5 Mayıs 2026 tarihli Siber Güvenlik Kurulu toplantısının ardından yapılan resmî açıklama, Türkiye’de siber güvenlik regülasyonunun uygulama alanı bakımından önemli bir eşiğe işaret ediyor[1]. Zira açıklamada, Dijital Altyapılar, Dijital Hizmetler, Elektronik Haberleşme, Enerji, Finans, Gıda ve Tarım, İmalat Sanayi, Kamu Hizmetleri, Medya ve Kriz İletişimi, Posta ve Kargo, Sağlık, Savunma Sanayii, Su Yönetimi, Ulaştırma ve Uzay alanlarının “Kritik Altyapı Sektörleri” olarak belirlendiği açıklandı. Aynı açıklamada, siber güvenliğin yalnızca teknik değil ekonomik, teknolojik ve toplumsal boyutları bulunan stratejik bir mesele olduğu da ayrıca vurgulandı.
Bu gelişme, 2025 yılında yürürlüğe giren 7545 sayılı Siber Güvenlik Kanunu (“Kanun”) ile kurulan çerçevenin somutlaşması bakımından dikkat çekici. Daha önceki yazılarımızda[2] da belirttiğimiz gibi Kanun kamu kurumları, kamu kurumu niteliğindeki meslek kuruluşları, kritik altyapı işleten şirketler ile gerçek ve tüzel kişiler bakımından geniş bir etki alanı kuruyor ve siber güvenliği klasik teknik güvenlik başlığının ötesine taşıyor.
Gelişmenin Arka Planı
Resmî açıklama, uzun süredir beklenen kritik altyapı sektörü belirlemesini yaptı. Bu belirleme, Kanun’daki “kritik altyapı” yaklaşımının hangi sektörler üzerinde yoğunlaşacağını göstermesi bakımından önemli. Açıklamanın dili de dikkat çekici. Kritik altyapıların korunması, dijital sistem güvenliği, veri egemenliği, siber dayanıklılık ve yerli kapasite artışı aynı stratejik çerçevede ele alınıyor. Bu da önümüzdeki dönemde yalnızca güvenlik tedbirlerinin değil tedarik, sertifikasyon, yetkilendirme ve denetim süreçlerinin de daha görünür hâle geleceğine işaret ediyor.
Kritik Altyapı Sektörlerini Belirlemenin Önemi
Bu gelişme, kritik altyapı sektörlerinde faaliyet gösteren veya bu sektörlere ürün ve hizmet sunan şirketler bakımından salt bir “politika beyanı” olarak okunmamalı. Tam tersine, bu belirleme bazı yükümlülüklerin uygulama etkisini güçlendiren, bazı yükümlülükler bakımından ise fiilen uyum baskısını artıran bir dönüm noktası niteliğinde.
Özellikle burada altı çizilmesi gereken husus, Siber Güvenlik Kanunu m.7 kapsamında öngörülen tedarik yükümlülüğü. Kamu kurumları ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik ürün, sistem ve hizmetlerinin, Siber Güvenlik Başkanlığı tarafından yetkilendirilmiş ve belgelendirilmiş siber güvenlik uzmanlarından, üreticilerden veya şirketlerden tedarik edilmesi gerekiyor. Bu yükümlülüğün ihlali hâlinde 1 milyon TL’den 10 milyon TL’ye kadar idari para cezası uygulanabilecektir. Resmî açıklamayla kritik altyapı sektörleri artık isimlendirilmiş olduğundan, bu yükümlülüğün hangi sektörler bakımından daha yakından takip edilmesi gerektiği de netleşmiş oldu.
Şirketler Bakımından Sonuçları
İlk olarak, kritik altyapı sektörlerinde faaliyet gösteren şirketler artık kendilerini yalnızca genel siber güvenlik yükümlülükleri bakımından değil, aynı zamanda kritik altyapıya özgü bir perspektif içinden değerlendirmek zorunda. Bu durum, özellikle tedarik zinciri, kullanılan siber güvenlik ürünlerinin kaynağı, hizmet alınan üçüncü tarafların statüsü ve muhtemel sertifikasyon gereklilikleri bakımından yeni bir uyum katmanı yaratıyor. Resmî açıklamadaki sektör listesinin genişliği dikkate alındığında, etki alanı yalnızca klasik anlamda enerji veya elektronik haberleşme gibi düzenlenmiş sektörlerle sınırlı değil; dijital hizmetlerden lojistiğe, sağlıktan uzaya kadar çok geniş bir şirket grubunu kapsıyor.
İkinci olarak, yalnızca kritik altyapı işletmecileri değil, bu sektörlere ürün ve hizmet sunan siber güvenlik sağlayıcıları da doğrudan etkilenecek. Çünkü mesele yalnızca hizmetin verilmesi değil; o hizmetin, Başkanlık tarafından yetkilendirilmiş ve belgelendirilmiş aktörler eliyle sunulup sunulmadığı. Dolayısıyla özellikle kamu kurumlarıyla, elektronik haberleşme işletmecileriyle, enerji şirketleriyle, finans kuruluşlarıyla veya diğer kritik altyapı aktörleriyle çalışan siber güvenlik ürün ve hizmet sağlayıcılarının, Başkanlık tarafından belirlenecek yetkilendirme ve belgelendirme şartlarını çok yakından izlemesi gerekecek.
Üçüncü olarak, bu gelişme sözleşmesel ilişkiler bakımından da önem taşıyor. Önümüzdeki dönemde kritik altyapı sektörlerine yönelik sözleşmelerde; tedarikçinin yetkilendirme ve belgelendirme statüsü, mevzuata uyum taahhütleri, denetim hakları, uyumsuzluk hâlinde fesih veya tazmin mekanizmaları ve güncel sertifikasyon durumunun korunmasına ilişkin hükümler daha fazla önem kazanabilir. Resmî açıklamanın “somut uygulamaların hayata geçirilmesi” ve “ilgili tüm paydaşların sürece etkin katılımı” yönündeki vurgusu, ikincil düzenleme ve uygulama adımlarının devam edeceğini gösteriyor.
Önümüzdeki Dönemde Beklenenler
Mevcut aşamada sektörler belirlenmiş olsa da, uygulamanın gerçek çerçevesi büyük ölçüde Siber Güvenlik Başkanlığı’nın çıkaracağı ikincil düzenlemeler, yetkilendirme kriterleri, belgelendirme süreçleri ve muhtemel teknik standartlarla netleşecek. Bu nedenle şirketlerin yalnızca sektör listesine bakıp pasif bir bekleme pozisyonu alması yeterli olmayabilir. Özellikle kritik altyapılarla çalışan şirketlerin şimdiden şu soruları sorması gerekir: Kullanılan siber güvenlik ürün ve hizmetleri hangi sağlayıcılardan temin ediliyor? Bu sağlayıcıların ileride aranacak yetkilendirme ve belgelendirme koşullarını karşılama kapasitesi var mı? Tedarik zincirindeki hangi halkalar uyum riski yaratıyor? Mevcut kamu ve özel sektör sözleşmeleri bu yeni rejime ne ölçüde uyumlu? Resmî açıklamadaki vurgu, sürecin bundan sonra somut uygulamalarla ilerleyeceğini açık biçimde ortaya koyuyor.
[1] https://www.iletisim.gov.tr/turkce/haberler/detay/siber-guvenlik-kurulu-cumhurbaskani-erdogan-baskanliginda-toplandi-05-05-26#:~:text=Dijital%20Altyap%C4%B1lar%2C%20Dijital%20Hizmetler%2C%20Elektronik,Altyap%C4%B1%20Sekt%C3%B6rleri%20olarak%20belirlenmesi%20kararla%C5%9Ft%C4%B1r%C4%B1lm%C4%B1%C5%9Ft%C4%B1r
[2] https://www.rekabetregulasyon.com/siber-guvenlik-kanunu-serisi-i-yerli-siber-guvenlik-sirketleri-icin-yeni-yukumlulukler/
