7545 sayili Siber Guvenlik Kanunu nedir ve kimleri kapsiyor
7545 sayili Siber Guvenlik Kanunu, TBMM tarafindan 12 Mart 2025 tarihinde kabul edildi ve 19 Mart 2025 tarih, 32846 sayili Resmi Gazete'de yayimlanarak ayni gun yururluge girdi. Bu, Turkiye'nin siber guvenligi dagiknik teblig ve genelgeler yerine tek bir cati kanun altinda toplama girisimidir. Kanun, uygulamayi yurutmek uzere yeni bir Siber Guvenlik Baskanligi ve politika duzeyinde kararlar alacak bir Siber Guvenlik Kurulu olusturuyor.
En kritik nokta kapsam. Kanun, kamu kurumlarinin yani sira gercek ve tuzel kisileri ve tuzel kisilige sahip olmayan kuruluslari da kapsiyor: siber uzayda var olan, faaliyet gosteren ve hizmet sunan herkes. Pratikte bu, fiilen tum ozel sirketleri ve KOBI'leri yukumluluk alanina sokuyor. Yalnizca istihbarat, askeri ve polisiye faaliyetler kapsam disinda birakilmistir. Bir baska deyisle, internete bagli bir bilisim sistemi isleten ve hizmet sunan bir sirketin "biz teknoloji sirketi degiliz" demesi artik bir muafiyet gerekcesi olmaktan cikiyor.
Bu kanunun KVKK'dan ve vergi tarafindaki e-belge duzenlemelerinden ayri bir rejim oldugunu vurgulamak gerekir. KVKK kisisel verinin korunmasina, e-belge mevzuati mali kayitlara odaklanirken, 7545 sayili Kanun dogrudan siber guvenlik durusunuzu, olay yonetiminizi ve bunlari kanitlayan kayitlarinizi hedef aliyor. Yani ayni veri ucu birden fazla rejime tabi olabilir.
Log kayitlari ve dokuman standartlari
Kanunun is operasyonlarini en cok etkileyecek yani log yukumlulugudur. Siber Guvenlik Baskanligi, bilisim sistemlerinin log kayitlarini toplamaya, saklamaya ve degerlendirmeye, bunlardan raporlar uretmeye yetkili kilinmistir. Bu, kuruluslarin loglarini erisilebilir, butunlugu bozulmamis ve gerektiginde teslim edilebilir bicimde tutmasi anlamina gelir. Ancak ayrintili saklama suresi metinde sabitlenmemis, ikincil mevzuata birakilmistir; dolayisiyla "kac yil saklayacagiz" sorusunun kesin cevabi cikacak yonetmelige baglidir.
Kanunun zorunlu duzenleme alanlarindan biri de guvenlik politikasi ve dokuman standartlaridir. Bu, dogrudan kayit yonetimiyle ilgilidir: guvenlik politikalarinizin yazili, surumlenmis ve denetlenebilir olmasi; loglarin hangi standartta tutuldugunun belgelenmesi beklenir. Bu nedenle log saklama ile dokumantasyon yukumlulugunu tek bir mesele olarak dusunmek dogru olur:
- Loglar: sistem olaylarinin zaman damgali, degistirilmemis ve gerektiginde sunulabilir kayitlari.
- Politika dokumantasyonu: guvenlik politikalarinin ve dokuman standartlarinin yazili, onayli ve guncel halleri.
- Izlenebilirlik: hangi kaydin ne zaman, hangi politikaya gore tutuldugunun gosterilebilmesi.
Siber olay bildirimi ve denetim
Ciddi bir siber olay yasayan kuruluslar, durumu Siber Guvenlik Baskanligi'na vakit kaybetmeden bildirmek zorundadir. Bildirimin tam formati ve suresi yine ikincil mevzuatta belirlenecektir, ancak yukumlulugun kendisi kanun metninde acikca yer alir. Bu, sirketlerin bir olay aninda "kime, ne kadar surede, hangi bilgiyle" bildirim yapacaklarini onceden planlamalari ve bu sureci destekleyen kayit altyapisini kurmalari gerektigini gosterir.
Denetim boyutu da onemlidir. Baskanlik denetim yetkisine sahiptir ve denetimin engellenmesi bagimsiz bir ihlal turu olarak ele alinir. Burada kritik olan, denetim aninda istenen log ve politika dokumanlarini hizla ve butunlugunu kaybetmeden sunabilmektir; dagiknik, surumsuz veya silinmis kayitlar hem bildirim hem denetim yukumlulugunu riske atar.
Kanun ayrica bir veri isleme yukumlulugu de getiriyor: kisisel veriler ve ticari sirlar, erisim gerekcesi sona erince silinmeli, yok edilmeli veya anonimlestirilmelidir. Yani sinirsiz saklama da bir cozum degildir; saklama ve imha dengesini politika dokumantasyonunuzla birlikte tanimlamaniz beklenir.
Cezalar (2026 yeniden degerleme notuyla)
Kanun, kademeli ve agir bir yaptirim rejimi ongoruyor. Kanuni taban araliklar soyledir:
- Zafiyet veya olay bildirmeme ya da sertifikali urun kullanmama: 1.000.000 ile 10.000.000 TL.
- Izinsiz sinir otesi satis veya birlesme/devralma: 10.000.000 ile 100.000.000 TL.
- Denetimin engellenmesi: 100.000 ile 1.000.000 TL.
Ticari sirketler icin denetim engelleme cezasi, bagimsiz denetimden gecmis yillik finansallara gore brut satis hasilatinin yuzde 5'ine kadar cikabilir; bu, ciroya endeksli oldugu icin buyuk sirketlerde nominal tabandan cok daha yuksek bir tutara isaret edebilir. Cezai yaptirimlar da kademelidir: istenen bilgiyi vermeme 1 ila 3 yil, izinsiz faaliyet 2 ila 4 yil, veri sizdirma 3 ila 5 yil, sahte ihlal icerigi yayimlama 2 ila 5 yil hapis cezasini gerektirebilir.
Onemli bir uyari: bu tutarlar kanundaki taban araliklardir. Idari para cezalarinin her yil yeniden degerleme oraniyla guncellenmesi olagandir ve 2026 icin uygulanan yeniden degerlemeyle olusan tam TL tutarlari dogrulanamamistir. Bu nedenle yukaridaki rakamlari kanuni taban olarak okuyun, guncel olarak uygulanan tutarlari resmi kaynaktan teyit edin ve butce planlamasinda yeniden degerlemenin tabani yukari cektigini varsayin.
19 Mart 2026 yonetmelik takvimi ve sirketlerin yapmasi gerekenler
Kancanin can alici noktasi takvim. Kanun, tum uygulama yonetmeliklerinin Kanunun yururluge girmesinden itibaren bir yil icinde, yani 19 Mart 2026 tarihine kadar cikarilmasini ongormustur. Burada ihtiyatli olmak gerekiyor: 2025 sonu kaynaklarinda bu yonetmeliklerin henuz taslagi dahi yayimlanmamisti. Dolayisiyla "yonetmelikler cikti" demek yerine, bunlarin 19 Mart 2026 tarihine kadar cikarilmasi gerektigini soylemek ve guncel yayim durumunu eyleme gecmeden once mutlaka resmi kaynaktan dogrulamak dogru yaklasimdir.
Sira, devam senaryosunu da ayni ihtiyatla ele almak gerekir: eger yonetmelikler 19 Mart 2026'da yururluge girdiyse, siber guvenlik sektorundeki firmalarin bir yil icinde, yani 19 Mart 2027'ye kadar sertifikasyonu tamamlamasi, aksi halde faaliyetten men ile karsilasmasi beklenir. Bu, ozellikle siber guvenlik hizmeti veren saglayicilar icin somut bir takvim baskisidir.
Yonetmeliklerin kesin saklama sureleri ve bildirim formatlari acikliga kavusana kadar, sirketler beklemek yerine altyapilarini hazirlayabilir:
- Hangi bilisim sistemlerinin log urettiginin ve bu loglarin nerede, nasil tutuldugunun envanterini cikarin.
- Guvenlik politikasi ve dokuman standartlarinizi yazili, surumlenmis ve onayli hale getirin; bunlar hem zorunlu duzenleme alani hem denetim malzemesidir.
- Loglarin butunlugunu ve zaman damgasini koruyan, gerektiginde hizla teslim edilebilir bir saklama duzeni kurun.
- Ciddi olay durumunda kimin, hangi surede, hangi bilgiyle Baskanliga bildirim yapacagini tanimlayan bir is akisi hazirlayin.
- Saklama ve imha dengesini netlestirin: erisim gerekcesi biten kisisel veri ve ticari sirlar icin silme, yok etme veya anonimlestirme adimlarini politikaya baglayin.
Ozetle 7545 sayili Kanun, siber guvenligi soyut bir BT meselesinden, kanitlanabilir kayitlar ve surumlenmis politikalar uzerine kurulu bir uyum disiplinine donusturuyor. Kesin sureler yonetmeliklerle gelecek olsa da, log butunlugu, dokumantasyon standardi ve olay bildirimine hazirlik bugunden insa edilmesi gereken temellerdir.
