Siber Güvenlik Kanunu

Siber Güvenlik Kanunu, Türkiye’nin dijital altyapısını korumak, kritik sistemlerin güvenliğini artırmak ve siber tehditlere karşı etkin önlemler almak amacıyla çıkarılmış bir yasadır. 12 Şubat 2025 tarihinde, TBMM'de yapılan oylamayla kabul edilmiştir. Kanun, hem kamu hem de özel sektörü kapsayarak, Siber Olaylara Müdahale Ekibi (SOME) koordinasyonunda ulusal siber güvenlik çerçevesini güçlendirmeyi hedeflemektedir.

Amaç ve Kapsam

Kanunun temel hedefleri şunlardır:

• Siber güvenlik politikalarının belirlenmesi ve uygulanması,

• Kamu ve özel sektördeki kritik altyapıların korunması,

• Siber Olaylara Müdahale Ekipleri (SOME) ile koordinasyonun artırılması,

• Zorunlu raporlama ve denetim mekanizmalarının oluşturulması,

• Siber saldırılara karşı etkin müdahale süreçlerinin geliştirilmesi.

Kanun, başta enerji, finans, sağlık, telekomünikasyon ve ulaşım gibi kritik sektörleri kapsayarak, bu alanlarda faaliyet gösteren kurumların siber güvenlik tedbirlerini güçlendirmesini zorunlu hale getirmektedir.

Siber Olaylara Müdahale Ekipleri (SOME) ve Koordinasyon

Kanun kapsamında, Ulusal Siber Olaylara Müdahale Merkezi (USOM) ve Siber Olaylara Müdahale Ekipleri (SOME) kritik bir rol oynamaktadır. Bu yapıların görevleri şunlardır:

• Kamu ve özel sektördeki SOME’ler aracılığıyla siber tehditleri tespit etmek, önlemek ve müdahalede bulunmak,

• Ulusal ve uluslararası düzeyde siber güvenlik iş birliklerini artırmak,

• Kurumların siber olay bildirimlerini zorunlu hale getirerek, erken uyarı sistemleri oluşturmak,

• Siber tatbikatlar düzenleyerek siber güvenlik farkındalığını artırmak.

Kritik Altyapılar İçin Zorunlu Raporlama

Kanuna göre, kritik sektörlerde faaliyet gösteren tüm kamu ve özel sektör kuruluşları siber güvenlik olaylarını en kısa sürede SOME’lere bildirmek zorundadır.

• Siber saldırılar veya güvenlik ihlalleri 24 saat içinde USOM’a rapor edilmelidir.

• Bildirimde bulunmayan veya siber güvenlik tedbirlerini ihmal eden kuruluşlara ağır idari yaptırımlar uygulanacaktır.

Yaptırımlar ve Cezalar

Kanun çerçevesinde belirlenen siber güvenlik tedbirlerini almayan kuruluşlar için yüksek para cezaları ve operasyonel yaptırımlar öngörülmektedir:

• Siber güvenlik açıklarını bildirmeyen kuruluşlara 500 bin TL’den 10 milyon TL’ye kadar para cezası verilebilecektir.

• Kritik altyapılarda güvenlik zaafiyeti tespit edilmesi halinde faaliyet durdurma veya lisans iptali gibi yaptırımlar uygulanabilecektir.

Uluslararası İşbirliği ve Dijital Güvenlik

Kanun, Türkiye’nin uluslararası siber güvenlik normlarına uyum sağlamasını da hedeflemektedir. Siber saldırılar konusunda diğer ülkelerle bilgi paylaşımı, ortak güvenlik protokolleri ve dijital tehditlere karşı uluslararası iş birliklerinin artırılması öngörülmektedir.

Siber Güvenlik Kanunu, Türkiye’nin dijital altyapısını güçlendirerek, siber saldırılara karşı daha dirençli hale gelmesini amaçlamaktadır. Kritik altyapıların korunması, SOME’lerin koordinasyonu, zorunlu raporlama mekanizmaları ve ağır yaptırımlar gibi düzenlemelerle, ülkenin siber güvenlik kapasitesi artırılmaktadır.