BİG Rehberi Sonlandı mı DDO Kapatıldı, Yetki Siber Güvenlik Başkanlığı'na Devredildi - Secure Fors

Türkiye’nin kamu siber güvenlik mimarisinde 2025 yılında yaşanan yeniden yapılanma, sektörde uzun süredir karışıklığa yol açan iki sorunu netleştirdi: Dijital Dönüşüm Ofisi (DDO) kapatıldı ve Bilgi ve İletişim Güvenliği Rehberi (BİG Rehberi) uyum, denetim ve gözetim faaliyetleri Siber Güvenlik Başkanlığı’na devredildi. Bu yazı; “BİG Rehberi sonlandı mı?” sorusunun resmi cevabını, 177 sayılı Cumhurbaşkanlığı Kararnamesi, 7545 sayılı Siber Güvenlik Kanunu ve 183 sayılı Cumhurbaşkanlığı Kararnamesi çerçevesindeki dönüşümü ve kurumlar için pratik etkilerini ele alıyor.

Kısa Cevap

Hayır, Bilgi ve İletişim Güvenliği Rehberi sonlanmadı. Rehber yürürlüktedir; ancak sahibi değişmiştir. Rehber’in uyum, denetim ve gözetim faaliyetleri mülga edilen Dijital Dönüşüm Ofisi’nden Siber Güvenlik Başkanlığı’na devredilmiştir. BİGDES (Bilgi ve İletişim Güvenliği Denetim Sistemi) bigdes.cbddo.gov.tr adresinden hizmet vermeye devam etmektedir.

Haberin Özeti

Ne oldu: Dijital Dönüşüm Ofisi (DDO), 28 Mart 2025 tarihli 183 sayılı Cumhurbaşkanlığı Kararnamesi ile kapatıldı (mülga edildi).
Yeni sahip: BİG Rehberi uyum, denetim ve gözetim faaliyetleri Siber Güvenlik Başkanlığı’na devredildi.
Yasal dayanak: 8 Ocak 2025 tarihli ve 32776 sayılı Resmî Gazete’de yayımlanan 177 sayılı CBK ile 19 Mart 2025 tarihli ve 32846 sayılı Resmî Gazete’de yayımlanan 7545 sayılı Siber Güvenlik Kanunu.
BİGDES: Eski cbddo.gov.tr/bigdes/ adresi kapatıldı; sistem bigdes.cbddo.gov.tr adresinde çalışmaya devam ediyor.
Sonuç: BİG Rehberi yürürlüktedir; kamu kurumları ve kritik altyapı işletmecilerinin yılda en az bir kez denetim ve raporlama yükümlülüğü devam etmektedir.

İçindekiler

BİG Rehberi Nedir, Nasıl Doğdu?
Dijital Dönüşüm Ofisi Ne Zaman ve Nasıl Kapatıldı?
Resmi Devir Açıklaması
Yasal Çerçeve: 177 CBK, 7545 Sayılı Kanun, 183 ve 192 CBK
Kronoloji: 2019’dan 2026’ya BİG Rehberi’nin Yolculuğu
BİGDES’in Yeni Adresi ve Erişim
Denetim Sıklığı ve Raporlama Yükümlülüğü
Kurumlar Üzerindeki Pratik Etkiler
Sıkça Sorulan Sorular (SSS)

BİG Rehberi Nedir, Nasıl Doğdu?

Bilgi ve İletişim Güvenliği Rehberi, kamu kurumları ve kritik altyapı işletmelerinin uyması gereken güvenlik tedbirlerini tanımlayan ulusal nitelikli bir uyum dokümanıdır. Hukuki dayanağı, 6 Temmuz 2019 tarihli ve 30823 sayılı Resmî Gazete’de yayımlanan 2019/12 Sayılı Cumhurbaşkanlığı Genelgesi‘dir.

Genelgenin yürürlüğe girmesinin ardından Rehber hazırlama çalışmaları başlatılmış ve 24 Temmuz 2020 tarihinde resmi olarak onaylanarak yayımlanmıştır. Rehber’in uygulama çerçevesi olan Bilgi ve İletişim Güvenliği Denetim Rehberi ise 27 Ekim 2021 tarihinde Dijital Dönüşüm Ofisi tarafından yayımlanmıştır.

Rehber’in temel amacı, gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda milli güvenliği tehdit edebilecek ya da kamu düzenini bozabilecek kritik bilgi/verilerin korunması için asgari güvenlik tedbirlerini tanımlamak ve bu tedbirlerin uygulanmasına ilişkin faaliyetleri belirlemektir.

Önemli kapsam notu. 2019/12 Sayılı Genelge’ye göre BİG Rehberi’nin yükümlülük kapsamı, bilgi işlem birimi barındıran veya bilgi işlem hizmetlerini sözleşmeler çerçevesinde üçüncü taraflardan alan kamu kurum ve kuruluşları ile kritik altyapı hizmeti veren işletmelerdir. Rehber’in orijinal yayımında kritik altyapı sektörleri Elektronik Haberleşme, Enerji, Su Yönetimi, Kritik Kamu Hizmetleri, Ulaştırma, Bankacılık ve Finans olarak tanımlanmıştı. Bu liste, 5 Mayıs 2026 Siber Güvenlik Kurulu kararıyla 15 sektöre çıkarılmıştır.

Dijital Dönüşüm Ofisi Ne Zaman ve Nasıl Kapatıldı?

Türkiye’nin siber güvenlik mimarisinde 2025 yılı, kurumsal düzeyde köklü bir yeniden yapılanmaya sahne olmuştur. Süreç şu sıralamayla işlemiştir:

8 Ocak 2025 — 32776 sayılı Resmî Gazete’de yayımlanan 177 sayılı Cumhurbaşkanlığı Kararnamesi ile Siber Güvenlik Başkanlığı kuruldu. Cumhurbaşkanlığı’na bağlı, özel bütçeli yapıya 135 kadro tahsis edildi.
12 Mart 2025 — 7545 sayılı Siber Güvenlik Kanunu TBMM tarafından kabul edildi.
19 Mart 2025 — 32846 sayılı Resmî Gazete’de yayımlanarak 7545 sayılı Kanun yürürlüğe girdi; Başkanlığın denetim, yaptırım ve olay müdahalesi yetkileri kanun düzeyinde tanımlandı.
28 Mart 2025 — 183 sayılı Cumhurbaşkanlığı Kararnamesi ile Cumhurbaşkanlığı Dijital Dönüşüm Ofisi, Finans Ofisi ve İnsan Kaynakları Ofisi kapatıldı; DDO’nun e-Devlet, kamunun dijital dönüşümü ve yapay zekâ uygulamalarına ilişkin görevleri Siber Güvenlik Başkanlığı’na devredildi.
3 Haziran 2025 — Anayasa Mahkemesi, 177 sayılı Kararname’ye karşı açılan iptal davasını reddetti.
24 Ekim 2025 — Türkiye’nin ilk Siber Güvenlik Başkanı olarak Ümit Önal atandı.
25 Aralık 2025 — 33118 sayılı Resmî Gazete’de yayımlanan 192 sayılı Cumhurbaşkanlığı Kararnamesi ile 177 sayılı CBK’da değişiklik yapılarak Başkanlığın görev alanına “dijital devlet” ibaresi eklendi; e-Devlet altyapıları, kamuda yapay zekâ ve veri yönetişimi yetkileri Başkanlığa verildi.

Bu yapılanma, Türkiye’de siber güvenliğin politika belirleme, uygulama, koordinasyon ve denetim boyutlarını tek çatı altında toplayan merkezi bir kamu otoritesi oluşturmuştur. 177 sayılı CBK ile kurumsal olarak kurulan ve 7545 sayılı Kanun ile kanun düzeyinde detaylandırılan bu yapı; Başkanlığı salt koordinasyon kurumu olmaktan çıkarıp gerektiğinde idari yaptırım uygulayabilen bir ulusal otorite konumuna taşımıştır.

Resmi Devir Açıklaması

BİG Rehberi’nin Siber Güvenlik Başkanlığı’na devri, çeşitli kamu kurumlarının resmi duyurularıyla kamuoyuyla paylaşılmıştır. Dokuz Eylül Üniversitesi Bilgi İşlem Dairesi’nin 5 Şubat 2026 tarihli kurumsal duyurusunda devir resmi olarak şu ifadelerle aktarılmıştır:

“177 nolu Cumhurbaşkanlığı Kararnamesi ile Siber Güvenlik Başkanlığı kurulmuş, mülga Dijital Dönüşüm Ofisi’nin siber güvenlik alanındaki görevleri Başkanlığa aktarılmıştır. Akabinde yayımlanan 7545 sayılı Siber Güvenlik Kanunu ile Başkanlığın yetkileri düzenlenmiş, Dijital Dönüşüm Ofisi’nin siber güvenlik alanındaki her türlü uygulaması ve envanteri Başkanlığa aktarılmıştır. Bu kapsamda Bilgi ve İletişim Güvenliği Rehberi (Rehber) uyum, denetim ve gözetim faaliyetleri Siber Güvenlik Başkanlığı bünyesinde sürdürülecektir.” — DEÜ Bilgi İşlem Dairesi Resmi Duyurusu, 5 Şubat 2026

Bu açıklama, sektörde “Rehber sonlandı mı?” sorusuna kesin bir hayır cevabı vermektedir. Rehber yürürlüktedir, uygulamada herhangi bir boşluk oluşmamıştır; yalnızca uyum, denetim ve gözetim sahibi olan kamu otoritesi değişmiştir.

Yasal Çerçeve: 177 CBK, 7545 Sayılı Kanun, 183 ve 192 CBK

Mevcut tabloyu oluşturan beş temel mevzuat metni vardır:

Mevzuat	Tarih / RG	İçerik
2019/12 Sayılı Cumhurbaşkanlığı Genelgesi	06.07.2019 / 30823	BİG Rehberi’nin yasal dayanağı; kamu kurumları ve kritik altyapı işletmecileri için uyum zorunluluğunu tanımlar.
177 Sayılı Cumhurbaşkanlığı Kararnamesi	08.01.2025 / 32776	Siber Güvenlik Başkanlığı’nın kuruluşu; Cumhurbaşkanlığı’na bağlı, özel bütçeli yapı; merkezi Ankara.
7545 Sayılı Siber Güvenlik Kanunu	Kabul: 12.03.2025 / Yayım: 19.03.2025 — 32846	Başkanlığın denetim, yaptırım ve olay müdahalesi yetkilerini kanun seviyesinde düzenler; kapsamı kritik altyapıların ötesine taşır.
183 Sayılı Cumhurbaşkanlığı Kararnamesi	28.03.2025	Dijital Dönüşüm Ofisi, Finans Ofisi ve İnsan Kaynakları Ofisi kapatıldı; DDO’nun siber güvenlik görevleri Siber Güvenlik Başkanlığı’na devredildi.
192 Sayılı Cumhurbaşkanlığı Kararnamesi	25.12.2025 / 33118	177 sayılı CBK’da değişiklik; Başkanlığın görev alanına “dijital devlet” eklendi, e-Devlet ve kamu AI yetkisi genişletildi.

Bu çerçeveye 5 Mayıs 2026 Siber Güvenlik Kurulu Kararı ile 15 kritik altyapı sektörünün ilan edilmesi de eklendiğinde, Türkiye’nin siber güvenlik mevzuatı tablosu büyük ölçüde tamamlanmış olmaktadır.

Kronoloji: 2019’dan 2026’ya BİG Rehberi’nin Yolculuğu

6 Temmuz 2019

2019/12 Sayılı Cumhurbaşkanlığı Genelgesi Yayımlandı

Bilgi ve İletişim Güvenliği Tedbirleri konulu genelge, 30823 sayılı Resmî Gazete’de yayımlanarak Rehber’in yasal dayanağı oluşturuldu.

24 Temmuz 2020

BİG Rehberi Resmi Olarak Onaylandı

Dijital Dönüşüm Ofisi koordinasyonunda hazırlanan Rehber yayımlanarak yürürlüğe girdi.

27 Ekim 2021

BİG Denetim Rehberi Yayımlandı

Denetim çalışmalarının nasıl yürütüleceğine yönelik kılavuz olarak Bilgi ve İletişim Güvenliği Denetim Rehberi yayımlandı; TSE ve TÜBİTAK BİLGEM iş birliğiyle denetçi/firma belgelendirme programı kuruldu.

8 Ocak 2025

Siber Güvenlik Başkanlığı Kuruldu (177 sayılı CBK)

32776 sayılı Resmî Gazete’de yayımlanan 177 sayılı Cumhurbaşkanlığı Kararnamesi ile Cumhurbaşkanlığı’na bağlı, özel bütçeli Başkanlık kuruldu (135 kadro).

12 Mart 2025

7545 Sayılı Siber Güvenlik Kanunu Kabul Edildi

Türkiye’nin siber güvenlik politikasının kanun seviyesindeki temel düzenlemesi TBMM tarafından kabul edildi.

19 Mart 2025

7545 Sayılı Kanun Resmî Gazete’de Yayımlandı

32846 sayılı Resmî Gazete ile yürürlüğe giren Kanun, Başkanlığın denetim ve yaptırım yetkilerini kanun düzeyinde tanımladı.

28 Mart 2025

DDO Kapatıldı (183 sayılı CBK)

183 sayılı Cumhurbaşkanlığı Kararnamesi ile Dijital Dönüşüm Ofisi, Finans Ofisi ve İnsan Kaynakları Ofisi kapatıldı; DDO’nun e-Devlet, dijital dönüşüm ve yapay zekâ görevleri Siber Güvenlik Başkanlığı’na devredildi.

3 Haziran 2025

Anayasa Mahkemesi İptal Davasını Reddetti

Anayasa Mahkemesi, 177 sayılı Kararname’ye karşı açılan iptal davasını reddederek Başkanlığın kuruluş çerçevesinin anayasaya uygunluğunu teyit etti.

24 Ekim 2025

İlk Siber Güvenlik Başkanı Atandı

Resmî Gazete’de yayımlanan atama kararı ile Ümit Önal, Türkiye’nin ilk Siber Güvenlik Başkanı olarak atandı.

25 Aralık 2025

192 Sayılı CBK ile Yetki Genişletildi

33118 sayılı Resmî Gazete’de yayımlanan 192 sayılı CBK ile 177 sayılı CBK’da değişiklik yapılarak Başkanlığın görev alanına “dijital devlet” ibaresi eklendi; e-Devlet, kamuda yapay zekâ ve veri yönetişimi yetkileri Başkanlığa verildi.

5 Şubat 2026

BİG Rehberi Resmi Devir Duyurusu

Rehber uyum, denetim ve gözetim faaliyetlerinin Siber Güvenlik Başkanlığı’nda sürdürüleceği duyuruldu; cbddo.gov.tr/bigdes/ adresi kapatıldı, BİGDES bigdes.cbddo.gov.tr’de hizmet vermeye devam ediyor.

5 Mayıs 2026

15 Kritik Altyapı Sektörü İlan Edildi

Cumhurbaşkanı Erdoğan başkanlığındaki Siber Güvenlik Kurulu, 15 sektörü resmi olarak kritik altyapı olarak ilan etti. Önceki 6 sektörlük tanım 15 sektöre genişledi.

BİGDES’in Yeni Adresi ve Erişim

BİGDES (Bilgi ve İletişim Güvenliği Denetim Sistemi), kamu kurumları ve kritik altyapı işletmecilerinin BİG Rehberi uyum, varlık envanteri, risk analizi ve denetim verilerini girdikleri merkezi platformdur. Devir süreciyle birlikte adres yapılanması şu şekilde değişmiştir:

Kapatıldı cbddo.gov.tr/bigdes/ — Eski erişim adresi

Aktif bigdes.cbddo.gov.tr — Güncel erişim adresi

e-Devlet Kurumsal e-Devlet kapısı entegrasyonu üzerinden de erişim mümkün

Yılda 1 Asgari denetim sıklığı (2019/12 Sayılı Genelge)

BİGDES’in sahipliği uzun vadede Siber Güvenlik Başkanlığı’na geçecek olsa da, mevcut teknik altyapı geçiş sürecinde cbddo.gov.tr alt alanında çalışmaya devam etmektedir. Sistemde personel yetkilendirmesi, kurumun üst yönetimi onayıyla yapılır.

Önemli hatırlatma. BİGDES’e veri girişi yapmak, hukuki uyum sürecinin yalnızca teknik bir parçasıdır. Sisteme girilen veriler (varlık grupları, risk analizleri, boşluk analizi sonuçları), Rehber ile birebir örtüşmelidir. Hatalı beyan, idari ve hukuki yaptırımlara konu olabilir.

Denetim Sıklığı ve Raporlama Yükümlülüğü

2019/12 Sayılı Cumhurbaşkanlığı Genelgesi’nin ilgili maddesi, denetim sıklığını net bir şekilde tanımlamıştır:

“Milli güvenliğin sağlanması ve gizliliğin korunması kapsamında yürütülen görev ve faaliyetler hariç olmak üzere kurum ve kuruluşlar, Rehberin uygulanmasına ilişkin denetim mekanizmalarını oluşturacak ve yılda en az bir defa uygulamayı denetleyecektir. Denetim sonuçları ile yapılan düzeltici ve önleyici faaliyetler, Rehberde belirtilen usul ve esaslara göre bir rapor halinde Dijital Dönüşüm Ofisine iletilecektir.” — 2019/12 Sayılı Cumhurbaşkanlığı Genelgesi

Genelge’nin “Dijital Dönüşüm Ofisine iletilecektir” ifadesi, devirle birlikte fiilen Siber Güvenlik Başkanlığı’na iletilecektir şeklinde uygulanmaktadır. BİG Denetim Rehberi’nde de denetimlerin iç denetim birimleri aracılığıyla, iç kaynak yoksa hizmet alımı yoluyla yürütülmesi öngörülmektedir.

Denetim sıklığına ilişkin diğer önemli noktalar:

Asgari sıklık: Yılda en az bir kez (zorunlu).
Esas yöntem: Kurum içi iç denetim birimi.
Alternatif yöntem: İç denetim birimi yoksa veya yetersizse, kurum içi diğer personel, başka kamu kurumlarından görevlendirilen personel veya hizmet alımı.
Denetçi belgelendirmesi: TSE ve TÜBİTAK BİLGEM iş birliğiyle yürütülen Belgelendirme Programı kapsamında baş denetçi ve denetçi sertifikası gereklidir.
Takvim: Mevzuatta sabit denetim ayı (Temmuz, Aralık vb.) tanımlanmamıştır; takvim kurumun planlamasına bırakılmıştır.

Uyum tamamlama süresi. BİG Rehberi’nde, kapsamdaki kurumların Rehber’de açıklanan tedbirlere uyum çalışmalarını tipik olarak 24 aylık bir süre içerisinde tamamlamaları öngörülmektedir. Bu süreyi takiben kurumlar denetim çalışmalarını başlatır.

Kurumlar Üzerindeki Pratik Etkiler

Devir sürecinin kamu kurumları ve kritik altyapı işletmecileri açısından beş somut yansıması bulunmaktadır:

Alan	Önceki Durum (DDO)	Mevcut Durum (SGB)
Uyum Otoritesi	Cumhurbaşkanlığı Dijital Dönüşüm Ofisi	Siber Güvenlik Başkanlığı
Denetim Raporlama Adresi	cbddo.gov.tr/bigdes/	bigdes.cbddo.gov.tr (geçiş süreci devam ediyor)
Yaptırım Yetkisi	Genelge düzeyinde, idari koordinasyon	Kanun düzeyinde (7545), idari yaptırım uygulayabilen otorite
Kritik Altyapı Kapsamı	6 sektör	15 sektör (5 Mayıs 2026 Kurul kararıyla)
Eşgüdüm	Sadece BİG Rehberi çerçevesinde	BİG Rehberi + 7545 Sayılı Kanun + 2019/12 Genelgesi + ikincil mevzuat

Uygulama açısından, kamu kurumlarının yıllık iç denetim, raporlama ve BİGDES veri girişi yükümlülükleri aynen devam etmektedir. Tek değişiklik, denetim çıktısının iletildiği otoritenin Dijital Dönüşüm Ofisi yerine Siber Güvenlik Başkanlığı olmasıdır.

Yaygın yanlış anlama. Sektörde sıkça dile getirilen “DDO kapandı, Rehber de bitti” yorumu yanlıştır. Rehber’in yürürlüğüne dair herhangi bir kaldırma veya askıya alma işlemi yapılmamıştır. Aksine, denetim sahibinin kanun düzeyinde yaptırım yetkisi olan bir otoriteye geçişi, uyumsuzluğun sonuçlarını daha ağır hâle getirmiştir.

BİG Rehberi ile 7545 Sayılı Kanun Birlikte Nasıl Okunmalı?

İki düzenleyici çerçeve birbirini tamamlamaktadır:

BİG Rehberi: Operasyonel düzeyde uygulanması gereken asgari güvenlik tedbirlerini tanımlar (varlık grupları, varlık grubu kritiklik dereceleri, risk analizi, planlama-uygulama-kontrol fazları).
7545 Sayılı Kanun: Yükümlülüklerin yasal çerçevesini, denetim mekanizmasını ve idari yaptırımları (1 milyon TL ile 100 milyon TL arasında değişen idari para cezaları ve yıllık brüt satış hasılatının %5’ine kadar ceza) belirler.
2019/12 Sayılı Genelge: BİG Rehberi’nin uygulanmasını zorunlu kılan idari dayanak olarak yürürlüktedir.

Pratik anlamda kamu kurumları için tablo şudur: BİG Rehberi’nde tanımlanan kontroller, 7545 Sayılı Kanun’un denetim ve yaptırım çerçevesi altında uygulanmaya devam etmektedir. İki çerçeveyi ayrı projeler gibi yürütmek yerine, bütünsel bir uyum yığını olarak ele almak en sürdürülebilir yaklaşımdır.

Sıkça Sorulan Sorular (SSS)

BİG Rehberi sonlandı mı, yürürlükten kalktı mı?

Hayır. Bilgi ve İletişim Güvenliği Rehberi yürürlüktedir. 5 Şubat 2026 tarihli resmi duyuruda, Rehber’in uyum, denetim ve gözetim faaliyetlerinin Siber Güvenlik Başkanlığı bünyesinde sürdürüleceği açıkça belirtilmiştir.

Dijital Dönüşüm Ofisi gerçekten kapatıldı mı? Hangi tarihte?

Evet. 28 Mart 2025 tarihli 183 sayılı Cumhurbaşkanlığı Kararnamesi ile Cumhurbaşkanlığı Dijital Dönüşüm Ofisi, Finans Ofisi ve İnsan Kaynakları Ofisi kapatılmıştır. Mevzuat metinlerinde DDO için “mülga” ifadesi kullanılmaktadır.

BİGDES’e nasıl erişiyoruz?

BİGDES sistemi bigdes.cbddo.gov.tr adresinden veya Kurumsal e-Devlet kapısı entegrasyonu üzerinden erişilebilir durumdadır. Eski cbddo.gov.tr/bigdes/ adresi geçiş süreciyle birlikte erişime kapatılmıştır.

Denetimi ne sıklıkla yapmamız gerekiyor?

2019/12 Sayılı Cumhurbaşkanlığı Genelgesi uyarınca yılda en az bir kez denetim yapılması zorunludur. Mevzuatta belirli bir denetim ayı veya dönemi (Temmuz, Aralık gibi) tanımlanmamıştır; denetim takvimi kurumun kendi planlamasına bırakılmıştır.

Denetimi kim yapmalı?

BİG Denetim Rehberi’ne göre denetim faaliyetlerinin kurum içi iç denetim birimleri tarafından yürütülmesi esastır. İç denetim birimi bulunmayan veya yeterli yetkinliğe sahip olmayan kurumlarda, denetim kurum içi diğer personel, diğer kamu kurum ve kuruluşlarından görevlendirilen personel ya da hizmet alımı yolu ile gerçekleştirilebilir. Dış hizmet alımında, TSE ve TÜBİTAK BİLGEM iş birliğiyle yürütülen Belgelendirme Programı kapsamında yetkilendirilmiş firma ve sertifikalı denetçilerle çalışılması gerekir.

Yıllık denetim ve raporlama yükümlülüğümüz değişti mi?

Yükümlülük aynen devam etmektedir. Tek değişiklik, raporun iletildiği otoritenin Dijital Dönüşüm Ofisi yerine Siber Güvenlik Başkanlığı olmasıdır.

Rehber’in kapsamı 15 sektör mü, 6 sektör mü?

BİG Rehberi’nin orijinal yayımında 6 kritik altyapı sektörü tanımlanmıştı: Elektronik Haberleşme, Enerji, Su Yönetimi, Kritik Kamu Hizmetleri, Ulaştırma, Bankacılık ve Finans. Ancak 5 Mayıs 2026 tarihli Siber Güvenlik Kurulu kararıyla 15 sektör resmi olarak kritik altyapı ilan edilmiştir. Yeni 15 sektörlük kapsam, 7545 Sayılı Kanun ve ikincil mevzuat çerçevesinde uygulamayı şekillendirmektedir.

Özel sektör için BİG Rehberi uyumu zorunlu mu?

BİG Rehberi’nin zorunluluk kapsamı 2019/12 Sayılı Genelge ile kamu kurum ve kuruluşları ile kritik altyapı hizmeti veren işletmeler olarak tanımlanmıştır. Bunun dışındaki özel sektör kuruluşları doğrudan yükümlü değildir; ancak 7545 Sayılı Siber Güvenlik Kanunu kapsamına giren özel sektör kuruluşları için Rehber, güçlü bir referans dokümanı niteliği taşımaktadır.

Hizmet aldığımız tedarikçi Rehber’e uyumlu olmak zorunda mı?

BİG Rehberi’ne uyum sağlamakla yükümlü kurumlara hizmet sağlayan üçüncü taraflar, doğrudan Rehber’e uyumla yükümlü değildir. Ancak yükümlü olan kurum, tedarik zinciri üzerinden gelen riskleri yönetmek zorundadır; bu da pratikte sözleşme şartları ve TPRM (Üçüncü Taraf Risk Yönetimi) süreçleriyle tedarikçiye dolaylı yansır.

Uyumsuzluğun yaptırımı nedir?

7545 Sayılı Siber Güvenlik Kanunu kapsamındaki yükümlülüklere uyulmaması halinde 1.000.000 TL ile 100.000.000 TL arasında değişen idari para cezaları uygulanabilmektedir. Belirli ağır yükümlülüklerde ceza, kuruluşun yıllık brüt satış hasılatının %5’ine kadar çıkabilir. Bu cezalar idari yargı yoluna açık olup, Kanun’un 16. maddesinde dokuz ayrı suç tipi de düzenlenmiştir.

Sonuç: Rehber Yürürlükte, Yetki El Değiştirdi

Türkiye’nin siber güvenlik mimarisinde 2025–2026 dönüşümü, kurumsal otorite düzeyinde köklü değişiklikler getirmiş; ancak Bilgi ve İletişim Güvenliği Rehberi’nin yürürlüğünü herhangi bir şekilde sona erdirmemiştir. Rehber, kanun düzeyinde yaptırım yetkisine sahip yeni bir kamu otoritesinin denetim ve gözetimi altında uygulanmaya devam etmektedir.

Sektörde sıkça karşılaşılan “Rehber bitti mi?” sorusunun cevabı kesindir: Rehber yürürlüktedir, denetim mekanizması güçlenmiştir, kapsam 6 sektörden 15 sektöre genişlemiştir ve denetim sahibi olan otorite, kanun seviyesinde yaptırım uygulayabilen Siber Güvenlik Başkanlığı’dır. Bu tablo, uyum yükümlülüklerini “ertelenebilir” değil “sıkılaşmış” hale getirmiştir.

Kaynaklar: DEÜ Bilgi İşlem Dairesi resmi duyurusu, “CBDDO Bilgi ve İletişim Güvenliği Rehberi (Rehber) uyum, denetim ve gözetim faaliyetlerinin Siber Güvenlik Başkanlığı’na devredilmesi”, 5 Şubat 2026 — bid.deu.edu.tr | 2019/12 Sayılı Cumhurbaşkanlığı Genelgesi, 6 Temmuz 2019, 30823 sayılı Resmî Gazete | T.C. İletişim Başkanlığı resmi açıklaması — Bilgi ve İletişim Güvenliği Tedbirleri Genelgesi metni | 177 Sayılı Cumhurbaşkanlığı Kararnamesi, 8 Ocak 2025, 32776 sayılı Resmî Gazete | 7545 Sayılı Siber Güvenlik Kanunu, 19 Mart 2025, 32846 sayılı Resmî Gazete | 183 Sayılı Cumhurbaşkanlığı Kararnamesi, 28 Mart 2025 | 192 Sayılı Cumhurbaşkanlığı Kararnamesi, 25 Aralık 2025, 33118 sayılı Resmî Gazete | T.C. Cumhurbaşkanlığı Dijital Dönüşüm Ofisi resmi sayfaları — cbddo.gov.tr/bgdrehber ve cbddo.gov.tr/bigrehber | Forseti Hukuk Bürosu, “Siber Güvenlik Kanunu: 9 Ay Sonra Neredeyiz?”, Aralık 2025 | Paksoy Hukuk Bürosu, “Siber Güvenlik Kanunu yürürlüğe girdi”, Mart 2025 | Lexpera Hukuk Veri Tabanı | T.C. Cumhurbaşkanlığı İletişim Başkanlığı, “5 Mayıs 2026 Tarihli Siber Güvenlik Kurulu Toplantısı hakkında açıklama”.