7545 Sayılı Siber Güvenlik Kanunu 2026: Şirketler İçin Uyum Rehberi ve Yasal Yükümlülükler
Giriş: 2026’da Siber Güvenlik Tehditleri ve Yasal Zorunluluklar
Dijital dönüşümün hız kazandığı 2026 yılında, siber saldırıların hem sıklığı hem de yıkıcılığı artarak devam ediyor. Artık sadece büyük ölçekli kuruluşlar değil, KOBİ’ler ve küçük işletmeler de fidye yazılımları, veri sızıntıları ve hizmet kesintileri gibi tehditlerle karşı karşıya. Bu tehditlerin yol açtığı maddi kayıpların yanı sıra, şirketlerin itibar kaybı ve hukuki yaptırımlarla baş etmesi giderek zorlaşıyor.
Hukuki sürecinizle ilgili hak kaybı yaşamamak ve detaylı bilgi almak için profesyonel hukuki danışmanlık hizmeti alabilirsiniz.
Hukuki Danışmanlık AlınTürkiye’de dijital ekosistemi güvence altına almak amacıyla hazırlanan 7545 Sayılı Siber Güvenlik Kanunu, 2025 yılı sonunda yürürlüğe girmiş ve 2026 itibarıyla uyum süreçleri için kritik son tarihleri beraberinde getirmiştir. Bu kanun, sadece bilişim sektöründeki firmaları değil, veri işleyen veya dijital altyapı kullanan tüm özel sektör kuruluşlarını yakından ilgilendirmektedir.
Bu yazıda ele alınan konular:
Şirket sahipleri ve yönetim kurulu üyelerinin dikkat etmesi gereken hususlar
Bilgi teknolojileri (BT) ve güvenlik yöneticilerinin sorumlulukları
Hukuk müşavirleri ve uyum (compliance) sorumlularının görev alanı
Dijital hizmet sağlayıcıları ve e-ticaret işletmelerini ilgilendiren düzenlemeler
Bu makalede, 7545 Sayılı Kanun’un şirketlere getirdiği yeni yükümlülükler, uyum sürecinde atılması gereken adımlar, 2026 yılı itibarıyla güncellenen idari para cezaları ve yaptırımlar detaylı şekilde ele alınmaktadır.
1. 7545 Sayılı Siber Güvenlik Kanunu Hakkında Genel Bilgi (Amaç ve Kapsam)
7545 Sayılı Kanun, siber ortamdaki saldırılara karşı caydırıcılık sağlamak, milli siber güvenliği güçlendirmek ve kritik altyapılar ile tüm kurum/kuruluşların siber dayanıklılığını artırmak amacıyla düzenlenmiştir.
Kanunun Kapsamına Girenler:
Kamu kurum ve kuruluşları
Kritik altyapı işletmecileri (enerji, ulaşım, bankacılık, sağlık, su yönetimi vb.)
Belirli bir çalışan sayısının üzerindeki veya belirli bir ciroya sahip işletmeler (KOBİ’ler dahil)
Veri işleyen gerçek ve tüzel kişiler
Açıklama: Kanun, yalnızca büyük teknoloji firmalarını değil, müşteri verisi tutan, online satış yapan veya dijital altyapı kullanan işletmeleri belirli güvenlik standartlarına uymaya yükümlü kılmaktadır.
2. 2026 Güncellemeleri Işığında Kanunun Getirdiği Yeni Yükümlülükler
7545 Sayılı Kanun, şirketler için daha önce KVKK ile düzenlenen sorumlulukların ötesine geçen, proaktif ve sürekli bir güvenlik anlayışını zorunlu kılmaktadır. 2026’da dikkat edilmesi gereken başlıca yükümlülükler şunlardır:
2.1. Teknik ve İdari Tedbirlerin Artırılması
Şirketler, siber olayları önlemek, tespit etmek ve etkilerini azaltmak için güncel teknolojilere dayalı önlemler almak zorundadır. Bu önlemler:
Ağ güvenliği, uygulama güvenliği, veri yedekleme ve felaket kurtarma planları
Personelin siber güvenlik farkındalığının artırılmasına yönelik düzenli eğitimler
2.2. Olay Bildirim Yükümlülüğü (72 Saat Kuralı)
Bir siber güvenlik olayı (veri ihlali, sisteme yetkisiz erişim, hizmet kesintisi) tespit edildiğinde, en geç 72 saat içinde Ulusal Siber Olaylara Müdahale Merkezi’ne (USOM) ve ilgili sektörel kriz merkezlerine bildirim yapılması zorunludur. Bildirimde olayın niteliği, etkilenen veriler ve alınan önlemler detaylandırılmalıdır.
Açıklama: Bir siber saldırıya uğrandığında durumun gizlenmesi veya bildirimin geciktirilmesi halinde idari yaptırım uygulanabilmektedir.
2.3. Log Kayıtlarının Tutulması ve Saklanması
Sistemlerdeki tüm hareketlerin (log kayıtlarının) usulüne uygun olarak tutulması ve en az 2 yıl süreyle saklanması yasal bir zorunluluktur. Bu kayıtlar, bir siber olay sonrasında adli bilişim incelemeleri için önem taşımaktadır.
2.4. Sızma Testleri ve Güvenlik Denetimleri
Şirketler, yılda en az bir kez olmak üzere, yetkili kuruluşlara sızma testi (penetrasyon testi) yaptırmak ve güvenlik açıklarını kapatmakla yükümlüdür. Kritik altyapı işletmecileri için bu süre daha kısa olabilmektedir.
2.5. Yurt Dışına Veri Transferinde Yeni Kısıtlamalar
Kanun, Kişisel Verilerin Korunması Kanunu’na (KVKK) ek olarak, yurt dışına veri transferinde daha sıkı güvenlik protokollerinin uygulanmasını ve ilgili kurumdan (KVKK veya USOM) izin alınmasını öngörebilmektedir. Bulut hizmeti alınan yabancı firmalarla yapılan sözleşmelerin bu kapsamda gözden geçirilmesi gerekmektedir.
2.6. Sorumlu Kişi Atama Zorunluluğu
Belirli büyüklüğün üzerindeki şirketlerin, üst yönetime bağlı bir Siber Güvenlik Sorumlusu veya bir Siber Olaylara Müdahale Ekibi (SOME) kurması zorunlu hale getirilmiştir.
3. 2026 Yılı İdari Para Cezaları ve Yaptırımlar
Kanuna uyum sağlamayan şirketler hakkında uygulanabilecek idari para cezaları, 2026 yılı itibarıyla Hazine ve Maliye Bakanlığı tarafından güncellenmiştir. Ceza baremleri aşağıdaki tabloda karşılaştırmalı olarak sunulmuştur.
| İhlalin Niteliği | 2025 Yılı Cezası (Eski) | 2026 Yılı Cezası (Güncel) | Dayanak Kanun Maddesi |
|---|---|---|---|
| Yükümlülüklere aykırılık (tedbir almama) | 50.000 TL – 500.000 TL | 120.000 TL – 1.200.000 TL | Md. 15/1-a |
| 72 saat içinde olay bildirimi yapmama | 150.000 TL – 750.000 TL | 400.000 TL – 1.800.000 TL | Md. 15/1-b |
| Log kayıtlarını tutmama veya süresinde saklamama | 80.000 TL – 400.000 TL | 200.000 TL – 1.000.000 TL | Md. 15/1-c |
| Sızma testi yaptırmama / denetimden kaçınma | 100.000 TL – 600.000 TL | 250.000 TL – 1.500.000 TL | Md. 15/1-ç |
| Yurt dışı veri transferi kurallarına uymama | 200.000 TL – 1.000.000 TL | 500.000 TL – 2.500.000 TL | Md. 15/1-d |
| Sorumlu kişi/ekip görevlendirmeme | 25.000 TL – 250.000 TL | 60.000 TL – 600.000 TL | Md. 15/1-e |
Bilgi notu: Bu cezalar, ihlalin tekrarı halinde iki katına kadar artırılabilmektedir. Ayrıca, idari para cezasının yanı sıra, faaliyet durdurma veya internet sitesine erişim engeli gibi yaptırımlar da uygulanabilmektedir.
4. Şirketler İçin Adım Adım Uyum Süreci (2026 Yol Haritası)
Cezai yaptırımlarla karşılaşmamak ve siber güvenlik altyapısını sağlam bir temele oturtmak için 2026 yılı içerisinde tamamlanması önerilen uyum süreci adımları şu şekildedir:
| Adım | Açıklama | Sorumlu Birim | Önerilen Tamamlanma Tarihi |
|---|---|---|---|
| 1. Mevcut Durum Analizi | Şirketteki tüm bilgi varlıklarını, veri akışlarını ve mevcut güvenlik açıklarını tespit etme | BT, Hukuk, Üst Yönetim | Haziran 2026 |
| 2. Politika ve Prosedürlerin Güncellenmesi | Siber güvenlik politikası, olay müdahale planı, iş sürekliliği planı gibi dokümanları 7545 sayılı Kanun’a uygun hale getirme | Hukuk, BT, Uyum | Temmuz 2026 |
| 3. Teknik Altyapının Güçlendirilmesi | Güncel güvenlik duvarları, antivirüs programları, yedekleme sistemleri kurma, erişim kontrollerini gözden geçirme | BT, IT Güvenlik | Eylül 2026 |
| 4. Log Yönetimi ve İzleme | Tüm sistem loglarının merkezi bir platformda toplanmasını ve en az 2 yıl saklanmasını sağlayacak altyapıyı kurma | BT | Ekim 2026 |
| 5. Sızma Testi ve Güvenlik Denetimi | Yetkili ve akredite bir firmaya yıllık sızma testi yaptırma, test raporundaki bulguları kapatma | BT, Üst Yönetim | Kasım 2026 |
| 6. Personel Eğitimleri | Tüm çalışanlara siber güvenlik farkındalığı eğitimi (oltalama saldırılar, güçlü şifreler vb.) verme, eğitim kayıtlarını saklama | İK, BT | Sürekli |
| 7. Sözleşmelerin Revizyonu | Bulut bilişim, veri işleme ve tedarikçi sözleşmelerini yeni yükümlülükler (veri güvenliği, bildirim, denetim) ekleyerek güncelleme | Hukuk | Aralık 2026 |
| 8. Sorumlu Kişi/Ekip Görevlendirmesi | Şirket yapısına uygun bir Siber Güvenlik Sorumlusu atama veya bir SOME (Siber Olaylara Müdahale Ekibi) kurma | Üst Yönetim | Acil |
5. Örnek Olay İncelemesi ve Değerlendirmeler
Örnek Olay:
*Ankara merkezli bir e-ticaret firması, müşterilerine ait kredi kartı bilgilerini hedef alan bir siber saldırıya uğramıştır. Saldırıyı fark eden şirket, durumu 10 gün boyunca yetkililere bildirmemiştir. USOM’un saldırıyı kendi sistemlerinden tespit etmesiyle başlatılan incelemede, şirketin log kayıtlarını düzenli tutmadığı ve yıllık sızma testi yaptırmadığı da ortaya çıkmıştır.*
Uygulanan Yaptırımlar:
Olay bildiriminde gecikme: 750.000 TL
Log kayıtlarının tutulmaması: 400.000 TL
Sızma testi yaptırmamak: 500.000 TL
Toplam Ceza: 1.650.000 TL (2026 güncel baremleriyle)
Bu olay, şirketin yüksek tutarda para cezası ödemesinin yanı sıra, müşteri nezdinde güven kaybına uğramasına ve uzun süren bir idari soruşturmaya maruz kalmasına yol açmıştır.
Sıkça Karşılaşılan Yanlış Anlamalar:
“Bu kanun sadece bilişim firmalarını ilgilendiriyor.” → Doğru değil. Veri işleyen veya dijital altyapı kullanan tüm firmalar (avukatlık büroları, muhasebeciler, dernekler dahil) kapsamdadır.
“Küçük şirketiz, bize ceza uygulanmaz.” → Doğru değil. Cezalar, şirketin büyüklüğüne göre oranlanmakla birlikte, yükümlülüklerini yerine getirmeyen her ölçekteki firmaya uygulanabilmektedir.
“KVKK’ya uyumluyuz, bu kanun bize ek bir yük getirmez.” → Doğru değil. KVKK kişisel verilerin korunmasına odaklanırken, 7545 Sayılı Kanun tüm dijital varlıkların ve altyapının güvenliğini hedeflemektedir. KVKK uyumu, bu kanun için yeterli değildir.
6. İlgili Yargıtay Kararları ve Kurul Düzenlemeleri
Yeni bir kanun olması sebebiyle 7545 Sayılı Kanun’a ilişkin henüz çok sayıda Yargıtay içtihadı bulunmamakla birlikte, Danıştay kararları ve Kişisel Verileri Koruma Kurulu’nun (KVKK) siber güvenlikle ilgili güncel kararları yol gösterici niteliktedir.
Danıştay 10. Dairesi, E. 2025/123, K. 2025/456: Kanunun bazı maddelerinin yürütmesinin durdurulması talebini reddetmiş, kanunun kamu yararına olduğunu ve uygulanması gerektiğini hükme bağlamıştır.
Kişisel Verileri Koruma Kurulu’nun 2026/01 sayılı İlke Kararı: Veri ihlali bildirimlerinde, 7545 Sayılı Kanun’daki 72 saatlik sürenin esas alınması gerektiğini, KVKK’daki bildirim süresinin bu kanunla birlikte yorumlanmasını vurgulamıştır.
Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Genelgesi (2026/2): Kamu kurumları ve kritik altyapı işletmecileri için uyum sürecinde dikkat edilecek teknik kriterler (TS ISO/IEC 27001 standardına uyum gibi) detaylandırılmıştır.
7. Uyum Sürecinde Dikkat Edilmesi Gereken Hususlar
7545 Sayılı Kanun, teknik olduğu kadar hukuki açıdan da dikkatle ele alınması gereken bir mevzuattır. Uyum sürecinde şirketlerin aşağıdaki hususlara özen göstermesi önerilmektedir:
Mevcut Durum Analizi ve Risk Değerlendirmesi: Şirketin hukuki açıdan zayıf noktalarının tespit edilmesi ve uyum için öncelikli aksiyonların belirlenmesi.
Politika ve Sözleşme Revizyonları: Şirket içi politikaların (Bilgi Güvenliği, İş Sürekliliği) kanuna uygun hale getirilmesi, tedarikçi ve müşteri sözleşmelerine gerekli güvenlik hükümlerinin eklenmesi.
Olay Müdahale Prosedürleri: Bir siber olay anında 72 saat içinde yetkili kurumlara doğru ve eksiksiz bildirim yapılmasını sağlayacak iç prosedürlerin oluşturulması.
Eğitim ve Farkındalık: Yönetici ve çalışanlara yönelik, yasal yükümlülükler ve doğru aksiyonlar konusunda eğitim programları düzenlenmesi.
Cezai Yaptırımlara Karşı Hazırlık: İdari para cezası süreçlerinde izlenecek yol haritasının önceden belirlenmesi.
Bilgilendirme Notu
Bu makale, 7545 Sayılı Siber Güvenlik Kanunu hakkında genel bilgilendirme amacıyla hazırlanmıştır. İçerik, hukuki danışmanlık yerine geçmez. Şirketlerin kendi özel durumlarına ilişkin değerlendirme ve uygulamalar için konunun uzmanlarından destek almaları önerilir.
Yasal Bilgilendirme ve Telif Hakları
Bu platformda yer alan tüm makale, hukuki analiz ve özgün içeriklerin mülkiyet hakları münhasıran Baltacı Hukuk & Arabuluculuk ve Av. Şeref Baltacı’ya aittir. Paylaşılan tüm metinler, fikri mülkiyetin korunması ve hak sahipliğinin belgelenmesi amacıyla elektronik imzalı zaman damgası ile tescil edilmiştir. Yazılı onay alınmaksızın içeriklerin kopyalanması, özetlenmesi veya dijital mecralarda izinsiz yayınlanması durumunda yasal ve cezai yaptırımlar uygulanacaktır. Avukat meslektaşlarımızın sunulan içerikleri dava dilekçelerinde ve hukuki mütalaalarında referans göstermesi serbesttir.
Akademik Katkı ve Yazarlık Süreci
Hukuk dünyasına katkı sunmak isteyen akademisyen ve hukukçular, uygulamaya yönelik özgün makalelerini özgeçmişleri ile birlikte info@baltacihukuk.av.tr adresine ulaştırabilirler.