AVRUPA BİRLİĞİ VE ABD MEVZUATIYLA KARŞILAŞTIRMALI OLARAK 7545 SAYILI SİBER GÜVENLİK KANUNU

I. GİRİŞ

Dijitalleşmenin hızla derinleştiği günümüz dünyasında, siber güvenlik; ulusal güvenlikten ekonomik istikrara, kamu hizmetlerinin sürdürülebilirliğinden bireysel hakların korunmasına kadar birçok alanda devletler için öncelikli bir politika alanı hâline gelmiştir. Artan siber saldırılar, veri ihlalleri ve kritik altyapılara yönelik tehditler, sadece özel sektörün değil, kamu otoritelerinin de doğrudan müdahalesini gerektiren çok boyutlu riskler doğurmaktadır. Bu çerçevede, Türkiye’de 19 Mart 2025 tarihinde yürürlüğe giren 7545 sayılı Siber Güvenlik Kanunu, ilk kez sistematik bir hukuki çerçeve sunarak kamu ve özel sektörü kapsayan yükümlülükler, idari yapı ve yaptırım mekanizmaları getirmiştir. Bu kanunun yürürlüğe girmesiyle birlikte Türkiye’nin siber güvenlik alanındaki yasal altyapısı yeniden şekillenirken, bu düzenleme Avrupa Birliği’nin NIS2 Direktifi ve ABD’nin CISA mevzuatıyla karşılaştırmalı olarak değerlendirildiğinde, ulusal güvenliğin dijital boyutuna ilişkin yükümlülükler, yaptırımlar ve kurumsal yapı açısından dikkat çekici benzerlikler ve farklılıklar içermektedir. Bu makalede söz konusu kanun karşılaştırmalı hukuk perspektifiyle ele alınmaktadır.

II. SİBER GÜVENLİĞİN ANLAMI

A. Siber Güvenliğe Olan Yaklaşım

Siber güvenlik mevzuatı, günümüzde teknolojik tehditlere karşı ülkelerin en önemli savunma araçlarından biri hâline gelmiştir. Ancak her ülke, kendi tarihi geçmişi, toplumsal yapısı ve kurumları doğrultusunda farklı öncelikler ve stratejiler benimsemektedir. Nitekim hem 7545 sayılı Siber Güvenlik Kanunu hem de AB düzenlemeleri, siber güvenliği toplumsal güvenliğin önemli bir unsuru olarak kabul etmektedir. Ancak bu iki yaklaşım arasında hukuk anlayışı, kamunun rolü ve siber güvenliğin ihlali ihtimalinde cezalar bakımından dikkat çeken farklar bulunmaktadır.

B. Türkiye’de Siber Güvenlik

Siber güvenlik kavramının Türkiye’de hangi hukuki anlamda karşılık bulduğunu ortaya koymak açısından, 7545 sayılı Kanun’un 3. maddesinde yer alan tanıma başvurmak yerinde olacaktır:

“Siber güvenlik: Siber uzayı oluşturan bilişim sistemlerinin saldırılardan korunmasını, bu ortamda işlenen verinin gizlilik, bütünlük ve erişilebilirliğinin güvence altına alınmasını, saldırıların ve siber olayların tespit edilmesini, bu tespitlere karşı tepki ve alarm mekanizmalarının devreye alınmasını ve sonrasında yaşanan siber olay öncesi duruma geri döndürülmesini kapsayan faaliyetler bütününü…1”

7545 sayılı Kanun’un 3. maddesinde yer alan tanım, siber güvenliği esasen saldırılara karşı geliştirilen bir savunma pratiği olarak konumlandırmaktadır. Tanımda geçen saldırılardan korunma, tespit, tepki ve geri döndürme gibi ifadeler, siber olay gerçekleştikten sonra devreye giren müdahale ve iyileştirme mekanizmalarını ön plana çıkarmaktadır. Bu dilsel tercih, siber güvenliğe ilişkin anlayışın ağırlıklı olarak tepkisel nitelikte olduğunu ve tehdidin bertaraf edilmesine odaklandığını göstermektedir2.

C. AB Mevzuatına göre Siber Güvenlik

Avrupa Birliği’nin siber güvenliği ele aldığı;

Avrupa Birliği Genelinde Yüksek Ortak Siber Güvenlik Seviyesini Sağlamaya Yönelik Önlemler Hakkında Direktifi’nin (“NIS2 Direktifi”) 7. maddesindeki:

“(i) Bu Direktif kapsamı dışında kalanlar da dâhil olmak üzere küçük ve orta ölçekli işletmelerin siber dayanıklılıklarının ve temel siber hijyen düzeylerinin güçlendirilmesi amacıyla, onların özel ihtiyaçlarına hitap eden kolay erişilebilir rehberlik ve destek sağlanması.

(j) Etkin siber korumanın teşvik edilmesi”3.

hükümleri ve Siber Dayanıklılık Yasası’nın (“CRA”) kanun metni girişinde yer alan gerekçe (1);

“…Birliğin siber güvenliğe ilişkin yaklaşımının güçlendirilmesi, siber dayanıklılığın Birlik düzeyinde ele alınması ve dijital unsurlar içeren ürünlerin Birlik pazarına arzına ilişkin temel siber güvenlik gereklilikleri için yeknesak bir hukuki çerçevenin oluşturulması yoluyla iç pazarın işleyişinin iyileştirilmesi...”4.

birlikte incelendiğinde AB’nin siber güvenliği daha sistem dayanıklılığına odaklanan bir yaklaşımla ele aldığı ve dayanıklılığı siber güvenlik politikasının merkezine yerleştirdiği sonucu çıkmaktadır5.

D. ABD’de Siber Güvenlik Stratejisi

Amerika Birleşik Devletleri, 2023 yılında yayımladığı Ulusal Siber Güvenlik Stratejisi (“CISA”)6 ile siber güvenliği net bir şekilde kritik bir ulusal güvenlik sorunu olarak konumlandırmıştır7 8. Strateji, ABD’nin siber güvenlik politikasını beş temel faktör üzerine inşa etmekte olup, bu başlıklar altında tehditlere karşı daha bütüncül bir yaklaşım benimsemektedir. Strateji belgesinde öne çıkan temel unsurlar; kritik altyapılarda siber savunma, tehdit aktörlerini engelleme ve ortadan kaldırma, güvenliği ve dayanıklılığı artırmak için piyasayı şekillendirme, dirençli bir geleceğe yatırım ve hedeflere ulaşmak için uluslararası ortaklıklar başlıkları altında toplanmaktadır9.

E. AB, ABD ve 7545 sayılı Siber Güvenlik Kanunu’nun Karşılaştırılması

Söz konusu mevzuat incelendiğinde, Türkiye, Avrupa Birliği ve Amerika Birleşik Devletleri’nin siber güvenliğe ilişkin politikalarında düzenleyici yaklaşımların farklılık gösterdiği görülmektedir:

Türkiye’de 7545 sayılı Kanun’un 3. maddesinde yer alan siber güvenlik tanımı, ağırlıklı olarak tepkisel bir çerçeve sunmakta; saldırı gerçekleştikten sonra tespit, müdahale ve geri döndürme aşamalarına odaklanmaktadır10. Bu yaklaşım, siber güvenliği savunma temelli bir güvenlik pratiği olarak yapılandırmakta ve saldırının bertaraf edilmesi süreciyle sınırlamaktadır.

NIS2 Direktifi11 ve CRA12 olmak üzere, siber güvenliği kurumsal ve teknik dayanıklılığın artırılması hedefi doğrultusunda şekillendirmekte; önleyici, sürdürülebilir ve sistemik bir yaklaşımı benimsemektedir. Bu çerçevede, dijital sistemlerin kesintisiz işlemesini sağlayacak yapısal ve uzun vadeli dayanıklılık stratejilerine öncelik verilmektedir13.

ABD’nin CISA14 stratejisi ise, siber güvenliğin “daha katı şekilde” düzenlenmesini ve hükümet ile özel sektör arasında gelişmiş iş birliğini teşvik etmektedir15.

Sonuç olarak; Türkiye siber güvenlik alanında daha çok müdahaleye odaklı ve güvenlikçi bir perspektifi, Avrupa Birliği dayanıklılık eksenli kurumsal yapılanmayı, ABD ise ulusal kapasiteyi artıran kamu ve özel sektör arasındaki yönetim iş birliğine dayalı modeli tercih etmektedir.

III. AB, ABD VE TÜRK MEVZUATINDA SİBER GÜVENLİĞİN BAŞLICA KARŞILAŞTIRMA KONULARI

A. Ulusal ve Sektörel Siber Güvenliği Sağlayan Kuruluşlar Bakımından

1. Türkiye (7545 Sayılı Kanun):

7545 sayılı Kanun’un 4. maddesinde temel ilkeler arasında yer alan süreklilik ve kurumsallaşma16 ilkeleri doğrultusunda, ulusal siber güvenlik politikalarının etkin bir biçimde yürütülmesini teminen bir Siber Güvenlik Başkanlığı kurulmuştur17. Bu başkanlık, siber güvenlik sektöründe faaliyet gösteren kişi ve kuruluşları düzenlemek ve denetlemek üzere birincil yetkili kurum olarak belirlenerek daha önceden bu hususta Bilgi Teknolojileri ve İletişim Kurumu ile Dijital Dönüşüm Ofisi’nde bulunan yetkileri devralmıştır.

Siber Güvenlik Başkanlığı, siber olayları araştırmak, etkilenen kişi ve kuruluşlara müdahale desteği sağlamak, kanun kapsamındaki kişi ve kurumlardan her türlü bilgi, belge, veri ve kaydı toplamak; ayrıca siber güvenlik denetimleri ve incelemeleri yapmak üzere bağımsız denetçileri atamak ve yetkilendirmekle görevlidir. Bu kapsamda, Başkanlık; kendi uzmanları veya yetkilendirilmiş bağımsız denetçiler aracılığıyla, siber güvenlikle ilgili tüm işlem ve faaliyetleri yerinde denetleme yetkisine sahip olup, ilgili veri, belge, elektronik altyapı, cihaz, sistem, yazılım ve donanımların kopyalarını ve dijital görüntülerini inceleme ve toplama yetkisini haizdir.

Görüldüğü üzere, 7545 sayılı Kanun kapsamında kurulan Siber Güvenlik Başkanlığı; düzenleme, denetim, müdahale ve bilgi toplama gibi geniş kapsamlı yetkileri bünyesinde toplayarak siber güvenlik alanında merkezi ve bir otorite oluşturmayı hedeflemektedir.

2. AB NIS2 Direktifi:

Direktif uyarınca, her AB üyesi devletin ulusal bir siber güvenlik stratejisi benimsemesi, kritik hizmet sağlayıcılarını envantere kaydetmesi ve bu listeyi düzenli olarak güncellemesi gerekmektedir. Bu yolla, AB genelinde asgari düzeyde uyumlaştırılmış ve birbirini tamamlayan ulusal çerçevelerden oluşan bütünleşik bir yapı inşa edilmesi hedeflenmiştir18. Ayrıca NIS2, siber güvenliğin yalnızca teknik bir mesele olmadığını vurgulayarak üst yönetimin siber güvenlik risk yönetimi önlemlerine uyulmaması durumunda hesap verebilirliğini de getirerek, siber güvenliği yönetim kurulunun dikkatine sunmaktadır19. Sonuç olarak Avrupa Birliği, ulusal stratejilerle uyumlu, sektörler üstü ve bütüncül bir siber güvenlik ekosistemi kurma yolunda bir yapılanma izlemektedir. Türkiye’nin 7545 sayılı Kanunu da benzer biçimde her sektörü kapsayan tekil bir çerçeve oluşturduğundan, AB’nin yaklaşımıyla yapısal paralellik taşımaktadır.

3. ABD Mevzuatı

ABD’de haksız ticaret uygulamalarına getirilen kısıtlamalar dışında, genel uygulamaya tabi tek bir ABD siber güvenlik yasası bulunmamaktadır. Her bir kritik sektörden sorumlu federal düzenleyici kurumlar, kendi sektörlerine özgü siber güvenlik gerekliliklerini ve asgari standartlarını belirleyerek uygulamaktadır20. Örneğin finansal hizmetler alanında Menkul Kıymetler ve Borsa Komisyonu (SEC) gibi düzenleyiciler, halka açık şirketler ve bankaların siber risk yönetimini denetlemektedir. Benzer şekilde Sağlık sektöründe de Sağlık Sigortası Taşınabilirliği ve Sorumluluk Yasası (HIPAA), hastaneler ve sigorta şirketleri gibi sağlık hizmeti sağlayıcılarına ait hassas sağlık bilgilerinin korunması için belirli siber güvenlik önlemleri alma yükümlülüğü getirmektedir21.

Mart 2023’te yayınlanan Ulusal Siber Güvenlik Stratejisi sektör bazlı düzenlemelerden daha kapsayıcı bir düzenleyici yaklaşıma geçiş sinyalini “existing policy” bölümünde şu ifadelerle vermektedir:

“…siber güvenliğine yönelik gönüllü yaklaşımlar anlamlı iyileştirmeler sağlasa da, zorunlu gerekliliklerin olmaması yetersiz ve tutarsız sonuçlara yol açmıştır”22.

Görüldüğü üzere, strateji belgesi her ne kadar birden fazla düzenleyici yasanın varlığına eleştirel yaklaşsa da sonuç olarak ABD hâlâ tek bir kapsamlı yasa yerine sektörel düzenleyici tedbirler ve ulusal standartlarla şekillenen bir siber güvenlik ekosistemini sürdürmektedir. Türkiye’nin 7545 sayılı Kanun ile tesis ettiği merkezi ve tüm sektörleri kapsayan zorunlu çerçeve yaklaşımı, ABD’nin daha dağınık ve esnek sisteminden ayrılmaktadır.

B. Cezai ve İdari Yaptırımlar Bakımından

1. Türkiye (7545 Sayılı Kanun)

Kanun; kamu ve özel sektörde siber faaliyet gösteren tüm kişi ve kuruluşlar için siber güvenlik yükümlülükleri getirmekte ve bu yükümlülüklerin ihlali halinde cezai yaptırımlar öngörmektedir.

a. Hapis ve Adli Para Cezası Kapsamında Örnekler

m. 16/2’de yer alan izin almadan faaliyet gösterme: Kanun kapsamındaki bir faaliyeti gerekli onay veya yetki olmaksızın yürütenler: “alınması gerekli onay, yetki veya izinleri almaksızın faaliyet yürütenler iki yıldan dört yıla kadar hapis ve bin günden ikibin güne kadar adli para cezası ile cezalandırılır”23.

m. 16/3’te yer alan sır saklama ihlali: “Sır saklama yükümlülüğünü yerine getirmeyenlere dört yıldan sekiz yıla kadar hapis cezası verilir”24.

m. 16/4’te yer alan kişisel veya kritik verileri izinsiz paylaşanlar: “… kurumsal verileri, kişilerin veya kurumların izni olmaksızın ücretli veya ücretsiz şekilde erişime açan, paylaşan veya satışa çıkaranlara üç yıldan beş yıla kadar hapis cezası verilir”25.

b. İdari Para Cezaları

Kanun, bazı ihlallerde doğrudan idari para cezası uygulanacağını belirtmiştir. Özellikle Kanun’un 7. maddesindeki kritik bildirim ve tedarik yükümlülüklerini yerine getirmeyenlere “bir milyon Türk lirasından on milyon Türk lirasına kadar”; 18. maddedeki yükümlülükleri ihlal edenlere “on milyon Türk lirasından yüz milyon Türk lirasına kadar idari para cezası verilir” denilmektedir26.

Ayrıca 8. maddenin 4. fıkrasında sayılan inceleme, düzenleme, temin etme, önlem alma gibi yükümlülüklerin ihlali halinde 100 bin TL’den başlayan ve ilgili şirketlerin brüt satış hasılatının %5’ine kadar çıkabilen cezalar öngörülmüştür27.

c. Kurumlar Üzerinde Yaptırım Yetkisi

Kanun, 5. maddesinde Siber Güvenlik Başkanlığı’na geniş düzenleyici ve denetleyici yetkiler tanımıştır28. Bu yetkiler arasında başkanlık; denetim görevlilerini yetkilendirebilir ve gerektiğinde bu yetkileri süreli veya süresiz iptal edebilir.

2. AB Mevzuatı

a. Para Cezaları

NIS2 Direktifi, uyumsuzluk halinde uygulanacak idari yaptırımlar için ortak asgari seviyeler belirlemiştir. 34. madde uyarınca Üye Devletler, “işbu Direktifin ihlallerinde... etkili, orantılı ve caydırıcı”29 idari para cezaları uygulayacaktır. Belirlenen asgari ceza limitleri şunlardır:

Temel kuruluşlar için: en az “10 000 000 EUR veya toplam dünya çapı yıllık cironun %2’si, hangisi daha yüksekse” üst sınırında idari para cezası uygulanacaktır30.

Önemli kuruluşlar için: en az “7 000 000 EUR veya toplam dünya çapı yıllık cironun %1,4’ü, hangisi daha yüksekse” üst sınırında idari para cezası uygulanacaktır31.

Bunun yanında, NIS2 Direktifi m. 34/2’ye göre “İdari para cezaları, 32. maddenin 4. fıkrasının (a) ila (h) bentleri, 32. maddenin 5. fıkrası ve 33. maddenin 4. fıkrasının (a) ila (g) bentlerinde belirtilen tedbirlerin yanı sıra uygulanır”32 hükmü doğrultusunda, aşağıdaki idari tedbirlerin de üye devletlerce uygulanması zorunlu kılınmıştır.

b. İdari Tedbirler

NIS2 Direktifinin 32. maddesinin 4. fıkrasının a bendine göre: “İlgili kuruluşlar tarafından bu Yönergenin ihlalleri konusunda uyarılarda bulunmak”33.

NIS2 Direktifinin 32. maddesinin 4. fıkrasının h bendine göre: “ilgili kuruluşlara, bu Yönerge’nin ihlallerine ilişkin hususları belirtilen şekilde kamuoyuna duyurmalarını emretmek”34.

NIS2 Direktifinin 33. maddesinin 4. fıkrasının a bendine göre: “İlgili kuruluşlar tarafından bu Yönergenin ihlalleri konusunda uyarılarda bulunmak”35.

NIS2 Direktifinin 33. maddesinin 4. fıkrasının g bendine göre: “ilgili kuruluşlara, bu Yönerge’nin ihlallerine ilişkin hususları belirtilen şekilde kamuoyuna duyurmalarını emretmek”36.

c. Kurumlar Üzerinde Yaptırım Yetkisi

Ağır ihlallerde ve özellikle kritik altyapı hizmetlerinde, otoritelere şu yetkiler de tanınmıştır37:

NIS2 Direktifi’nin 32. maddesinin 5. fıkrasının a bendine göre: “faaliyetlerin bir kısmı veya tamamı ile ilgili bir sertifika veya yetkilendirmeyi ulusal mevzuata uygun olarak geçici olarak askıya almak.”

NIS2 Direktifi’nin 33. maddesinin 4. fıkrasının b bendine göre: “İlgili organlardan, mahkemelerden veya yargı organlarından… yönetim sorumluluklarını yerine getirmekle görevli herhangi bir gerçek kişinin söz konusu kuruluşta yönetim görevlerini yerine getirmesini geçici olarak yasaklamasını talep edebilir.”

3. ABD Mevzuatı

ABD’nin siber güvenliğe ilişkin uygulanması gereken yaptırımlarını incelediğimizde; 2022 tarihli Kritik Altyapı Olay Raporlama Yasası (“CIRCIA”), 1986 tarihli Bilgisayar Dolandırıcılığı ve Kötüye Kullanımı Yasası (“CFAA”) ile 2021 tarihli Siber Güvenlik Yürütme Emri (Executive Order 14028) temel düzenlemeler arasında yer almaktadır.

a. Kritik Altyapı için Siber Olay Bildirim Yasası (CIRCIA)

CIRCIA, kritik altyapı sektörlerindeki özel kuruluşlara belli siber olayları 72 saat içinde CISA’ya (Siber Güvenlik ve Altyapı Güvenliği Ajansı) bildirme yükümlülüğü getirmiştir. Söz konusu kanun hükmü:

CIRCIA Sect. 2242/a/1/A “Kapsanan bir siber olay yaşayan kapsanan bir kuruluş, olayın meydana geldiğine makul olarak inandıktan sonra en geç 72 saat içinde kapsanan siber olayı Ajansa bildirecektir”38.

Eğer şirket celbe uymazsa, yasa açıkça bu durumu contempt of court (mahkeme saygısızlığı) olarak değerlendirebilir CIRCIA celbine uyulmaması durumunda mahkeme kararına saygısızlık olarak cezalandırabilir39.

Örneğin, bir şirket zorunlu bir siber olayı bildirmezse CISA önce bilgi talep edebilir, ardından da mahkeme celbi çıkarabilir. Eğer şirket celbe uymazsa, yasa açıkça mahkeme saygısızlığı olarak cezalandırılabileceğini belirtmektedir.

Bazı siber olaylar daha ağır yaptırımlar kapsamında değerlendirilmektedir. Örneğin, CIRCIA kapsamında yapılan bildirimin kasten gerçeğe aykırı beyan içermesi hâlinde, ciddi hapis cezası öngörülmektedir:

Federal Register, CIRCIA kapsamında Proposed Rule p.94: “Yanlış beyan ve temsillerin cezası. Bir CIRCIA Raporu ile bağlantılı olarak veya bu Rapor kapsamında, bir bilgi talebine yanıt olarak veya bir idari celbe yanıt olarak bilerek ve isteyerek önemli ölçüde yanlış veya hileli bir beyanda bulunan herhangi bir kişi, 18 U.S.C. 1001 kapsamındaki cezalara tabidir”40.

18 U.S.C. 1001: “… maddi olarak yanlış, hayali veya hileli herhangi bir beyanda veya temsilde bulunan… bu başlık altında para cezasına çarptırılır, 5 yıldan fazla olmamak üzere hapis cezasına çarptırılır…”41.

b. Bilgisayar Dolandırıcılığı ve Kötüye Kullanımı Yasası (CFAA)

ABD Ceza Hukuku’nun Suçlar başlıklı 47. Bölümü ve 1030. maddesiyle düzenlenen Bilgisayar Dolandırıcılığı ve Kötüye Kullanımı Yasası (“CFAA”), yetkisiz bilgisayar erişimi, bilişim sistemlerine zarar verme, bilişim yoluyla dolandırıcılık gibi fiilleri suç sayar. CFAA’nın getirdiği cezalar hapis ve para cezası şeklindedir ve farklı ihlaller için farklı cezalar öngörülmüştür. Bu cezalardan bazı örnekler42:

CFAA (a)(2): Finansal veya kişisel bilgilere yetkisiz erişim suçunda,

CFAA (c)(2) hükmüne göre para cezası veya en fazla 1 yıl hapis ya da her ikisi

CFAA (a)(1): Ulusal güvenlikle ilgili gizli bilgilere yetkisiz erişim suçunda,

CFAA (c)(1) hükmüne göre para cezası veya en fazla 10 yıl hapis ya da her ikisi

CFAA (a)(5)(A): Bilerek zararlı yazılım gönderimiyle zarar verme suçunda,

CFAA (c)(3) hükmüne göre para cezası veya en fazla 5 yıl hapis ya da her ikisi

c. Yürütme Emri “Ulusun Siber Güvenliğini İyileştirmek”

12 Mayıs 2021 tarihinde ABD Başkanı tarafından imzalanan Yürütme Emri 14028 federal kurumlar ve yükleniciler açısından bağlayıcı kurallar koyar ve uyulmaması halinde dolaylı yaptırımlara yol açar. Emir, federal satın almalar yoluyla siber güvenlik şartlarını entegre eder. Emre göre, FAR (Federal Acquisition Regulation) değiştirilerek tüm yazılım tedarikçilerinin belirlenen standartlara uygunluk taahhüdü vermesi istenecektir43. Nihai kural yayımlandıktan sonra, “kurallara uymayan yazılım ürünleri tüm hükümet sözleşmelerinden çıkarılacak” ve mevcut sözleşmelerdeki yazılımlar bir geçiş süreci sonunda bu şartlara uymazsa sözleşmeler yenilenmeyecektir44. Emir metnindeki hüküm tam olarak şu şekildedir:

Yürütme Emri 14028 Section (4)(p):“…FAR’ı değiştiren herhangi bir nihai kuralın yayınlanmasının ardından, kurumlar, uygun olduğu ve geçerli yasalarla tutarlı olduğu şekilde, değiştirilen FAR’ın gerekliliklerini karşılamayan yazılım ürünlerini, tüm belirsiz teslimatlı, belirsiz miktarlı sözleşmelerden, Federal Tedarik Çizelgelerinden, Federal Hükümet genelindeki Satın Alma Sözleşmelerinden, Çerçeve Satın Alma Anlaşmalarından ve Çoklu Ödül Sözleşmelerinden çıkaracaktır”45.

Dolayısıyla Yürütme Emri 14028, federal tedarik zincirinde yer alan şirketler için fiili bir yaptırım mekanizması oluşturmuştur. Siber güvenlik şartlarına uymayan şirketler, federal işlerini kaybetme riskiyle karşı karşıya kalır. Bu yönüyle, yürütme emri idari bir yaptırım rejimi kurmuştur.

IV. SONUÇ

7545 sayılı Siber Güvenlik Kanunu, Türkiye’nin siber güvenlik alanında kurumsal, hukuki ve yaptırım kapsamlı bir çerçeve oluşturma yönündeki ilk sistematik adımıdır. Bu yönüyle, Avrupa Birliği’nin NIS2 Direktifi ve ABD’nin parçalı fakat güçlü etki yaratan CISA, CIRCIA ve CFAA gibi düzenlemeleriyle hem benzerlik hem de farklılıklar içermektedir. Türkiye, merkeziyetçi ve müdahaleye odaklı bir model benimserken; Avrupa Birliği daha çok kurumsal dayanıklılık ilkesine, ABD ise sektör bazlı esneklik ve piyasa yönlendirmesi temelli bir yaklaşım sergilemektedir.

7545 sayılı Kanun, Türkiye’de siber güvenlik alanında merkezi bir otorite olarak Siber Güvenlik Başkanlığı’nı ihdas ederek, tüm sektörleri kapsayan geniş yetkilere sahip bir düzenleme-denetim mekanizması kurmuştur. Avrupa Birliği ise NIS2 Direktifi ile her üye devlette ulusal strateji ve kurumlar yoluyla çok katmanlı bir yapı öngörmekte, karar alma süreçlerine yönetim düzeyinde sorumluluk yükleyerek hesap verebilir bir model benimsemektedir. ABD’de ise kurumsal yapı, sektörel düzenleyici kurumlar eliyle yürütülen parçalı bir model olup, son strateji belgeleri bu dağınıklığın daha merkezi bir yapıya doğru yöneldiğini göstermektedir.

Yaptırımlar bakımından 7545 sayılı Kanun, hapis ve adli para cezaları ile idari yaptırımları bir arada içeren sert bir güvenlik yaklaşımı benimsemekte; özellikle veri paylaşımı, izin almaksızın faaliyet ve sır saklama gibi fiillere ciddi cezai sonuçlar bağlamaktadır. AB düzenlemeleri ise ciro bazlı yüksek para cezaları ve kamuoyuna açıklama yükümlülükleri gibi kurumsal sorumluluğu odak noktasına alan yaptırımlar sunmaktadır. ABD ise CIRCIA ile bildirim yükümlülüklerini, CFAA ile bilişim suçlarına ilişkin hükümleri ve Yürütme Emri 14028 ile idari tedbirleri düzenleyerek farklı hukuki araçları bir arada kullanmaktadır.