Yeni siber güvenlik kanunu şirketler için ne anlama geliyor?
2025 tarihli Siber Güvenlik Kanunu, iş dünyasında faaliyet gösteren tüm şirketler için yasal ve kurumsal bir yükümlülüğe dönüşmüş durumda. Bu yeni dönemde, sadece teknolojik çözümler değil, hukuki uyum, yönetsel sorumluluk, kurumsal farkındalık ve sürekli denetim kavramları ön plana çıkıyor.
Kanun, siber uzaya yönelik içten ve dıştan yöneltilen veya yöneltilebilecek olan tehditlerin tespit ve bertaraf edilmesi ile ülkenin siber güvenliğinin güçlendirilmesine ilişkin politikaların belirlenmesini, siber olayların muhtemel etkilerinin azaltılmasını, siber saldırılara karşı saldırının muhataplarının korunmasını ve Siber Güvenlik Kurulu'nun kurulmasına ilişkin esasların belirlenmesini amaçlıyor.
Kanun ile Siber Güvenlik Başkanlığı'nın (Başkanlık) görev, yetki, sorumluluk ve denetim yetkisine ilişkin düzenlemeler de yapılmış. Başkanlık; siber saldırılara yönelik yürütülen faaliyetler kapsamında zafiyet ve sızma testleri ile varlıklara yönelik risk analizleri yapmak veya yaptırmak, siber tehditlerle mücadele etmek, siber tehdit istihbaratı elde etmek, oluşturmak ve paylaşmak, zararlı yazılım inceleme faaliyetleri yürütmek ile görevlendirilmiş. Kanun yalnızca kamu kurumlarını değil aynı zamanda şirketleri de ilgilendiriyor.
Şirketlerin Uyum Süreci
Öncelikle belirtmek isterim ki, henüz ikincil mevzuat çıkmadı. Uygulamanın netleşebilmesi için, kanunun öngördüğü yükümlülüklerin nasıl hayata geçirileceğine dair ikincil mevzuatın da ivedilikle yayımlanması bekleniyor. Aşağıda yer alan hususlar genel değerlendirme niteliğinde olup, her şirketin faaliyet alanına, risk profiline ve organizasyon yapısına göre ayrıca hukuki analiz ve sektör bazlı bir uyum çalışması yapılması gerekiyor.
Hukuki Uyum Değerlendirmesi Yapılmalı: Şirketler, yürürlüğe giren Siber Güvenlik Kanunu ve ikincil düzenlemeler kapsamında sorumlu olup olmadıklarını belirlemek üzere hukuki bir inceleme başlatmalı; kapsam, istisna ve yükümlülükleri değerlendirmeli.
Politika ve Prosedürler Gözden Geçirilmeli: Mevcut bilgi güvenliği politikaları güncellenmeli, şirket içi işleyiş ve kontrol mekanizmaları mevzuata uygun hale getirilmeli; iç yönergeler, görev dağılımları ve sorumluluklar netleştirilmeli.
Yönetim Kurulu ve Üst Yönetim Bilgilendirilmeli: Yasal riskler ve uyum yükümlülükleri hakkında yönetim kuruluna periyodik raporlama yapılmalı; alınacak stratejik kararlarda hukuki danışmanlık sürece dahil edilmeli.
Sözleşmesel Düzenlemeler Revize Edilmeli: Üçüncü taraf hizmet sağlayıcılarla imzalanan sözleşmelere, siber güvenliğe ilişkin yükümlülükler ve ihlal durumunda uygulanacak yaptırımlar eklenmeli; sözleşme riskleri yeniden değerlendirilmeli.
Bildirim Süreçleri Tanımlanmalı: USOM ve KVKK kapsamındaki veri ihlali bildirim yükümlülükleri açısından yazılı prosedürler oluşturulmalı; iç koordinasyon mekanizmaları açık şekilde tanımlanmalı.
Denetim ve Belgelendirme Süreci Kurulmalı: Uyum süreçlerinin düzenli olarak iç denetim yoluyla izlenmesi sağlanmalı; alınan önlemler, yetki devri kararları ve yönetsel belgeler kayıt altına alınmalı.
Yabancı Sermayeli Şirketler
Türkiye'de faaliyet gösteren çok uluslu ya da yüzde 100 yabancı sermayeli şirketlerin, hali hazırda bağlı oldukları merkezlerin siber güvenlik politikaları ve iç uyum sistemleri mevcut olmakta. Bu şirketlerin, Türkiye'de yürürlüğe giren Siber Güvenlik Kanunu kapsamındaki yükümlülüklerini değerlendirirken, mevcut küresel uyum kuralları ile yerel düzenlemeleri karşılaştırmalı olarak analiz etmeleri büyük önem taşıyor. Özellikle raporlama yükümlülükleri, olay müdahale süreleri ve veri sınıflandırması gibi başlıklarda çakışan ya da farklılaşan kurallar bulunması halinde hem iç denetim sistemlerinin hem de yurt dışı ana merkeze yapılan raporlamaların güncellenmesi gerekebilir. Bu nedenle, yabancı ortaklı şirketlerin global politikalarını Türkiye'deki mevzuatla uyumlu hale getirmeleri ve çakışan hükümler varsa bunları belirleyerek önceden risk değerlendirmesi yapmaları yerinde olacaktır.
Ceza ve Yaptırımlar
Siber Güvenlik Kanunu, hem adli hem de idari yaptırımlarla desteklenen ciddi bir yaptırım rejimi öngörüyor. Kanun'un ihlali halinde; yetkili makamlara bilgi veya belge vermekten kaçınmak, yetkisiz şekilde faaliyet yürütmek, sır saklama yükümlülüğünü ihlal etmek veya siber uzayda kritik verileri hukuka aykırı şekilde paylaşmak gibi eylemler için 1 yıldan 12 yıla kadar hapis cezası ve değişen oranlarda adli para cezaları öngörülmüş. Fiilin kamu görevlisi tarafından, birden fazla kişiyle birlikte veya örgüt faaliyeti kapsamında işlenmesi halinde cezalar artırılabilmekte.
Ayrıca, bilişim sistemleri aracılığıyla hizmet sunan, veri toplayan veya işleyen şirketlerin görevlerini yerine getirmemesi durumunda 1 milyon TL ile 10 milyon TL arasında, Başkanlık onayı alınmaksızın yapılan işlemler için ise 10 milyon TL ile 100 milyon TL arasında idari para cezası uygulanabilecek. Denetime açık tutulmayan sistem ve altyapılar için ise 100.000 TL ile 1 milyon TL arasında idari para cezası öngörülüyor.
Sonuç olarak siber güvenlik, artık yalnızca bilgi teknolojileri birimlerinin sorumluluğunda değerlendirilebilecek teknik bir konu olmaktan çıktı. 2025 tarihli Siber Güvenlik Kanunu, iş dünyasında faaliyet gösteren tüm şirketler için yasal ve kurumsal bir yükümlülüğe dönüşmüş durumda. Bu yeni dönemde, sadece teknolojik çözümler değil, hukuki uyum, yönetsel sorumluluk, kurumsal farkındalık ve sürekli denetim kavramları ön plana çıkıyor artık. Kanuna uyum sağlamayan şirketlerin karşılaşacağı yaptırımlar göz önüne alındığında, bu sürecin ertelenmemesi ve profesyonel danışmanlık eşliğinde yönetilmesi büyük önem taşıyor.
