7545 Sayılı Siber Güvenlik Kanunu, iş dünyasında yeni dönem başlattı

7545 Sayılı Siber Güvenlik Kanunu, iş dünyasında yeni dönem başlattı

Türkiye’nin dijital güvenlik anlayışında yeni bir sayfa açan 7545 sayılı Siber Güvenlik Kanunu, hem kamu kurumları hem de özel sektör için önemli düzenlemeler içeriyor. Kanun; şirketlerin kritik verilerini koruma, uluslararası standartlarla uyumlu hale gelme ve düzenli denetimlere hazırlanma zorunluluğu getiriyor. CyberArts CEO’su Erdem Eriş, bu düzenlemelerin iş dünyasını doğrudan etkileyeceğini belirterek, “Artık siber güvenlik yalnızca teknik bir konu değil, kurumsal sürdürülebilirliğin ve güven kültürünün temel unsuru” değerlendirmesinde bulundu.

7545 sayılı Siber Güvenlik Kanunu sizce Türkiye’nin dijital güvenlik mimarisinde nasıl bir kırılma noktası oluşturdu? Bu yasal düzenleme öncesi ve sonrası arasındaki temel farkları nasıl tanımlarsınız?

12 Mart 2025 tarihinde yürürlüğe giren 7545 sayılı Kanun, Türkiye’nin dijital güvenlik mimarisinde tarihi bir dönüm noktasıdır. Kanun; kamu kurumlarını, sektör bağımsız tüm firmaları, STK’ları ve bireyleri bütün olarak kapsamaktadır. Benim bakış açıma göre bu düzenleme, siber güvenliği yalnızca teknik bir konu olmaktan çıkarıp milli güvenliğin ve kurumsal sürdürülebilirliğin ayrılmaz bir parçası haline getirmiştir.

Eskiden siber güvenlik görevleri farklı kurumlar arasında dağılmışken, yeni dönemde tüm yetkilerin tek bir adreste, Siber Güvenlik Başkanlığı’nda toplanması karar alma süreçlerini hızlandıracaktır.

Önceden güvenlik tedbirleri daha çok “tavsiye” niteliğindeyken, kanunla bu tedbirler, uyulmadığı takdirde 15 yıla varan hapis cezaları ve bir önceki yılın hasılatının %5’i tutarında para cezaları gibi ağır yaptırımları olan net yasal zorunluluklara dönüşmektedir.

Kanunla siber güvenlik ürün ve hizmetleri pazarı artık denetlenecek, özellikle kamu kurumları ve kritik altyapı işletmecileri sadece Başkanlıkça yetkilendirilmiş ve sertifikalandırılmış ürün ve hizmetleri kullanabilecektir.

Kanun, şirketlerin siber güvenlik yatırımlarını artırmasını zorunlu kılıyor. KOBİ’ler ve büyük ölçekli şirketler arasında bu yükümlülüklere uyum süreci sizce nasıl farklılık gösterecek? Özellikle kaynak yönetimi ve teknik kapasite açısından ne gibi zorluklar öngörüyorsunuz?

Kanuna uyum sürecinde, ölçeği ne olursa olsun tüm kurumlar siber güvenlik harcamalarını ve stratejilerini yeniden değerlendirmektedir.

Uyum sürecindeki temel farklılık, büyük şirketlerin mevcut yapılarını kanuna uyarlaması, KOBİ’lerin ise genellikle sıfırdan bir yapı kurmak zorunda olmasıdır. Büyük ölçekli şirketler genellikle mevcut bilgi güvenliği ekiplerine ve oturmuş süreçlere sahipken, özellikle küçük ve orta ölçekli işletmeler için loglama altyapısı kurulumu, zafiyet testleri ve denetim hazırlığı gibi yükümlülükler gündeme gelmektedir.

Kaynak yönetimi açısından en belirgin zorluk, uyum için gereken yatırım yüküdür. Yeni sistemlerin entegrasyonu, siber güvenlik personeli istihdamı ve mevzuat danışmanlığı ihtiyacı temel maliyet unsurlarıdır.

Teknik kapasite tarafındaki en kritik zorluk ise nitelikli insan kaynağı açığıdır. Piyasada yeterli sayıda deneyimli siber güvenlik profesyoneli bulunmadığı için dış kaynak kullanımı ile siber güvenlik hizmet sağlayıcılarından destek alınması daha yoğun bir ihtiyaç haline dönmektedir.

Ayrıca, siber güvenlik ürün ve hizmetlerinin sadece yetkilendirilmiş firmalardan temin edilmesi şartı, şirketleri mevcut tedarik ilişkilerini sonlandırmaya zorlayabilir. Ancak Kanun, Siber Güvenlik Başkanlığı’na kurumları ve kişileri sınıflandırma ve faaliyete göre farklı hükümler oluşturma yetkisi vermektedir. Bu yetki, gelecekte KOBİ’ler için risk ve ölçek bazlı, daha hafifletilmiş yükümlülükler getirilmesinin önünü açabilir.

Siber güvenlik yatırımları genellikle “maliyet” olarak görülür. Sizce bu yasa sonrası şirketler bu yatırımları bir rekabet avantajına dönüştürebilecek mi? Bu dönüşüm için hangi stratejik adımlar kritik?

Bu kanun, siber güvenliği bir maliyet unsuru olmaktan çıkarıp bir yatırım ve değer üretim alanına dönüştürmektedir. Bu dönüşüm, stratejik adımlar atılması halinde şirketlere önemli bir rekabet avantajı elbette sağlar.

Siber güvenlikte %100 koruma mümkün değildir. Yapılması gereken; insan kaynağı, süreçler ve teknolojileri kapsayan, bilgi güvenliği ve siber güvenlik süreçlerini eşgüdüm içerisinde tasarlayıp işleten sürdürülebilir bir strateji inşa ederek şirketlerin kendi sektörlerinde en iyi siber dayanıklılığına ulaşmasını sağlamaktır.

İlk olarak, Kanunun yaptırımlarının muhatabı doğrudan tüzel kişiliğin ortakları, yönetim kurulları ve üst düzey yönetimi olduğu için; üst yönetimin siber güvenliği ajandasına alması kaçınılamayacak bir gereklilik haline gelmiştir.

İkinci olarak, hızlı adım atan, kanuna uyum sağlayan, denetimlerde daha iyi performans gösteren ve bunu belgeleyebilen şirketler, müşterileri ve iş ortakları nezdinde güven veren kurumlar haline gelecektir. Bu güven unsuru, özellikle veri güvenliğinin kritik olduğu sektörlerde önemli bir tercih sebebidir.

Son olarak, bu yasal uyum uluslararası pazarlara açılmak için bir kaldıraç olarak kullanılmalıdır. Kanun, getirdiği düzenlemelerle GDPR, ISO/IEC 27001/27701 ve NIST gibi küresel standartlarla büyük ölçüde örtüşmektedir. Bu uyum, Türk şirketlerinin özellikle Avrupa Birliği pazarında iş yapmasını kolaylaştıracak, yasal ve teknik engelleri azaltarak onlara uluslararası projelerde rekabet avantajı sağlayacaktır.

Yeni düzenleme, şirketlere uluslararası standartlarla uyum konusunda hangi fırsatları ve aynı zamanda hangi riskleri barındırıyor? ISO 27001, GDPR, NIST gibi küresel çerçevelerle entegrasyon açısından Türkiye nerede duruyor?

Yeni düzenleme, şirketleri dolaylı olarak uluslararası standartlarla uyumlu hale getiren bir katalizör görevi görmektedir. Kanunun risk yönetimi, envanter, politika geliştirme ve sürekli iyileştirme gibi temel ilkeleri, ISO/IEC 27001 gibi standartlarla birebir örtüşmektedir. Bu durum, kanuna uyum sağlamak için atılan adımların aynı zamanda şirketlerin uluslararası sertifikasyonlara hazır hale gelmesini sağlayarak önemli bir fırsat sunmaktadır.

ISO 27001/27701 ve NIST gibi çerçevelerle entegrasyon açısından kanun, bu standartların temel gerekliliklerini yasal bir zorunluluk haline getirmektedir. Kanunun talep ettiği varlık envanteri, risk analizi, SOME kurma (müdahale) ve denetim (kontrol) gibi süreçler, bu iki çerçevenin de ana bileşenleridir. Bu sayede, kanuna uyumlu hale gelen bir kurum, büyük ölçüde ISO 27001/27701 ve NIST uyumunu da sağlamış olacaktır.

GDPR ile uyum konusunda ise kanun, özellikle veri aktarımı, ihlal bildirimi ve denetim süreçlerinde benzer yaklaşımlar sergileyerek bir fırsat yaratmaktadır. Bu yasal uyum, Türkiye merkezli şirketlerin Avrupa Birliği ile dijital pazarda daha bütünleşmiş çalışabilmesinin ve AB menşeili projelerde yer almasının önünü açarak uluslararası bir rekabet avantajı sağlayabilir.

Bununla birlikte en önemli risk, Siber Güvenlik Başkanlığı’na tanınan geniş veri toplama, log inceleme ve sistemlere erişim yetkilerinin, GDPR ve KVKK’nın katı mahremiyet kurallarıyla potansiyel olarak çatışmasıdır. Şirketler, Başkanlığın yasal taleplerini yerine getirirken kişisel verilerin korunması yükümlülüklerini nasıl dengeleyecekleri konusunda hukuki ve operasyonel zorluklar yaşayabilirler.

Kanunda öngörülen düzenli denetim mekanizmaları, kurumların dijital dönüşüm süreçlerini nasıl etkileyecek? Özellikle finans, enerji ve sağlık gibi kritik sektörler için bu denetimlerin rolü nedir?

Yeni Kanun’da kritik altyapı şu şekilde tanımlanmaktadır: İşlediği bilginin/verinin gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda can kaybına, büyük ölçekli ekonomik zarara ve güvenlik açıklarına veya kamu düzeninin bozulmasına yol açabilecek bilişim sistemlerini barındıran altyapılar.

Bilgi ve İletişim Güvenliği Rehberi ise kritik altyapıları, “Elektronik Haberleşme”, “Enerji”, “Su Yönetimi”, “Kritik Kamu Hizmetleri”, “Ulaştırma”, “Bankacılık ve Finans” olarak tanımlamıştı.

Görüldüğü gibi yeni kanun daha geniş bir tanım yapmış durumda. Dolayısı ile finans, enerji ve sağlık değil bu tanıma uyan tüm sektörlerin kritik altyapı işlettiklerinin bilinci ile hareket etmesi gerekiyor.

Kanunda öngörülen düzenli denetim mekanizmaları, kurumların dijital dönüşüm süreçlerine “önce güvenlik” yaklaşımını entegre etmelerini zorunlu kılmaktadır. Bu durum, dijital dönüşüm projelerinin artık yalnızca hız ve verimlilik odaklı değil, aynı zamanda yasal uyumluluk ve denetime hazırlık eksenli planlanmasını gerektirecektir. Projelerin her aşamasında güvenlik, birincil değerlendirme ölçütü haline gelecektir.

Bu denetimler, kurumların teknoloji ve yatırım kararlarını da doğrudan etkileyecektir. Yeni bir yazılım, bulut hizmeti veya dijital altyapı yatırımı yapılırken, bu sistemlerin Başkanlıkça belirlenen standartlara uygunluğu ve denetimlerde talep edilecek kanıtları (log, konfigürasyon vb.) sunabilme kapasitesi, temel bir satın alma kriteri olacaktır. Uyumsuz ürün ya da hizmetlerin kullanımı, denetim bulgusu olarak değerlendirilebilir ve yasal yaptırımlara tabi olabilir.

Kritik altyapı işleten sektörler için bu denetimlerin rolü, kurumsal bir yükümlülüğün ötesinde bir ulusal güvenlik meselesidir. Kanun, kritik altyapılardaki denetimlerin mutlaka Siber Güvenlik Başkanlığı personeli tarafından veya onlara refakat edilerek yapılmasını zorunlu kılmaktadır. Bu, devletin bu sektörlerdeki dijital riskleri çok daha yakından ve doğrudan izleyeceği anlamına gelmektedir.

Bu artırılmış denetim baskısı, bu kurumları siber dayanıklılık konusunda en yüksek standartları benimsemeye itecektir. Bu sektörlerdeki dijital dönüşüm süreçleri, sadece iş hedeflerine ulaşmayı değil, aynı zamanda ulusal düzeydeki bir siber saldırı anında hizmet kesintisi yaşanmamasını ve kamu düzeninin bozulmamasını garanti altına almayı hedefleyecektir. Bu nedenle, denetimler bu sektörler için bir nevi “stres testi” ve “hazırlık seviyesi ölçümü” işlevi görecektir.

CyberArts’ın “siber güvenlik sanatları” yaklaşımı, bu yeni yasal çerçeveyle nasıl örtüşüyor? Sanatçı titizliğiyle yürütülen projeler, regülasyonlara uyumda nasıl avantaj sağlıyor?

CyberArts’ın “siber güvenlik sanatları” yaklaşımı, konuyu sadece teknik bir disiplin olarak değil; hukuki, stratejik ve yönetsel boyutlarıyla bütüncül bir şekilde ele alıyor. Bizim felsefemiz, 7545 sayılı Kanun’un siber güvenliği “milli güvenliğin ayrılmaz bir parçası” olarak gören ve tüm aktörlere bütüncül sorumluluklar yükleyen temel ruhuyla birebir örtüşüyor.

“Sanatçı titizliğiyle” yürütülen projeler, regülasyonlara uyumda doğrudan bir avantaj sağlamaktadır. Kanun, kurumlardan detaylı varlık envanteri tutmalarını, risk analizleri yapmalarını, denetime hazır olmalarını ve süreçlerini belgelemelerini beklemekte, ayrıca doğrudan veya dolaylı olarak periyodik sızma testleri ve zafiyet analizleri gerçekleştirmelerini, tüm bilişim sistemlerinden bütünlüğü ve zaman damgası korunmuş log kayıtları toplamalarını, bir siber olay anında müdahale edecek SOME (Siber Olaylara Müdahale Ekibi) kurmalarını ve tüm bu süreçleri denetlenebilir şekilde belgelemelerini beklemektedir. Sistematik ve detay odaklı bir yaklaşım; güvenli log transferi, SIEM gibi merkezi izleme sistemlerinin entegrasyonu ve düzenli siber tatbikatlar gibi teknik adımların eksiksiz ve kanıtlanabilir bir şekilde hayata geçirilmesini sağlayacak, her adımı özenle planlanan bir proje yönetimi yaklaşımı, bu yasal gerekliliklerin eksiksiz ve kanıtlanabilir bir şekilde karşılanmasını kolaylaştıracaktır. Bu teknik titizlik, Başkanlık denetçilerinin talep edebileceği konfigürasyon dosyaları, sistem günlükleri ve olay müdahale raporları gibi somut kanıtların her an hazır olmasını sağlayarak kurumun denetimlerdeki pozisyonunu güçlendirir ve olası yaptırım risklerini en aza indirir.

Bu yaklaşımın bir diğer avantajı, siber güvenliği teknik birimlerin dışına taşımasıdır. Kanun, hukuk birimiyle koordinasyon, üst yönetim sorumluluğu ve tedarik zinciri yönetimi gibi çok disiplinli bir uyum süreci gerektirmektedir. İnsan kaynağı, süreçler ve teknolojileri bir bütün olarak ele alan ve farklı departmanlar arasında köprü kurarak uyum sürecinin bir bütün olarak yönetilmesini sağlayan CyberArts ekibi kurumsal dayanıklılık inşa eder.

Sonuç olarak, CyberArts’ın stratejik yol arkadaşı olarak şirketlere destek olması, şirketlerin kanunu bir yük olarak görmesinin önüne geçecektir. Bunun yerine, yasal uyumu, süreçleri iyileştirmek, kurumsal itibarı güçlendirmek ve hatta uluslararası pazarlarda rekabet avantajı elde etmek için bir fırsata dönüştürmelerini sağlamaktadır. Bu, kanunun nihai hedefi olan sürdürülebilir bir siber güvenlik olgunluğuna ulaşmanın en etkili yoludur. 

CyberArts olarak, bu yeni dönemde şirketlere hangi alanlarda danışmanlık ve teknoloji desteği sunmayı planlıyorsunuz? Özellikle hangi sektörlerde daha yoğun bir talep bekliyorsunuz?

CyberArts olarak bu yeni yasal dönemi, şirketler için bir uyum yükünden ziyade, dijital dayanıklılıklarını ve rekabet güçlerini artıracak bir fırsat olarak görüyoruz. Bu çerçevede temel hedefimiz, müşterilerimize sadece teknik çözümler sunmak değil, aynı zamanda bu karmaşık yasal süreçte onlara yol gösterecek stratejik bir ortak olmaktır. Yaklaşımımız, kanunun gerektirdiği bütüncül bakış açısıyla uyumlu olarak insan kaynağı, teknoloji, süreç ve yönetişim danışmanlığını bir arada sunmaktır.

Danışmanlık hizmetlerimizi, şirketlerin kanuna uyum yol haritalarını çıkarmak üzerine kurguluyoruz. Bu kapsamda; mevcut durum analizi ve yasal boşluk analizi, varlık envanterinin çıkarılması ve risk analizlerinin gerçekleştirilmesi, kanunla uyumlu politika ve prosedür setlerinin oluşturulması (ör. ISO 27001 entegrasyonu) ve SOME (Siber Olaylara Müdahale Ekibi) olgunluk seviyelerinin artırılması gibi alanlarda destek sunuyoruz. Ayrıca, yöneticilerden teknik ekiplere kadar tüm seviyeler için kanuna uyum ve farkındalık eğitimleri de önemli bir hizmet başlığımız.

İnsan kaynağı tarafında gerek kendi hizmetlerimizle kurumların büyük ekipler kurmadan en iyi sonuçları almasını sağlıyoruz. Büyük kurumlar için, istihdamı zor olan siber güvenlik rollerinde işe yerleştirme ve bordrolama hizmetlerini devreye alıyoruz.

Teknoloji desteği tarafında ise, kanunun gerektirdiği teknik kapasitenin inşasına odaklanıyoruz. Bu bağlamda, düzenli zafiyet ve sızma testlerinin yapılması veya yaptırılmasının sağlanması, log yönetimi ve SIEM gibi olay izleme altyapılarının kanuna uygun şekilde kurulması ve yönetilmesi, yerli ve milli güvenlik ürünlerinin entegrasyonu ve kurumların Başkanlık tarafından yapılacak teknik denetimlere hazırlanması gibi alanlarda mühendislik ve proje yönetimi desteği sunuyoruz.

Kritik altyapı işleten “Elektronik Haberleşme”, “Enerji”, “Su Yönetimi”, “Kritik Kamu Hizmetleri”, “Ulaştırma”, “Bankacılık ve Finans” sektörleri daha hızlı adım atmak isteyecektir. Diğer taraftan bu sektörler dışında kalan regülasyona tabi olmayan büyük kurumlar ve KOBİ’ler ilk kez bu kanun ile aynı cezai yaptırımlara tabi oldukları için yıllardır erteledikleri yatırımları ertelemeden yapacaktır.

Biz bu yeni dönemde, büyük kurumlarda elde ettiğimiz 8 yıllık tecrübemizi büyük kurumlara sunmaya devam ederken KOBİ’lere de büyük fayda yaratacak şekilde yapılanıyoruz.

Türkiye’deki siber güvenlik ekosistemini küresel gelişmelerle karşılaştırdığınızda, bizi ayrıştıran güçlü yönlerimiz ve hızla kapatmamız gereken boşluklar neler?

En belirgin güçlü yönümüz, kanunla kurulan merkezi ve güçlü devlet otoritesidir. Siber Güvenlik Başkanlığı’nın hem kamu hem de özel sektörü kapsayan geniş yetkilerle donatılması ve doğrudan denetim ile ağır yaptırım gücüne sahip olması, birçok ülkedeki daha dağınık veya tavsiye odaklı modellere göre daha kararlı ve bütüncül bir ulusal siber savunma kapasitesi sunma potansiyeli taşımaktadır.

Bizi ayrıştıran bir diğer stratejik güç ise, yerli ve milli siber güvenlik endüstrisini yasal bir ilke olarak teşvik etme iradesidir. Kanun, yerli ürün kullanımını sadece bir tercih olmaktan çıkarıp, denetlenebilir ve bağlayıcı bir yükümlülüğe dönüştürmektedir. Bu durum, dışa bağımlılığı azaltmayı ve ulusal teknoloji egemenliğini sağlamayı hedefleyen proaktif bir sanayi politikası olarak öne çıkmaktadır.

Hızla kapatmamız gereken en kritik boşluk ise “nitelikli insan kaynağı açığıdır”. Kanunun getirdiği kapsamlı yükümlülüklerin (SOME kurulumu, risk analizi, denetim vb.) hayata geçirilmesi için yüksek teknik yetkinliğe sahip uzmanlara ihtiyaç duyulmaktadır.

Kapatılması gereken bir diğer önemli boşluk, “ikincil mevzuat belirsizliği” ve buna bağlı olarak tedarik zincirindeki olası kısıtlardır. Kanunda birçok teknik detayın daha sonra çıkarılacak yönetmeliklere bırakılmış olması, şirketlerin yatırım planlamasında belirsizlik yaratmaktadır. Benzer şekilde, yerli ürünlerin teşvik edilmesi uzun vadede bir güç olsa da yerli ürün yelpazesinin bazı alanlarda henüz tam olgunlaşmamış olması, şirketler için kısa vadede uyumlu ürün bulma zorluğu yaratabilir.

Kanunla birlikte bireysel veri güvenliği de daha sıkı kurallara bağlandı. Sizce bu durum şirketlerin müşteri ilişkileri yönetiminde nasıl bir dönüşüm yaratacak? Güven odaklı dijital deneyim tasarımı açısından neler değişecek?

Kanun, kişisel verilerin korunmasını sadece bir uyum meselesi olmaktan çıkarıp, ihlali durumunda ağır hapis cezaları öngören bir kurumsal sorumluluk haline getirmektedir. Bu durum, şirketlerin müşteri verisi ve diğer kişisel verileri toplama ve işleme yöntemlerini sil baştan gözden geçirmesini zorunlu kılacaktır.

Bu dönüşüm, şirketlerin müşteri ilişkileri yönetiminde “veri minimizasyonu” ilkesini benimsemesini gerektirecektir. Artık amaç, mümkün olduğunca çok veri toplamak yerine, sadece meşru ve belirli amaçlar için gerekli olan veriyi toplamak, bu veriyi hukuka uygun şekilde işlemek ve işlendiği amaç ortadan kalktığında güvenli bir şekilde imha etmek olacaktır. Bu, CRM stratejilerinin daha şeffaf ve amaca yönelik kurgulanmasını sağlayacaktır.

Güven odaklı dijital deneyim tasarımı açısından en büyük değişiklik, şeffaflık ve rızanın ön plana çıkması olacaktır. Kullanıcılara, verilerinin neden ve nasıl toplandığının basit ve anlaşılır bir dille anlatılması, gizlilik ayarlarının kolayca erişilebilir olması ve veri paylaşımı konusunda kontrolün tamamen kullanıcıda olduğu hissinin verilmesi, dijital platformların temel tasarım prensibi haline gelecektir.

Sonuç olarak, bu yasal çerçeve, veri güvenliğini bir pazarlama ve marka değeri unsuruna dönüştürecektir. Müşteri verilerini koruma konusunda titiz davranan, bu konuda şeffaf iletişim kuran ve güven veren şirketler, müşteri sadakati ve itibarı kazanarak rakiplerine karşı önemli bir rekabet avantajı elde edecektir. Bu süreç, yasal bir zorunluluğun, müşteri nezdinde bir güven bağı kurma fırsatına dönüştürülmesini sağlayacaktır.

Kaynak: Ekonomim

Başa dön tuşu