7545 Sayılı Kanun · Kritik Altyapı · TPRM
7545 Sayılı Kanun Kapsamında Tedarikçi Yükümlülükleri: Kritik Altyapı İşletmecileri İçin Rehber
Siber Security Kanunu’nun tedarikçi zincirine yansımaları, uyum takvimi, yaptırım riski ve kurumların şimdiden atması gereken adımlar.
11
Kritik altyapı sektrü sayısı (enerji, ulaşım, finans dahil)
7545 s.K. Madde 2
500K₺
Temel ihlal başına idari para cezası alt sınırı
7545 s.K. Madde 18
72 saat
Siber olay bildirimi için azami süre (USOM’a)
7545 s.K. Madde 12
%68
Türk kritik altyapı operatrlerinin tedarikçi denetimi eksiklik oranı
BTK Sektr Raporu, 2024
7545 Sayılı Kanun What Is It? Temel Kavramlar
7545 sayılı Siber Security Kanunu, Türkiye’nin ilk kapsamlı ve sektrler üstü siber security yasal düzenlemesidir. Kanun; kurumsal yükümlülükler, olay bildirim zorunlulukları, yerli ürün tercihi, kamu-zel sektr koordinasyonu ve yaptırımlar dahil geniş bir alanı düzenlemektedir.📜 Kanun Özeti
7545 Sayılı Siber Security Kanunu — Temel Parametreler
Kritik altyapı operatrleri için zorunlu siber security nlemleri ve USOM denetimi · Siber olayların bildirimi için 72 saatlik zorunlu mekanizma · Siber Security Kurulu‘nun üst politika belirleme makamı olarak konumlandırılması · Tedarik zinciri güvenliği için işletmeci sorumluluğunun genişletilmesi · Yurt içi yazılım ve donanım tercihi ilkesinin kritik sistemlerde hayata geçirilmesi.Kanun kapsamındaki yükümlülükler, Cumhurbaşkanlığı Dijital Dnüşüm Ofisi (DDO) ve Bilgi Teknolojileri ve Contact Kurumu (BTK) tarafından çıkarılacak ikincil mevzuat ve rehberlerle somutlaşmaya devam etmektedir.Supplier Boyutu: Kanun Ne Diyor?
Kanun’un tedarikçi güvenliğine ilişkin en kritik hükmü, işletmecilerin yalnızca kendi sistemleri için değil, üçüncü taraf hizmet ve ürün tedarikçilerinin oluşturabileceği riskler için de gerekli security nlemlerini almakla yükümlü tutulmasıdır. Bu hüküm, tedarik zinciri güvenliğini isteğe bağlı bir iyi niyet uygulamasından çıkarıp yasal bir zorunluluğa dnüştürüyor.Siber security zinciri en zayıf tedarikçisi kadar güçlüdür. 7545 sayılı Kanun bu gerçeği hukuki zemine taşıdı.
Kimler Kapsam Dahinde? Kritik Altyapı Sektrleri
Kanun kapsamındaki kritik altyapı sektrleri Cumhurbaşkanlığı kararnamesiyle belirlenmektedir. Mevcut düzenlemede aşağıdaki sektrler kritik altyapı kapsamına alınmıştır:| Sektr | Düzenleyici | Kritiklik | Tedarikçi Riski |
|---|---|---|---|
| ⚡ Enerji (elektrik, doğalgaz, petrol) | EPDK | Tier 1 | SCADA/ICS tedarikçileri, yazılım güncelleme zincirleri |
| 🏦 Bankacılık ve Finans | BDDK / SPK | Tier 1 | Ödeme altyapısı, bulut servis sağlayıcıları |
| ✈️ transportation ve Havacılık | SHGM / TCDD | Tier 1 | GDS sistemleri, MRO, yer hizmetleri yazılımları |
| 🏥 health | health Bakanlığı | Tier 1 | Tıbbi cihaz yazılımları, HIS/PACS tedarikçileri |
| 💧 Su ve Atık Su | İSKİ / Belediyeler | Tier 1 | SCADA, telemetri ve izleme sistemi tedarikçileri |
| 📡 Elektronik Haberleşme | BTK | Tier 1 | Ağ altyapısı sağlayıcıları, yazılım tedarikçileri |
| 🏛️ Kamu Hizmetleri (e-Devlet) | DDO | Tier 2 | Yazılım geliştirme firmaları, veri merkezi hizmetleri |
| 🏭 Savunma Sanayi | SSB | Tier 1 | Alt yükleniciler, yazılım ve donanım tedarikçileri |
| 🚢 Liman ve Denizcilik | Ulaştırma Bakanlığı | Tier 2 | Liman ynetim sistemleri, gümrük entegratrleri |
| 🌾 agriculture ve food Güvenliği | agriculture Bakanlığı | Tier 3 | food tedarik zinciri izleme sistemleri |
| 🔬 Araştırma Altyapıları | TÜBİTAK / YÖK | Tier 3 | Araştırma veri sistemleri, bulut altyapıları |
Kapsam Belirsizliği: “Kritik Altyapı Tedarikçisi” Sayılıyor musunuz?
Kritik altyapı işletmecisi olmayan ama bu sektrlere hizmet veren yazılım firmaları, sistem entegratrleri ve consulting şirketleri dikkat etmeli. customerniz kritik altyapı kapsamındaysa, szleşme yoluyla Kanun yükümlülükleri size de aktarılabilir. Bu aktarım genellikle tedarikçi security eki veya zel szleşme maddesi yoluyla gerçekleşir.Tedarikçi Yükümlülükleri: 5 Temel Başlık
7545 sayılı Kanun ve ikincil mevzuatın tedarikçi güvenliğine ynelik yükümlülükleri beş ana başlık altında ele alınabilir.İşletmeci → Tedarikçi Yükümlülük Aktarım Zinciri
7545 s.K. + DDO Rehberleri
Yasal frame ve ikincil mevzuat
→
Kritik Altyapı İşletmecisi
Doğrudan yükümlülük taşıyıcı
→
Security Şartnamesi
Szleşme aktarım mekanizması
→
Kritik Sistem Tedarikçisi
Dolaylı yükümlülük taşıyıcı
→
Alt Tedarikçi (4. Taraf)
Zincirin en grünmez halkası
1. Tedarikçi Security Valuelendirmesi
- Kritik sistem tedarikçilerinin szleşme ncesi security değerlendirmesinin yapılması
- Tedarikçinin bilgi güvenliği olgunluk düzeyinin belgelendirilmesi
- Valuelendirme sonuçlarının USOM denetimine sunulmak üzere arşivlenmesi
- high riskli tedarikçiler için yerinde veya uzaktan denetim hakkının szleşmeye eklenmesi
2. Szleşmesel Security Şartları
- Tedarikçi szleşmelerine security gereklilikleri ve minimum standartların eklenmesi
- Siber olay bildirim yükümlülüğünün szleşmede açıkça tanımlanması (24 saat nerilir)
- Tedarikçi değişikliklerinde bildirim zorunluluğu (personel, sistem, alt yüklenici)
- Szleşme bitiminde veri iade/imha prosedürünün belirlenmesi
3. Durationkli İzleme Yükümlülüğü
- Kritik tedarikçilerin security durumunun periyodik anket ve teknik araçla izlenmesi
- Tedarikçi kaynaklı siber olayların tespiti için izleme mekanizması kurulması
- Dış saldırı yüzeyi izleme araçlarının (SecurityScorecard vb.) değerlendirilmesi
- İzleme sonuçlarının SOME raporlamasına dahil edilmesi
4. Olay Bildirimi ve Müdahale
- Tedarikçi kaynaklı siber olayların 72 saat içinde USOM’a bildirilmesi
- Olay müdahale planında tedarikçi kaynaklı senaryolara yer verilmesi
- Tedarikçiyle ortak tatbikat / masabaşı egzersizi programı oluşturulması
- Olay sonrası raporun tedarikçi bazında analiz içermesi
5. Yerli Ürün Tercihi Yükümlülüğü
- Kritik sistemlerde yerli ve milli siber security ürünlerine ncelik verilmesi
- Yabancı yazılım/donanım kullanımında ek security değerlendirmesi ve gerekçelendirme
- Tedarikçilerin kullandığı bileşenlerin menşei ve security belgelerinin incelenmesi
- SOME kurulumunda yerli security araçlarının değerlendirilmesi
İşletmecinin Tedarikçi İçin Sorumluluğu: Sınır Nerede?
7545 sayılı Kanun’un getirdiği en nemli yenilik, işletmecinin tedarikçinin eylemsizliğinden de sorumlu tutulabilmesidir. Tedarikçiniz bir security açığını kapatmadı ve bu açık üzerinden saldırı gerçekleşti; siz gerekli denetim ve nlemleri almadıysanız cezai sorumluluk tarafınıza yansıyabilir. “Tedarikçimiz yapmadı” savunması, yasal yükümlülük açısından sizi korumaz.Uyum Takvimi ve Güncel Durum
7545 sayılı Kanun kademeli bir uyum takvimi ngrmektedir. Kurumların hangi aşamada olduğunu ve nümüzdeki dnemde ne beklemesi gerektiğini aşağıdaki zaman çizelgesi zetliyor.✓
2024 — 1. Çeyrek
Kanunun Yürürlüğe Girmesi
7545 sayılı Siber Security Kanunu Resmi Gazete’de yayımlandı. Siber Security Kurulu ve DDO grev dağılımı tanımlandı. Kritik altyapı sektrlerinin tespiti başladı.
OKlandı✓
2024 — 3. Çeyrek
İkincil Mevzuat ve Sektr Rehberleri
DDO BIGR güncellemeleri yayımlandı. Kritik altyapı operatrlerine sektr zelinde uygulama rehberleri iletildi. SOME kurulumu için n şartlar netleşti.
OKlandı!
2025 — 2026 (Aktif Dnem)
Denetimler ve Uyum Valuelendirmeleri
USOM ve BTK tarafından kritik altyapı operatrlerine yerinde ve uzaktan denetimler başladı. Tedarikçi güvenliği sorguları giderek artan sıklıkta gündeme geliyor. Bu dnemde uyumsuzluklar idari para cezasına konu olmaya başladı.
Devam Ediyor — Şimdi Hazırlık Yapın→
2026 — 4. Çeyrek
Tedarikçi Güvenliği Zorunlu Raporlama
Kritik altyapı operatrlerinin tedarikçi security değerlendirme raporlarını USOM’a sunmaları zorunlu hale geliyor. Yerli ürün tercihinde kademeli geçiş takviminin son aşaması devreye giriyor.
Yaklaşıyor?
2027 ve Sonrası
Tam Uyum Dnemi
All kritik altyapı operatrlerinden eksiksiz TPRM programı, sürekli izleme evidenceı ve tedarikçi security raporu bekleniyor. The Cost of tam yaptırım rejimine tabi tutulması ngrülüyor.
Planlama DnemindeBugün İtibariyle Kritik Olan: Tedarikçi Envanteri
Denetim gündemi kritik sistemlere erişen tedarikçilerin listesini ve bu tedarikçilerle imzalanmış szleşmelerdeki security maddelerini sorgulamaktadır. Tedarikçi inventorynizin bugün hazır olmaması, denetimde en sık tespit edilen eksiklikler arasında yer alıyor.Yaptırımlar ve Ceza Rejimleri
7545 sayılı Kanun, nceki sektrel düzenlemelere kıyasla çok daha ağır ve kapsamlı bir yaptırım rejimi ngrmektedir.| İhlal Türü | Yaptırım Aralığı | Ek Risk |
|---|---|---|
| Siber olay bildirim yükümlülüğünün yerine getirilmemesi | 500K–5M ₺ | Tekrar halinde ikiye katlanır |
| Zorunlu security nlemlerinin alınmaması | 1M–10M ₺ | Ağırlaştırıcı koşullarda ek yaptırım |
| USOM denetimine gerekli erişim sağlanmaması | 2M–20M ₺ | Faaliyet durdurma kararı gelebilir |
| Tedarikçi kaynaklı ihlalde nlem almamış olmak | 500K–5M ₺ | Tedarikçiyle dayanışmalı sorumluluk riski |
| Yerli ürün tercihi yükümlülüğüne aykırılık (kritik sistem) | 1M–10M ₺ | Hibe ve teşvik iptali de gündeme gelebilir |
| SOME kurulum yükümlülüğünün yerine getirilmemesi | 500K–3M ₺ | Geçici faaliyet kısıtlaması riski |
Siber Olay + Tedarikçi İhmali = Çift Yaptırım Riski
Tedarikçi kaynaklı bir siber saldırı sonrası USOM denetimi iki şeyi aynı anda sorgular: (1) Olayı 72 saat içinde bildirdiniz mi? ve (2) Bu tedarikçi için nceden security değerlendirmesi yaptınız mı? Her iki soruya da “No” yanıtı verirseniz iki ayrı ihlal kalemi üzerinden ceza hesaplanabilir. Toplamda 10–25M ₺ aralığına ulaşabilen bu senaryo, nleyici TPRM yatırımını son derece değerli kılıyor.TPRM Programınıza Nasıl Entegre Edersiniz?
1
Kanun Kapsamı Tespiti: İşletmeci misiniz, Tedarikçi misiniz?
Kurumunuzun Kanun karşısındaki konumunu netleştirin. Doğrudan kritik altyapı işletmecisiyseniz yükümlülükler birincil; kritik altyapıya hizmet veren bir tedarikçiyseniz szleşme yoluyla yükümlülükler size aktarılmış olabilir. Her iki durumda da TPRM altyapısı zorunludur.2
Kritik Sistem Tedarikçi Envanteri Çıkarın
Kanun kapsamındaki yükümlülükler yalnızca kritik sistemlere erişen tedarikçiler için tam ağırlıkla uygulanır. Hangi tedarikçinin kritik sisteme eriştiğini belgelemek — erişim türü, erişilen sistem adı, erişim sıklığı dahil — hem uyum hem denetim hazırlığı açısından temel adımdır.3
Szleşme Şablonlarını Güncelleyin
Kritik sistem tedarikçisi szleşmelerine en az şunlar eklenmelidir: siber olay bildirimi yükümlülüğü ve süresi (24 saat nerilir), denetim hakkı, alt tedarikçi değişikliği bildirimi ve szleşme bitiminde veri iade/imha prosedürü. Yeni szleşmelerde bu maddeler standart security şartnamesi eki formatında sunulabilir.4
SOME ile TPRM’yi Entegre Edin
SOME kurulumu zorunlu olan kuruluşların olay müdahale planlarında tedarikçi kaynaklı senaryolara yer vermesi gerekiyor. SOME’nin eskalasyon matrisine “tedarikçi kaynaklı olay” akışını ekleyin ve tedarikçi contact protokollerini SOME prosedürlerine dahil edin.5
USOM Bildirimi için Supplier Boyutunu Hazırlayın
USOM’a yapacağınız siber olay bildirimlerinde tedarikçi kaynaklı olayları ayırt edebilmek için olay kayıt sisteminizde “kaynak: tedarikçi” kategorisini oluşturun. Bu hem bildirim kalitesini artırır hem de denetim sorularına hazır yanıt üretir.6
Periyodik Denetim ve Raporlama Dngüsü Kurun
Annual tedarikçi security değerlendirme raporunu USOM’a sunmaya hazır biçimde hazırlayın. Bu rapor; değerlendirilen tedarikçi sayısı, bulunan kritik eksiklikler, alınan aksiyonlar ve sürekli izleme bulgularını kapsamalıdır. ServiceNow GRC veya benzeri bir platform bu raporlamayı büyük lçüde otomatize edebilir.ISO 27001 ile Çakışma Değil, Sinerji
ISO 27001:2022 Ek A 5.19–5.22 ile 7545 sayılı Kanun’un tedarikçi gereklilikleri büyük lçüde rtüşüyor. ISO 27001 sertifikası olan kurumlar için iyi haber: mevcut tedarikçi ynetim prosedürlerinizi Kanun gereklilikleriyle eşleştirmek, sıfırdan başlamaktan çok daha az iş demek. Fark, Kanun’un USOM bildirimi ve yerli ürün tercihi gibi Türkiye’ye zgü katmanlar eklemesidir.Uyum Control Listesi
📁 Envanter ve Sınıflandırma
- Kritik sistemlere erişimi olan tüm tedarikçiler listelenmiş ve erişim türleri belgelenmiş mi?
- Tedarikçiler kritiklik seviyesine gre sınıflandırılmış mı? (kritik / yüksek / orta / low)
- Alt tedarikçiler (4. taraf) grünür ve kayıt altında mı?
📄 Szleşme ve Hukuki Uyum
- Kritik sistem tedarikçisi szleşmelerinde siber olay bildirim yükümlülüğü mevcut mu? (24–72 saat)
- Szleşmelerde denetim hakkı maddesi var mı?
- Alt tedarikçi değişikliklerinin bildirilmesi yükümlülüğü szleşmede mi?
- Szleşme bitiminde veri iade/imha prosedürü tanımlanmış mı?
- Minimum security gerekliliği (ISO 27001 veya eşdeğeri) szleşmede şart olarak belirtilmiş mi?
🚨 SOME ve Olay Ynetimi
- SOME kurulumu tamamlanmış ve DDO’ya bildirim yapılmış mı?
- Olay müdahale planında tedarikçi kaynaklı senaryo akışı tanımlı mı?
- USOM bildirimi için 72 saatlik süreç yazılı ve test edilmiş mi?
- Son 12 ayda tedarikçi kaynaklı senaryo içeren masabaşı tatbikatı yapıldı mı?
🔍 Valuelendirme ve İzleme
- Kritik tedarikçiler için annually security değerlendirmesi yapılıyor mu?
- Valuelendirme sonuçları arşivleniyor ve USOM denetimine sunulmak üzere hazır tutuluyor mu?
- Tedarikçinin security durumundaki değişiklikler (ihlal, sertifika iptali) için izleme var mı?
- Kritik tedarikçiler için çıkış/yedek tedarikçi planı hazır mı?
🇹🇷 Yerli Ürün ve Veri Egemenliği
- Kritik sistemlerde kullanılan yerli/yabancı ürün dağılımı belgelenmiş mi?
- Yabancı yazılım kullanan kritik sistemler için ek security değerlendirmesi yapıldı mı?
- Tedarikçilerin işlediği verilerin yurt içinde mi, yurt dışında mı saklandığı biliniyor mu?
- Yurt dışına veri aktarımı yapan tedarikçiler için KVKK Madde 9 gereklilikleri karşılanıyor mu?
Başlangıç Noktası Önerisi
Bu kontrol listesindeki her “No” yanıtı bir aksiyon kalemidir. Denetimde en sık sorulan ilk üç konu şunlardır: tedarikçi inventory, szleşmede bildirim maddesi ve SOME entegrasyonu. Buradan başlayın — hızlı kazanımlar sizi denetim ncesi rahatlatır ve program olgunluğunuzu grünür kılar.7545 Uyum Hazırlığınızı Birlikte Valuelendirelim
Secure Fors olarak kritik altyapı operatrleri için 7545 kapsamında tedarikçi yükümlülük analizi, szleşme security şartnamesi hazırlığı, SOME kurulum desteği ve ISO 27001 entegrasyonu konularında uçtan uca consulting sunuyoruz.Ücretsiz Uyum Gap Analizi Talep Edin →📚 TPRM Rehber Serisi — Bu Konuda Devam Edin
- Üçüncü Taraf Risk Ynetimi (TPRM) What Is It? — Temel kavramlar ve yaşam dngüsü
- TPRM Programı Nasıl Kurulur? — Adım adım kurulum rehberi
- Tedarikçi Security Anketi Nasıl Hazırlanır? — Soru şablonları
- Supplier Bilgi Güvenliği Riskleri Nasıl Ynetilir?
Law No. 7545 Compliance İçin Profesyonel Destek
Secure Fors olarak, 7545 sayılı Kanun kapsamında tedarikçi bilgi güvenliği ynetimi ve uyum danışmanlığı sunuyoruz.
