Dijitalleşmenin hız kazandığı günümüzde, siber güvenlik artık yalnızca teknik bir mesele olmaktan çıkıp, hukuki, ekonomik ve toplumsal boyutları olan, çok katmanlı bir alan haline geldi. Bu yıl yürürlüğe giren 7545 sayılı Siber Güvenlik Kanunu, bu dönüşümün somut bir göstergesi olarak öne çıkıyor. Kanunun yürürlüğe girmesiyle birlikte, siber uzayda milli güvenliğin sağlanması hukuki bir zemine kavuştu. Bu yeni yasal çerçeve bu alandaki uyum çalışmalarına hız kazandırdı.
Kanunla, siber güvenlik alanında merkezi bir otorite olan Siber Güvenlik Başkanlığı’nın görev ve yetkilerinin yanı sıra Siber Güvenlik Kurulu’nun da kuruluş ve işleyiş esasları düzenlenerek bu alanda idari teşkilat kuruldu. Bu kurumlar, siber saldırıların tespiti ve önlenmesi, risk analizlerinin yapılması, SOME’lerin (Siber Olaylara Müdahale Ekipleri) kurulması ve koordinasyonu gibi teknik ve idari işlevleri üstleniyor. Kanun, “bilişim sistemleri”, “kritik altyapı”, “siber saldırı”, “siber tehdit” gibi temel kavramları tanımlayarak hem kamu hem de özel sektöre yönelik yükümlülüklerle bu alanlarda faaliyet gösteren şirketlere de yeni bilgi güvenliği tedbirleri getirmiş oldu.
Kanunun yayımıyla beraber veri ihlali ve siber olay bildirim yükümlülükleri daha da önem kazandı. Bilindiği üzere, kişisel verilerin hukuka aykırı yollarla elde edilmesi halinde, veri sorumlularının 72 saat içinde Kişisel Verileri Koruma Kurulu’na bildirim yapması zorunlu. Buna paralel bir şekilde, Siber Güvenlik Kanunu da zafiyet ve siber olayların Siber Güvenlik Başkanlığı’na “gecikmeksizin” bildirilmesini düzenliyor. Bu bildirim yükümlülüğüne uyulmaması halinde 1 milyon TL’den 10 milyon TL’ye kadar idari para cezası uygulanabiliyor. Bu yükümlülükler, şirketler arası sözleşmelerde bildirim ve sorumluluk rejimlerinin yeniden düzenlenmesini gündeme getirirken, ayrıca ceza hukuku alanında siber güvenlik ihlallerinin de önemini arttırdı.
Kritik altyapı ve kamu hizmetlerinde faaliyet gösteren şirketler için ise bilgi güvenliği standartlarına uyum zorunlu hale geldi. SOME’ler arası 7/24 iletişim ve koordinasyon yükümlülükleri getirilirken, kamu kurumları ve kritik altyapı işletmeleri için bilgi güvenliği tedbirleri sıkılaştırıldı. Literatürde de bu düzenlemelerin ulusal güvenlik stratejileriyle uyumlu olduğu ve Türkiye’nin siber savunma kapasitesini artırdığı vurgulanıyor.
Siber güvenlik suçları ve yaptırımlar da yeni dönemin önemli bir parçası. Kanun, siber saldırı ve veri sızdırma eylemleri dahil olmak üzere dokuz ayrı suç ihdas ederek ağır para cezalarının yanı sıra bir yıldan on beş yıla kadar değişen hapis cezaları öngörüyor. Siber Güvenlik Kanunu, siber saldırganların (hacker) yanında, belirli koşullarda mağdur şirketleri de ayrı suç tipi kapsamında sorumlu tutabilmekte. Özellikle kritik altyapılarda kanundan doğan koruma yükümlülüklerine aykırı davranarak veri ihlaline neden olanlara, “veri ihlaline sebebiyet verme” suçu kapsamında hapis cezası verilebilir. Bu yaptırımlar nedeniyle kanun hem caydırıcılık sağlıyor hem de şirketlerin uyum süreçlerini hızlandırıyor.
Siber güvenlik hukukunun gündeminde yapay zekâ ve yeni nesil teknolojiler gibi konular da yer alıyor. Son dönemde yapay zekâ tabanlı saldırıların artışı ve bu tehditlere karşı mevzuatta alınan önlemler dikkat çekiyor. Özellikle sosyal mühendislik ve otomatik saldırı araçlarıyla işlenen suçlar hem teknik hem de hukuki açıdan yeni tartışma başlıkları yaratıyor. 2025’in ilk aylarından itibaren gözlemlenen bu gelişmeler dijital çağın en zor sınavlarından biri haline gelen yapay zekâ ile siber güvenlik arasındaki karmaşık ilişkiyi de bu vesileyle gözler önüne seriyor. Artık tehditler sadece kodlarla değil, algoritmalarla da şekilleniyor. Yapay zekâ, siber saldırıları önlemede güçlü bir müttefik; ancak bu güç, hukuki ve etik sorumlulukları da beraberinde getiriyor. Siber Güvenlik Kanunu, henüz yapay zekâya özgü bir düzenleme içermese de Kişisel Verilerin Korunması Kanunu ve 5651 sayılı Kanun’daki genel veri koruma ve bildirim yükümlükleri yapay zekâ sistemlerinin kişisel veri işlemesi durumunda dolaylı olarak devreye girebilir. Avrupa’da ise AB Yapay Zekâ Tüzüğü ile uyum çalışmaları sürerken, hukukçular ve teknoloji uzmanları yeni sorularla karşı karşıya kalıyor: Algoritmaların kararları ne kadar denetlenebilir? Veri mahremiyeti nasıl korunacak? Yapay zekâ çağında hukuk, sadece kuralları değil, değerleri de yeniden tanımlamak zorunda. Bu yüzden, bu dönüşüm, sadece teknik değil, aynı zamanda toplumsal bir mesele olarak karşımıza çıkmaya başladı.
Sonuç olarak, Türkiye’de siber güvenlik hukuku, son 8 ayda hem mevzuat hem de uygulama açısından büyük bir dönüşüm yaşadı. Bu dönüşümün başarısı, kurumlar arası koordinasyonun güçlendirilmesine, ikincil mevzuatın hızla hazırlanmasına ve şirketlerin yeni yükümlülüklere etkin şekilde uyum sağlamasına bağlı olacak. Önümüzdeki dönemde, uygulamada karşılaşılan sorunların çözümü ve uluslararası standartlara uyumun sağlanması, siber güvenlik hukukunun ana gündem maddeleri olmaya devam edecek. Şirketler açısından, içinde bulunduğumuz dönemde özellikle şirket yöneticilerinin mevzuata uyum konusunda titiz davranması, olay müdahale planlarının hazırlanması ve siber suçlara karşı savunma stratejilerinin geliştirilmesi kritik öneme sahip olacak.
Av. Derya Durlu Gürzumar’ın katkılarıyla.
