Yayın Tarihi: 19 Mart 2025
Yayınlayan: Resmi Gazete
İlgili mevzuata erişmek için lütfen buraya tıklayınız.
Bu belge, 7545 sayılı Siber Güvenlik Kanunu‘nun metnidir ve 19 Mart 2025 tarihli ve 32846 sayılı Resmî Gazete’de yayımlanmıştır. Kanunun amacı, Türkiye Cumhuriyeti’nin siber uzaydaki milli gücünü oluşturan tüm unsurlara yönelik tehditlerin tespiti ve bertaraf edilmesi, siber olayların etkilerinin azaltılması, kamu kurum ve kuruluşları ile gerçek ve tüzel kişilerin siber saldırılara karşı korunmasına yönelik düzenlemelerin yapılması, ülkenin siber güvenliğinin güçlendirilmesi için strateji ve politikaların belirlenmesi ve Siber Güvenlik Kurulunun kurulmasına ilişkin esasların düzenlenmesidir.
Kanunun kapsamı, siber uzayda varlık gösteren, faaliyet yürüten veya hizmet sunan tüm kamu kurum ve kuruluşları, kamu kurumu niteliğindeki meslek kuruluşları, gerçek ve tüzel kişiler ile tüzel kişiliği bulunmayan kuruluşları kapsar. Ancak, bazı istihbari faaliyetler ve Türk Silahlı Kuvvetlerinin iç hizmet faaliyetleri bu Kanun kapsamı dışındadır.
Kanunda geçen temel tanımlar arasında barındırma, Başkan, Başkanlık, bilişim sistemleri, kritik altyapı, kritik kamu hizmeti, siber güvenlik, siber olay, siber saldırı, siber tehdit, siber tehdit istihbaratı, siber uzay, SOME (Siber Olaylara Müdahale Ekibi), varlık ve zafiyet bulunmaktadır.
Siber güvenliğin sağlanmasında temel ilkeler milli güvenliğin ayrılmaz bir parçası olma, kritik altyapıların korunması, çalışmaların kurumsallık ve süreklilik esasına dayanması, güvenlik tedbirlerinin tüm yaşam döngüsü boyunca uygulanması, yerli ve milli ürünlerin tercih edilmesi, tüm paydaşların sorumluluğu, hesap verebilirlik, sürekli gelişim, nitelikli insan kaynağının artırılması, siber güvenlik kültürünün yaygınlaştırılması, hukukun üstünlüğü ve mahremiyetin korunmasıdır.
Siber Güvenlik Başkanlığının görevleri arasında kritik altyapıların siber dayanıklılığını artırmak, siber saldırıları tespit etmek ve önlemek, zafiyet ve sızma testleri yapmak veya yaptırmak, siber tehdit istihbaratı elde etmek ve paylaşmak, SOME’ler kurmak ve denetlemek, siber güvenlik alanında düzenlemeler yapmak, kamu kurumlarına güvenli barındırma hizmeti sunmak, standartlar hazırlamak, test ve sertifikasyon işlemleri yürütmek, siber güvenlik denetimi yapmak ve yaptırım uygulamak yer almaktadır.
Başkanlığın yetkileri arasında gerekli tedbirleri almak veya aldırmak, siber olaylara müdahale desteği sağlamak, bilgi ve belge talep etmek, log kayıtlarını toplamak ve değerlendirmek, personel tefrik etmek, uluslararası ilişkiler yürütmek, kurum ve kuruluşları sınıflandırmak, denetçileri yetkilendirmek ve siber güvenliğe ilişkin kriterler belirlemek bulunmaktadır.
Kanun kapsamındaki kişi ve kuruluşların sorumlulukları arasında Başkanlığın taleplerini iletmek, siber olayları bildirmek, yetkilendirilmiş ürün ve hizmetleri tedarik etmek ve Başkanlık tarafından belirlenen politika ve stratejilere uymak bulunmaktadır. Başkanlık, görevlerini yerine getirirken ilgili paydaşlarla iş birliği yapar.
Başkanlık, gerekli gördüğü hallerde denetim yapabilir veya yaptırabilir. Denetimle görevlendirilenler belirli yetkilere sahiptir. Milli güvenlik gibi durumlarda hakim kararıyla veya savcının emriyle arama ve el koyma işlemleri yapılabilir.
Siber Güvenlik Kurulu, Cumhurbaşkanı, Cumhurbaşkanı Yardımcısı ve ilgili bakanlar ile üst düzey yetkililerden oluşur. Kurulun görevleri arasında siber güvenlikle ilgili politika ve strateji kararları almak, teknoloji yol haritasını uygulamak, teşvik edilecek alanları belirlemek, kritik altyapı sektörlerini belirlemek ve Başkanlık ile kamu kurumları arasındaki ihtilafları çözmek yer alır.
Kanun, Başkanlıkta sözleşmeli uzman personel istihdamına imkan tanır. Ayrıca, Başkanlıkta görev alacak personele güvenlik soruşturması ve arşiv araştırması yapılır. Diğer kamu kurumlarında zorunlu hizmet yükümlülüğü olan personelin Başkanlıktaki hizmet süreleri bu yükümlülükten düşülebilir. Başkanlıktan ayrılan personelin belirli bir süre siber güvenlik alanında görev alması veya ticaret yapması yasaktır. Başkanlık görevleri kapsamında edinilen bilgilerin sır saklama yükümlülüğü bulunmaktadır.
Başkanlığın gelirleri genel bütçe yardımları, faaliyet gelirleri, idari para cezaları, fonlardan aktarılacak tutarlar ve diğer gelirlerden oluşur. Başkanlık belirli muafiyetlere sahiptir.
Kanunda çeşitli cezai hükümler ve idari para cezaları düzenlenmiştir. Bilgi ve belge vermeyenlere hapis ve adli para cezası, yetkisiz faaliyet yürütenlere hapis ve adli para cezası, sır saklama yükümlülüğünü ihlal edenlere hapis cezası, veri sızıntısı yapanlara hapis cezası, yanlış bilgi yayanlara hapis cezası, siber saldırıda bulunanlara ağır hapis cezaları öngörülmektedir. Ayrıca, belirli görev ve sorumlulukları yerine getirmeyenlere idari para cezaları uygulanır. İdari para cezalarına karşı yargı yoluna başvurulabilir.
Siber güvenlik ürünleri ve şirketlerinin yurt dışına satışı Başkanlıkça belirlenen usul ve esaslara tabidir. Siber güvenlik şirketlerinin birleşme, bölünme, pay devri veya satış işlemleri Başkanlığa bildirilir ve belirli işlemler Başkanlık onayına tabidir.
Kanun, bazı kanun hükümlerinde değişiklikler ve yürürlükten kaldırmalar yapmıştır. Ayrıca, uyum ve geçiş düzenlemeleri ile Siber Güvenlik Başkanlığının kuruluşuyla ilgili hükümler içermektedir. Mevcut kurum ve kuruluşların devri, personelin atanması, sözleşmelerin devri ve siber güvenlik alanında faaliyet gösterenlerin sertifikasyon süreçleri gibi hususlar düzenlenmiştir. Kanunun uygulanmasına ilişkin düzenlemelerin bir yıl içinde yürürlüğe konulması öngörülmektedir.
Kanunun yürürlük tarihi yayımı tarihi olan 19 Mart 2025‘tir. Kanun hükümlerini Cumhurbaşkanı yürütür.