(Dilerseniz bu yazıyı aşağıda podcast formatında dinleyebilirsiniz.)

(Ömer Faruk Çelik, Bekir Aksarı, Cansu Karataş)

Siber Güvenlik Kanunu’na İlk Bakış: Paydaşlar Üzerinden Bir Okuma

2025 yılının Mart ayında yürürlüğe giren 7545 sayılı Siber Güvenlik Kanunu (“Kanun”), dijital çağın en önemli kırılma noktalarından birini temsil ediyor. Dijital dünya artık bir savaş alanı gibi hareketli ve ülkeler hatta bireyler bu görünmez cephede sürekli bir savunma halinde. Kanun’un gerekçesinde de açıkça ifade edildiği üzere, “siber güvenlik, milli güvenliğin ayrılmaz bir parçasıdır.”

Söz konusu Kanun’u incelemeye başladığımızda, düzenlemenin doğru ve bütüncül bir bakış açısıyla anlaşılması adına, maddeler üzerinden değil, düzenlemede yer alan paydaşlar üzerinden bir okuma yapmanın daha yerinde olacağını düşünüyoruz. Zira Kanun’da yer alan paydaşlar bakımından;

  • kamu kurumları
  • kamu kurumu niteliğindeki meslek kuruluşları,
  • kritik altyapı işleten şirketler, gerçek ve tüzel kişiler,
  • tüzel kişiliği bulunmayan kuruluşlar  

ve özellikle yerli siber güvenlik ürünü üreten firmalar için farklı yükümlülüklerin mevcut olduğunu ve Kanun’un kapsamının oldukça geniş tutulduğunu görüyoruz. Amaç siber uzaydaki her türlü iç ve dış riskleri erken tespit edebilmek ve bunları etkisiz hale getirerek zararlarını en aza indirmek. Bunu ülkemizde yönetecek yeni yapı ise Siber Güvenlik Kurulu olacak.

Bu yazı dizisinde, Kanun’un getirdiği yükümlülükleri regülasyon hukuku[1] ve ekonomisi perspektifinden ele alacağız. Siber güvenlik hukukunun; idare ve regülasyon hukuku gibi yerleşik disiplinlerle nasıl etkileşime girdiğini, bu alanlardan ne ölçüde beslendiğini ve ortaya çıkan yeni hukuki dengeleri irdeleyeceğiz.

Bu ilk yazıda ise, yerli ve milli siber güvenlik ürünü üreten şirketlere getirilen başlıca yükümlülükler; özellikle pay devri ve kontrol değişikliği işlemlerinde Siber Güvenlik Başkanlığı’ndan onay alma zorunluluğu ile siber güvenlik ürünlerinin ihracatına ilişkin düzenlemeler ayrıntılı biçimde incelenecektir. Ayrıca, söz konusu düzenlemelerin rekabet hukuku mevzuatıyla kesişen ve ayrışan yönleri de değerlendirilecektir.

Yerli ve Milli Siber Güvenlik Ürünü Üreten Şirketlerin Yükümlülükleri

Siber güvenlik ürünlerini üretecek şirketlerin Siber Güvenlik Başkanlığı’nın  belirleyeceği usul ve esaslarda faaliyet gösterecek olmasının yanı sıra siber güvenlik alanında danışmanlık hizmeti verecek şirketlerin de sertifikasyon, yetkilendirme ve belgelendirme süreçlerinde Siber Güvenlik Başkanlığı’ndan onay alması gerektiğine dikkat çekmek gerek. Ayrıca kamu kurumları ve diğer kritik altyapılar da bu hizmetleri ancak Başkanlık tarafından yetkilendirilmiş siber güvenlik uzmanlarından veya üreticilerinden tedarik edebilecek.

Ancak ilk yazımızda siber güvenlik ürünü, sistem, yazılım, donanım veya hizmeti üreten şirketlerin, gerçekleştirdikleri birleşme, bölünme, pay devri veya satış işlemlerini Başkanlık’a bildirme yükümlülüğüne odaklanıyoruz. Bu kapsamda, söz konusu işlemler sonucunda bir gerçek veya tüzel kişiye, şirket üzerinde doğrudan ya da dolaylı kontrol hakkı veya karar alma yetkisi sağlayan durumlar Başkanlık onayına tabidir. Burada dikkat edilmesi gereken husus, tüm işlemlerin bildirilmesi gerektiği, ancak sadece kontrol hakkı veya karar alma yetkisi sağlayan işlemlerin onay gerektirdiğidir. Bu düzenleme ile amaçlanan, bir bakıma stratejik öneme sahip şirketlerin kontrolünün, otoritenin bilgisi dışında el değiştirmesinin önlenmesidir.

Bu durum rekabet hukukçuları olarak bize yabancı gelmiyor. Hatırlayacağınız üzere, rekabet hukuku mevzuatında yakın zamanda yapılan düzenlemelerle, teknoloji teşebbüsü tanımı rekabet hukuku rejimine eklenmiş ve bu teşebbüslerin taraf olduğu birleşme ve devralma işlemleri için ilave bildirim yükümlülükleri getirilmişti. Bu çerçevede, ciro eşikleri aşılmasa dahi, teknoloji teşebbüslerinin işleme taraf olması durumunda ilgili işlemlerin Rekabet Kurulu’na bildirilmesi zorunluluğu doğmuştu[2].

İşte tam da bu düzenlemeye benzer şekilde, İlgili Kanun, belirli işlemler için Siber Güvenlik Başkanlığı’nın onayının alınmasını zorunlu kılan bir bildirim yükümlülüğü öngörmektedir. Kanun’a göre, Başkanlık onayı alınmaksızın gerçekleştirilen işlemler hukuki geçerlilik kazanmayacaktır. Ayrıca Başkanlık, bu kapsamdaki işlemlerle ilgili olarak kurum ve kuruluşlardan bilgi ve belge talep edebilir.

Bu durum ve buna bağlı hukuki yaptırımlar, rekabet hukuku mevzuatındaki düzenlemelerle önemli benzerlikler taşımaktadır. Tıpkı Rekabet Kurulu’nun izni olmaksızın gerçekleştirilen birleşme ve devralmaların hukuken geçersiz sayılması gibi, bu Kanun kapsamında da gerekli bildirimin onayı alınmadığı sürece söz konusu işlem hukuki bir geçerlilik kazanamayacaktır.

Peki, izinsiz gerçekleştirilen bir işlemin, sadece hukuki geçerlilik kazanmaması dışında, Rekabet Kanunu’ndakine benzer şekilde maddi bir karşılığı (bedeli) olacak mıdır?

Bu sorunun cevabı müspettir. Kanun, ilgili görev ve sorumluluklarını yerine getirmeyenlere yönelik idari para cezası yaptırımı da içermektedir. Kanun’un 16. maddesine göre, on milyon Türk lirası ile yüz milyon Türk lirası arasında bir idari para cezası öngörülmüştür. Ancak rekabet hukukunda izinsiz bir devralma işlemi gerçekleştiren teşebbüslerin aksine, bu para cezasının belirlenmesinde bir alt ve üst sınır aralığı çizilmiş ve böylece ceza miktarının takdir edilmesi konusunda Siber Güvenlik Başkanlığı’na geniş bir yetki alanı tanınmıştır.

Kanun kapsamındaki bir işlemin Siber Güvenlik Başkanlığı’na bildirilmesinin, ilgili işlemi Rekabet Kurulu izninden muaf tutup tutmayacağı ise akla gelen önemli bir diğer soru.

Bu sorunun cevabının bizce menfi olduğu kanaatindeyiz. Zira, Rekabet Kurulu’na bildirim yükümlülüğünü (rekabet hukuku mevzuatındaki eşikleri aştığı sürece) ortadan kaldıracak, bunu açıkça düzenleyen bir hüküm bulunmamaktadır. Dolayısıyla, bildirim yükümlülüğünün devam ettiği düşünülmektedir.

Bu noktada, mevcut mevzuattaki farklı bir sektöre ilişkin düzenlemeyi hatırlatmak isteriz. 5809 sayılı Elektronik Haberleşme Kanunu, Rekabet Kurulu’nun elektronik haberleşme sektörüne ilişkin birleşme ve devralma kararları da dahil olmak üzere yapacağı tüm inceleme ve tetkiklerde, Bilgi Teknolojileri ve İletişim Kurumu’nun görüşünü ve düzenleyici işlemlerini öncelikle dikkate alacağına dair açık bir hüküm öngörmektedir.

Ancak Kanun’da, Elektronik Haberleşme Kanunu’ndakine benzer bir eşgüdüm hükmü bulunmamaktadır[3].

Rekabet Kurumu’nun da görev alanına girebilecek bu tür işlemlerde, başka sektörlerdeki başarılı örneklerde olduğu gibi (Elektronik Haberleşme sektöründe BTK ve Rekabet Kurumu arasındaki iş birliğinde olduğu gibi), Rekabet Kurumu ile Siber Güvenlik Başkanlığı’nın eşgüdümlü çalışmasının faydalı olacağı görüşündeyiz. Bu iş birliği, hukuki belirsizlikleri azaltarak süreçlerin daha etkin yürütülmesine katkı sağlayacaktır.

Ancak bu işlemlerin bildirilmesi noktasında şunu da söylemekte fayda var: Halihazırda siber güvenlik ürünleri satan şirketler rekabet hukuku mevzuatında teknoloji teşebbüsü olarak nitelendirilen ve Rekabet Kurumu’nun lafzıyla yazılım alanında faaliyet gösterme ihtimali çok yüksek olduğundan, siber güvenlik ürünleri satan şirketlerin yapacakları işlemler herhangi bir ciro eşiğine takılmadan izne tabi görülebilecektir.

Yerli ve Milli Siber Güvenlik Ürünlerinin Satışı

Yine Kanun’un siber güvenlik ürünleri ve şirketlerine ilişkin getirdiği yükümlülüklerden biri, siber güvenlik ürün, sistem, yazılım, donanım ve hizmetlerin yurt dışına satışı konusu. Ancak bu her satışta Başkanlıktan onay alınacağı anlamına gelmiyor. Kanun’a göre, söz konusu satışlar Başkanlıkça belirlenecek usul ve esaslara uygun olarak yapılacak ve bu usul ve esaslarda yer alacak izne tabi ürünlerin yurt dışına satışında Başkanlık onayı alınacak. Bir başka deyişle, hangi ürünlerin yurtdışına satılacağını Başkanlık belirleyecek.

Bu yepyeni bir düzenleme gibi gözüken uygulamanın aslında Dünya genelinde çok yaygın olduğunu söylemek gerekiyor, zira bu durum tamamen ülkelerin ihracat kontrolü rejimine ve politikalarına göre şekilleniyor. Örneğin Cellebrite adlı İsrail menşeili adli bilişim yazılımı ürünleri ve çözümleri sunan şirket, 2020 yılında Hong Kong ve Çin’deki müşteriler için hizmetlerini satmayı ABD’nin ihracat kontrol politikasında meydana gelen değişikliğe bağlı olarak durduracağını duyurmuştu. Benzer şekilde, bu firma söz konusu ürünü Türkiye’ye de satışını gerçekleştirmiyor.

Nitekim, Türkiye Büyük Millet Meclisi’nin Milli Savunma Komisyonu Tutanak Dergisi’ne göre, Siber Güvenlik Kanunu’nun görüşüldüğü 15 Ocak 2025 tarihli komisyon toplantısında söz konusu Kanun teklifinin imza sahibi milletvekili Ali Özkaya’ya göre, “kamu destekleriyle geliştirilen siber güvenlik ürünlerinin yurt dışına ihracatında belirli sınırlamalar ve kurumsal izin mekanizmaları getirilmesinin sebebi, diğer ülkelerden bu ürünleri temin ederken ciddi kısıtlamalarla karşılaşılmasıdır; bu nedenle devlet tarafından geliştirilen ürünlerin belirli bir izin dâhilinde satılması amaçlanmaktadır”.[4] Ali Özkaya’nın açıklamaları neticesinde, Avrupa cephesine baktığımızda ise İsveç menşeili başka bir adli bilişim yazılımı olan ve hatta Rekabet Kurumu meslek personelinin yerinde incelemeler esnasında WhatsApp mesajlarının ne zaman silindiğini tespit amaçlı[5] kullandığı XRY yazılımının satışı için İsveç Stratejik Ürünler Denetim Kurumunun (ISP)[6] yazılı ihracat izni alınmak zorunda. Yani yukarıda hem bizim hem de Ali Özkaya’nın belirttiği gibi, her ülke hangi ürünlerin kritik ve onaya tabi olması gerektiğine kendisi karar veriyor.

Bu kapsamda, Türkiye’de siber güvenlik alanında şu anda temel rehberimiz Siber Güvenlik Kanunu olsa bile, ikincil düzenlemeler devreye girdiğinde Siber Güvenlik Başkanlığı’nın belirli kriterlere dayalı olarak yüksek güvenlikli ve kritik ürünleri içeren bir liste yayımlaması beklenecektir. Bu adım, sadece mevzuatın netliğini artırmakla kalmayacak. Türkiye’nin global standartlarla uyumunu güçlendirecek ve siber güvenlik alanında daha şeffaf ve öngörülebilir bir ortam yaratacak. Böylece hem kamu kurumları hem de özel sektör, güvenlik ürünlerini seçerken daha bilinçli ve sistematik kararlar alabilecektir.

Sözü bitirirken

Kanun, Türkiye’nin dijital egemenliğini güvence altına alma yolunda stratejik bir yaklaşımı benimsediğini göstermektedir. Özellikle yerli ve milli siber güvenlik ürünleri üreten şirketlere getirilen Siber Güvenlik Başkanlığı onayı alma zorunluluğu, bu alandaki kritik varlıkların kontrolünün izlenmesini ve korunmasını amaçlamaktadır. Bu düzenleme, bir yandan siber güvenliği milli güvenliğin ayrılmaz bir parçası olarak konumlandırırken, diğer yandan rekabet hukuku gibi yerleşik disiplinlerden esinlenerek, onaysız işlemlere hukuki geçersizlik ve maddi idari para cezası gibi güçlü yaptırımlar öngörmektedir.

Kanun, aynı zamanda siber güvenlik ürünlerinin yurt dışına satışını da ihracat kontrol rejimleriyle uyumlu bir şekilde düzenleme niyetindedir; bu, küresel örneklerde görüldüğü gibi, ülkelerin kritik teknolojilerini koruma çabasının bir yansıması. Bu yeni süreçte, ikincil düzenlemelerin yayımlanmasıyla Siber Güvenlik Başkanlığı’nın yetki ve koordinasyonunun artacağı, diğer kamu kurum ve kuruluşları ile eşgüdümlü çalışma mekanizmalarının kurulmasının hukuki belirsizlikleri azaltma ve süreçleri etkinleştirme potansiyeline sahip olduğu aşikardır. Bu düzenlemeler bütünü, Türkiye’nin siber uzaydaki riskleri bertaraf etme ve şeffaf, öngörülebilir bir siber güvenlik ortamı yaratma kararlılığını bizce pekiştirmektedir.

Bu noktada belirtmek gerekir ki, Kanun’da pay devri ve kontrol değişikliği işlemleri ile ihracat kontrol süreçlerine ilişkin hususların Başkanlık tarafından yayımlanacak usul ve esaslar ile belirleneceği hükmü yer almaktadır. Bu düzenleme, hem pay devri ve kontrol değişikliği işlemlerinde hem de ihracat kontrol süreçlerinde ikincil mevzuatın belirleyici rol oynayacağını göstermektedir. Dolayısıyla, Siber Güvenlik Başkanlığı tarafından yayımlanacak usul ve esaslar, bu alandaki uygulamaların somut çerçevesini çizecek ve hukuki belirsizliklerin giderilmesinde kritik öneme sahip olacaktır.

Yazı dizimizin bir sonraki yazısında Kanun’u incelemeye devam edeceğiz.

[1] Regülasyon hukukuna ilişkin daha kapsamlı değerlendirmeler için Ortak Avukatımız Şahin Ardıyok’un Regülasyon Hukuku adlı eserine başvurabilirsiniz.

[2] Bu önemli konunun derinlemesine incelenmesi için, ekip arkadaşımız Bekir’in “Birleşme ve Devralmaların Kontrolünde Bir Yetki Meselesi: Teknoloji Teşebbüsü Tanımının Sınırları” başlıklı makalesine göz atmanızı tavsiye ederiz. Söz konusu makale, Uygulamalı Rekabet Hukuku Seminerleri 2024 isimli kitapta yayımlanmıştır.

[3] Türkiye Büyük Millet Meclisi’nin Milli Savunma Komisyonu Tutanak Dergisi’ne göre, Siber Güvenlik Kanunu’nun görüşüldüğü 15 Ocak 2025 tarihli komisyon toplantısında, Rekabet Kurumu’ndan da yetkililer bulunmaktadır. Bknz. https://www.tbmm.gov.tr/Tutanaklar/TutanakGoster/4079

[4] Bkz. 15 Ocak 2025 tarihli Türkiye Büyük Millet Meclisi Milli Savunma Komisyonu Tutanak Dergisi

[5] Rekabet Kurulunun 12.06.2024 tarihli 2024-3-028 sayılı Kararı

[6] https://www.msab.com/about-us/msab-terms-conditions/

Şimdi kayıt olun
Son blog yazılarımızı e-posta ile alın.
Gönder
, , , , , , , , , , ,
Ömer Faruk Çelik

Ömer Faruk Çelik

Ömer Faruk Çelik has an extensive experience in competition law, data protection law and white-collar crime. He is also specialized in mobile and computer forensics, open-source intelligence (OSINT), cyber threat detection and incident response, system administration of IT infrastructure and applied data science matters. Due to practical field experience in dawn raids, Ömer specializes in utilization of industry leading digital forensic software.

Tam biyografi

Bekir Aksarı

Bekir Aksarı

Tam biyografi

İLGILI MAKALELER