Şirketler açısından dijital dünyanın en köklü düzenlemelerinden biri olan 7545 sayılı Siber Güvenlik Kanunu 19 Mart 2025’te yürürlüğe girmişti. “Ulusal güvenlik” yaklaşımıyla hazırlanan Kanun, ihlal durumlarında şirket yöneticilerini doğrudan sorumlu tutuyor.
Kanun, siber uzayda faaliyet gösteren gerçek ve tüzel kişileri kapsamına alarak, şirketlere hem teknik hem de yönetimsel açıdan geniş kapsamlı pre‑incident (ihlal öncesi) yükümlülükler getiriyor. Buradaki kritik nokta, ihlal gerçekleşmeden önce tamamlanması gereken hazırlık adımlarının artık bir tercih olmaktan çıkıp, hukuki bir zorunluluk hâline gelmesi.
Kanun’un 7. maddesi uyarınca şirketler; bilgi sistemlerinin gizlilik, bütünlük ve erişilebilirlik ilkelerine uygun şekilde güvence altına alınması için gerekli tüm teknik ve idari tedbirleri almak zorunda. Bu tedbirlerin kapsamı, yalnızca antivirüs ya da firewall gibi klasik güvenlik çözümleriyle sınırlı değil; risk temelli bir siber güvenlik yönetim sistemi kurulmasını da içeriyor.
Şirketler, tespit ettikleri siber zafiyetleri veya gerçekleşen siber olayları gecikmeksizin Siber Güvenlik Başkanlığı’na bildirmekle yükümlü. Bu bildirim yükümlülüğü, pre‑incident dönemde etkin bir izleme ve erken tespit mekanizması kurulmasını zorunlu kılıyor.
Başkanlık tarafından yayımlanacak ulusal stratejiler, eylem planları, teknik kriterler ve sektörel yükümlülükler doğrultusunda şirketlerin iç politika ve prosedürlerini güncellemesi gerekiyor. Bu sürecin bir yıllık geçiş döneminde tamamlanması öngörülüyor.
Enerji, finans, elektronik haberleşme, sağlık gibi kritik sektörlerde faaliyet gösteren şirketler için daha ileri seviyede denetim, sertifikasyon ve sızma testi yükümlülükleri bulunuyor.
Kanun’da öngörülen yükümlülüklere aykırılığın bedeli ise oldukça ağır: 1 milyon TL – 100 milyon TL arası idari para cezası; bağımsız denetimden geçmiş yıllık finansal tablolarda brüt satış hasılatının %5’ine kadar idari para cezası; ayrıca, veri sızdırma ve sır saklama yükümlülüğünü yerine getirmeme dahil olmak üzere bazı özellikli hukuka aykırılık ve suçlarda 1–15 yıl arası hapis cezası öngörülüyor.
Bu çerçeve, pre‑incident hazırlığın yalnızca operasyonel bir gereklilik değil, aynı zamanda yönetim kurulunun yükümlülüğü olduğunu açıkça ortaya koyuyor.
Hazır Olmamak Artık Bir Seçenek Değil
Siber Güvenlik Kanunu, şirketlerde teknik ekiplerle hukuk birimlerinin yakın çalışmasını zorunlu kılan yeni bir dönem başlattı. Kanun kapsamındaki tüm yükümlülüklerin değerlendirilmesi, varsa açıkların tespit edilip giderilmesi; bilgi güvenliği politikaları, olay müdahale prosedürleri, sızma testleri için yetkilendirme süreçlerine ve raporlama mekanizmalarına ilişkin dokümanların hazırlanması; siber olay yönetimi ekiplerinin rolleri, iletişim zinciri ve hukuki bildirim süreçlerinin netleştirilerek simülasyonlar hazırlanması gibi çalışmalar bu kapsamda öncelikli. Şirketlerin siber dayanıklılığının temelini oluşturan bu çalışmalar, ileride doğabilecek idari ve hukuki yaptırımların önüne geçmek açısından hayati öneme sahip.
Siber tehditlerin arttığı bu dönemde, Siber Güvenlik Kanunu ile şirketler açısından pre‑incident dönemin hukuki yükü büyük ölçüde artmış durumda. Artık şirketler yalnızca güvenlik açıklarını kapatmakla değil, bunları ölçmek, raporlamak, yönetmek ve hukuken ispatlamakla da yükümlü kılınıyor.
Dijital fırtınanın öncesinde alınacak her tedbir, hem şirketleri ağır yaptırımlardan koruyor hem de Türkiye'nin ulusal siber güvenlik kalkanını güçlendiriyor. Bu sebeple, pre‑incident dönem artık bir hazırlık süreci olmaktan çıkıp modern iş dünyasının en kritik hukuki savunma hattı haline geldi.
Av. Derya Durlu Gürzumar’ın katkılarıyla
