ARTICLE
2 June 2026

7545 Sayılı Siber Güvenlik Kanunu Kapsamında Kritik Altyapı Sektörlerinin İlanı Ve Başlıca Uyum Yükümlülükleri

E
Egemenoglu

Contributor

Egemenoglu logo
Egemenoglu is one of the largest full-service law firms in Turkey, advising market-leading clients since 1968. Egemenoğlu who is proud to hold many national and international clients from different sectors, is appreciated by both his clients and the Turkish legal market with his fast, practical, rigorous and solution-oriented work in a wide range of fields of expertise. Egemenoğlu has been considered worthy of various rankings by the world’s most leading and esteemed rating institutions and legal guides. We have been ranked as Recognized in “Project and Finance” and “Mergers and Acquisitions” areas by IFLR 1000. We also take place among the top- tier law firms of Turkey at the rankings of Legal 500, at which world’s best law firms are regarded, in “Employment Law” and “Real Estate / Construction” areas. Also our firm is regarded as significant by Chambers& Partners in “Employment Law” area as well.
Explore Firm Details
Türkiye'de siber güvenlik alanında yeni ve kapsamlı kurallar getiren 7545 sayılı Siber Güvenlik Kanunu, 12 Mart 2025 tarihinde kabul edilmiştir. Kanun; Siber Güvenlik Başkanlığı'nın yetkilerini, kurum ve şirketlerin uyması gereken kuralları, denetim mekanizmalarını ve yaptırımları düzenlemektedir.
Turkey Technology
Sena Uykan and Ecem Kus
Your Author LinkedIn Connections
Egemenoglu are most popular:
  • within Technology, Accounting and Audit and Transport topic(s)

Türkiye'de siber güvenlik alanında yeni ve kapsamlı kurallar getiren 7545 sayılı Siber Güvenlik Kanunu, 12 Mart 2025 tarihinde kabul edilmiştir. Kanun; Siber Güvenlik Başkanlığı'nın yetkilerini, kurum ve şirketlerin uyması gereken kuralları, denetim mekanizmalarını ve yaptırımları düzenlemektedir.

Bu çerçevede atılan en önemli adımlardan biri, "kritik altyapı" olarak kabul edilen sektörlerin ilan edilmesidir. Kritik altyapı; işlediği bilgi veya verinin gizliliği, bütünlüğü ya da erişilebilirliği bozulduğunda can kaybına, büyük ölçekli ekonomik zarara veya kamu düzeninin bozulmasına yol açabilecek bilişim sistemlerini barındıran altyapılar olarak tanımlanmaktadır. Siber Güvenlik Kurulu'nun 5 Mayıs 2026 tarihli toplantısında 15 sektör "Kritik Altyapı Sektörü" olarak belirlenmiştir. Bu karar, söz konusu alanlarda faaliyet gösteren kuruluşların siber güvenlik bakımından stratejik önemde görüldüğünü ve daha sıkı yükümlülüklerle karşı karşıya kalacağını göstermektedir.

Kurul tarafından belirlenen Kritik Altyapı Sektörleri şunlardır:

  • Dijital Altyapılar
  • Dijital Hizmetler
  • Elektronik Haberleşme
  • Enerji
  • Finans
  • Gıda ve Tarım
  • İmalat Sanayi
  • Kamu Hizmetleri
  • Medya ve Kriz İletişimi
  • Posta ve Kargo
  • Sağlık
  • Savunma Sanayi
  • Su Yönetimi
  • Ulaştırma
  • Uzay

Sektörler ilan edilmiş olmakla birlikte, bu sektörlerin hangi alt faaliyetleri ve hangi kuruluşları kapsayacağı (örneğin eşikler, kapsam ölçütleri ve istisnalar) bakımından ikincil düzenlemeler beklenmektedir. Bununla birlikte, Kanun'daki temel yükümlülükler açısından kuruluşların şimdiden hazırlık yapması gerekmektedir.

Kanun'dan öne çıkan başlıca yükümlülükler özetle şöyledir:

  • Tedarik kuralı: Kritik altyapılarda kullanılacak siber güvenlik ürün/sistem/hizmetleri, yalnızca Başkanlıkça yetkilendirilmiş ve belgelendirilmiş kişi/kuruluşlardan temin edilmelidir. Bu durum, satın alma ve tedarikçi yönetimi süreçlerinin gözden geçirilmesini gerektirir.
  • Onay ve uyum: Kritik altyapıların bilişim sistemlerinde kullanılacak ve siber güvenliği etkileyebilecek yazılım/donanım/ürün/hizmetler için Başkanlığın öngöreceği uygunluk ve onay süreçlerine uyulmalı; yayımlanacak ikincil düzenlemeler yakından takip edilmelidir.
  • Güvenlik tedbirleri: Kuruluşlar, siber risklerini düzenli olarak değerlendirmeli ve buna uygun teknik ve idari önlemleri almak zorundadır. Siber güvenlik, "bir kere yapılıp biten" değil, süreklilik gerektiren bir süreçtir.
  • Olay ve zafiyet bildirimi: Tespit edilen siber olaylar ve güvenlik açıkları gecikmeksizin Başkanlığa bildirilmelidir. Bu amaçla içeride hızlı ve net işleyen bir "iç bildirim" düzeni kurulması önem taşır.
  • Bilgi-belge sağlama ve iş birliği: Başkanlığın talep ettiği veri/bilgi/belge/yazılım/donanım vb. unsurlar zamanında sunulmalı ve Başkanlıkla iş birliği içinde hareket edilmelidir.
  • Denetimlere hazır olma: Denetimlerde sistemlerin denetime açılması, gerekli teknik desteğin sağlanması ve denetim için gereken altyapının hazır tutulması gerekir.
  • Kayıt/log tutma: Erişim kayıtları, sistem logları ve olay kayıtları gibi veriler düzenli şekilde tutulmalı, saklanmalı ve denetime elverişli biçimde yönetilmelidir.
  • Siber güvenlik şirketlerine özel hükümler: Siber güvenlik ürünü/hizmeti üreten şirketler bakımından yurt dışı satış, şirket yapısında değişiklik (birleşme, bölünme, pay devri vb.) ve kontrol değişikliği gibi konularda bildirim ve/veya onay yükümlülükleri gündeme gelebilir. Onay alınmadan gerçekleştirilen işlemler hukuki risk doğurabilir.

Kritik altyapı sektörlerinin ilan edilmesiyle birlikte, bu alanlarda faaliyet gösteren kuruluşlar açısından Kanun'un öngördüğü yükümlülükler daha görünür ve uygulamada daha belirgin hale gelmiştir. Sektörlerin kapsamına ve uyum adımlarının ayrıntılarına ilişkin çerçevenin ise önümüzdeki dönemde yayımlanması beklenen ikincil düzenlemelerle daha netleşmesi öngörülmektedir.

Kanuna aykırılık hâlinde öngörülen yaptırımlar son derece ağırdır: idari para cezaları 100 milyon TL'ye, ticari şirketler açısından yıllık brüt satış hasılatının %5'ine kadar ulaşabilmektedir. Öte yandan Kanun, yalnızca para cezasıyla sınırlı kalmamakta; sorumlular hakkında 15 yıla kadar hapis cezası gündeme gelebilmektedir. Kritik altyapılara özgü olarak, siber saldırılara karşı koruma görevinin gereklerine aykırı hareket edilmesi sonucunda veri ihlaline sebebiyet verilmesi hâlinde ise ayrıca 1–3 yıl hapis cezası öngörülmektedir.

Bu çerçevede, faaliyetleri bu sektörlerle kesişen kuruluşların siber güvenlik uyum süreçlerini vakit kaybetmeksizin gözden geçirmelerini ve gerekli hazırlıkları başlatmalarını tavsiye ederiz.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

Authors
Person photo placeholder
Sena Uykan
Person photo placeholder
Ecem Kus
Your Author LinkedIn Connections
See More Popular Content From

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More