7545 Sayılı Siber Güvenlik Kanunu Uyum Sürecinde Neler Yapılmalı? Şirketler İçin Milestone Bazlı Yol Haritası
19 Mart 2025’te yürürlüğe giren 7545 Sayılı Siber Güvenlik Kanunu, Türkiye’de siber güvenliği ilk kez tek bir çatı altında düzenleyen yasal çerçeveyi ortaya koydu. Kanun yalnızca yeni yükümlülükler getirmiyor; aynı zamanda kurumların siber dayanıklılığını lçülebilir bir olgunluk gstergesine dnüştürüyor. Bu yazıda kanunun şirketlere getirdiği gereklilikleri ve 5 fazlı, milestone bazlı bir uyum yol haritasını ele alıyoruz.
1. 7545 Sayılı Kanun Neyi Düzenliyor? Kim Kapsamda?
12 Mart 2025’te kabul edilen ve 19 Mart 2025 tarihli Resmi Gazete ile yürürlüğe giren 7545 Sayılı Siber Güvenlik Kanunu, Türkiye’de siber security alanını tek bir çatı kanunu altında düzenleyen ilk yasal düzenlemedir. Kanun aynı zamanda Siber Güvenlik Başkanlığı ve Siber Güvenlik Kurulu‘nun kuruluş esaslarını da belirlemektedir.
Kanun’un 2. maddesi kapsamı son derece geniş tutmuştur: “siber uzayda varlık gsteren, faaliyet yürüten, hizmet sunan kamu kurum ve kuruluşları, kamu kurumu niteliğinde meslek kuruluşları, gerçek ve tüzel kişiler ile tüzel kişiliği bulunmayan kuruluşlar“. Pratikte bu, internet altyapısını kullanan hemen her şirketin bir şekilde kapsam içinde olduğu anlamına gelir.
Kanunun Temel İlkeleri (Madde 4)
Kanun’un 4. maddesi, uyum sürecini yorumlarken her zaman gz nünde bulundurulması gereken 10 temel ilke ortaya koyar. Bu ilkeler, aynı zamanda “neden uyum sağlanmalı?” sorusunun da cevabını verir:
- Companylık ve süreklilik: Siber security artık tek seferlik bir proje değil, kurumsal bir kabiliyettir.
- Tüm yaşam dngüsü kapsamı: Tedarik, geliştirme, işletim ve sonlandırma süreçlerinin tamamı kapsam dahilindedir.
- Yerli ve milli ürün nceliği: Tedarikçi seçim kriterlerinde yerli teknolojinin desteklenmesi yasal bir tercih unsuru hâline gelmiştir.
- Hesap verebilirlik: Üst ynetim sahipliği ve sorumluluk zincirleri net biçimde tanımlanır.
- Sürekli gelişim: Olgunluk seviyesi sabit kalmaz, sürekli yukarı taşınması beklenir.
- Hukukun üstünlüğü ve mahremiyet: Temel hak ve zgürlükler her aşamada gzetilir.
Bu ilkeleri “yasal bir zorunluluk” olarak değil, iyi ynetilen bir kurumun zaten yaptıkları olarak okumak en doğru yaklaşımdır. Kanun, bu uygulamaları opsiyonel olmaktan çıkarıp ulusal standart haline getirmiştir.
2. Şirketler İçin Doğrudan Yükümlülükler (Madde 7)
Kanun’un 7. maddesi, zel sektr için en doğrudan operasyonel yükümlülükleri tanımlayan maddedir. Bilişim sistemleri kullanarak hizmet sunan, veri toplayan veya işleyen tüm şirketler aşağıdaki drt temel yükümlülüğe tabidir:
Bilgi ve Belge Sağlama Yükümlülüğü
Başkanlık talep ettiğinde her türlü veri, bilgi, belge, donanım, yazılım ve katkı ncelikle ve zamanında iletilmek zorundadır. Bu yükümlülük, kurumların bilişim varlıkları ve veri akışları üzerinde net grünürlüğe sahip olmasını gerektirir.
Zafiyet ve Siber Olay Bildirimi
Tespit edilen zafiyet ve siber olaylar gecikmeksizin Başkanlığa bildirilmelidir. Bu yükümlülük, kurumların olay tespit, sınıflandırma ve raporlama süreçlerini yapılandırılmış biçimde kurmasını gerektirir — aynı zamanda sektrel tehdit istihbaratı paylaşımının da temelini oluşturur.
Yetkilendirilmiş Tedarikçi Tercihi
Kamu kurumları ve kritik altyapılarda kullanılacak siber security ürün, sistem ve hizmetleri Başkanlık tarafından yetkilendirilmiş ve belgelendirilmiş uzman, üretici veya şirketlerden tedarik edilmelidir. Bu, Üçüncü Taraf Risk Ynetimi (TPRM) süreçlerini doğrudan etkiler.
Politika, Strateji ve Eylem Planına Uyum
Başkanlık tarafından yayımlanan tüm politika, strateji, eylem planı ve düzenleyici işlemlere uyum sağlanmak ve gerekli tedbirler alınmak zorundadır. Bu, kurumların düzenleyici güncellemeleri sürekli takip eden bir yapı kurmasını gerektirir.
Bunlara ek olarak, kanun çerçevesinde Başkanlığın denetim yetkisi (Madde 8) ve bağımsız denetçiler aracılığıyla yapılacak değerlendirmeler de gz nünde bulundurulmalıdır. Bu denetimlere hazırlıklı olmak, dokümantasyon disiplini ve sürekli iç değerlendirme alışkanlığı gerektirir.
3. Uyumun Stratejik Faydaları: Neden Şimdi?
7545 Sayılı Kanun’a uyum sürecini yalnızca yasal bir gereklilik olarak değil, kurumsal olgunluğun lçülebilir gstergesi olarak ele almak doğru yaklaşımdır. Yapılandırılmış bir uyum programı, aşağıdaki somut faydaları sağlar:
Siber Dayanıklılık
Olay tespit ve müdahale kapasitesinin yapılandırılması, gerçek bir siber saldırı anında iş sürekliliğini güvence altına alır. Uyum çalışması; aynı zamanda kurumun kendini koruma kabiliyetidir.
Müşteri ve İş Ortağı Güveni
Kritik altyapı sektrlerine tedarikçi olan kurumlar için 7545 uyumu artık ihale ve szleşme ncesi gereklilik haline gelmektedir. Hazırlıklı kurumlar rekabet avantajı kazanır.
Ynetimsel Visibility
Uyum süreci, üst ynetime siber risklerin somut, lçülebilir gstergelerle sunulmasını sağlar. Bütçe planlaması, yatırım nceliklendirmesi ve risk iletişimi netleşir.
Çoklu Uyum Sinerjisi
7545 uyumunda yapılan çalışmalar, KVKK, ISO 27001, DORA ve sektrel düzenlemeleri büyük lçüde kapsar. Tek bir altyapı yatırımı, çoklu mevzuat uyumunu paralel olarak sağlar.
Olay Müdahale Hızı
Bildirim mekanizması ve SOME yapısı kurulmuş bir kurum, gerçek bir olay anında çok daha hızlı toparlanır. Hazır yapı, kriz anında doğaçlama zorunluluğunu ortadan kaldırır.
Company Olgunluk
Uyum süreci; süreç dokümantasyonu, varlık ynetimi ve sorumluluk haritalarını yapılandırır. Bu yapı, yalnızca siber security değil, kurumsal governance olgunluğuna da hizmet eder.
Uyum sürecini “yapmak zorunda olduğumuz bir iş” olarak değil, “kurumu güçlendirecek bir yatırım” olarak ele alan ekipler, hem süreçte daha verimli hareket eder hem de elde edilen yapıyı sonraki yıllarda büyük bir rekabet avantajına d.
4. Milestone Bazlı Uyum Yol Haritası (5 Faz)
7545 Sayılı Kanun’a uyum, tek seferlik bir belge edinme değil, çok katmanlı ve sürekli bir program gerektirir. Şirketlerin nündeki yol haritasını, deneyimimiz ışığında 5 ardışık fazda ve net milestone’larla tanımlayabiliriz.
Kapsam ve Konum Analizi
İlk milestone, kurumun 7545 kapsamındaki konumunu net olarak tespit etmektir. Kurumun doğrudan mı, dolaylı mı (tedarikçi olarak) yoksa kritik altyapı kapsamında mı yer aldığı belirlenir. Bu tespit, sonraki tüm fazları doğru lçeklendirmek için kritiktir.
- 7545 kapsam matrisi (kurum doğrudan/dolaylı/kritik altyapı tedarikçisi mi?)
- Bilişim varlığı inventory (sistem, veri, kişisel veri akışları)
- Mevcut uyum çerçeveleri haritası (ISO 27001, KVKK, BDDK, varsa)
- Üst ynetime sunulacak durum değerlendirme raporu
- Uyum bütçesi n taslağı ve roller (RACI)
Boşluk Analizi (Gap Analysis)
Kanun’un 4, 5, 6, 7 ve 8. maddelerindeki yükümlülükler tek tek alınarak, kurumun mevcut durumu ile karşılaştırılır. Bu çıktı, sonraki tüm faaliyetlerin nceliklendirilmesini belirler.
- 7545 boşluk analizi raporu (madde bazında uyum yüzdesi)
- Olgunluk seviyesi haritası (NIST CSF veya ISO 27001 referansıyla)
- Önceliklendirilmiş bulgular listesi (Yüksek / Orta / Düşük ncelik)
- Tahmini uyum maliyeti tablosu
- İcra kuruluna sunulmaya hazır uyum stratejik planı
Ynetişim Çerçevesi ve Politikalar
“Hesap verebilirlik” ve “kurumsallık” ilkeleri (Madde 4/c, 4/f) gereği, szlü kararlardan yazılı politikalara geçiş bu fazda tamamlanır. Bu, hem iç denetim hem de Başkanlık değerlendirmelerinde gsterilecek temel belgesel kanıt katmanıdır.
- Siber Güvenlik Politikası (üst ynetim onaylı)
- Siber Olay Ynetimi ve Bildirim Prosedürü (Başkanlık bildirim akışı dahil)
- Tedarikçi Güvenlik Ynetimi Politikası (TPRM)
- Veri Sınıflandırma ve Varlık Ynetimi Prosedürü
- Siber Güvenlik Komitesi kuruluşu ve RACI matrisi
- SOME (Siber Olaylara Müdahale Ekibi) kuruluşu — zellikle kritik altyapılarda zorunlu
Technical Controller ve Tedarikçi Programı
Politikalar yazıldıktan sonra teknik kontrol katmanı devreye alınır. Bu faz, en yüksek bütçe ve teknik insan kaynağı ihtiyacı duyulan aşamadır. Madde 7/1-c gereği yetkilendirilmiş tedarikçi tercihleri burada yapılandırılır.
- Log ynetimi ve SIEM/SOC altyapısı (Madde 6/1-d uyumlu)
- Ayrıcalıklı erişim ynetimi (PAM) çzümü
- Endpoint koruma (EDR/XDR) ve ağ segmentasyonu
- Düzenli sızma testi ve zafiyet tarama programı (Madde 5/1-b uyumlu)
- Tedarikçi denetim programı ve szleşmesel security klozları
- Yedekleme ve iş sürekliliği planı (ISO 22301 referansıyla)
- Çalışan farkındalık eğitimleri (yıllık)
İzleme, Denetim ve Sürekli İyileştirme
Madde 4/g “sürekli gelişim yaklaşımı” ilkesi gereği uyum bir durum değil süreçtir. Bu faz, kurumun siber dayanıklılığını canlı tutar ve değişen tehdit ortamına uyum sağlar.
- Yıllık iç denetim programı ve raporları
- Masaüstü tatbikatlar (tabletop exercises) ve siber kriz simülasyonları
- KPI/KRI raporlamaları (üst ynetim çeyreklik)
- Tedarikçi yıllık değerlendirme dngüsü
- Tehdit istihbaratı abonelikleri ve istihbarat raporları
- Düzenleyici güncellemelerin (ikincil mevzuat) izlenmesi
🗓 Zaman Çizelgesi Özeti
Toplam program süresi: ortalama 9-12 ay; kritik altyapı kapsamındaki kurumlarda 12-18 ay.
5. Diğer Mevzuatlarla Kesişim
7545 Sayılı Kanun izole bir düzenleme değildir. Mevcut mevzuat çerçevelerinizle paralel ilerletilmesi, hem maliyet hem de operasyonel yükü ciddi oranda azaltır:
6698 Sayılı Kanun
Veri ihlali bildirimi, kişisel veri işleme şartları ve teknik tedbirler 7545 ile rtüşür. Kişisel Verileri Koruma Kurumu ve Siber Güvenlik Başkanlığı’na çift ynlü bildirim kurgusu hazırlanmalıdır.
BGYS Sertifikası
ISO 27001:2022 kontrolleri, 7545’in teknik kontrol gereksinimlerinin yaklaşık %70’ini doğrudan karşılar. Mevcut BGYS’niz varsa Annex A kontrolleri 7545 maddelerine eşlenerek başlanmalıdır.
AB Finansal Sektr
AB ile iş yapan finans sektrü kurumları için DORA ve 7545 paralel ilerletilmelidir. Olay bildirim eşikleri ve tedarikçi ynetimi gereksinimleri benzerdir.
Sektrel Düzenlemeler
BDDK BİG Rehberi, EPDK enerji sektrü düzenlemeleri ve TCMB bilgi sistemleri tebliği 7545 ile uyumlu güncellenmektedir. Sektrel paralel takip şarttır.
ISO 27001:2022 BGYS’yi çatı çerçeve olarak kurun; KVKK, 7545 ve gerekirse DORA/sektrel düzenlemeleri bu çatının üzerine “katman” olarak ekleyin. Her mevzuat için ayrı ekip, ayrı politika seti ve ayrı denetim takvimi yürütmek; hem maliyetinizi 2-3 katına çıkarır hem de tutarsızlık riskini artırır.
6. Sık Yapılan Hatalar ve Tuzaklar
Müşterilerimizle yürüttüğümüz uyum projelerinde gzlemlediğimiz en yaygın hatalar:
⚠ “İkincil mevzuatı bekleyelim” yaklaşımı
Kanun zaten yürürlükte. Madde 7 yükümlülükleri ikincil mevzuata bağlı değildir. Erken hazırlanan kurumlar, ikincil mevzuat yayımlandığında ince ayarla uyum sağlarken; bekleyen kurumlar sıfırdan program kurmak zorunda kalır.
⚠ “ISO 27001’imiz var, yeter” tutumu
ISO 27001 kontrollerinin yaklaşık %70’i 7545’i karşılar, ancak %30’luk kritik kısım (bildirim akışı, yerli tedarikçi tercihi, SOME yapısı, Başkanlık denetim hazırlığı) ek çalışma gerektirir.
⚠ Üst ynetim sahipliği olmadan başlamak
Madde 4/f “hesap verebilirlik” ilkesi, programın CIO/CISO seviyesinde değil, icra kurulu seviyesinde sahiplenilmesini gerektirir. Üst ynetim sahipliği olmayan programlar, kaynak ve karar darboğazlarında tıkanır.
⚠ Tedarikçi zincirini ihmal etmek
Madde 7/1-c yetkilendirilmiş tedarikçi tercihi, mevcut szleşmelerin gzden geçirilmesini gerektirir. SaaS ve bulut tedarikçileriniz “yetkilendirilmiş” değilse, szleşme yenilemelerinde geçiş planı kurmanız gerekecektir.
⚠ “Teknoloji al, sorun çzülsün” beklentisi
SIEM/EDR/PAM almak Faz 4’tür. Önceki üç fazı (kapsam, gap, governance) atlamak; yanlış yatırım, lçeklenemeyen mimari ve verim alınamayan teknoloji yığını üretir.
7. Secure Fors 7545 Uyum Consulting
Secure Fors olarak, 7545 Sayılı Kanun uyum süreçlerinde şirketlere uçtan uca consulting hizmeti sunuyoruz. Yntemimiz, yukarıda anlatılan 5 fazlı yol haritasını kurumunuzun büyüklüğüne, sektrüne ve mevcut olgunluğuna gre zelleştirilmiş bir programa d.
7545 Hazırlık Değerlendirmesi
Faz 1 ve Faz 2 birleşik: kapsam analizi + gap analizi + ncelik haritası. 4-6 haftalık ekspres program.
Tam Uyum Programı
5 fazın tamamında uçtan uca yürütme. Politika, prosedür, teknik destek, denetim hazırlığı. 9-12 aylık program.
vCISO Retainer
Faz 5 sürekli operasyonu için aylık hizmet. İcra kuruluna raporlama, denetim hazırlığı, mevzuat takibi.
TPRM Programı
Madde 7/1-c “yetkilendirilmiş tedarikçi” gereği için tedarikçi denetim ve szleşme programı.
Penetration Testing & Vulnerability Scanning
Madde 5/1-b kapsamında sızma testi ve risk analizi. Düzenli zafiyet tarama programı.
Çalışan Farkındalık Eğitimi
Madde 4/h “siber security kültürünün yaygınlaştırılması” ilkesi gereği yıllık eğitim programı.
Neden Secure Fors?
Sertifikalı Denetçi Kadrosu
ISO 27001 Lead Auditor, CEH ve ISO 42001 Lead Implementer/Auditor uzmanlarımız.
Sektrel Deneyim
Havacılık, finans, teknoloji ve kritik altyapı sektrlerinde TPRM ve uyum projeleri.
Butik Yaklaşım
Standart şablon değil, kurumunuza zel uyum programı. Tek temas noktası, hızlı karar alma.
Çatı Çerçeve Yaklaşımı
7545 + KVKK + ISO 27001 + DORA tek programda. Maliyet ve operasyonel yük minimumda.
7545 Uyum Sürecinde Doğru Adımı Atmaya Hazır mısınız?
Kurumunuzun 7545 kapsamındaki konumunu ve nceliklendirilmiş uyum yol haritasını birlikte çıkaralım. İlk grüşme ücretsizdir.
Ücretsiz Ön Grüşme Talep Edin →İlgili hizmetlerimize 7545 Sayılı Kanun Uyum Consulting, ISO 27001 ISMS Consulting, TPRM Consulting ve Penetration Testing sayfalarımızdan ulaşabilirsiniz.
8. Sıkça Sorulan Sorular
Şirketim kritik altyapı değil. Yine de 7545’e uyum sağlamalı mıyım?
Evet. Kanun’un 2. maddesi kapsamı “siber uzayda varlık gsteren, faaliyet yürüten, hizmet sunan” tüm gerçek ve tüzel kişileri kapsar. Kritik altyapı sınıflandırması yalnızca yükümlülüklerin yoğunluğunu belirler; kapsam dışı kalmayı sağlamaz. Ayrıca kritik altyapıya hizmet veren bir tedarikçi iseniz Madde 7/1-c kapsamında dolaylı yükümlülüklere tabisinizdir.
Siber olayı kaç saat içinde Başkanlığa bildirmek zorundayım?
Kanun’un 7/1-b maddesi “gecikmeksizin” ifadesini kullanır. Spesifik süreler ikincil mevzuat ile belirlenecektir; ancak benzer düzenlemeler (KVKK 72 saat, NIS2 24/72 saat) referans alındığında, kurumların 24 saatlik bir n bildirim ve 72 saatlik detaylı bildirim akışına hazır olması beklenebilir.
Yurt dışından bulut hizmeti (AWS, Azure, GCP) kullanıyorum. Sorun olur mu?
Doğrudan yasak değildir. Ancak Madde 4/d “yerli ve milli ürün tercihi” ilkesi ve kritik altyapı kapsamındaki kurumlarda veri yerleşimi (data residency) ilave kontrolü gerektirebilir. Pratik yaklaşım, veri sınıflandırması yapmak ve kritik verileri yurt içi/hibrit mimaride tutmaktır.
ISO 27001 belgemiz var. Uyum projesini sıfırdan mı kurmalıyız?
No. ISO 27001:2022 Annex A kontrolleri 7545’in teknik kontrol gereksinimlerinin yaklaşık %70’ini karşılar. Yapmanız gereken; (1) bir ek/delta gap analizi yaptırmak, (2) 7545’e zgü kısımları (bildirim akışı, tedarikçi yetkilendirme, SOME) eklemek ve (3) BGYS dokümantasyonunuza 7545 referansını entegre etmek. Sıfırdan başlamak zaman ve maliyet kaybıdır.
KOBİ’yim, bu yol haritası bana fazla mı geliyor?
Yol haritası lçeklenebilir. KOBİ’ler için Faz 1+2 birleşik bir hazırlık değerlendirmesi (4-6 hafta), ardından nceliklendirilmiş “kazanılması gereken muharebeler” (must-win battles) listesi yeterlidir. Tüm fazları aynı yoğunlukta yürütmek yerine, en yüksek değer yaratacak 3-5 alana odaklanmak doğru yaklaşımdır.
Uyum sürecinin tipik maliyeti nedir?
Maliyet; kurum büyüklüğüne, mevcut olgunluk seviyesine, sektrüne ve uyum kapsamına gre büyük farklılık gsterir. Bu nedenle ilk adım her zaman kapsam ve gap analizi olmalıdır — yatırım büyüklüğü ancak bu çıktıdan sonra anlamlı şekilde planlanabilir. Mevcut ISO 27001/KVKK olgunluğunuz, bütçe ihtiyacını ciddi oranda düşüren bir faktrdür.
Uyum sürecini iç kaynaklarımızla mı yürütmeliyiz, dışarıdan destek mi almalıyız?
Genel deneyim, hibrit modelin en verimli sonucu verdiğini gsteriyor: kapsam ve gap analizi gibi uzmanlık yoğun fazlar için dış danışman, governance ve teknik kontrol implementasyonu için dış destek + iç ekip ortak çalışması, sürekli operasyon (Faz 5) için ise iç ekip + vCISO retainer modeli. %100 dış kaynak modeli kurumda iç yetkinlik geliştirmediği için uzun vadede sürdürülebilir değildir.
Sonuç: İlk Adım, Doğru Adımdır
7545 Sayılı Siber Güvenlik Kanunu, Türkiye’de siber security alanında “genel sylem”den “operasyonel çerçeve”ye geçişin resmi simgesidir. Yürürlük tarihi geçmiştir, ikincil mevzuat kademeli olarak yayımlanmaktadır ve Siber Güvenlik Başkanlığı operasyonel hâle gelmektedir.
Bu süreçte kurumların düşeceği en büyük tuzak, hız değil yapı meselesidir. Hızla teknoloji alıp, kontroller kurup, sonra “uyum mu sağladık?” sorusuna geri dnmek; iki kat maliyet ve operasyonel yük üretir. Doğru yaklaşım, kapsam → gap → governance → teknik kontrol → süreklilik sırasıyla ilerleyen, üst ynetim sahipliği taşıyan ve diğer mevzuatlarla entegre bir programdır.
Uyum sürecini bir kurumsal olgunluk yatırımı olarak ele almak; hem programın verimliliğini artırır hem de elde edilen yapıyı uzun vadeli bir rekabet avantajına d. İlk adım her zaman aynıdır: kapsam ve konum analizi. Bunu yapmadan atılan her adım, ileride yeniden yapılacak adımdır.
