Bir siber güvenlik ihlali yaşandığında gündeme gelen ilk soru, saldırının nasıl gerçekleştiği değil; şirketin ve yöneticilerin bu ihlale nasıl tepki vereceği. Nitekim 2025 yılında yürürlüğe giren 7545 sayılı Siber Güvenlik Kanunu, siber saldırıları artık “mümkün mü?” sorusuyla değil, “ne zaman” sorusuyla ele alan bir hukuki yaklaşım benimsiyor. Bu yeni dönemde yetersiz hazırlık, geç müdahale ve yanlış ya da eksik iletişim, saldırının kendisinden çok daha ağır hukuki ve kurumsal sonuçlar doğurabiliyor. Siber ihlal anı, şirketler açısından bir teknoloji krizinden ziyade yönetim ve sorumluluk sınavına dönüşüyor.
İlk saatler: Kriz yönetimi
Siber saldırı tespit edildiğinde ilk refleks, hasarın yayılmasını durdurmak ve sistemi kontrol altına almak. Zira siber güvenlik, saldırıların ve siber olayların tespiti, bu tespitin ardından tepki mekanizmalarının devreye alınması ve nihayetinde sistemin olay öncesi duruma geri döndürülmesini kapsayan “uçtan uca” bir faaliyet bütünü olarak tanımlanıyor. Önceden oluşturulmuş bir Siber Olay Müdahale Planı ve etkin çalışan bir SOME (Siber Olay Müdahale Ekibi) bulunmaması halinde, yaşanan ihlal yalnızca teknik değil, aynı zamanda hukuki bir zafiyete dönüşüyor. Kanun, siber olaylara hazırlıklı olmayı açık bir yükümlülük olarak düzenliyor.
Bildirim yükümlülüğü: Sessizlik en büyük risk
“Sessiz kalma” dönemi artık kapandı. Siber Güvenlik Kanunu’na göre bilişim sistemleri üzerinden hizmet sunan, veri toplayan veya işleyenler, tespit ettikleri zafiyetleri ve siber olayları gecikmeksizin Siber Güvenlik Başkanlığı’na bildirmek ve Başkanlık tarafından yetkilendirilmiş uzmanlar ya da şirketlerle çalışmakla yükümlü kılındı. Kişisel verilerin etkilenmesi halinde ise KVKK kapsamındaki bildirim yükümlülüğü paralel şekilde devreye giriyor ve şirketleri iki ayrı idari mercii karşısında eşzamanlı hukuki sorumluluk altına sokuyor.
Avrupa Birliği sisteminde bu zaman baskısı daha da belirgin. NIS2 Direktifi, “önemli olay” olarak nitelendirilen siber olaylarda 24 saat içinde erken uyarı, 72 saat içinde ayrıntılı olay bildirimi ve en geç bir ay içinde nihai rapor sunulmasını öngören katmanlı bir bildirim rejimi getiriyor. Bu kısa sürelere uyulması iyi niyet göstergesi değil, hukuki bir zorunluluk. Türkiye’de ise bildirim yükümlülüğünün ihlali, kamu kurumları hariç olmak üzere, 1 milyon TL’den 10 milyon TL’ye kadar idari para cezasına yol açabiliyor.
Delil yönetimi: Hukuki sürecin omurgası
Panikle log kayıtlarının silinmesi ya da sistemlerin inceleme yapılmadan eski haline döndürülmesi, siber saldırı sonrası yapılan en büyük hatalardan biri olarak karşımıza çıkıyor. Siber Güvenlik Kanunu, Siber Güvenlik Başkanlığı’na iz sürme, inceleme ile delillendirme yapma ve suç teşkil eden bulguları adli makamlarla paylaşma yetkisi tanırken, kurumlara da kendi bünyelerinde log bütünlüğünü koruyacak prosedürler oluşturma yükümlülüğü getiriyor. Doktrinde de vurgulandığı üzere, bir siber olayın anatomisinin bütüncül biçimde belgelenmesi kritik öneme sahip. Zira sıfırıncı gün (zero-day) açığı ile basit bir oltalama saldırısı arasında hukuki sorumluluğun kapsamı bakımından ciddi farklar bulunuyor.
İletişim ve şeffaflık
Siber ihlal sonrasında kamuoyuna yapılacak açıklamalar, doğru, ölçülü ve tutarlı olmalı, hukuki sorumluluğu arttıracak beyanlardan kaçınılmalı. Kanun, panik yaratmak veya kurumları/kişileri hedef göstermek amacıyla gerçeğe aykırı biçimde veri sızıntısı varmış gibi içerik üretenler hakkında 2 yıldan 5 yıla kadar hapis cezası öngörüyor. Bu nedenle kriz yönetiminin yalnızca bir kurumsal iletişim meselesi değil, aynı zamanda ciddi bir ceza hukuku riski olarak ele alınması gerekiyor.
Yöneticilerin sorumluluğu: “Bilmiyordum” savunması geçerli değil
Kurumsal siber güvenlikte yönetim artık doğrudan sorumluluk altında. Siber Güvenlik Kanunu, hesap verebilirliği temel ilke olarak benimserken, NIS2 Direktifi şirket yönetim organı üyelerine düzenli siber güvenlik eğitimi verilmesini zorunlu kılıyor. Gerekli yatırımların yapılmaması, çalışanlara eğitim verilmemesi veya risklerin görmezden gelinmesi halinde yöneticiler, hem idari para cezasıyla hem de cezai sorumluluk ile karşı karşıya kalabiliyor.
Tedarik zinciri: Zayıf halka, büyük tehdit
Birçok siber saldırı, doğrudan ana hedefe değil, tedarik zincirindeki daha az güvenli halkaya yöneliyor. Tedarik zinciri saldırıları, zayıf halkaları araç olarak kullanarak ana kuruluşa erişmeyi hedefliyor. Bu nedenle tedarik zinciri, hem sözleşmesel hem de teknik araçlarla sürekli denetim altında tutulmalı. Siber Güvenlik Kanunu’nun yürürlüğe girmesiyle birlikte bu husus bir tercih olmaktan çıkarak zorunluluk haline geldi. Bu yükümlülüğün ihlali 1 milyon TL’den 10 milyon TL’ye kadar idari para cezası doğurabiliyor.
Sonuç
Siber olay yaşandıktan sonra atılan her adım şirketin geleceğini ve yöneticilerin hukuki risk haritasını belirliyor. Siber Güvenlik Kanunu’nun kurumsallık, süreklilik ve hesap verebilirlik vurgusu ile NIS2 Direktifi’nin yönetim organına ve eğitim yükümlülüğüne yaptığı atıf birlikte değerlendirildiğinde, yeni siber güvenlik hukuku rejiminin mesajı net: Siber güvenlik artık “IT departmanının sorunu” olmaktan çıktı, şirketin yalnızca teknik dayanıklılığını değil, yönetsel ve hukuki risklere karşı kurumsal direncini de inşa eden zorunlu bir yapı haline geldi. Bu nedenle siber olay sonrasında şirketlerin karşı karşıya kaldığı durumun, teknik olduğu kadar hukuki ve kurumsal boyutları olan çok katmanlı bir hesap verebilirlik alanı olarak ele alınması gerekiyor.
Av. Derya Durlu Gürzumar’ın katkılarıyla
