YENİ SİBER GÜVENLİK KANUNU KAPSAMINDA VERİLEBİLECEK İDARİ YAPTIRIMLAR

  1. Giriş

Dijitalleşme ile birlikte siber güvenlik, kamu ve özel sektör için kritik bir öncelik haline gelmiştir. Güncellenen düzenlemeler, kurumlar açısından belirli yükümlülükler getirmekte ve ihlaller durumunda ciddi idari yaptırımları öngörmektedir. Mevcut mevzuata ek olarak hazırlanan Siber Güvenlik Kanunu Teklifi, idari yaptırımları daha kapsamlı bir çerçevede ele almakta ve çeşitli sektörlerde yeni yükümlülükler doğurmaktadır.

Siber Güvenlik Kanunu Teklifi, 12 Mart 2025 tarihinde Türkiye Büyük Millet Meclisi (TBMM) Genel Kurulu’nda kabul edilerek yasalaşmıştır. Bu yeni Kanun, kamu kurum ve kuruluşları, kamu kurumu niteliğinde meslek kuruluşları, gerçek ve tüzel kişiler ile tüzel kişiliği bulunmayan kuruluşların siber saldırılara karşı korunmasına yönelik gerekli düzenlemeleri içermekte ve ülkenin siber güvenliğini güçlendirmek için strateji ve politikaların belirlenmesini amaçlamaktadır. 

Bu Kanun’un kabul edilmesiyle birlikte, tüm özel sektör şirketleri, özellikle dijital altyapıya sahip işletmeler, siber güvenlik önlemlerini artırmak ve belirlenen düzenlemelere uymakla yükümlü olacaktır.

  1. Siber Güvenlik Kanunu’nun Temel Amaçları

Kanun teklifi, ulusal güvenlikten veri korumasına kadar geniş bir perspektifle hazırlanmıştır. Temel amaçları arasında:

  • Siber tehditlerin tespit edilmesi ve önlenmesi,
  • Kamu kurumları ile özel sektörün siber dayanıklılığının artırılması,
  • Siber olaylara müdahale süreçlerinin standart hale getirilmesi,
  • Denetim ve yaptırım mekanizmalarının etkinleştirilmesi,
  • Kritik altyapıların korunması ve siber saldırılara karşı daha caydırıcı önlemler alınması yer almaktadır.

Bu kapsamda, Siber Güvenlik Kurulu ve Siber Güvenlik Başkanlığı gibi yeni yapılanmalar öngörülmekte, düzenleyici çerçeve genişletilmektedir.

  1. Öngörülen İdari Yaptırımlar

Kanun teklifi, siber güvenlik yükümlülüklerine uymayan gerçek ve tüzel kişiler için idari para cezaları ve diğer yaptırımları içermektedir. Başlıca düzenlemeler şunlardır:

3.1. Bilgi Paylaşımı ve Denetim Yükümlülüklerine Uymama

Yetkili mercilerin talep ettiği bilgi, belge ve verilerin paylaşılmaması veya denetim faaliyetlerinin engellenmesi, 1 yıldan 3 yıla kadar hapis cezası ve idari para cezaları ile yaptırıma tabi tutulmaktadır.

3.2. Zorunlu Onay ve İzin Almaksızın Faaliyet Gösterme

Siber güvenlik alanında belirlenen yetki veya izinleri almadan faaliyet yürütenler, 2 yıldan 4 yıla kadar hapis ve idari para cezası ile karşı karşıya kalabilir.

3.3. Kritik Altyapıların Güvenliğini İhmal Etme

Kritik altyapıların korunmasına yönelik belirlenen yükümlülüklere uymayanlar, 1 yıldan 3 yıla kadar hapis cezası ile cezalandırılabilir. Ayrıca, idari para cezaları da uygulanmaktadır.

3.4. Veri Sızıntıları ve Yetkisiz Veri Paylaşımı

  • Kişisel veya kritik kurumsal verilerin izinsiz paylaşılması, 3 yıldan 5 yıla kadar hapis cezasına tabidir.
  • Siber saldırılar sonucu ele geçirilen verilerin yayılması veya satılması durumunda, ceza 10 yıla kadar artırılabilir.
  • Gerçekleşmemiş bir veri sızıntısı ile ilgili yanlış algı oluşturarak kamuoyunu yanıltan kişiler 2 yıldan 5 yıla kadar hapis cezası alabilir.

3.5. İdari Para Cezaları

Kanun teklifi, mevzuata aykırı hareket edenlere milyonlarca TL’ye varan idari para cezaları öngörmektedir:

  • Siber güvenliğe ilişkin önlemleri almayanlara 1 milyon TL’den 10 milyon TL’ye kadar idari para cezası uygulanabilir.
  • Denetim yükümlülüklerini yerine getirmeyen ticari işletmeler için şirket cirosunun %1’i ile vergi öncesi kârın %20’si arasında cezalar öngörülmektedir.
  1. Uyumluluk ve Alınması Gereken Önlemler

Mevzuata uyum sağlamak için teknik ve idari tedbirlerin hayata geçirilmesi gerekmektedir. Özellikle:

  • Siber güvenlik denetimlerinin düzenli olarak yapılması,
  • Olay müdahale planlarının oluşturulması,
  • Siber farkındalık eğitimlerinin artırılması,
  • Yetkili mercilere zamanında bilgi verilmesi,
  • Mevzuata uygun teknolojik çözümlerin tercih edilmesi önem arz etmektedir.
  1. Sonuç

Kanun teklifinin yasalaşması ile birlikte, siber güvenlik alanında daha sıkı denetimler ve caydırıcı yaptırımlar gündeme gelecektir. Güncellenen yükümlülüklere uyum sağlamak, mevzuata uygun hareket etmek ve olası yaptırımlardan kaçınmak için gerekli adımların zamanında atılması kritik önem taşımaktadır.

Siber Güvenlik Kanunu’nun kabulüyle beraber kamu kurumları kadar özel sektör şirketleri de doğrudan yükümlü hale gelmiştir. Mevcut düzenlemelerin aksine, bu yasa yalnızca devlet kurumlarını değil, özel şirketleri, hizmet sağlayıcıları ve kurumsal IT birimlerini de kapsamıştır.

Dolayısıyla Türkiye’de faaliyet gösteren şirketlerin, daha sıkı siber güvenlik gerekliliklerine ve olası idari yaptırımlara karşı hazırlıklı olması gerekmektedir. Uyum sağlamak ve hukuki riskleri en aza indirmek adına gerekli önlemlerin vakit kaybetmeden alınması büyük önem taşımaktadır.

Ezginaz Çalışır 

Avukat

İlgili Yazılar