7545 sayılı Siber Güvenlik Kanunu 19 Mart 2025’te Resmî Gazete’de yayımlandı ve Türkiye’de siber güvenliği ilk kez çatı bir kanunla düzenledi. Kanunla Siber Güvenlik Başkanlığı kuruldu; kuruluşlara güvenlik tedbiri alma, olay bildirme ve denetimlerle işbirliği yapma yükümlülükleri getirildi. İhlallerde idari para cezaları 1 milyon TL ile 100 milyon TL arasında değişiyor. Kanun metnine Resmî Gazete üzerinden ulaşabilirsiniz.
Bu yazı hukuki danışmanlık değildir; amacı, KOBİ ölçeğindeki bir şirketin teknik tarafta neye hazırlanması gerektiğini özetlemek. Teknik tedbir tarafınızı gözden geçirmek isterseniz güvenlik altyapı değerlendirmesi için teklif alın.
7545 sayılı Kanun şirketlere hangi yükümlülükleri getiriyor?
Kanunun şirketler açısından öne çıkan başlıkları şunlar:
- Güvenlik tedbiri alma: Kuruluşların siber güvenliğe ilişkin tedbirleri alması bekleniyor.
- Olay bildirimi: Siber olayların ilgili mercilere bildirilmesi yükümlülüğü getiriliyor.
- Denetim işbirliği: Yetkili denetimlerde bilgi ve erişim sağlama zorunluluğu var.
- Yetkilendirilmiş tedarik: Kritik altyapılar, güvenlik ürün ve hizmetlerini yalnızca yetkilendirilmiş sağlayıcılardan alabilecek.
Önemli bir not: ikincil mevzuat hâlâ şekilleniyor. Hangi sektörün hangi detay yükümlülüğe tabi olacağı, bildirim süreleri gibi konular yönetmeliklerle netleşecek. Ancak yön belli — “güvenlik tedbiri almamış olmak” artık yalnızca ticari bir risk değil, idari yaptırım konusu.
Cezalar ne kadar, kimi etkiler?
Kanundaki idari para cezaları 1 milyon TL’den başlayıp 100 milyon TL’ye kadar çıkabiliyor. Bu aralık, yükümlülüğün türüne ve ihlalin niteliğine göre değişiyor. KOBİ ölçeğinde bir şirket için alt sınır olan 1 milyon TL bile ciddi bir tutar; üst banda yaklaşan cezalar ise şirketin varlığını tehdit eder boyutta.
Cezadan bağımsız asıl maliyet, olayın kendisidir: ransomware sonrası duran üretim, kaybolan veriler ve itibar hasarı çoğu zaman cezayı katlar. Kanunun getirdiği asıl değişim de burada: bir siber olay artık yalnızca şirketle saldırgan arasında kalan bir mesele değil; bildirim yükümlülüğüyle birlikte resmî bir sürecin konusu. Olayı zamanında fark edemeyen şirket, hem hasarla hem de bildirim yükümlülüğünü yerine getirememiş olmanın sonuçlarıyla uğraşmak zorunda kalır. Bu da görünürlüğü — yani güvenlik sistemlerinin gerçekten izlenmesini — mevzuat hazırlığının merkezine koyuyor.
KVKK teknik tedbirleriyle bağlantı nedir?
7545’ten önce de Türkiye’de şirketlerin teknik güvenlik yükümlülüğü vardı: KVKK. Kurumun yayımladığı Kişisel Veri Güvenliği Rehberi, teknik tedbirler arasında şunları açıkça sayıyor:
- Güncel antivirüs ve antispam ürünlerinin kullanılması,
- Güvenlik yazılımlarının ürettiği mesaj ve uyarıların düzenli kontrolü,
- Düzenli zafiyet taramaları yapılması.
Yani tablo şu: KVKK kişisel veri tarafında, 7545 ise genel siber güvenlik tarafında aynı temel beklentiyi kuruyor — güncel, izlenen ve denetlenebilir bir güvenlik altyapısı. İki mevzuata birden bakan bir şirketin işe başlayacağı yer aynı: endpoint koruması, firewall ve bu sistemlerin gerçekten izlenmesi. Mevcut lisanslarınızın güncel olup olmadığından emin değilseniz lisans envanteri ve yenileme talebinizi iletin.
Sophos ürünleri hangi yükümlülüğü destekler?
Burada dürüst olalım: hiçbir ürün tek başına “7545 uyumu” sağlamaz; uyum, hukuki ve organizasyonel adımlarla birlikte yürür. Sophos portföyü, bu adımların teknik tedbir tarafını destekler:
- Sophos Endpoint: KVKK rehberinin saydığı güncel kötü amaçlı yazılım koruması ihtiyacının doğrudan karşılığıdır.
- Sophos Firewall (XGS): Ağ tarafında IPS, web koruması ve zero-day koruması ile tedbir katmanını tamamlar.
- Sophos MDR: “Güvenlik yazılımı mesajlarının düzenli kontrolü” maddesinin pratikteki en güçlü karşılığıdır — alarmları 7/24 gerçek analistler izler; olay tespiti hızlanır, bildirim yükümlülüğü için gereken görünürlük oluşur.
Lisansı dolmuş bir güvenlik ürünü, tedbir alınmış sayılmanın tam tersi bir tablo yaratır: kurulu ama korumayan yazılım. Bu yüzden mevzuat hazırlığının ilk somut adımı, mevcut güvenlik lisanslarının aktif ve güncel olduğundan emin olmaktır — 24 saat içinde yenileme teklifi alın.
Pratik bir başlangıç listesi olarak şunu öneriyoruz:
- Envanter: Hangi güvenlik ürünleri kurulu, lisansları ne zaman bitiyor?
- Kapsam: Korumasız endpoint, sunucu veya ağ segmenti var mı?
- İzleme: Güvenlik alarmlarına kim, hangi saatlerde bakıyor?
- Olay süreci: Bir saldırı şüphesinde kimin ne yapacağı yazılı mı?
Bu dört sorunun cevabı netse, ikincil mevzuat hangi detayı getirirse getirsin hazırlıksız yakalanmazsınız.
SSS
7545 sayılı Kanun ne zaman yürürlüğe girdi?
Kanun 19 Mart 2025’te Resmî Gazete’de yayımlandı. Uygulama detaylarını belirleyen ikincil mevzuat hâlâ şekilleniyor.
Kanun yalnızca kritik altyapıları mı kapsıyor?
Hayır; güvenlik tedbiri, olay bildirimi ve denetim işbirliği yükümlülükleri kuruluşlara yönelik genel hükümler içeriyor. Kritik altyapılar için ek olarak, güvenlik ürün ve hizmetlerini yalnızca yetkilendirilmiş sağlayıcılardan alma şartı getiriliyor.
Sophos kullanmak 7545 uyumu sağlar mı?
Tek başına hayır. Uyum; hukuki, organizasyonel ve teknik adımların toplamıdır. Sophos ürünleri bu denklemin teknik tedbir tarafını destekler: güncel endpoint koruması, firewall katmanı ve 7/24 izleme.
İlk adım olarak ne yapmalıyım?
Mevcut güvenlik ürünlerinizin envanterini çıkarın ve lisanslarının aktif olduğunu doğrulayın. Süresi dolmuş koruma, hiç koruma olmamasından daha tehlikelidir çünkü güvende olduğunuzu sanırsınız.
Mevzuat netleştikçe beklenti yükselecek; hazırlığa erken başlayan şirket hem cezadan hem olay maliyetinden korunur. Güvenlik altyapınızın bugünkü fotoğrafını çekelim: teklif talebinizi iletin, teknik tedbir tarafınızı birlikte güçlendirelim.