Önerilen Aramalar

Siber Güvenlik Kanunu Kapsamında Şirketlerin Yükümlülükleri

21.10.2025

Tüm Haberler
  • Ana Sayfa
  • |
  • Haberler
  • |
  • Siber Güvenlik Kanunu Kapsamında Şirketlerin Yükümlülükleri
Türkiye’de siber güvenliğe ilişkin ilk kapsamlı ve bağlayıcı düzenleme olan 7545 sayılı Siber Güvenlik Kanunu, 19 Mart 2025 tarihinde yürürlüğe girdi. Kanun; kamu ve özel sektörde faaliyet gösteren tüm kurum ve şirketlere teknik ve yönetsel yükümlülükler getirerek, siber güvenliği yalnızca teknik bir mesele olmaktan çıkarıp kurumsal bir sorumluluk alanı hâline getirdi.

1. Giriş ve Kanun’un Genel Çerçevesi

Siber güvenlik, artık yalnızca teknik bir konu olmaktan çıkmış ve kamu düzeni, ekonomik istikrar ve temel hakların korunması bakımından kritik bir alan hâline gelmiştir. Dijital altyapıların yaygınlaşmasıyla birlikte, bilgi sistemlerine yönelik saldırılar; bireylerin, kurumların ve devletlerin güvenliğini doğrudan etkileyebilecek boyutlara ulaşmıştır. Ayrıca, bu gelişmelere ayak uydurulabilmek adına birçok ulusal ve uluslararası hukuki ve teknik düzenleme de yürürlüğe girmiş olup dinamik şekilde yeni mevzuat çalışmaları da yapılmaya devam edilmektedir.

Bu doğrultuda, 19 Mart 2025 Çarşamba tarihli ve 32846 sayılı Resmî Gazete ile yayımlanarak yürürlüğe giren 7545 sayılı Siber Güvenlik Kanunu (“Kanun”), Türkiye’de siber güvenliğe ilişkin ilk kapsamlı ve bağlayıcı yasal düzenleme olarak kamu ve özel sektördeki tüm aktörler için çeşitli teknik ve yönetsel yükümlülükler getirmiştir.

Kanun, öncelikle temel kavramlara açıklık getirerek uygulamada ortak bir dil oluşturmayı hedeflemiştir. Kanun’da yer alan:
  • “Siber güvenlik” bilgi sistemlerinin gizliliğini, bütünlüğünü ve erişilebilirliğini korumaya yönelik tüm faaliyetleri,
  • “Siber uzay” dijital sistemlerle kullanıcılarının oluşturduğu ortamı,
  • “Siber olay” ise bilgi sistemlerini hedef alan her türlü tehdit veya müdahaleyi
ifade etmektedir.

Kanun kapsamı oldukça geniş olup kamu kurum ve kuruluşları, kamu niteliği taşıyan meslek örgütleri; ayrıca gerçek ve tüzel kişileri ve tüzel kişiliği bulunmayanlar da dahil olmak üzere siber uzayda faaliyet gösteren ve hizmet sunan tüm ilgilileri kapsamaktadır.

Kanun doğrultusunda Cumhurbaşkanlığı’na bağlı Siber Güvenlik Başkanlığı (“Başkanlık”) kurulmuş; düzenleme, denetim, risk analizi ve koordinasyon yetkisi bu yapıya verilmiştir. Ayrıca, ulusal strateji ve sektör önceliklerini belirleyecek Siber Güvenlik Kurulu (“Kurul”) da yeniden faaliyete geçmiştir.

Uygulamaya yön verecek teknik kriterler, denetim usulleri ve bazı yükümlülüklerin ayrıntıları ise henüz belirlenmemiş olup bunlara ilişkin ikincil düzenlemelerin Kanun’un yürürlük tarihini takip eden bir yıl içinde çıkarılması öngörülmektedir. Bu geçiş süreci, şirketlerin teknik ve yönetsel yapılarını Kanun ile uyumlu hâle getirmeleri açısından dikkatle izlenmesi gereken bir dönemdir.


2. Şirketlere Yönelik Temel Yükümlülükler

Kanun, bilişim sistemleri kullanarak hizmet sunan veya veri işleyen tüzel kişiliklere Kanun’un 7. Maddesi kapsamında teknik altyapıdan idari süreçlere kadar geniş bir çerçevede sorumluluklar yüklemektedir.

  • Bilgi ve Belge Sunma Zorunluluğu: Şirketler, Başkanlık’ın talep ettiği her türlü bilgi, belge, veri ve dijital materyali zamanında ve eksiksiz şekilde iletmekle yükümlüdür.

  • Siber Güvenlik Tedbiri Alma ve Olay/Zafiyet Bildirimi: Kamu kuruluşlarının milli güvenlik, kamu düzeni veya kamu hizmetinin güvenliği açısından gerekli siber güvenlik tedbirlerini almaları ve hizmet sundukları alanda tespit ettikleri güvenlik zafiyetlerini veya olaylarını gecikmeksizin Başkanlık’a bildirmeleri gerekmektedir.

  • Başkanlık’la İş Birliği Yapma: Şirketler, Başkanlık tarafından geliştirilen politika, strateji ve eylem planlarında öngörülen tedbirleri yerine getirmek ve gerektiğinde iş birliği içinde hareket etmekle yükümlüdür. Bu yükümlülük, ulusal siber güvenlik koordinasyonuna etkin katkı sunulmasını da kapsamaktadır.

  • Sertifikalı Ürün Kullanma ve Uzman Bulundurma: Kamu kurumları ve kritik altyapı alanlarında faaliyet gösteren kuruluşlar, yalnızca Başkanlık tarafından yetkilendirilmiş kişi veya şirketlerden siber güvenlik ürün ve hizmeti temin etmekle yükümlüdür. Siber güvenlik ürünleri, sistemleri, yazılımları, donanımları ve hizmetlerinin yurt dışına satışı ise Başkanlık onayına tabidir. Bu ürün ve hizmetleri geliştiren şirketlerin birleşme, bölünme, pay devri veya satış gibi işlemleri Başkanlık’a bildirilmeli, ilgili şirket üzerinde tek başına veya ortak kontrol ya da karar yetkisi sağlanıyorsa bu işlemler için Başkanlık onayı alınmalıdır.

  • Yetkisiz Faaliyet Yasağı: Sertifikasyon veya yetkilendirmeye tabi alanlarda siber güvenlik faaliyeti yürütmek isteyen şirketlerin faaliyete başlamadan önce Başkanlık onayı alması gerekmektedir. Aksi halde yetkisiz faaliyet yasağı kapsamında yaptırımlarla karşılaşmaları söz konusu olacaktır.

  • Uyum Yükümlülüğü: Şirketler, Başkanlık tarafından yayımlanacak ilke kararları, güvenlik standartları ve düzenleyici belgelere uygun hareket etmek ve uyumlu olmakla yükümlüdür.

  • Denetime Açıklık: Başkanlık, gerekli gördüğü durumlarda, Kanun’un 8. Maddesi kapsamına giren her türlü fiil ve işlem ile ilgili olarak şirketlerin bilgi sistemleri ve güvenlik önlemleri üzerinde denetim gerçekleştirebilir. Ayrıca milli güvenlik, kamu düzeni veya siber suçların önlenmesi amacıyla, özel durumlarda (hâkim kararıyla veya gecikmesinde sakınca bulunan hallerde Cumhuriyet savcısının yazılı emri ile) konut, işyeri ve kamuya açık olmayan alanlarda arama, kopya çıkarma ve el koyma yapılabileceği öngörülmüştür. Kamu kurum ve kuruluşları bakımından hâkim kararı aranmayacak, ancak yetkilendirilmiş veri merkezi işletmecilerinin tesislerinde bu işlemler yalnızca hâkim kararıyla gerçekleştirilebilecektir. Ayrıca, denetim sonucunda eksik görülen hususların giderilmesi ve ilave önlemler alınması da talep edilebilecektir.

3. Sorumluluklar ve Yaptırımlar

Kanun, yalnızca teknik ya da uyum yükümlülükleri getirmekle kalmayıp kurumlar ile şirket yöneticileri ve diğer gerçek kişiler açısından da önemli yaptırımlar düzenlemektedir. Hem cezai hem de idari nitelikte olan bu yaptırımlar ilgili fiilin niteliğine göre değişiklik göstermektedir.

Cezai hükümler ve idari para cezaları, Kanun’un 16. Maddesinde düzenlenmiş olup, Başkanlık tarafından talep edilen bilgi, belge, donanım veya yazılımı sunmayanlar ya da denetime engel olanlar hakkında bir yıldan üç yıla kadar, gerekli izin ve yetkileri almadan faaliyet gösterenler için ise iki yıldan dört yıla kadar hapis cezası öngörülmektedir. İdari para cezası olarak ise; Kanun hükümlerini ihlal eden şirketler her bir ihlal için bir milyon Türk lirasından on milyon Türk lirasına kadar idari para cezası ile karşılaşabilecektir.

Kanun’un 17. Maddesinde idari para cezalarının uygulanmasına ilişkin hükümlere yer verilmiştir. İlgili kişi veya kuruluşun savunması alınmadan idari para cezası verilemez; ancak savunma otuz gün içinde sunulmazsa bu haktan feragat edilmiş sayılacaktır. Aynı kabahatin birden fazla kez işlenmesi hâlinde ceza artırılarak uygulanabilir ve zarara yol açılması veya menfaat sağlanması durumunda ceza miktarı bu zararın ya da menfaatin üç ila beş katı arasında belirlenebilir. Ceza kararlarına karşı idari yargı yoluna başvuru mümkündür.

Görüleceği üzere bu düzenlemeler, yalnızca şirketlerin teknik altyapılarını değil, aynı zamanda yönetimsel süreçlerini de kapsayan bir sorumluluk rejimi ortaya koymaktadır. Yöneticilerin, şirketlerin siber güvenlik sorumlulukları karşısındaki özen yükümlülüklerini yerine getirmeleri, yaptırımlarla karşı karşıya kalmamaları açısından kritik önem arz etmektedir.

4. Sonuç ve Uyum Önerileri

Kanun, şirketlerin siber güvenliğe yaklaşımında köklü bir değişimi zorunlu kılmaktadır. Siber Güvenlik, sadece teknik ekiplerin sorumluluğunda değerlendirilemeyecek kadar genişlemiş; yönetim kurulunun stratejik gözetimi altında yürütülmesi gereken kritik bir uyum konusu hâlini almıştır. Kanun’un getirdiği düzenlemeler, şirketlerin yalnızca siber saldırılara karşı değil, aynı zamanda kamu otoriteleri tarafından yapılacak denetimlere karşı da hazırlıklı olmalarını gerektirmektedir. Bu nedenle, ikincil mevzuat düzenlemeleri yürürlüğe girene kadar proaktif adımlar atılması ve risk temelli bir güvenlik stratejisi geliştirilmesi kritik öneme sahiptir.

Uygulamada karşılaşılabilecek risklerin ortadan kaldırılabilmesi veya azaltılabilmesi için şirketlerin öncelikle:

  • Kendi iç işleyiş denetim süreçlerini gözden geçirmeleri ve mevzuata uygunluk bakımından açıklarını tespit etmeleri gerekmektedir. Bu kapsamda, mevzuata uygunluğu düzenli şekilde değerlendiren kapsamlı kontrol listeleri oluşturulması ve tüm kurumsal ve yönetsel süreçlerin bu çerçevede izlenmesi önerilmektedir.

  • Olası bir güvenlik zafiyeti ya da saldırı hâlinde hızlı ve doğru reaksiyon gösterebilmek için ise şirket içi sorumluluk dağılımının ve acil durum aksiyon planlarının net biçimde belirlendiği, teknik ve iletişim protokollerini içeren detaylı siber olay müdahale planı hazırlanmalı ve güncel olarak tutulmalıdır.

  • Donanım, yazılım ve bilgi sistemlerini kapsayan bilgi teknolojileri varlıklarının güncel envanteri çıkarılmalı; kritik sistemler özel olarak takip edilmelidir.

  • Bilgi sistemlerine yönelik düzenli sızma testleri yapılması ve kayıt/log yönetimi altyapısının kurulması hem iç güvenliğin sağlanması hem de Başkanlık tarafından yapılacak olası denetimlerde teknik yeterliliğin gösterilebilmesi açısından önemlidir.

  • Tüm çalışanlara belirli aralıklarla siber güvenlik farkındalığı eğitimi verilmeli, katılım ve etkinlik ölçülerek olası denetimlerde şirketlerin tüm birimlerinin hazırlıklı olması sağlanmalıdır.

  • Tedarikçiler ve üçüncü taraf hizmet sağlayıcılar da siber güvenlik yükümlülükleri açısından değerlendirilmeli ve sözleşmelerde bu yükümlülükler açıkça tanımlanmalıdır.

  • Gerekli süreçlerin kurum içinde etkin şekilde yürütülebilmesi için siber güvenlik düzenlemelerine uyumu takip edecek, Başkanlık ile iletişim halinde olacak özel bir görevli atanmalıdır.

  • Şirketlerin, siber güvenlik uyum durumunu periyodik olarak raporlayarak yönetim kuruluna sunması da risklerin erken tespiti ve önleyici aksiyonlar açısından kritik önem arz edecektir. Tüm bu önlemlerin alınması da şirketlerin hem operasyonel hem de hukuki risklerini azaltacaktır.


Önemle belirtmek isteriz ki, uygulamanın nasıl şekilleneceği henüz tam olarak netleşmediğinden Başkanlık tarafından çıkarılacak ikincil düzenlemeler ve denetim uygulamaları, sistemin sınırlarını ve ilgili hükümlerin nasıl yorumlanacağını belirleyecektir. Dolayısıyla, belirsizliklerin olduğu bu dönemde şirketlerin hazırlıklarını mevzuatla öngörülen yükümlülükler doğrultusunda zamanında ve olabildiğince etkin biçimde gözden geçirmeleri kritik önem taşımaktadır.

Kanun ile gelen sorumlulukların yalnızca birer yükümlülük değil; aynı zamanda kurumsal güvenliğin güçlendirilmesi ve itibâri risklerin azaltılması dışında şirketlerin mali güvenliği ve değerleri açısından fırsat olarak da değerlendirilmesi mümkündür. Bu nedenle, daha önce kişisel verilerin korunması mevzuatında olduğu gibi siber güvenlik sürecini de ötelemeden sistematik şekilde yöneten şirketler hem yasal yükümlülüklerini yerine getirmiş olacak, hem de uzun vadede rekabet gücünü koruyarak değerlerini arttırabileceklerdir. Aksi hâlde, hazırlıksız yakalanan şirketler için bunun maliyeti sadece idari para cezalarıyla sınırlı kalmayabilecek, denetim bulguları, itibar kaybı ve operasyonel aksamalarla birlikte daha yıkıcı sonuçlara yol açabilecektir.


Eylül Bengisu Gümüş, Kıdemli Avukat
Nejan Yılmaz, Avukat



Diğer Haberler
20.10.2025
Fiyat Etiketi Yönetmeliğine İlişkin Değişiklik Yayınlandı
11.10.2025 tarihli ve 33044 Sayılı Resmî Gazete'de yayımlanan, Ticaret Bakanlığı (“Bakanlık”) tarafından düzenlenmiş olan Fiyat Etiketi Yönetmeliğinde Değişiklik Yapılmasına Dair Yönetmelik (“Değişiklik Yönetmeliği”) ile perakende olarak satışa sunulan mal ve hizmetlerin etiket, tarife ve fiyat listelerini düzenlenmekte olan Fiyat Etiketi Yönetmeliği'nde (“Yönetmelik”) değişiklik yapılmıştır.
Haber| Hukuki Haberler
1.10.2025
Kişisel Verileri Koruma Kurulu Tarafından Ana Faaliyet Konusu Özel Nitelikli Kişisel Veri İşleme Olan Veri Sorumlularının VERBİS’e Kayıt Yükümlülüğüne İstisna Kriteri Getirildi
Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından veri sorumlularının veri sorumluları bilgi sistemine (VERBİS) kayıt yükümlülüğüne ilişkin istisnaları düzenleyen 06.07.2023 tarih ve 2023/1154 sayılı kararında belirtilen istisna kriteri Kurul’un bugün Resmi Gazete’de yayınlanan 04.09.2025 tarih ve 2025/1572 sayılı kararı (“Güncelleme Kararı”) ile güncellenmiştir.
Haber| Hukuki Haberler
16.09.2025
İşçi ve İşveren Arasında İş Sözleşmesinin Sona Ermesinden Sonra Gerçekleşen Rekabet Etmeme Yükümlülüğü İhlallerine Dair Uyuşmazlıklarda Görevli Mahkemeye İlişkin Yargıtay İçtihadı Birleştirme Kararı
Yargıtay İçtihadı Birleştirme Büyük Genel Kurulu, 13.06.2025 tarihli ve 2023/1 Esas, 2025/3 Karar sayılı kararı (“Karar”) ile; Türk Borçlar Kanunu’nun 444 ila 447. maddelerinde düzenlenen ve iş sözleşmesinin sona ermesinden sonra hüküm doğuran rekabet yasağı sözleşmelerinden kaynaklanan davalarda iş ve ticaret mahkemeleri arasındaki görevli mahkeme belirsizliğini ortadan kaldırarak, görevli mahkemenin asliye ticaret mahkemesi olduğuna karar vermiştir.
Haber| Hukuki Haberler
12.09.2025
Türk Parası Kıymetini Koruma Hakkında 32 Sayılı Karara İlişkin Tebliğ’de Değişiklik Yapılmasına Dair Tebliğ (Tebliğ No: 2018-32/51) Yayımlandı
“Türk Parası Kıymetini Koruma Hakkında 32 Sayılı Karara (“Karar”) İlişkin Tebliğ’de (Tebliğ No: 2008-32/34) (“Tebliğ”) Değişiklik Yapılmasına Dair Tebliğ (Tebliğ No: 2018-32/51)” (“Değişiklik Tebliği”) 6 Ekim 2018 tarihli ve 30557 sayılı Resmi Gazete’de yayımlanarak, yayımı tarihinde yürürlüğe girmiştir.
Haber| Hukuki Haberler
18.08.2025
Doğrudan Satış Sistemlerine İlişkin Kurallar Belirlendi
6502 sayılı Tüketicinin Korunması Hakkında Kanun’da (“Tüketici Kanunu”) gerçekleştirilen 24 Ekim 2024 tarihli değişiklikle “Doğrudan Satış Sistemi”ne ilişkin düzenleme madde 47/A olarak Kanun kapsamına eklenmişti ve bu düzenleme yürürlük tarihi olan 30 Temmuz 2025 tarihi itibariyle uygulanmaya başlanmış oldu. Kanun kapsamındaki düzenlemede doğrudan satış sisteminin tanım ve genel çerçevesi yer almakla birlikte detayların Ticaret Bakanlığı (“Bakanlık”) tarafından yönetmeliklerle düzenleneceği belirtilmektedir.
Haber| Hukuki Haberler
8.08.2025
Çalışanlara Yapılacak Bildirimlerde Yenilikçi Bir Adım: KEP Yoluyla Bildirim
24 Temmuz 2025 tarihli Resmi Gazete’de yayımlanan 7555 sayılı Kanun ile 4857 sayılı İş Kanunu’nun (“İş Kanunu”) 109. maddesi kapsamı genişletilerek İş Kanunu’ndaki yazılı bildirim usulüne ek bir imkan olarak İşverene Kayıtlı Elektronik Posta (“KEP”) yoluyla da çalışanlarına bildirim yapılması imkanı tanınmıştır.
Haber| Hukuki Haberler
1.08.2025
Elektronik Ticari Defter Sistemi’ne (“ETDS”) Geçiş Süreci Nasıl Olacak?
14 Şubat 2025 tarihli ve 32813 sayılı Resmî Gazete’de yayımlanan “İşletmenin Muhasebesiyle İlgili Olmayan Ticari Defterlerin Elektronik Ortamda Tutulması Hakkında Tebliğ” ("Tebliğ") ile, ticari defterlerin elektronik ortamda tutulması belirli şirketler için zorunlu hale gelmiştir. Böylelikle defterlerin dijital ortamda güvenli biçimde saklanması, erişim ve denetimin kolaylaştırılması, noter işlemlerinin azaltılması amaçlanmıştır.
Haber| Hukuki Haberler
18.07.2025
İş Kanunu’nda Turizm İşletme Tesisleri Yönünden Hafta Tatilinin Kullandırılmasına Dair Değişiklik
14 Temmuz 2025 tarihli ve 32956 sayılı Resmî Gazete’de yayımlanan 7553 sayılı “Bazı Kanunlarda ve 375 Sayılı Kanun Hükmünde Kararnamede Değişiklik Yapılmasına Dair Kanun” ile 4857 sayılı İş Kanunu’nun 46. maddesinde turizm işletme tesislerinde hafta tatilinin kullandırılmasına yönelik yeni bir düzenleme getirilmiştir.
Haber| Hukuki Haberler
11.07.2025
Türkiye’nin İlk İklim Kanunu Yürürlüğe Girdi.
09.07.2025 tarihli ve 32951 sayılı Resmî Gazete’de yayımlanan ve yayımlandığı tarihte yürürlüğe giren İklim Kanunu (“Kanun”) ile iklim değişikliğiyle mücadelede eşitlik, iklim adaleti, sürdürülebilirlik ve adil geçiş gibi ilkeler esas alınmıştır. Kanun, sera gazı emisyonlarının azaltımı ve iklim değişikliğine uyum faaliyetlerini yönlendirecek önemli düzenlemelere yer vermekte; kamu kurumları, özel sektör ve yerel yönetimler başta olmak üzere tüm paydaşlara çeşitli yükümlülükler getirmektedir.
Haber| Hukuki Haberler
30.06.2025
SMS ile Doğrulama Kodu Gönderilmesine İlişkin Kişisel Verileri Koruma Kurulu İlke Kararı Yayınlandı
Kişisel Verileri Koruma Kurulu (“Kurul”) 10.06.2025 tarihli ve 2025/1072 sayılı ilke kararı (“İlke Kararı”) ile; ürün ve hizmet sunumu süreçlerinde ilgili kişilere SMS yoluyla doğrulama kodu gönderilmesi uygulamasının kişisel verilerin işlenmesi esaslarına yer verilmiştir. İlgili İlke Kararı 26 Haziran 2025 tarihli ve 32938 sayılı Resmî Gazete’de ve Kişisel Verileri Koruma Kurumu internet sitesinde yayınlanmıştır.
Haber| Hukuki Haberler
29.05.2025
Mesafeli Sözleşmeler Yönetmeliğinde Değişiklik Yapılmasına Dair Yönetmelik Yayımlandı
24 Mayıs 2025 tarihli 32909 Sayılı Resmî Gazete’de Ticaret Bakanlığının çıkartmış olduğu Mesafeli Sözleşmeler Yönetmeliğinde Değişiklik Yapılmasına Dair Yönetmelik (“Değişiklik Yönetmeliği”) ile 6502 Sayılı Tüketicinin Korunması Hakkında Kanun’un (“Kanun”) 48. ve 84. maddelerine dayanılarak hazırlanan Mesafeli Sözleşmeler Yönetmeliğinde (“Yönetmelik”) 01.01.2026 tarihinde yürürlüğe girecek şekilde tüketicinin mesafeli satışlarda cayma hakkını kullanmasına yönelik yeni düzenlemeler getirilmiştir.
Haber| Hukuki Haberler
19.03.2025
Türk Parası Kıymetini Koruma Hakkında 32 Sayılı Karar’da Yeni Düzenlemeler
15.03.2025 Tarihli 32842 Sayılı Resmî Gazete’ de yayımıyla yürürlüğe giren 9595 sayılı Türk Parası Kıymetini Koruma Hakkında 32 Sayılı Karara İlişkin Değişiklik Yapılmasına Dair Karar (“Karar”) ile birtakım değişikliklere yer verilmiştir.
Haber| Hukuki Haberler
Çalışma Alanları
Sektörler
Güncel
Makaleler
Covid 19 Hukuk Rehberi
Kurumsal
Bize Ulaşın
E-Bültenlerimize Abone Olun
Her Hakkı Saklıdır © 2020