Türkiye’de siber tehditlerin hızla arttığı, fidye yazılımlarından tedarik zinciri saldırılarına kadar çok geniş bir yelpazede risklerin büyüdüğü bir dönemde yürürlüğe giren 7545 sayılı Siber Güvenlik Kanunu, ülkenin dijital güvenlik ihtiyaçlarını karşılayan en kapsamlı çerçeve olarak öne çıkıyor. Yasa, hem teknik hem yönetsel boyutta zorunluluklar getirerek kurumların gönüllü iyi uygulama dönemini sona erdiriyor ve bağlayıcı, denetlenebilir bir yapıya geçişi zorunlu kılıyor.

Kritik altyapılardan büyük ölçekli şirketlere, KOBİ’lerden kamu kurumlarına kadar geniş bir ekosistemi ilgilendiren bu düzenleme, yalnızca teknik gereklilikleri değil; aynı zamanda yönetim kurulu seviyesinde sorumlulukları, sertifikasyon zorunluluklarını ve ağır yaptırımları da beraberinde getiriyor. Yeni dönemin kurumsal etkilerini değerlendiren CyberArts CEO’su Erdem Eriş, yasanın Türkiye’nin siber güvenlik olgunluğunu hızla yukarı taşıyacak bir dönüm noktası olduğunu vurguluyor.

7545 sayılı Siber Güvenlik Kanunu neden gerekli hale geldi? Türkiye’deki mevcut siber tehdit ortamı bu yasayı nasıl zorunlu kıldı?

19 Mart 2025 tarihinde yürürlüğe giren 7545 sayılı Kanun, Türkiye’nin dijital güvenlik mimarisinde uzun süredir ihtiyaç duyduğu bütüncül ve bağlayıcı çerçeveyi oluşturan tarihi bir adım oldu. Türkiye’deki siber tehdit ortamı son yıllarda hem teknik karmaşıklık hem de etki alanı bakımından önemli bir değişim geçirdi. Kritik altyapılara yönelik saldırılar, fidye yazılımlarının kurumsal yapıdaki yaygınlığı, tedarik zinciri zafiyetleri ve finansal sistemleri hedef alan sofistike grupların varlığı, artık yalnızca teknik çözümlerle yönetilemeyecek bir risk ortamı oluşturdu.

Bu tablo, siber güvenliğin yalnızca IT ekiplerine bırakılacak bir uzmanlık olmaktan çıkarılıp, milli güvenlik, ekonomik güvenlik ve kurumsal devamlılık ekseninde ele alınmasını zorunlu hale getirdi. Yeni yasa hem kamu hem özel sektörü kapsayan bağlayıcı, merkezi ve denetlenebilir bir çerçeve sunduğu için bu ihtiyacın doğal bir sonucu olarak ortaya çıktı.

Yeni kanunla birlikte şirketler için hangi yükümlülükler doğdu? Özellikle veri güvenliği ve sistem altyapısı açısından neler değişti?

Kanun, şirketlere teknik, operasyonel ve yönetsel boyutları kapsayan geniş kapsamlı yükümlülükler getirdi. En kritik değişiklikler şu şekilde özetlenebilir:

• Varlık envanteri, risk analizi ve güvenlik politikalarının kanunen zorunlu hale gelmesi

Artık kurumlar bilgi varlıklarını tanımlamak, risklerini ölçmek ve uygun kontrolleri uygulamakla yükümlü.

• SOME (Siber Olaylara Müdahale Ekibi) kurulması ve 7/24 izleme kapasitesi oluşturulması

Bu ekip, olaylara müdahale süreçlerinden tatbikatlara kadar operasyonel bir sorumluluk üstleniyor.

• Loglama ve merkezi izleme altyapıları zorunlu hale geldi

Logların zaman damgası ile bütünlüğünün korunması ve istenildiğinde denetime açılabilmesi bekleniyor.

• Yalnızca yetkilendirilmiş siber güvenlik ürün ve hizmetlerinin kullanılması

Bu madde, tedarik zinciri tarafında önemli bir dönüşüm yaratacak.

• Veri güvenliği açısından GDPR düzeyinde sıkılık

Veri işleme süreçleri, saklama yöntemleri ve ihlal bildirim yükümlülükleri hukuki sorumluluk haline geldi.

Kısacası, kurumlar artık “gönüllü iyi uygulamalar” döneminden çıkıp, yasal olarak hesap verebilir ve denetlenebilir bir yapıya geçiyor.

Kanuna uymayan kurumları nasıl yaptırımlar bekliyor? Para cezaları ya da idari yaptırımların sınırları nedir?

7545 sayılı Kanun’un yaptırımları oldukça ağır ve doğrudan icra edilebilir nitelikte. Kanuna uyumsuzluk halinde:

• Bir önceki yıl cirosunun %5’ine kadar idari para cezaları,

• 15 yıla varan hapis cezaları,

• Faaliyetin durdurulması,

• Yetkilendirme/sertifika iptali gibi yaptırımlar gündeme gelebiliyor.

Bu durum, siber güvenliğin artık yalnızca teknik bir konu değil, yönetim kurulu ve şirket ortakları seviyesinde kişisel sorumluluk gerektiren bir mevzuat alanı haline geldiğinin göstergesi.

Siber güvenlik yatırımları artık üst yönetimi de doğrudan ilgilendiren bir konu haline geldi. Bu farkındalığı nasıl değerlendiriyorsunuz?

Bu farkındalık, geç kalınmış ama çok değerli bir dönüşüm. Çünkü:

• Kanunun yaptırımları tüzel kişilik kadar üst yönetime kişisel sorumluluk yüklüyor.

• Siber olayların finansal etkisi, marka itibarına verdiği zarar ve operasyonel kesintiler artık stratejik risk seviyesinde.

• Dijital dönüşüm projeleri, uyum ve güvenlik entegrasyonu olmadan sürdürülebilir değil.

Dolayısıyla üst yönetimin konuya sahip çıkması, sadece mevzuat açısından değil, kurumsal dayanıklılık açısından da kritik bir gereklilik.

Türkiye’deki kurumların siber güvenlik olgunluk seviyesini nasıl buluyorsunuz?

Türkiye’de kurumlar arasında olgunluk seviyesi oldukça heterojen: Büyük kurumlarda daha iyi seviyede teknik kapasite ve oturmuş süreçler mevcut. Diğer taraftan yeni siber güvenlik mimarilerine geçiş ve insan kaynağını istihdam edip uzun dönemli çalıştırmada zorlanmaları söz konusu. KOBİ tarafında ise genellikle altyapılar parçalı, politika ve süreçler eksik, insan kaynağı sınırlı. Ancak bu yeni kanun, tüm kurumları ortak bir taban seviye güvenlik yaklaşımına yönlendireceği için uzun vadede ülke genelinde olgunluk seviyesini yukarı taşıyacaktır.

Bu yeni yasa ile birlikte yerli siber güvenlik firmalarına nasıl fırsatlar doğdu?

Kanun, yerli ve milli ürünlerin öncelikli kullanımını bir prensip olmaktan çıkarıp mevzuat düzeyine taşıyor. Bu durum: Yerli ürünlerin sertifikasyon ve yetkilendirme süreçleriyle daha fazla tercih edilmesini, yerli firmaların Ar-GE yatırımlarının hızlanmasını, ekosistemin büyümesini, ulusal teknoloji egemenliğinin güçlenmesini doğrudan teşvik ediyor. Ayrıca sertifikasyon zorunluluğu, kaliteyi artıracak ve yerli ürünlerin uluslararası pazarlarda rekabet gücünü yükseltecektir.

CyberArts olarak siz bu değişime nasıl hazırlanıyorsunuz? Hizmet modelinizde veya ürün gamınızda değişiklik olacak mı?

CyberArts olarak bu dönemi bir uyum zorunluluğu değil, kurumsal dayanıklılık inşa etme fırsatı olarak ele alıyoruz.

Ana odaklarımız:

• Kanuna uyum için üst yönetim ile sürdürülebilir siber güvenlik stratejisi ve yol haritasını hazırlamak

• Kurumların varlık envanteri, risk analizi, politika/prosedür setleri oluşturmasına destek olmak

• SOME organizasyonlarının seviyesini yükseltmek

• Zafiyet yönetimi, sızma testleri, siber tatbikatlar, log yönetimi ve SIEM entegrasyonları gibi teknik gereksinimleri karşılamak

• Üst yönetim ve çalışanlara farkındalık ve mevzuat eğitimleri vermek

• Düzenli denetimler ve boşluk analizleri ile yol haritasına uyumlu ilerlenip ilerlenmediğini raporlamak

• İnsan kaynağı açığını kapatmak için siber güvenlik uzmanı yerleştirme hizmetlerini genişletmek.

8 yıldır Türkiye’nin en büyük kurumlarına hizmet veriyoruz. Bu kurumlarla çalışmaya yeni müşteriler kazanarak devam ediyoruz. Diğer taraftan büyük kurumlarda edindiğimiz tecrübeyi KOBİ’lere aktarmak için siber güvenlik ve bilgi güvenliğine ilişkin tüm hizmetleri tek sürdürülebilirlik paketi altında topladık ve bu yıl ortasında sunmaya başladık. Bu paketin çok ilgi gördüğünü ve bizim yönettiğimiz 12 aylık planlı programlı hizmetler ile KOBİ’leri önemli ölçüde rahatlattığını söyleyebilirim. 

Siber güvenlik alanında regülasyonların sıkılaşması, inovasyonu kısıtlar mı yoksa teşvik eder mi sizce?

Doğru tasarlanmış regülasyonlar inovasyonu kısıtlamaz; aksine hızlandırır. Yeni kanun ürün ve hizmetlerde kalite standardı oluşturuyor, tedarik zincirinde güvenli ürün kullanımını zorunlu kılıyor, yerli firmalara rekabet avantajı sağlıyor, uluslararası pazarlara uyumlu bir çerçeve sunuyor. Bu nedenle, inovasyonu kısıtlayan değil, güvenliği inovasyonun ayrılmaz bir parçası haline getiren bir düzenleme olduğunu düşünüyorum.

Bu kanun bireysel kullanıcıları da etkiliyor mu? Vatandaşın dijital güvenliği açısından nasıl bir fark yaratır?

Evet, kanun bireysel kullanıcıları dolaylı ama güçlü bir biçimde etkiliyor. Şirketlerin kişisel verileri işleme, saklama ve koruma yükümlülükleri artık hapis cezası dahil ağır yaptırımlarla güçlendirildi. Veri ihlallerinin bildirilmesi ve loglanması zorunlu hale geldi. Dijital hizmet sağlayıcılar kullanıcı gizliliğini daha titizlikle yönetmek zorunda.

Bu sayede, bireylerin dijital güvenliği daha üst seviyeye taşınacak ve kullanıcılar, kişisel verilerinin çok daha şeffaf ve güvenli süreçlerle işlendiğinden emin olabilecek.

Önümüzdeki dönemde Türkiye’nin siber güvenlikte dünya standartlarını yakalayabilmesi için neler yapılmalı?

Türkiye’nin siber güvenlikte küresel standartları yakalaması için üç temel alanda ilerleme gerekiyor:

1. İnsan Kaynağı Ekosisteminin Güçlendirilmesi

• Siber güvenlik uzmanı açığı stratejik seviyede.

• Üniversite-sanayi iş birliği, sertifika programları ve sürekli eğitim modelleri güçlendirilmeli, siber güvenlik eğitimi lise, ortaokul ve hatta ilkokul düzeyinde ele alınmalı.

2. Yerli Ürün Ekosisteminin Olgunlaştırılması

• Sertifikasyon süreçleriyle kalite artırılmalı,

• Uluslararası uyumluluk desteklenmeli,

• Yerli ürünlerin Ar-GE’si teşvik edilmeli.

3. Kurumsal Olgunluğun ve Denetimlerin Sürdürülebilirliği

• Kanunun getirdiği denetim mekanizmaları düzenli ve yüksek standartta uygulanmalı,

• Sektörler arası en iyi uygulama paylaşımı sağlanmalı,

• Tedarik zincirinin güvenliği stratejik öncelik olarak ele alınmalı.

Türkiye, yeni Siber Güvenlik Başkanlığı’nın atacağı doğru adımlarla; NATO’nun 5. savaş alanı olan siber güvenlik alanında standartları belirleyen bir ülke olma potansiyeline ve dünyanın en güçlü siber güvenlik firmalarına sahip olabilecek tarihi bir fırsata sahip.