7545 Sayılı Kanun · Kritik Altyapı · TPRM

7545 Sayılı Kanun Kapsamında Tedarikçi Yükümlülükleri: Kritik Altyapı İşletmecileri İçin Rehber

Siber Güvenlik Kanunu’nun tedarikçi zincirine yansımaları, uyum takvimi, yaptırım riski ve kurumların şimdiden atması gereken adımlar.

⚖️ 7545 Sayılı Kanun 🏭 Kritik Altyapı 🛡 TPRM & ISO 27001 📖 ~12 dk okuma 🗓 Mart 2026

  2024 yılında yürürlüğe giren 7545 sayılı Siber Güvenlik Kanunu, Türkiye’nin siber güvenlik mevzuatında bir kırılma noktasıdır. Daha önce sektörel düzenlemeler (BDDK, EPDK, BTK) aracılığıyla parçalı biçimde ele alınan siber güvenlik yükümlülükleri bu Kanun ile ilk kez yatay ve bütüncül bir yasal çerçeveye kavuştu. Kanunun en az tartışılan ama en kritik boyutu şu: Yükümlülükler yalnızca işletmecinin kendisiyle sınırlı kalmıyor; tedarik zincirini de doğrudan kapsıyor. Kritik altyapı işletmecisiyseniz, tedarikçilerinizin güvenlik durumu artık sizin yasal sorumluluğunuzdadır.

⚖️7545 Sayılı Kanun Nedir? Temel Kavramlar

7545 sayılı Siber Güvenlik Kanunu, Türkiye’nin ilk kapsamlı ve sektörler üstü siber güvenlik yasal düzenlemesidir. Kanun; kurumsal yükümlülükler, olay bildirim zorunlulukları, yerli ürün tercihi, kamu-özel sektör koordinasyonu ve yaptırımlar dahil geniş bir alanı düzenlemektedir.

📜 Kanun Özeti

7545 Sayılı Siber Güvenlik Kanunu — Temel Parametreler

Kritik altyapı operatörleri için zorunlu siber güvenlik önlemleri ve USOM denetimi · Siber olayların bildirimi için 72 saatlik zorunlu mekanizma · Siber Güvenlik Kurulu‘nun üst politika belirleme makamı olarak konumlandırılması · Tedarik zinciri güvenliği için işletmeci sorumluluğunun genişletilmesi · Yurt içi yazılım ve donanım tercihi ilkesinin kritik sistemlerde hayata geçirilmesi. Kanun kapsamındaki yükümlülükler, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi (DDO) ve Bilgi Teknolojileri ve İletişim Kurumu (BTK) tarafından çıkarılacak ikincil mevzuat ve rehberlerle somutlaşmaya devam etmektedir.

Tedarikçi Boyutu: Kanun Ne Diyor?

Kanun’un tedarikçi güvenliğine ilişkin en kritik hükmü, işletmecilerin yalnızca kendi sistemleri için değil, üçüncü taraf hizmet ve ürün tedarikçilerinin oluşturabileceği riskler için de gerekli güvenlik önlemlerini almakla yükümlü tutulmasıdır. Bu hüküm, tedarik zinciri güvenliğini isteğe bağlı bir iyi niyet uygulamasından çıkarıp yasal bir zorunluluğa dönüştürüyor.

Siber güvenlik zinciri en zayıf tedarikçisi kadar güçlüdür. 7545 sayılı Kanun bu gerçeği hukuki zemine taşıdı.

🏭Kimler Kapsam Dahinde? Kritik Altyapı Sektörleri

Kanun kapsamındaki kritik altyapı sektörleri Cumhurbaşkanlığı kararnamesiyle belirlenmektedir. Mevcut düzenlemede aşağıdaki sektörler kritik altyapı kapsamına alınmıştır:

Sektör	Düzenleyici	Kritiklik	Tedarikçi Riski
⚡ Enerji (elektrik, doğalgaz, petrol)	EPDK	Tier 1	SCADA/ICS tedarikçileri, yazılım güncelleme zincirleri
🏦 Bankacılık ve Finans	BDDK / SPK	Tier 1	Ödeme altyapısı, bulut servis sağlayıcıları
✈️ Ulaşım ve Havacılık	SHGM / TCDD	Tier 1	GDS sistemleri, MRO, yer hizmetleri yazılımları
🏥 Sağlık	Sağlık Bakanlığı	Tier 1	Tıbbi cihaz yazılımları, HIS/PACS tedarikçileri
💧 Su ve Atık Su	İSKİ / Belediyeler	Tier 1	SCADA, telemetri ve izleme sistemi tedarikçileri
📡 Elektronik Haberleşme	BTK	Tier 1	Ağ altyapısı sağlayıcıları, yazılım tedarikçileri
🏛️ Kamu Hizmetleri (e-Devlet)	DDO	Tier 2	Yazılım geliştirme firmaları, veri merkezi hizmetleri
🏭 Savunma Sanayi	SSB	Tier 1	Alt yükleniciler, yazılım ve donanım tedarikçileri
🚢 Liman ve Denizcilik	Ulaştırma Bakanlığı	Tier 2	Liman yönetim sistemleri, gümrük entegratörleri
🌾 Tarım ve Gıda Güvenliği	Tarım Bakanlığı	Tier 3	Gıda tedarik zinciri izleme sistemleri
🔬 Araştırma Altyapıları	TÜBİTAK / YÖK	Tier 3	Araştırma veri sistemleri, bulut altyapıları

⚠️

Kapsam Belirsizliği: “Kritik Altyapı Tedarikçisi” Sayılıyor musunuz?

Kritik altyapı işletmecisi olmayan ama bu sektörlere hizmet veren yazılım firmaları, sistem entegratörleri ve danışmanlık şirketleri dikkat etmeli. Müşteriniz kritik altyapı kapsamındaysa, sözleşme yoluyla Kanun yükümlülükleri size de aktarılabilir. Bu aktarım genellikle tedarikçi güvenlik eki veya özel sözleşme maddesi yoluyla gerçekleşir.

📋Tedarikçi Yükümlülükleri: 5 Temel Başlık

7545 sayılı Kanun ve ikincil mevzuatın tedarikçi güvenliğine yönelik yükümlülükleri beş ana başlık altında ele alınabilir.

İşletmeci → Tedarikçi Yükümlülük Aktarım Zinciri

🏛️

7545 s.K. + DDO Rehberleri

Yasal çerçeve ve ikincil mevzuat

→

🏭

Kritik Altyapı İşletmecisi

Doğrudan yükümlülük taşıyıcı

→

🤝

Güvenlik Şartnamesi

Sözleşme aktarım mekanizması

→

🏢

Kritik Sistem Tedarikçisi

Dolaylı yükümlülük taşıyıcı

→

🔗

Alt Tedarikçi (4. Taraf)

Zincirin en görünmez halkası

🔍

1. Tedarikçi Güvenlik Değerlendirmesi

• Kritik sistem tedarikçilerinin sözleşme öncesi güvenlik değerlendirmesinin yapılması
• Tedarikçinin bilgi güvenliği olgunluk düzeyinin belgelendirilmesi
• Değerlendirme sonuçlarının USOM denetimine sunulmak üzere arşivlenmesi
• Yüksek riskli tedarikçiler için yerinde veya uzaktan denetim hakkının sözleşmeye eklenmesi

📄

2. Sözleşmesel Güvenlik Şartları

• Tedarikçi sözleşmelerine güvenlik gereklilikleri ve minimum standartların eklenmesi
• Siber olay bildirim yükümlülüğünün sözleşmede açıkça tanımlanması (24 saat önerilir)
• Tedarikçi değişikliklerinde bildirim zorunluluğu (personel, sistem, alt yüklenici)
• Sözleşme bitiminde veri iade/imha prosedürünün belirlenmesi

👁️

3. Sürekli İzleme Yükümlülüğü

• Kritik tedarikçilerin güvenlik durumunun periyodik anket ve teknik araçla izlenmesi
• Tedarikçi kaynaklı siber olayların tespiti için izleme mekanizması kurulması
• Dış saldırı yüzeyi izleme araçlarının (SecurityScorecard vb.) değerlendirilmesi
• İzleme sonuçlarının SOME raporlamasına dahil edilmesi

🚨

4. Olay Bildirimi ve Müdahale

• Tedarikçi kaynaklı siber olayların 72 saat içinde USOM’a bildirilmesi
• Olay müdahale planında tedarikçi kaynaklı senaryolara yer verilmesi
• Tedarikçiyle ortak tatbikat / masabaşı egzersizi programı oluşturulması
• Olay sonrası raporun tedarikçi bazında analiz içermesi

🇹🇷

5. Yerli Ürün Tercihi Yükümlülüğü

• Kritik sistemlerde yerli ve milli siber güvenlik ürünlerine öncelik verilmesi
• Yabancı yazılım/donanım kullanımında ek güvenlik değerlendirmesi ve gerekçelendirme
• Tedarikçilerin kullandığı bileşenlerin menşei ve güvenlik belgelerinin incelenmesi
• SOME kurulumunda yerli güvenlik araçlarının değerlendirilmesi

🔴

İşletmecinin Tedarikçi İçin Sorumluluğu: Sınır Nerede?

7545 sayılı Kanun’un getirdiği en önemli yenilik, işletmecinin tedarikçinin eylemsizliğinden de sorumlu tutulabilmesidir. Tedarikçiniz bir güvenlik açığını kapatmadı ve bu açık üzerinden saldırı gerçekleşti; siz gerekli denetim ve önlemleri almadıysanız cezai sorumluluk tarafınıza yansıyabilir. “Tedarikçimiz yapmadı” savunması, yasal yükümlülük açısından sizi korumaz.

📅Uyum Takvimi ve Güncel Durum

7545 sayılı Kanun kademeli bir uyum takvimi öngörmektedir. Kurumların hangi aşamada olduğunu ve önümüzdeki dönemde ne beklemesi gerektiğini aşağıdaki zaman çizelgesi özetliyor.

✓

2024 — 1. Çeyrek

Kanunun Yürürlüğe Girmesi

7545 sayılı Siber Güvenlik Kanunu Resmi Gazete’de yayımlandı. Siber Güvenlik Kurulu ve DDO görev dağılımı tanımlandı. Kritik altyapı sektörlerinin tespiti başladı.

Tamamlandı

✓

2024 — 3. Çeyrek

İkincil Mevzuat ve Sektör Rehberleri

DDO BİGR güncellemeleri yayımlandı. Kritik altyapı operatörlerine sektör özelinde uygulama rehberleri iletildi. SOME kurulumu için ön şartlar netleşti.

Tamamlandı

!

2025 — 2026 (Aktif Dönem)

Denetimler ve Uyum Değerlendirmeleri

USOM ve BTK tarafından kritik altyapı operatörlerine yerinde ve uzaktan denetimler başladı. Tedarikçi güvenliği sorguları giderek artan sıklıkta gündeme geliyor. Bu dönemde uyumsuzluklar idari para cezasına konu olmaya başladı.

Devam Ediyor — Şimdi Hazırlık Yapın

→

2026 — 4. Çeyrek

Tedarikçi Güvenliği Zorunlu Raporlama

Kritik altyapı operatörlerinin tedarikçi güvenlik değerlendirme raporlarını USOM’a sunmaları zorunlu hale geliyor. Yerli ürün tercihinde kademeli geçiş takviminin son aşaması devreye giriyor.

Yaklaşıyor

?

2027 ve Sonrası

Tam Uyum Dönemi

Tüm kritik altyapı operatörlerinden eksiksiz TPRM programı, sürekli izleme kanıtı ve tedarikçi güvenlik raporu bekleniyor. Uyumsuzluğun tam yaptırım rejimine tabi tutulması öngörülüyor.

Planlama Döneminde

📌

Bugün İtibariyle Kritik Olan: Tedarikçi Envanteri

Denetim gündemi kritik sistemlere erişen tedarikçilerin listesini ve bu tedarikçilerle imzalanmış sözleşmelerdeki güvenlik maddelerini sorgulamaktadır. Tedarikçi envanterinizin bugün hazır olmaması, denetimde en sık tespit edilen eksiklikler arasında yer alıyor.

⚡Yaptırımlar ve Ceza Rejimleri

7545 sayılı Kanun, önceki sektörel düzenlemelere kıyasla çok daha ağır ve kapsamlı bir yaptırım rejimi öngörmektedir.

İhlal Türü	Yaptırım Aralığı	Ek Risk
Siber olay bildirim yükümlülüğünün yerine getirilmemesi	500K–5M ₺	Tekrar halinde ikiye katlanır
Zorunlu güvenlik önlemlerinin alınmaması	1M–10M ₺	Ağırlaştırıcı koşullarda ek yaptırım
USOM denetimine gerekli erişim sağlanmaması	2M–20M ₺	Faaliyet durdurma kararı gelebilir
Tedarikçi kaynaklı ihlalde önlem almamış olmak	500K–5M ₺	Tedarikçiyle dayanışmalı sorumluluk riski
Yerli ürün tercihi yükümlülüğüne aykırılık (kritik sistem)	1M–10M ₺	Hibe ve teşvik iptali de gündeme gelebilir
SOME kurulum yükümlülüğünün yerine getirilmemesi	500K–3M ₺	Geçici faaliyet kısıtlaması riski

🔴

Siber Olay + Tedarikçi İhmali = Çift Yaptırım Riski

Tedarikçi kaynaklı bir siber saldırı sonrası USOM denetimi iki şeyi aynı anda sorgular: (1) Olayı 72 saat içinde bildirdiniz mi? ve (2) Bu tedarikçi için önceden güvenlik değerlendirmesi yaptınız mı? Her iki soruya da “Hayır” yanıtı verirseniz iki ayrı ihlal kalemi üzerinden ceza hesaplanabilir. Toplamda 10–25M ₺ aralığına ulaşabilen bu senaryo, önleyici TPRM yatırımını son derece değerli kılıyor.

🔗TPRM Programınıza Nasıl Entegre Edersiniz?

1

Kanun Kapsamı Tespiti: İşletmeci misiniz, Tedarikçi misiniz?

Kurumunuzun Kanun karşısındaki konumunu netleştirin. Doğrudan kritik altyapı işletmecisiyseniz yükümlülükler birincil; kritik altyapıya hizmet veren bir tedarikçiyseniz sözleşme yoluyla yükümlülükler size aktarılmış olabilir. Her iki durumda da TPRM altyapısı zorunludur.

2

Kritik Sistem Tedarikçi Envanteri Çıkarın

Kanun kapsamındaki yükümlülükler yalnızca kritik sistemlere erişen tedarikçiler için tam ağırlıkla uygulanır. Hangi tedarikçinin kritik sisteme eriştiğini belgelemek — erişim türü, erişilen sistem adı, erişim sıklığı dahil — hem uyum hem denetim hazırlığı açısından temel adımdır.

3

Sözleşme Şablonlarını Güncelleyin

Kritik sistem tedarikçisi sözleşmelerine en az şunlar eklenmelidir: siber olay bildirimi yükümlülüğü ve süresi (24 saat önerilir), denetim hakkı, alt tedarikçi değişikliği bildirimi ve sözleşme bitiminde veri iade/imha prosedürü. Yeni sözleşmelerde bu maddeler standart güvenlik şartnamesi eki formatında sunulabilir.

4

SOME ile TPRM’yi Entegre Edin

SOME kurulumu zorunlu olan kuruluşların olay müdahale planlarında tedarikçi kaynaklı senaryolara yer vermesi gerekiyor. SOME’nin eskalasyon matrisine “tedarikçi kaynaklı olay” akışını ekleyin ve tedarikçi iletişim protokollerini SOME prosedürlerine dahil edin.

5

USOM Bildirimi için Tedarikçi Boyutunu Hazırlayın

USOM’a yapacağınız siber olay bildirimlerinde tedarikçi kaynaklı olayları ayırt edebilmek için olay kayıt sisteminizde “kaynak: tedarikçi” kategorisini oluşturun. Bu hem bildirim kalitesini artırır hem de denetim sorularına hazır yanıt üretir.

6

Periyodik Denetim ve Raporlama Döngüsü Kurun

Yıllık tedarikçi güvenlik değerlendirme raporunu USOM’a sunmaya hazır biçimde hazırlayın. Bu rapor; değerlendirilen tedarikçi sayısı, bulunan kritik eksiklikler, alınan aksiyonlar ve sürekli izleme bulgularını kapsamalıdır. ServiceNow GRC veya benzeri bir platform bu raporlamayı büyük ölçüde otomatize edebilir.

🔧

ISO 27001 ile Çakışma Değil, Sinerji

ISO 27001:2022 Ek A 5.19–5.22 ile 7545 sayılı Kanun’un tedarikçi gereklilikleri büyük ölçüde örtüşüyor. ISO 27001 sertifikası olan kurumlar için iyi haber: mevcut tedarikçi yönetim prosedürlerinizi Kanun gereklilikleriyle eşleştirmek, sıfırdan başlamaktan çok daha az iş demek. Fark, Kanun’un USOM bildirimi ve yerli ürün tercihi gibi Türkiye’ye özgü katmanlar eklemesidir.

✅Uyum Kontrol Listesi

📁 Envanter ve Sınıflandırma

• Kritik sistemlere erişimi olan tüm tedarikçiler listelenmiş ve erişim türleri belgelenmiş mi?
• Tedarikçiler kritiklik seviyesine göre sınıflandırılmış mı? (kritik / yüksek / orta / düşük)
• Alt tedarikçiler (4. taraf) görünür ve kayıt altında mı?

📄 Sözleşme ve Hukuki Uyum

• Kritik sistem tedarikçisi sözleşmelerinde siber olay bildirim yükümlülüğü mevcut mu? (24–72 saat)
• Sözleşmelerde denetim hakkı maddesi var mı?
• Alt tedarikçi değişikliklerinin bildirilmesi yükümlülüğü sözleşmede mi?
• Sözleşme bitiminde veri iade/imha prosedürü tanımlanmış mı?
• Minimum güvenlik gerekliliği (ISO 27001 veya eşdeğeri) sözleşmede şart olarak belirtilmiş mi?

🚨 SOME ve Olay Yönetimi

• SOME kurulumu tamamlanmış ve DDO’ya bildirim yapılmış mı?
• Olay müdahale planında tedarikçi kaynaklı senaryo akışı tanımlı mı?
• USOM bildirimi için 72 saatlik süreç yazılı ve test edilmiş mi?
• Son 12 ayda tedarikçi kaynaklı senaryo içeren masabaşı tatbikatı yapıldı mı?

🔍 Değerlendirme ve İzleme

• Kritik tedarikçiler için yıllık güvenlik değerlendirmesi yapılıyor mu?
• Değerlendirme sonuçları arşivleniyor ve USOM denetimine sunulmak üzere hazır tutuluyor mu?
• Tedarikçinin güvenlik durumundaki değişiklikler (ihlal, sertifika iptali) için izleme var mı?
• Kritik tedarikçiler için çıkış/yedek tedarikçi planı hazır mı?

🇹🇷 Yerli Ürün ve Veri Egemenliği

• Kritik sistemlerde kullanılan yerli/yabancı ürün dağılımı belgelenmiş mi?
• Yabancı yazılım kullanan kritik sistemler için ek güvenlik değerlendirmesi yapıldı mı?
• Tedarikçilerin işlediği verilerin yurt içinde mi, yurt dışında mı saklandığı biliniyor mu?
• Yurt dışına veri aktarımı yapan tedarikçiler için KVKK Madde 9 gereklilikleri karşılanıyor mu?

💡

Başlangıç Noktası Önerisi

Bu kontrol listesindeki her “Hayır” yanıtı bir aksiyon kalemidir. Denetimde en sık sorulan ilk üç konu şunlardır: tedarikçi envanteri, sözleşmede bildirim maddesi ve SOME entegrasyonu. Buradan başlayın — hızlı kazanımlar sizi denetim öncesi rahatlatır ve program olgunluğunuzu görünür kılar.