Güvenlik Kanunu, Türkiye'deki tüm işletmeler için yeni bir dönemin habercisi. Artan siber tehditlere karşı milli bir kalkan oluşturmayı hedefleyen bu kapsamlı düzenleme, özellikle orta ve büyük ölçekli şirketlere önemli sorumluluklar yüklüyor. Peki, işletmeleri neler bekliyor?
İşte yeni yasanın getireceği radikal değişiklikler ve dikkat edilmesi gerekenler:
Artık her şey kayıt altında ve bildirim şart
Yeni kanunla birlikte kurulan Siber Güvenlik Başkanlığı, siber olayların takibinde merkezi bir rol üstlenecek. İşletmeler için en çarpıcı değişikliklerden biri, Başkanlığın talep edeceği her türlü veri, bilgi ve belgeyi (Madde 7.1.a) zamanında sunma zorunluluğu. Daha da önemlisi, şirketler kendi sistemlerinde tespit ettikleri güvenlik açıklarını veya yaşadıkları siber saldırıları derhal Başkanlığa bildirmekle yükümlü olacak (Madde 7.1.b). Bu, "kol kırılır yen içinde kalır" anlayışının sonu anlamına geliyor. Başkanlığın yayınlayacağı politika ve stratejilere uyum da artık bir tercih değil, zorunluluk haline geldi (Madde 7.1.d).
"Benim başıma gelmez" devri bitiyor. Başkanlık, siber güvenlik yazılımları, donanımları ve hizmetleri için asgari güvenlik standartları belirleyecek (Madde 6.1.ı). İşletmeler, bu standartlara uygun çözümlere yatırım yapmak zorunda kalacak. Kanunun temel ilkelerinden biri olan "yerli ve milli ürünlerin tercih edilmesi" (Madde 4.1.d) ilkesi, şirketlerin tedarik zincirlerini de etkileyecek. Büyük işletmelerin kendi bünyelerinde Siber Olaylara Müdahale Ekibi (SOME) kurması veya yetkili SOME'lerden hizmet alması gerekecek (Madde 5.1.d).
Denetim kapıda cezalar ağır
Yeni yasa, Başkanlığa geniş denetim yetkileri tanıyor. Başkanlık, gerekli gördüğü hallerde işletmelerde yerinde incelemeler yapabilecek veya yaptırabilecek (Madde 8.1). İşletmelerin bu denetimlere tam uyum göstermesi ve gerekli altyapıyı sağlaması şart (Madde 8.4).
Peki, kurallara uymayanları ne bekliyor? Kanun, bu konuda oldukça net:
● Başkanlığın istediği bilgi ve belgeleri vermeyen veya engelleyenlere 1 yıldan 3 yıla kadar hapis ve adli para cezası (Madde 16.1).
● Siber olay bildirim yükümlülüğünü yerine getirmeyenlere 1 milyon TL'den 10 milyon TL'ye kadar idari para cezası (Madde 16.10).
● Denetim yükümlülüklerini yerine getirmeyen ticari şirketlere ise yıllık brüt satış hasılatının yüzde 5'ine varan idari para cezaları (Madde 16.11) kesilebilecek. Bu rakamlar, siber güvenliğin artık ne kadar ciddiye alındığının bir göstergesi.
Kanun, sadece kullanıcıları değil, siber güvenlik ürün ve hizmeti sunan şirketleri de yakından ilgilendiriyor. Bu firmaların Başkanlık tarafından belirlenecek esaslara göre sertifikasyon, yetkilendirme ve belgelendirme süreçlerini tamamlaması zorunlu (Geçici Madde 1.4). Ayrıca siber güvenlik şirketlerinin birleşme, bölünme veya pay devri gibi önemli işlemleri, Başkanlık onayına tabi olacak (Madde 18.2).
Kritik altyapılar mercek altında
Enerji, finans, eğitim, sağlık, ulaştırma gibi ‘kritik altyapı’ (Madde 3.1.d) olarak tanımlanan sektörlerde faaliyet gösteren işletmeler için yükümlülükler daha da artacak. Bu tesisler, Başkanlığın özel denetimine ve daha sıkı güvenlik önlemlerine tabi olacak.
İşletmeler ne yapmalı?
Bu yeni ve kapsamlı düzenlemeler karşısında işletmelerın bazı adımlar atması gerekli.
Öncelikle, uzmanlardan destek alarak kanunun kendi operasyonlarına getireceği yükümlülükleri detaylıca incelemeleri şart. Bunu takiben, kapsamlı bir siber güvenlik risk değerlendirmesi yaparak mevcut zafiyetlerini ve potansiyel tehditleri belirlemeliler. Bu analizler ışığında, gerekli siber güvenlik teknolojileri, personel eğitimi ve olası danışmanlık hizmetleri için bütçe ve kaynaklarını hızla planlamaları önem taşıyor. Aynı zamanda, olay müdahale planları, veri sızıntısı bildirim prosedürleri gibi iç politikalarını ve süreçlerini yeni kanuna tam uyumlu hale getirmeleri ve son olarak, siber güvenlik kültürünü kurum içinde yaygınlaştırarak tüm personelin bu yeni düzenlemeler ve genel tehditler konusunda farkındalığını artırmaları kritik bir zorunluluk haline geliyor.
Sonuç olarak, yeni Siber Güvenlik Kanunu, Türkiye'deki işletmeler için bir dönüm noktası. Uyum sağlamak başlangıçta ek maliyet ve çaba gerektirse de uzun vadede şirketlerin dijital varlıklarını koruması, müşteri güvenini sağlamlaştırması ve yasal yaptırımlardan kaçınması için hayati önem taşıyor. Artık siber güvenlik, yönetim kurullarının en önemli gündem maddelerinden biri olmak zorunda.
Son söz: Ülkemizin siber güvenlik alanında Yerli Milli ve Güçlü Ekosistemle bağımsız bir güç olması adına hayırlı olsun!