Siber Güvenlik Kanununda Özel Şirketleri İlgilendiren Hükümler
19 Mart 2025 tarihli Siber Güvenlik Kanunu, şirketlere önemli sorumluluklar getirmekte ve bu yükümlülükleri yerine getirmeyenler için ağır cezalar öngörmektedir. Kanun, özellikle veri güvenliği, denetimlere uyum ve resmi makamlarla işbirliği konularında şirketleri bağlayıcı hükümler içermektedir. İşletmelerin bu düzenlemelere uymaması durumunda hem hapis cezaları hem de yüksek mali yaptırımlarla karşılaşma riski bulunmaktadır.
Kanun kapsamında özel şirketlerin karşılaşabilecekleri cezalar ve yaptırımları örneklerle özetlemek gerekirse;
Bilgi ve Belge Verme Yükümlülüğü
Siber Güvenlik Kurulu veya denetçileri tarafından talep edilen bilgi, belge, yazılım, veri veya donanımı zamanında sağlamayan veya engel olan şirketlerin sorumlularına 1 ila 3 yıl arasında hapis ve 500-1.500 gün adli para cezası hükme bağlanmıştır.
Bir e-ticaret şirketi ya da sunucu hizmeti veren bir şirket, denetçilerin talep ettiği müşteri veri erişim loglarını 30 gün içinde paylaşmazsa cezai işlem uygulanır.
İzinsiz Faaliyet
Kanun kapsamında gerekli onay veya yetki almadan faaliyet gösteren şirketlerin ilgili sorumlularına 2 ila 4 yıl hapis ve 1.000-2.000 gün adli para cezası verilir.
Siber Güvenlik yazılımı yapan ve izne tabi olan bu programı başkanlıktan onay almadan yurt dışına satan şirketi bu kapsamda değerlendirebiliriz.
Sır Saklama İhlali
Şahısların, şirket çalışanlarının veya yöneticilerinin sırları ifşa etmesi durumunda 4 ila 8 yıl arası hapis cezası uygulanır. Örneğin, bir kurumunun BT uzmanı, müşteri veri şifreleme sistemlerinin açıklarını sızdırırsa bu kapsamda ağır ceza ile karşılaşır.
Veri Sızıntısını Yayma
Kamu hizmeti kapsamına giren kişisel veya kurumsal verileri izinsiz paylaşan, satan veya erişime açan şirketlerin sorumlularına 3 ila 5 yıl hapis cezası verilir.
Sızdırılan e-devlet bilgilerini paylaşan veya satan kişi ve kurumlar bu noktada cezai yaptırımlarla karşılaşır.
Asılsız Veri Sızıntısı İddiası
Kasıtlı olarak “veri sızıntısı” yalanı yayan şirketler 2 ila 5 yıl hapis cezası ile cezalandırılır. Bir rakip firmayı karalamak için sahte “veri ihlali” haberi yayan PR ajansı sorumluluları bu yaptırım ile karşılaşırlar.
Milli Unsurlara Saldırı
Türkiye Cumhuriyeti’nin milli değerlerine ilişkin kritik dijital altyapılarına saldırı düzenleyen veya bu verileri yayan şirketlere 8 ila 15 yıl hapis cezası verilir.
Bir yabancı siber güvenlik firmasının Türkiye’deki savunma sanayisine sızması durumunda ağır cezalar uygulanır.
Yukarıda yer alan cezaların, kamu görevlisi veya suç örgütleri tarafından gerçekleşmesi durumunda ceza oranı %30-100 oranında artar.
Hapis Cezaları Kimlere Verilir?
Kanun metninde geçen “hapis cezası” ifadeleri, Türk Ceza Hukuku’nda tüzel kişilerin (şirketler) doğrudan hapis cezası alamaması nedeniyle, bu ihlalleri gerçekleştiren yetkili/sorumlu kişilere yöneliktir.
Sorumlu kişiler, şirket yöneticileri (Genel Müdür, CIO, CISO gibi karar vericiler), BT sorumluları (Sistem yöneticileri, veri güvenliği ekipleri) ve kanunun ihlalinden doğrudan sorumlu çalışanlar olarak
Görev ve Sorumlulukların İhlali
Özel işletmelerin veri ihlallerini Kişisel Verileri Koruma Kurumuna bildirmekle yükümlü olmasının yanı sıra, siber saldırıları Siber Güvenlik Başkanlığına bildirmek zorundadır. Bununla birlikte kanun kapsamında siber güvenlik önlemleri almak zorunlu tutulmuştur.
Siber güvenlik önlemlerini almayan ve denetimle görevlendirilenlere sistemlerini inceletmeyen kurumlar için 100 bin TL’den başlayan ve 1 milyon TL’ye ulaşan idari para cezaları söz konusudur. Cezaların belirlenmesinde kurumun cirosu, ihlalin boyutu ve oluşan zarar dikkate alınır.
Yaptırım sürecinde savunma hakkına büyük önem verilmekte olup, cezaların uygulanmasından önce ilgililere itiraz hakkı tanınmaktadır. Ancak suçun tespiti halinde ve özellikle maddi çıkar sağlanmışsa, cezalar 3 ila 5 kat arasında artırılabilmektedir. Tahsil edilemeyen cezalar vergi borcu hükmünde işlem görmekte ve ilgili dairelerce takip edilmektedir.
Bu düzenlemeler, özellikle bilişim sektörü çalışanları, veri işleyen kuruluşlar, siber güvenlik uzmanları ve dijital medya çalışanları için önemli yükümlülükler getirmektedir. Yasanın uygulanmasıyla birlikte siber uzayda daha güvenli ve düzenli bir ortamın oluşturulması hedeflenmektedir.
Kurulun Şirketler Üzerinde Yetkileri
Siber Güvenlik Kurulu denetçileri, kurumların dijital altyapılarını inceleme, veri kopyalama ve sistem analizi yapma yetkisine sahiptir. Denetlenen kuruluşlar, denetim ekiplerine gerekli tüm teknik erişimi sağlamak ve sistemlerini çalışır durumda tutmak zorundadır. Örneğin, bir banka, denetçilerin sunucu loglarına erişimini engellerse veya gerekli altyapıyı hazırlamazsa kanuni yaptırımlarla karşılaşır.
Siber Güvenlik Kurulu ve Başkanlığı, siber güvenliği sağlamak için geniş yetkilere sahiptir. Siber saldırıları önlemek amacıyla gerekli yazılım ve donanımların kurulumunu yapabilir, veri ve log kayıtlarını toplayıp analiz edebilir. Siber olaylara anında müdahale ederek saldırı izlerini takip edebilir, delil toplayabilir ve bu bilgileri adli makamlara iletebilir. Ayrıca, kamu kurumları ve özel şahıslardan bilgi-belge talep etme yetkisi bulunmaktadır. Şirketten toplanan kişisel veriler, 2 yıl sonunda imha edilmek kaydıyla kanuna uygun şekilde işlenir.
Siber güvenlik yazılımı, donanımı ya da ürün ve hizmeti yurtışına satan şirket, başkanlıktan onay olmak zorundadır. Aynı şekilde bu şirketlerin birleşme, bölünme pay devri ya da satış işlemleri de başkanlığa bildirilmek zorundadır.
“Özel işletmeler, siber güvenlik önlemlerini almakla yükümlüdür.”
Bir siber saldırı tespit edildiğinde, bunu derhal Başkanlığa bildirmek zorundadırlar. Başkanlık tarafından talep edilen bilgilerin zamanında ve eksiksiz iletilmesi de yasal bir gerekliliktir.
Denetim yetkisi kapsamında, Başkanlık kamu kurumları ve özel şahısların sistemlerini inceleyebilir. Önemli siber tehditlerde, mahkeme kararıyla konut ve işyerlerinde arama yapılabilir, dijital verilere el konulabilir. Denetimlere direnenler veya yükümlülüklerini yerine getirmeyenler hakkında yaptırım uygulanır.
Sonuç
Özetle kanun, şirketlerin veri güvenliği, denetime açıklık ve resmi makamlarla işbirliği konularında daha titiz davranmasını zorunlu kılıyor. İhlallerin hem itibar kaybına hem de ağır mali/cezai yaptırımlara yol açabileceği unutulmamalıdır. Şirketlerin siber güvenlik politikalarını acilen gözden geçirmesi ve yasal uyum sürecini hızlandırması hayati önem taşımaktadır.
Bu kapsamda, işletmelerin bir siber güvenlik uzmanı bulundurma zorunluluğu henüz kanunda yer almasa da, teknik bilgi birikimi, yasal düzenlemelere ve bilgi güvenliği prosedürlerine hakim, yüksek niteliklere sahip personellere ihtiyaç duyuluyor.
Edux Academy’den “Siber Güvenlik Uzmanlığı” eğitimine bağlantıdan kaydolun.
Hukuk ve Bilişim Blog’ta KVKK alanındaki tüm yazılara bağlantıdan ulaşabilirsiniz.