Yeni Kanunla Şirketlere Bildirim Zorunluluğu Geldi

Artan siber tehditlere karşı milli kalkan oluşturmayı hedefleyen yeni Siber Güvenlik Kanunu, Türkiye’deki işletmeler için bir dönüm noktası. Şirketler, sistemlerinde tespit ettikleri güvenlik açığını veya siber saldırıları Siber Güvenlik Başkanlığı’na bildirmekle yükümlü. Bu, ‘kol kırılır yen içinde kalır’ anlayışının sonu demek.

Mart 2025′te Resmî Gazete’de yayımla­nan 7545 sayılı Siber Güvenlik Kanunu, Türkiye’deki tüm işletmeler için yeni bir döne­min habercisi. Artan siber tehdit­lere karşı milli bir kalkan oluştur­mayı hedefleyen bu kapsamlı dü­zenleme, özellikle orta ve büyük ölçekli şirketlere önemli sorum­luluklar yüklüyor. Peki, işletme­leri neler bekliyor?

İşte yeni yasanın getireceği ra­dikal değişiklikler ve dikkat edil­mesi gerekenler:

Artık her şey kayıt altında ve bildirim şart

Yeni kanunla birlikte kurulan Siber Güvenlik Başkanlığı, siber olayların takibinde merkezi bir rol üstlenecek. İşletmeler için en çarpıcı değişikliklerden bi­ri, Başkanlığın talep edeceği her türlü veri, bilgi ve belgeyi (Mad­de 7.1.a) zamanında sunma zo­runluluğu. Daha da önemlisi, şir­ketler kendi sistemlerinde tespit ettikleri güvenlik açıklarını veya yaşadıkları siber saldırıları der­hal Başkanlığa bildirmekle yü­kümlü olacak (Madde 7.1.b). Bu, “kol kırılır yen içinde kalır” an­layışının sonu anlamına geliyor. Başkanlığın yayınlayacağı poli­tika ve stratejilere uyum da artık bir tercih değil, zorunluluk hali­ne geldi (Madde 7.1.d).

“Benim başıma gelmez” devri bitiyor. Başkanlık, siber güven­lik yazılımları, donanımları ve hizmetleri için asgari güvenlik standartları belirleyecek (Madde 6.1.ı). İşletmeler, bu standartla­ra uygun çözümlere yatırım yap­mak zorunda kalacak. Kanunun temel ilkelerinden biri olan “yerli ve milli ürünlerin tercih edilme­si” (Madde 4.1.d) ilkesi, şirketle­rin tedarik zincirlerini de etkile­yecek. Büyük işletmelerin kendi bünyelerinde Siber Olaylara Mü­dahale Ekibi (SOME) kurması veya yetkili SOME’lerden hizmet alması gerekecek (Madde 5.1.d).

Denetim kapıda cezalar ağır

Yeni yasa, Başkanlığa geniş de­netim yetkileri tanıyor. Başkan­lık, gerekli gördüğü hallerde iş­letmelerde yerinde incelemeler yapabilecek veya yaptırabilecek (Madde 8.1). İşletmelerin bu de­netimlere tam uyum gösterme­si ve gerekli altyapıyı sağlaması şart (Madde 8.4).

Peki, kurallara uymayanları ne bekliyor? Kanun, bu konuda ol­dukça net:

● Başkanlığın istediği bilgi ve belgeleri vermeyen veya engelle­yenlere 1 yıldan 3 yıla kadar hapis ve adli para cezası (Madde 16.1).

● Siber olay bildirim yüküm­lülüğünü yerine getirmeyenlere 1 milyon TL’den 10 milyon TL’ye kadar idari para cezası (Madde 16.10).

● Denetim yükümlülüklerini yerine getirmeyen ticari şirketle­re ise yıllık brüt satış hasılatının yüzde 5’ine varan idari para ceza­ları (Madde 16.11) kesilebilecek. Bu rakamlar, siber güvenliğin ar­tık ne kadar ciddiye alındığının bir göstergesi.

Kanun, sadece kullanıcıları değil, siber güvenlik ürün ve hiz­meti sunan şirketleri de yakın­dan ilgilendiriyor. Bu firmaların Başkanlık tarafından belirlene­cek esaslara göre sertifikasyon, yetkilendirme ve belgelendirme süreçlerini tamamlaması zorun­lu (Geçici Madde 1.4). Ayrıca si­ber güvenlik şirketlerinin birleş­me, bölünme veya pay devri gibi önemli işlemleri, Başkanlık ona­yına tabi olacak (Madde 18.2).

Kritik altyapılar mercek altında

Enerji, finans, eğitim, sağ­lık, ulaştırma gibi ‘kritik altyapı’ (Madde 3.1.d) olarak tanımlanan sektörlerde faaliyet gösteren iş­letmeler için yükümlülükler daha da artacak. Bu tesisler, Başkanlı­ğın özel denetimine ve daha sıkı güvenlik önlemlerine tabi olacak.

İşletmeler ne yapmalı?

Bu yeni ve kapsamlı düzenle­meler karşısında işletmelerın ba­zı adımlar atması gerekli.

Öncelikle, uzmanlardan des­tek alarak kanunun kendi ope­rasyonlarına getireceği yüküm­lülükleri detaylıca incelemeleri şart. Bunu takiben, kapsamlı bir siber güvenlik risk değerlendir­mesi yaparak mevcut zafiyetleri­ni ve potansiyel tehditleri belirle­meliler. Bu analizler ışığında, ge­rekli siber güvenlik teknolojileri, personel eğitimi ve olası danış­manlık hizmetleri için bütçe ve kaynaklarını hızla planlamaları önem taşıyor. Aynı zamanda, olay müdahale planları, veri sızıntısı bildirim prosedürleri gibi iç poli­tikalarını ve süreçlerini yeni ka­nuna tam uyumlu hale getirme­leri ve son olarak, siber güvenlik kültürünü kurum içinde yaygın­laştırarak tüm personelin bu yeni düzenlemeler ve genel tehditler konusunda farkındalığını artır­maları kritik bir zorunluluk hali­ne geliyor.

Sonuç olarak, yeni Siber Gü­venlik Kanunu, Türkiye’deki iş­letmeler için bir dönüm nokta­sı. Uyum sağlamak başlangıç­ta ek maliyet ve çaba gerektirse de uzun vadede şirketlerin diji­tal varlıklarını koruması, müşte­ri güvenini sağlamlaştırması ve yasal yaptırımlardan kaçınması için hayati önem taşıyor. Artık si­ber güvenlik, yönetim kurulları­nın en önemli gündem maddele­rinden biri olmak zorunda.

Haberin orjinal haline bu linkten ulaşabilirsiniz.