2025 yılında yürürlüğe giren 7545 sayılı Siber Güvenlik Kanunu (“Kanun”) ile daha önce farklı mevzuatlar kapsamında dağınık şekilde ele alınan siber güvenliğe ilişkin ilke ve yükümlülükler sistematik hale getirilmiş; bu alanda yetkili yeni idari yapılanmalar oluşturulmuştur. Kanun’un uygulanmasına ilişkin usul ve esasların önemli bir kısmının ikincil mevzuat ile netleştirilmesi beklenmekte olup, yakın dönemde Siber Güvenlik Başkanlığı’nın teşkilat yapısına ilişkin değişiklikler Cumhurbaşkanlığı kararnamesi ile düzenlenmiştir.
Kanun kapsamında, siber güvenliğe ilişkin öngörülen yükümlülüklere aykırı davranılması halinde uygulanacak idari para cezaları açıkça belirlenmiştir. Söz konusu yaptırımlar, 2026 yılı itibariyle yeniden değerleme oranlarının uygulanması sonucunda önemli ölçüde artırılmış olup detayları aşağıdaki tablodan inceleyebilirsiniz:
|
İdari Para Cezasına Konu Aykırılık |
2025 İdari Para Cezası Tutarı |
2026 İdari Para Cezası Tutarı |
|
Mevzuatta öngörülen siber güvenlik tedbirlerini almamak, tespit edilen zafiyet veya siber olayları gecikmeksizin Başkanlık’a bildirmemek |
1.000.000 TL – 10.000.000 TL |
1.254.900 TL – 12.549.000 TL |
|
Kamu kurumları ve kritik altyapılarda, yetkilendirilmiş sağlayıcılar dışında siber güvenlik ürün, sistem veya hizmeti tedarik etmek |
1.000.000 TL – 10.000.000 TL |
1.254.900 TL – 12.549.000 TL |
|
Kanun’un 18. maddesindeki yükümlülüklere aykırı şekilde siber güvenlik ürün, sistem, yazılım, donanım ve hizmet üretimi veya bunların yurt dışına satışını yapmak |
10.000.000 TL – 100.000.000 TL |
12.549.000 TL – 120.549.000 TL |
|
Denetimde; cihaz, sistem, yazılım ve donanımları denetime açık tutmamak, gerekli altyapıyı sağlamamak veya çalışır hâlde bulundurmamak
Yukarıdaki denetim yükümlülüklerinin ticari şirketlerce yerine getirilmemesi |
100.000 TL – 1.000.000 TL |
125.490 TL – 1.254.900 TL |
|
Denetim ceza alt sınırından az olmamak üzere, yıllık brüt satış hasılatının %5’ine kadar
|
||
Güncellenen tutarlar dikkate alındığında, Kanun kapsamındaki ihlaller için öngörülen idari para cezalarının şirketler açısından ciddi mali riskler doğuracak seviyelere ulaştığı görülmektedir. Bu çerçevede, siber güvenlik yükümlülüklerine ilişkin denetim ve gözetim faaliyetlerinin önümüzdeki dönemde daha sistematik, teknik ve sonuç odaklı bir yaklaşımla yürütülmesi beklenmektedir. Açıklanan sebeplerle, şirketlerin siber güvenliğe ilişkin politika, prosedür ve teknik altyapılarını yalnızca kağıt üzerinde bırakmayıp, gerçekten uygulanabilir ve denetlenebilir bir yapıda kurgulamaları önem arz etmektedir.
Sonuç olarak, siber güvenlik mevzuatındaki bu gelişmelerin yalnızca hukuki uyum yükümlülüğü olarak değil, kurumsal risk yönetimi ve iş sürekliliğinin ayrılmaz bir unsuru olarak ele alınması gerekmektedir.
12.1.2026
