7545 Sayılı Siber Güvenlik Kanunu Uyum Sürecinde Neler Yapılmalı? Şirketler İçin Milestone Bazlı Yol Haritası
19 Mart 2025’te yürürlüğe giren 7545 Sayılı Siber Güvenlik Kanunu, Türkiye’de siber güvenliği ilk kez tek bir çatı altında düzenleyen yasal çerçeveyi ortaya koydu. Kanun yalnızca yeni yükümlülükler getirmiyor; aynı zamanda kurumların siber dayanıklılığını ölçülebilir bir olgunluk göstergesine dönüştürüyor. Bu yazıda kanunun şirketlere getirdiği gereklilikleri ve 5 fazlı, milestone bazlı bir uyum yol haritasını ele alıyoruz.
1. 7545 Sayılı Kanun Neyi Düzenliyor? Kim Kapsamda?
12 Mart 2025’te kabul edilen ve 19 Mart 2025 tarihli Resmi Gazete ile yürürlüğe giren 7545 Sayılı Siber Güvenlik Kanunu, Türkiye’de siber güvenlik alanını tek bir çatı kanunu altında düzenleyen ilk yasal düzenlemedir. Kanun aynı zamanda Siber Güvenlik Başkanlığı ve Siber Güvenlik Kurulu‘nun kuruluş esaslarını da belirlemektedir.
Kanun’un 2. maddesi kapsamı son derece geniş tutmuştur: “siber uzayda varlık gösteren, faaliyet yürüten, hizmet sunan kamu kurum ve kuruluşları, kamu kurumu niteliğinde meslek kuruluşları, gerçek ve tüzel kişiler ile tüzel kişiliği bulunmayan kuruluşlar“. Pratikte bu, internet altyapısını kullanan hemen her şirketin bir şekilde kapsam içinde olduğu anlamına gelir.
Kanunun Temel İlkeleri (Madde 4)
Kanun’un 4. maddesi, uyum sürecini yorumlarken her zaman göz önünde bulundurulması gereken 10 temel ilke ortaya koyar. Bu ilkeler, aynı zamanda “neden uyum sağlanmalı?” sorusunun da cevabını verir:
- Kurumsallık ve süreklilik: Siber güvenlik artık tek seferlik bir proje değil, kurumsal bir kabiliyettir.
- Tüm yaşam döngüsü kapsamı: Tedarik, geliştirme, işletim ve sonlandırma süreçlerinin tamamı kapsam dahilindedir.
- Yerli ve milli ürün önceliği: Tedarikçi seçim kriterlerinde yerli teknolojinin desteklenmesi yasal bir tercih unsuru hâline gelmiştir.
- Hesap verebilirlik: Üst yönetim sahipliği ve sorumluluk zincirleri net biçimde tanımlanır.
- Sürekli gelişim: Olgunluk seviyesi sabit kalmaz, sürekli yukarı taşınması beklenir.
- Hukukun üstünlüğü ve mahremiyet: Temel hak ve özgürlükler her aşamada gözetilir.
Bu ilkeleri “yasal bir zorunluluk” olarak değil, iyi yönetilen bir kurumun zaten yaptıkları olarak okumak en doğru yaklaşımdır. Kanun, bu uygulamaları opsiyonel olmaktan çıkarıp ulusal standart haline getirmiştir.
2. Şirketler İçin Doğrudan Yükümlülükler (Madde 7)
Kanun’un 7. maddesi, özel sektör için en doğrudan operasyonel yükümlülükleri tanımlayan maddedir. Bilişim sistemleri kullanarak hizmet sunan, veri toplayan veya işleyen tüm şirketler aşağıdaki dört temel yükümlülüğe tabidir:
Bilgi ve Belge Sağlama Yükümlülüğü
Başkanlık talep ettiğinde her türlü veri, bilgi, belge, donanım, yazılım ve katkı öncelikle ve zamanında iletilmek zorundadır. Bu yükümlülük, kurumların bilişim varlıkları ve veri akışları üzerinde net görünürlüğe sahip olmasını gerektirir.
Zafiyet ve Siber Olay Bildirimi
Tespit edilen zafiyet ve siber olaylar gecikmeksizin Başkanlığa bildirilmelidir. Bu yükümlülük, kurumların olay tespit, sınıflandırma ve raporlama süreçlerini yapılandırılmış biçimde kurmasını gerektirir — aynı zamanda sektörel tehdit istihbaratı paylaşımının da temelini oluşturur.
Yetkilendirilmiş Tedarikçi Tercihi
Kamu kurumları ve kritik altyapılarda kullanılacak siber güvenlik ürün, sistem ve hizmetleri Başkanlık tarafından yetkilendirilmiş ve belgelendirilmiş uzman, üretici veya şirketlerden tedarik edilmelidir. Bu, Üçüncü Taraf Risk Yönetimi (TPRM) süreçlerini doğrudan etkiler.
Politika, Strateji ve Eylem Planına Uyum
Başkanlık tarafından yayımlanan tüm politika, strateji, eylem planı ve düzenleyici işlemlere uyum sağlanmak ve gerekli tedbirler alınmak zorundadır. Bu, kurumların düzenleyici güncellemeleri sürekli takip eden bir yapı kurmasını gerektirir.
Bunlara ek olarak, kanun çerçevesinde Başkanlığın denetim yetkisi (Madde 8) ve bağımsız denetçiler aracılığıyla yapılacak değerlendirmeler de göz önünde bulundurulmalıdır. Bu denetimlere hazırlıklı olmak, dokümantasyon disiplini ve sürekli iç değerlendirme alışkanlığı gerektirir.
3. Uyumun Stratejik Faydaları: Neden Şimdi?
7545 Sayılı Kanun’a uyum sürecini yalnızca yasal bir gereklilik olarak değil, kurumsal olgunluğun ölçülebilir göstergesi olarak ele almak doğru yaklaşımdır. Yapılandırılmış bir uyum programı, aşağıdaki somut faydaları sağlar:
Siber Dayanıklılık
Olay tespit ve müdahale kapasitesinin yapılandırılması, gerçek bir siber saldırı anında iş sürekliliğini güvence altına alır. Uyum çalışması; aynı zamanda kurumun kendini koruma kabiliyetidir.
Müşteri ve İş Ortağı Güveni
Kritik altyapı sektörlerine tedarikçi olan kurumlar için 7545 uyumu artık ihale ve sözleşme öncesi gereklilik haline gelmektedir. Hazırlıklı kurumlar rekabet avantajı kazanır.
Yönetimsel Görünürlük
Uyum süreci, üst yönetime siber risklerin somut, ölçülebilir göstergelerle sunulmasını sağlar. Bütçe planlaması, yatırım önceliklendirmesi ve risk iletişimi netleşir.
Çoklu Uyum Sinerjisi
7545 uyumunda yapılan çalışmalar, KVKK, ISO 27001, DORA ve sektörel düzenlemeleri büyük ölçüde kapsar. Tek bir altyapı yatırımı, çoklu mevzuat uyumunu paralel olarak sağlar.
Olay Müdahale Hızı
Bildirim mekanizması ve SOME yapısı kurulmuş bir kurum, gerçek bir olay anında çok daha hızlı toparlanır. Hazır yapı, kriz anında doğaçlama zorunluluğunu ortadan kaldırır.
Kurumsal Olgunluk
Uyum süreci; süreç dokümantasyonu, varlık yönetimi ve sorumluluk haritalarını yapılandırır. Bu yapı, yalnızca siber güvenlik değil, kurumsal yönetişim olgunluğuna da hizmet eder.
Uyum sürecini “yapmak zorunda olduğumuz bir iş” olarak değil, “kurumu güçlendirecek bir yatırım” olarak ele alan ekipler, hem süreçte daha verimli hareket eder hem de elde edilen yapıyı sonraki yıllarda büyük bir rekabet avantajına dönüştürür.
4. Milestone Bazlı Uyum Yol Haritası (5 Faz)
7545 Sayılı Kanun’a uyum, tek seferlik bir belge edinme değil, çok katmanlı ve sürekli bir program gerektirir. Şirketlerin önündeki yol haritasını, deneyimimiz ışığında 5 ardışık fazda ve net milestone’larla tanımlayabiliriz.
Kapsam ve Konum Analizi
İlk milestone, kurumun 7545 kapsamındaki konumunu net olarak tespit etmektir. Kurumun doğrudan mı, dolaylı mı (tedarikçi olarak) yoksa kritik altyapı kapsamında mı yer aldığı belirlenir. Bu tespit, sonraki tüm fazları doğru ölçeklendirmek için kritiktir.
- 7545 kapsam matrisi (kurum doğrudan/dolaylı/kritik altyapı tedarikçisi mi?)
- Bilişim varlığı envanteri (sistem, veri, kişisel veri akışları)
- Mevcut uyum çerçeveleri haritası (ISO 27001, KVKK, BDDK, varsa)
- Üst yönetime sunulacak durum değerlendirme raporu
- Uyum bütçesi ön taslağı ve roller (RACI)
Boşluk Analizi (Gap Analysis)
Kanun’un 4, 5, 6, 7 ve 8. maddelerindeki yükümlülükler tek tek alınarak, kurumun mevcut durumu ile karşılaştırılır. Bu çıktı, sonraki tüm faaliyetlerin önceliklendirilmesini belirler.
- 7545 boşluk analizi raporu (madde bazında uyum yüzdesi)
- Olgunluk seviyesi haritası (NIST CSF veya ISO 27001 referansıyla)
- Önceliklendirilmiş bulgular listesi (Yüksek / Orta / Düşük öncelik)
- Tahmini uyum maliyeti tablosu
- İcra kuruluna sunulmaya hazır uyum stratejik planı
Yönetişim Çerçevesi ve Politikalar
“Hesap verebilirlik” ve “kurumsallık” ilkeleri (Madde 4/c, 4/f) gereği, sözlü kararlardan yazılı politikalara geçiş bu fazda tamamlanır. Bu, hem iç denetim hem de Başkanlık değerlendirmelerinde gösterilecek temel belgesel kanıt katmanıdır.
- Siber Güvenlik Politikası (üst yönetim onaylı)
- Siber Olay Yönetimi ve Bildirim Prosedürü (Başkanlık bildirim akışı dahil)
- Tedarikçi Güvenlik Yönetimi Politikası (TPRM)
- Veri Sınıflandırma ve Varlık Yönetimi Prosedürü
- Siber Güvenlik Komitesi kuruluşu ve RACI matrisi
- SOME (Siber Olaylara Müdahale Ekibi) kuruluşu — özellikle kritik altyapılarda zorunlu
Teknik Kontroller ve Tedarikçi Programı
Politikalar yazıldıktan sonra teknik kontrol katmanı devreye alınır. Bu faz, en yüksek bütçe ve teknik insan kaynağı ihtiyacı duyulan aşamadır. Madde 7/1-c gereği yetkilendirilmiş tedarikçi tercihleri burada yapılandırılır.
- Log yönetimi ve SIEM/SOC altyapısı (Madde 6/1-d uyumlu)
- Ayrıcalıklı erişim yönetimi (PAM) çözümü
- Endpoint koruma (EDR/XDR) ve ağ segmentasyonu
- Düzenli sızma testi ve zafiyet tarama programı (Madde 5/1-b uyumlu)
- Tedarikçi denetim programı ve sözleşmesel güvenlik klozları
- Yedekleme ve iş sürekliliği planı (ISO 22301 referansıyla)
- Çalışan farkındalık eğitimleri (yıllık)
İzleme, Denetim ve Sürekli İyileştirme
Madde 4/g “sürekli gelişim yaklaşımı” ilkesi gereği uyum bir durum değil süreçtir. Bu faz, kurumun siber dayanıklılığını canlı tutar ve değişen tehdit ortamına uyum sağlar.
- Yıllık iç denetim programı ve raporları
- Masaüstü tatbikatlar (tabletop exercises) ve siber kriz simülasyonları
- KPI/KRI raporlamaları (üst yönetim çeyreklik)
- Tedarikçi yıllık değerlendirme döngüsü
- Tehdit istihbaratı abonelikleri ve istihbarat raporları
- Düzenleyici güncellemelerin (ikincil mevzuat) izlenmesi
🗓 Zaman Çizelgesi Özeti
Toplam program süresi: ortalama 9-12 ay; kritik altyapı kapsamındaki kurumlarda 12-18 ay.
5. Diğer Mevzuatlarla Kesişim
7545 Sayılı Kanun izole bir düzenleme değildir. Mevcut mevzuat çerçevelerinizle paralel ilerletilmesi, hem maliyet hem de operasyonel yükü ciddi oranda azaltır:
6698 Sayılı Kanun
Veri ihlali bildirimi, kişisel veri işleme şartları ve teknik tedbirler 7545 ile örtüşür. Kişisel Verileri Koruma Kurumu ve Siber Güvenlik Başkanlığı’na çift yönlü bildirim kurgusu hazırlanmalıdır.
BGYS Sertifikası
ISO 27001:2022 kontrolleri, 7545’in teknik kontrol gereksinimlerinin yaklaşık %70’ini doğrudan karşılar. Mevcut BGYS’niz varsa Annex A kontrolleri 7545 maddelerine eşlenerek başlanmalıdır.
AB Finansal Sektör
AB ile iş yapan finans sektörü kurumları için DORA ve 7545 paralel ilerletilmelidir. Olay bildirim eşikleri ve tedarikçi yönetimi gereksinimleri benzerdir.
Sektörel Düzenlemeler
BDDK BİG Rehberi, EPDK enerji sektörü düzenlemeleri ve TCMB bilgi sistemleri tebliği 7545 ile uyumlu güncellenmektedir. Sektörel paralel takip şarttır.
ISO 27001:2022 BGYS’yi çatı çerçeve olarak kurun; KVKK, 7545 ve gerekirse DORA/sektörel düzenlemeleri bu çatının üzerine “katman” olarak ekleyin. Her mevzuat için ayrı ekip, ayrı politika seti ve ayrı denetim takvimi yürütmek; hem maliyetinizi 2-3 katına çıkarır hem de tutarsızlık riskini artırır.
6. Sık Yapılan Hatalar ve Tuzaklar
Müşterilerimizle yürüttüğümüz uyum projelerinde gözlemlediğimiz en yaygın hatalar:
⚠ “İkincil mevzuatı bekleyelim” yaklaşımı
Kanun zaten yürürlükte. Madde 7 yükümlülükleri ikincil mevzuata bağlı değildir. Erken hazırlanan kurumlar, ikincil mevzuat yayımlandığında ince ayarla uyum sağlarken; bekleyen kurumlar sıfırdan program kurmak zorunda kalır.
⚠ “ISO 27001’imiz var, yeter” tutumu
ISO 27001 kontrollerinin yaklaşık %70’i 7545’i karşılar, ancak %30’luk kritik kısım (bildirim akışı, yerli tedarikçi tercihi, SOME yapısı, Başkanlık denetim hazırlığı) ek çalışma gerektirir.
⚠ Üst yönetim sahipliği olmadan başlamak
Madde 4/f “hesap verebilirlik” ilkesi, programın CIO/CISO seviyesinde değil, icra kurulu seviyesinde sahiplenilmesini gerektirir. Üst yönetim sahipliği olmayan programlar, kaynak ve karar darboğazlarında tıkanır.
⚠ Tedarikçi zincirini ihmal etmek
Madde 7/1-c yetkilendirilmiş tedarikçi tercihi, mevcut sözleşmelerin gözden geçirilmesini gerektirir. SaaS ve bulut tedarikçileriniz “yetkilendirilmiş” değilse, sözleşme yenilemelerinde geçiş planı kurmanız gerekecektir.
⚠ “Teknoloji al, sorun çözülsün” beklentisi
SIEM/EDR/PAM almak Faz 4’tür. Önceki üç fazı (kapsam, gap, yönetişim) atlamak; yanlış yatırım, ölçeklenemeyen mimari ve verim alınamayan teknoloji yığını üretir.
7. Secure Fors 7545 Uyum Danışmanlığı
Secure Fors olarak, 7545 Sayılı Kanun uyum süreçlerinde şirketlere uçtan uca danışmanlık hizmeti sunuyoruz. Yöntemimiz, yukarıda anlatılan 5 fazlı yol haritasını kurumunuzun büyüklüğüne, sektörüne ve mevcut olgunluğuna göre özelleştirilmiş bir programa dönüştürür.
7545 Hazırlık Değerlendirmesi
Faz 1 ve Faz 2 birleşik: kapsam analizi + gap analizi + öncelik haritası. 4-6 haftalık ekspres program.
Tam Uyum Programı
5 fazın tamamında uçtan uca yürütme. Politika, prosedür, teknik destek, denetim hazırlığı. 9-12 aylık program.
vCISO Retainer
Faz 5 sürekli operasyonu için aylık hizmet. İcra kuruluna raporlama, denetim hazırlığı, mevzuat takibi.
TPRM Programı
Madde 7/1-c “yetkilendirilmiş tedarikçi” gereği için tedarikçi denetim ve sözleşme programı.
Sızma Testi & Zafiyet Tarama
Madde 5/1-b kapsamında sızma testi ve risk analizi. Düzenli zafiyet tarama programı.
Çalışan Farkındalık Eğitimi
Madde 4/h “siber güvenlik kültürünün yaygınlaştırılması” ilkesi gereği yıllık eğitim programı.
Neden Secure Fors?
Sertifikalı Denetçi Kadrosu
ISO 27001 Lead Auditor, CEH ve ISO 42001 Lead Implementer/Auditor uzmanlarımız.
Sektörel Deneyim
Havacılık, finans, teknoloji ve kritik altyapı sektörlerinde TPRM ve uyum projeleri.
Butik Yaklaşım
Standart şablon değil, kurumunuza özel uyum programı. Tek temas noktası, hızlı karar alma.
Çatı Çerçeve Yaklaşımı
7545 + KVKK + ISO 27001 + DORA tek programda. Maliyet ve operasyonel yük minimumda.
7545 Uyum Sürecinde Doğru Adımı Atmaya Hazır mısınız?
Kurumunuzun 7545 kapsamındaki konumunu ve önceliklendirilmiş uyum yol haritasını birlikte çıkaralım. İlk görüşme ücretsizdir.
Ücretsiz Ön Görüşme Talep Edin →İlgili hizmetlerimize 7545 Sayılı Kanun Uyum Danışmanlığı, ISO 27001 BGYS Danışmanlık, TPRM Danışmanlığı ve Sızma Testi sayfalarımızdan ulaşabilirsiniz.
8. Sıkça Sorulan Sorular
Şirketim kritik altyapı değil. Yine de 7545’e uyum sağlamalı mıyım?
Evet. Kanun’un 2. maddesi kapsamı “siber uzayda varlık gösteren, faaliyet yürüten, hizmet sunan” tüm gerçek ve tüzel kişileri kapsar. Kritik altyapı sınıflandırması yalnızca yükümlülüklerin yoğunluğunu belirler; kapsam dışı kalmayı sağlamaz. Ayrıca kritik altyapıya hizmet veren bir tedarikçi iseniz Madde 7/1-c kapsamında dolaylı yükümlülüklere tabisinizdir.
Siber olayı kaç saat içinde Başkanlığa bildirmek zorundayım?
Kanun’un 7/1-b maddesi “gecikmeksizin” ifadesini kullanır. Spesifik süreler ikincil mevzuat ile belirlenecektir; ancak benzer düzenlemeler (KVKK 72 saat, NIS2 24/72 saat) referans alındığında, kurumların 24 saatlik bir ön bildirim ve 72 saatlik detaylı bildirim akışına hazır olması beklenebilir.
Yurt dışından bulut hizmeti (AWS, Azure, GCP) kullanıyorum. Sorun olur mu?
Doğrudan yasak değildir. Ancak Madde 4/d “yerli ve milli ürün tercihi” ilkesi ve kritik altyapı kapsamındaki kurumlarda veri yerleşimi (data residency) ilave kontrolü gerektirebilir. Pratik yaklaşım, veri sınıflandırması yapmak ve kritik verileri yurt içi/hibrit mimaride tutmaktır.
ISO 27001 belgemiz var. Uyum projesini sıfırdan mı kurmalıyız?
Hayır. ISO 27001:2022 Annex A kontrolleri 7545’in teknik kontrol gereksinimlerinin yaklaşık %70’ini karşılar. Yapmanız gereken; (1) bir ek/delta gap analizi yaptırmak, (2) 7545’e özgü kısımları (bildirim akışı, tedarikçi yetkilendirme, SOME) eklemek ve (3) BGYS dokümantasyonunuza 7545 referansını entegre etmek. Sıfırdan başlamak zaman ve maliyet kaybıdır.
KOBİ’yim, bu yol haritası bana fazla mı geliyor?
Yol haritası ölçeklenebilir. KOBİ’ler için Faz 1+2 birleşik bir hazırlık değerlendirmesi (4-6 hafta), ardından önceliklendirilmiş “kazanılması gereken muharebeler” (must-win battles) listesi yeterlidir. Tüm fazları aynı yoğunlukta yürütmek yerine, en yüksek değer yaratacak 3-5 alana odaklanmak doğru yaklaşımdır.
Uyum sürecinin tipik maliyeti nedir?
Maliyet; kurum büyüklüğüne, mevcut olgunluk seviyesine, sektörüne ve uyum kapsamına göre büyük farklılık gösterir. Bu nedenle ilk adım her zaman kapsam ve gap analizi olmalıdır — yatırım büyüklüğü ancak bu çıktıdan sonra anlamlı şekilde planlanabilir. Mevcut ISO 27001/KVKK olgunluğunuz, bütçe ihtiyacını ciddi oranda düşüren bir faktördür.
Uyum sürecini iç kaynaklarımızla mı yürütmeliyiz, dışarıdan destek mi almalıyız?
Genel deneyim, hibrit modelin en verimli sonucu verdiğini gösteriyor: kapsam ve gap analizi gibi uzmanlık yoğun fazlar için dış danışman, yönetişim ve teknik kontrol implementasyonu için dış destek + iç ekip ortak çalışması, sürekli operasyon (Faz 5) için ise iç ekip + vCISO retainer modeli. %100 dış kaynak modeli kurumda iç yetkinlik geliştirmediği için uzun vadede sürdürülebilir değildir.
Sonuç: İlk Adım, Doğru Adımdır
7545 Sayılı Siber Güvenlik Kanunu, Türkiye’de siber güvenlik alanında “genel söylem”den “operasyonel çerçeve”ye geçişin resmi simgesidir. Yürürlük tarihi geçmiştir, ikincil mevzuat kademeli olarak yayımlanmaktadır ve Siber Güvenlik Başkanlığı operasyonel hâle gelmektedir.
Bu süreçte kurumların düşeceği en büyük tuzak, hız değil yapı meselesidir. Hızla teknoloji alıp, kontroller kurup, sonra “uyum mu sağladık?” sorusuna geri dönmek; iki kat maliyet ve operasyonel yük üretir. Doğru yaklaşım, kapsam → gap → yönetişim → teknik kontrol → süreklilik sırasıyla ilerleyen, üst yönetim sahipliği taşıyan ve diğer mevzuatlarla entegre bir programdır.
Uyum sürecini bir kurumsal olgunluk yatırımı olarak ele almak; hem programın verimliliğini artırır hem de elde edilen yapıyı uzun vadeli bir rekabet avantajına dönüştürür. İlk adım her zaman aynıdır: kapsam ve konum analizi. Bunu yapmadan atılan her adım, ileride yeniden yapılacak adımdır.
