Siber güvenlik, 21. yüzyılın en karmaşık kamu politikası alanlarından biri hâline gelmiştir. Devletler, kritik altyapılar, finans kurumları ve bireyler artık yalnızca fiziksel değil, dijital düzlemde de tehditlerle karşı karşıyadır. Bu bağlamda 7545 sayılı Siber Güvenlik Kanunu, Türkiye'de bilgi güvenliği ve siber savunma alanında kapsamlı bir mevzuat zemini oluşturma girişimi olarak büyük önem taşımaktadır.
Kanun, hem kamu kurumları hem de özel sektör aktörleri açısından "önleyici, tespit edici ve müdahaleci" mekanizmaları tanımlayarak Türkiye'nin siber savunma ekosistemini bütüncül bir çerçeveye oturtmayı amaçlamaktadır. Bununla birlikte, düzenlemenin Avrupa Birliği'nin 2023 yılında yürürlüğe giren NIS2 Direktifi başta olmak üzere, karşılaştırmalı hukukta benimsenmiş modellerle arasındaki farklılıklar dikkat çekmektedir. Türkiye'nin hukuki yaklaşımı daha çok ulusal güvenlik temelli, merkeziyetçi bir yapılanmaya dayanırken; AB'nin yaklaşımı çok paydaşlı, risk temelli ve şeffaf raporlama esaslıdır. Bu çalışma, 7545 sayılı Kanun'u yönetişim yapısı, olay bildirimi, yaptırım rejimi ve uluslararası iş birliği başlıklarında karşılaştırmalı olarak incelemekte ve Türk hukuk sisteminin gelecekteki uyum kapasitesine ilişkin değerlendirmeler sunmaktadır.
I. Denetim Yapıları
7545 sayılı Kanun, Türkiye'de siber güvenlik yönetişimini oldukça merkezî bir kurumsal mimariyle düzenlemektedir. "Siber Güvenlik Başkanlığı" adıyla tanımlanan otorite, hem kamu hem özel sektör SOME (Siber Olaylara Müdahale Ekibi) yapılarının kurulması, denetlenmesi ve koordinasyonu konusunda geniş yetkilere sahiptir. Bu model, siber tehditlere karşı hiyerarşik ve hızlı karar alma mekanizması oluşturmayı hedefler.
Ancak bu merkezî yapılanma, karar alma süreçlerinde esnekliği sınırlayabilir. Çünkü siber tehditler genellikle sınır ötesi, çok aktörlü ve dinamik bir yapıya sahiptir. Yerel düzeyde alınan kararların uluslararası siber tehditlerle eşgüdümlü olabilmesi için güçlü koordinasyon ağları gereklidir. Bu nedenle, Türkiye'nin seçtiği model, hızlı tepki avantajına sahip olsa da çok paydaşlı iş birliği açısından zayıf bir noktada konumlanmaktadır.1
Avrupa Birliği'nin
NIS2 Direktifi, üye devletlerin kendi ulusal otoritelerini
belirleme hakkını korumakla birlikte, bu otoriteleri
Avrupa çapında ENISA (Avrupa Siber Güvenlik
Ajansı) ve CSIRTs Network aracılığıyla
birleştirir. Böylelikle üye ülkeler, teknik
bilgi paylaşımını ve olay bildirimlerini ortak
bir dijital platform üzerinden yürütür.
Bu sistem, siber olaylara karşı "tek bir Avrupa
tepkisi" oluşturma amacını taşır.
Türkiye'nin merkezi yapısı ile AB'nin bu
çok merkezli modeli arasında esas fark, kararların
alınma biçiminde yatar: Türk modeli dikey komuta
zinciriyle işlerken, AB modeli yatay ağ ilişkileri
üzerinden kolektif karar üretir.
II. Olay Bildirim Mekanizmaları
Kanun m. 7/1-b'ye göre kamu kurumları ve özel işletmeler siber olayları "gecikmeksizin" ilgili otoriteye bildirmekle yükümlüdür. Ancak "gecikmeksizin" ifadesinin süresel bir tanımı bulunmadığından, uygulamada farklı yorumlara yol açması mümkündür. Örneğin bazı kurumlar bildirimleri saatler içinde yaparken, diğerleri birkaç gün içinde raporlama eğilimi gösterebilir.
Bu esneklik, bazı durumlarda operasyonel fayda sağlasa da, kriz yönetiminde tutarsızlık riski doğurur. Bildirim sürelerinin açık biçimde tanımlanmaması, zincirleme tehditlerin yayılmasına veya kritik altyapıların gecikmeli korunmasına yol açabilir. Ayrıca, SOME ekiplerinin farklı kurumlara bağlı olarak dağınık çalışması, raporlama standartlarının bütünlüğünü olumsuz etkileyebilir.Dolayısıyla Türkiye'nin esnek bildirim modeli, esnekliğin pratik avantajlarına rağmen, teknik uyum ve koordinasyon açısından eksik kalmaktadır.
AB'ninNIS2 Direktifi, olay bildirimi konusunda net zaman dilimleri belirlemiştir: olay tespitinden itibaren 24 saat içinde ilk uyarı, 72 saat içinde ayrıntılı rapor, 30 gün içinde nihai değerlendirme raporu. Bu model, olay yönetimini standartlaştırarak hem ulusal hem uluslararası düzeyde şeffaflık sağlar.
Sürelerin belirginliği, hem düzenleyici otoritelerin hem de işletmelerin öngörülebilir bir kriz yönetim protokolü oluşturmasına olanak verir. Türkiye'nin esnek modeli ile AB'nin süre odaklı rejimi arasındaki fark, siber güvenliğe yaklaşım felsefelerini de yansıtır: biri güvenlik merkezli pragmatizm, diğeri yönetişim merkezli hesap verebilirliktir.
III. Siber Güvenlikte Caydırıcılık
Kanun m. 16, siber güvenlik yükümlülüklerine aykırı davranan kişi ve kurumlara hem idari para cezası hem de hapis cezası öngörmektedir. Özellikle kritik altyapılara yapılan saldırılar veya kamu veri tabanlarının ihlali durumunda cezalar oldukça ağırdır.
Bu yaklaşım, caydırıcılığı yüksek tutmakla birlikte, uygulamada bazı sorunlar yaratabilir. Örneğin, teknik ihlaller ile kasıtlı saldırıların aynı hüküm altında değerlendirilmesi, orantılılık ilkesine aykırılık tartışmalarını gündeme getirebilir. Ayrıca idari yaptırımların üst sınırının yıllık brüt satışların %5'i olması, KOBİ niteliğindeki işletmeler için aşırı ağır sonuçlar doğurabilir.2
Avrupa Birliği düzenlemelerinde cezai yaptırımlar devletlerin iç hukukuna bırakılmış; idari para cezaları ise işletmenin yıllık cirosunun %1-2'siyle sınırlandırılmıştır. Bunun yerine odak noktası, kurum içi risk yönetimi ve bilgi güvenliği sistemlerinin etkinliğidir. Bu sistem, cezadan ziyade önleyici kurumsal kültür yaratmayı hedefler. Türkiye'nin cezai yönü ağır basan modeliyle AB'nin kurumsal-sorumluluk temelli yapısı arasındaki fark, "suç" kavramının algısında ortaya çıkar: Türkiye için siber saldırı bir kamu düzeni ihlalidir; AB için ise kurumsal bir uyumsuzluk sorunudur.
IV. Uluslararası İş Birliği
A. Türkiye'nin Ulusal Odaklı Yaklaşımı
Kanun m. 6/f, uluslararası iş birliğine olanak tanısa da, Türkiye'nin siber güvenlik stratejisi hâlâ ulusal odaklı bir yapı sergiler. SOME ağları ulusal düzeyde organize edilmekte, veri paylaşımı çoğunlukla iç sistemlerle sınırlı kalmaktadır. Bu durum, Türkiye'nin iç kapasitesini güçlendirmesi açısından avantajlı olsa da, uluslararası tehditlere karşı ortak tepki mekanizması kurmasını zorlaştırır.3
B. AB'nin Çok Paydaşlı İş Birliği Ekosistemi
AB, NIS2 çerçevesinde sınır ötesi siber tehditlerle mücadele için Joint Cyber Unit, CSIRTs Network ve Avrupa Siber Güvenlik Yetkinlik Merkezi gibi yapılar oluşturmuştur. Bu kurumlar arasında gerçek zamanlı bilgi akışı sağlanmakta, tehdit istihbaratı paylaşımı standart hâline getirilmektedir.
Türkiye'de bu tür bir ağ temelli yapı henüz bulunmamaktadır; ancak 7545 sayılı Kanun'un getirdiği SOME koordinasyonu ileride bölgesel ve uluslararası iş birliğine zemin oluşturabilecek bir başlangıç olarak değerlendirilebilir.
Sonuç
7545 sayılı Siber Güvenlik Kanunu, Türkiye'nin dijital egemenlik stratejisinin en önemli yapı taşlarından biridir. Kanun, ulusal kapasiteyi güçlendirmeyi, kritik altyapı güvenliğini artırmayı ve siber saldırılara karşı güçlü bir hukukî zemin yaratmayı amaçlamaktadır.
Bununla birlikte, karşılaştırmalı hukuk ışığında değerlendirildiğinde; Türkiye'nin yaklaşımı merkezî karar alma ve ağır yaptırımlar üzerine kuruluyken, AB sistemi çok aktörlü iş birliği, açık bildirim standartları ve kurumsal sorumluluk ilkesine dayanmaktadır. Uzun vadede Türkiye'nin, hem teknik standartlar hem de hukuki uyum bakımından NIS2 ve benzeri uluslararası modellerle entegrasyon sağlaması, sürdürülebilir bir siber güvenlik ekosisteminin oluşması için kritik önemdedir.
Dipnotlar
1. I Urrutia Arrue, 'Can Turkey's Cybersecurity Governance Be Linked to a Specific Cyber-Governance Model? An Analysis of its 2020–2023 National Cybersecurity Strategy and the Subsequent Measures and Regulations' (2024).
2. V Papakonstantinou, 'The Cybersecurity Obligations of States Perceived as Platforms – Current European & Global Developments' (2022) 11ACIG Journal184289.
3. E Yücel, 'Türkiye'nin Siber Güvenlik Yaklaşımı ve 7545 Sayılı Kanun Üzerine Bir Değerlendirme' (2025) 33(3)Selçuk Üniversitesi Hukuk Fakültesi Dergisi1849–1879.(https://dergipark.org.tr/tr/pub/suhfd/article/1700507, Erişim Tarihi 05.03.2025)
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
