7545 Sayılı Siber Güvenlik Kanunu, 12 Mart 2025 tarihinde TBMM’de kabul edildi. Kanun, Türkiye’nin siber uzaydaki güvenliğini sağlamak için; iç ve dış tehditleri tespit edip önlemek, siber olayların etkisini azaltacak kuralları belirlemek, kamu ve özel sektörü siber saldırılara karşı koruyacak düzenlemeleri yapmak, siber güvenlik stratejilerini belirlemek ve bu kapsamda bir Siber Güvenlik Kurulu kurmaktır.
Kanun’un getirdiği önemli düzenlemeler özetle şu şekildedir;
- Devlet kurumları, kamuya bağlı meslek kuruluşları, özel şirketler, gerçek kişiler, tüzel kişiliği olmayan ama dijital ortamda faaliyet yürüten oluşumlar bu kanun kapsamındadır. Polis teşkilatının istihbari faaliyetleri, Jandarma ve Sahil Güvenlik Komutanlığı’nın görevleri, Milli İstihbarat Teşkilatı (MİT), Türk Silahlı Kuvvetleri’nin iç hizmet faaliyetleri bu kanun kapsamı dışındadır.
- Ayrıca Kanun kapsamında Siber Güvenlik Başkanlığı kurulması kabul edilmiştir. Başkanlık, kritik altyapıların ve bilgi sistemlerinin siber dayanıklılığını artırmak, olası saldırılara karşı koruma sağlamak, risk analizleri ve sızma testleri gerçekleştirmek, siber tehdit istihbaratı elde etmek, analiz etmek ve paylaşmak; zararlı yazılımları incelemek, kritik altyapıları ve bunların ait oldukları kurumları belirlemek ve envanterlerini oluşturmak, SOME (Siber Olaylara Müdahale Ekipleri) kurmak, siber güvenlik alanında faaliyet gösteren kişi ve kuruluşlara ilişkin usul ve esasları düzenlemek, gerekli teknik altyapıları kurmak ve kamuya güvenli hizmet sunmak, denetimler gerçekleştirmek ve mevzuat uyarınca gerekli yaptırımları uygulamaktan sorumludur.
- Siber Güvenlik Kurulu oluşturulması da kabul edilmiştir. Kurul, siber güvenlikle ilgili politika, strateji, eylem planı ve diğer düzenleyici işlemlere yönelik kararları almak, alınan kararların tamamından veya bir kısmından istisna tutulacak kurum ve kuruluşları belirlemek, Başkanlık tarafından hazırlanan siber güvenlik alanına ilişkin teknoloji yol haritasının ülke çapında uygulanmasına yönelik kararlar almak, siber güvenlik alanında teşvik verilecek öncelikli alanları belirlemek, siber güvenlik alanındaki insan kaynağının geliştirilmesine yönelik karar almak, kritik altyapı sektörlerini belirlemek, Başkanlık ile kamu kurum ve kuruluşları arasında meydana gelebilecek ihtilaflar hakkında karar almaktan sorumludur.
- Siber güvenlik ihlallerinin ortaya çıkması durumunda ağır yaptırımlar düzenlenmiştir. Bu yaptırımlar aşağıdaki şekildedir;
- Kamu kurum ve kuruluşları hariç olmak üzere bu Kanunla yetkilendirilen mercilerin ve denetim görevlilerinin görev ve yetkileri kapsamında istedikleri bilgi, belge, yazılım, veri ve donanımı vermeyenler veya bunların alınmasına engel olanlar bir yıldan üç yıla kadar hapis ve beşyüz günden binbeşyüz güne kadar adli para cezası ile cezalandırılır.
- Bu Kanun uyarınca alınması gerekli onay, yetki veya izinleri almaksızın faaliyet yürütenler iki yıldan dört yıla kadar hapis ve bin günden ikibin güne kadar adli para cezası ile cezalandırılır.
- Bu Kanun uyarınca alınması gerekli onay, yetki veya izinleri almaksızın faaliyet yürütenler iki yıldan dört yıla kadar hapis ve bin günden ikibin güne kadar adli para cezası ile cezalandırılır.
- Sır saklama yükümlülüğünü yerine getirmeyenlere dört yıldan sekiz yıla kadar hapis cezası verilir.
- Siber uzayda veri sızıntısı nedeniyle daha önce yer alan kişisel veya kritik kamu hizmeti kapsamına giren kurumsal verileri, kişilerin veya kurumların izni olmaksızın ücretli veya ücretsiz şekilde erişime açan, paylaşan veya satışa çıkaranlara üç yıldan beş yıla kadar hapis cezası verilir.
- Siber uzayda veri sızıntısı olmadığını bildiği halde halk arasında endişe, korku ve panik yaratmak ya da kurumları veya şahısları hedef göstermek amacıyla siber güvenlikle ilgili veri sızıntısı olduğuna yönelik gerçeğe aykırı içerik oluşturanlara veya bu maksatla bu içerikleri yayanlara iki yıldan beş yıla kadar hapis cezası verilir.
- Türkiye Cumhuriyeti’nin siber uzaydaki milli gücünü meydana getiren unsurlarına yönelik olarak siber saldırıda bulunan veya bu saldırı neticesinde elde ettiği her türlü veriyi siber uzayda bulunduranlara fiil daha ağır bir cezayı gerektiren başka bir suç oluşturmadığı takdirde sekiz yıldan oniki yıla kadar hapis cezası verilir. Bu saldırı neticesinde elde ettiği her türlü veriyi siber uzayda yayan, başka bir yere gönderen veya satışa çıkaranlara on yıldan onbeş yıla kadar hapis cezası verilir.
- Yukarıdaki fıkralara göre verilecek ceza suçun kamu görevlisi tarafından işlenmesi halinde üçte bir oranında, birden fazla kişi tarafından işlenmesi halinde yarı oranında ve bir örgütün faaliyeti çerçevesinde işlenmesi halinde yarısından iki katına kadar artırılır.
- Siber güvenlik ürün, sistem, yazılım, donanım ve hizmetleri üreten şirketlerin birleşme, bölünme, pay devri veya satış işlemleri Başkanlığa bildirilmektedir. Bu işlemler kapsamında gerçek veya tüzel kişilere münferiden veya birlikte şirket üzerinde doğrudan veya dolaylı kontrol hakkı veya karar alma yetkisi sağlayan işlemler Başkanlık onayına tabidir.