Siber Güvenlik Kurulu Toplandı: 15 Sektör Kritik Altyapı İlan Edildi — Kurumlar İçin Ne Değişiyor?

5 Mayıs 2026 tarihinde Cumhurbaşkanı Recep Tayyip Erdoğan başkanlığında toplanan Siber Güvenlik Kurulu, Türkiye’nin dijital savunma mimarisinde dönüm noktası niteliğinde kararlar aldı. Toplantıda 15 sektör resmi olarak “Kritik Altyapı Sektörü” ilan edilirken, Siber Güvenlik Başkanlığı’nın proaktif yapısı ve veri egemenliği yaklaşımı netleştirildi. Bu yazı; alınan kararların ne anlama geldiğini, hangi sektörlerin doğrudan etkilendiğini ve kurumların önümüzdeki 12 ay içinde planlaması gereken uyum adımlarını ele alıyor.

İçindekiler

  1. Toplantının Özeti: Ne Karar Alındı?
  2. Kritik Altyapı Olarak Tanımlanan 15 Sektör
  3. Siber Güvenlik Başkanlığı’nın Proaktif Mimarisi
  4. Veri Egemenliği: Teknik Unsurdan Stratejik Değere
  5. Kurumlar İçin Stratejik Etkiler ve Uyum Beklentileri
  6. 7545 Sayılı Kanun ile Birleşik Etki
  7. Önümüzdeki 12 Ay İçin Yol Haritası
  8. Sıkça Sorulan Sorular (SSS)

Toplantının Özeti: Ne Karar Alındı?

Cumhurbaşkanlığı Külliyesi’nde gerçekleştirilen Siber Güvenlik Kurulu Toplantısı, Türkiye’nin siber güvenlik yaklaşımını kurumsal düzeyde yeniden konumlandıran resmi bir adım niteliğindedir. İletişim Başkanlığı tarafından yapılan açıklamada, siber güvenliğin artık yalnızca teknik bir konu olmadığı, doğrudan millî güvenliğin ayrılmaz bir parçası olduğu güçlü biçimde vurgulandı.

Toplantı kararları dört temel başlık etrafında şekillendi:

15 Resmi olarak ilan edilen kritik altyapı sektörü
1 Proaktif yapıda Siber Güvenlik Başkanlığı
4 Ana stratejik başlık
5/5 Toplantı tarihi: 5 Mayıs 2026

Kararların kurumsal düzeydeki dört temel ekseni şudur: sektörel kapsamın netleşmesi, merkezi koordinasyon mimarisinin proaktif yapıya kavuşturulması, veri egemenliği yaklaşımının stratejik değer olarak tanımlanması ve yerli-millî teknoloji kapasitesinin artırılması. Her bir eksen, ilgili sektörlerde faaliyet gösteren kurumlar için somut uyum gereksinimleri doğuracak niteliktedir.

Kritik Nokta. Bu toplantı izole bir politika beyanı değildir. 7545 Sayılı Siber Güvenlik Kanunu ve Siber Güvenlik Başkanlığı’nın kuruluş çerçevesiyle birlikte değerlendirildiğinde, Türkiye’nin önümüzdeki dönemde sektörel siber güvenlik yükümlülüklerini belirgin biçimde sıkılaştıracağının açık bir göstergesidir.

Kritik Altyapı Olarak Tanımlanan 15 Sektör

Kurul kararıyla resmi olarak “Kritik Altyapı Sektörü” kapsamına alınan 15 alan, Türkiye’nin dijital savunma stratejisinin uygulama yüzeyini belirliyor. Bu sektörler hem doğrudan kamu hizmetlerini yürüten kurumları hem de bu kurumlara hizmet veren özel sektör paydaşlarını ve tedarik zincirini kapsamaktadır.

1
Dijital Altyapılar
2
Dijital Hizmetler
3
Elektronik Haberleşme
4
Enerji
5
Finans
6
Gıda ve Tarım
7
İmalat Sanayi
8
Kamu Hizmetleri
9
Medya ve Kriz İletişimi
10
Posta ve Kargo
11
Sağlık
12
Savunma Sanayii
13
Su Yönetimi
14
Ulaştırma
15
Uzay

Listenin önceki kritik altyapı sınıflandırmalarına göre en dikkat çekici farkı, “Dijital Altyapılar”, “Dijital Hizmetler” ve “Medya ve Kriz İletişimi” başlıklarının ayrı sektörler olarak konumlandırılmış olmasıdır. Bu yaklaşım, klasik kritik altyapı tanımının (enerji, su, ulaştırma) ötesine geçerek bilgi ekosisteminin kendisinin de kritik bir varlık olarak kabul edildiğini göstermektedir.

Tedarik zinciri perspektifi. Bir kurum doğrudan listede yer almasa bile, listedeki bir sektöre hizmet veriyorsa (örneğin enerji şirketine yazılım sağlayan bir SaaS firması ya da finans kurumlarına bulut hizmeti veren bir MSP) Üçüncü Taraf Risk Yönetimi (TPRM) kapsamında dolaylı yükümlülüklere tabi olacaktır.

Siber Güvenlik Başkanlığı’nın Proaktif Mimarisi

Toplantının en önemli yapısal kararlarından biri, Siber Güvenlik Başkanlığı’nın proaktif bir yapı olarak konumlandırılmasıdır. Klasik reaktif yaklaşım (önce ihlal, sonra müdahale) yerine; tehdit istihbaratı, erken uyarı, sektörel koordinasyon ve önleyici denetim eksenli bir mimari kuruluyor.

Resmi açıklamaya göre Başkanlığın temel misyonu şu dört eksende tanımlanmıştır:

  • Dijital varlıkların korunması: Ulusal kritik altyapı varlık envanteri ve sınıflandırması.
  • Proaktif yapı: Tehditleri ihlal yaşanmadan tespit eden istihbarat ve izleme kapasitesi.
  • Ulusal siber güvenlik mimarisi: Kurumlar arası eş güdüm, ortak kontroller ve standartlar.
  • Güvenli dijital gelecek: Sürdürülebilir politika çerçevesi, denetim ve raporlama.

Proaktif yapının pratik anlamı şudur: Düzenleyici otorite, kurumlardan yalnızca ihlal sonrası bildirim değil, önleyici kontrol olgunluğunun ispatını da talep edecektir. Bu, sektörel denetimlerin yalnızca “olay yönetimi” üzerine değil, “yönetişim, risk ve uyum (GRC)” üzerine de odaklanacağı anlamına gelir.

Veri Egemenliği: Teknik Unsurdan Stratejik Değere

Toplantıda ayrı bir başlık olarak ele alınan veri egemenliği kavramı, kurumsal stratejilerde önemli bir dönüşümü işaret ediyor. Resmi açıklamada verinin “yalnızca teknik bir unsur olmanın ötesinde, aynı zamanda stratejik bir değer” olduğu vurgulandı.

Bu yaklaşımın kurumsal yansımaları üç katmanda gerçekleşecektir:

1
Veri Yerleşimi (Data Residency)
Kritik altyapı sektörlerinde işlenen verilerin nerede tutulduğu, hangi yargı yetkisinin altında olduğu ve sınır ötesi aktarımın hangi koşullarda mümkün olduğu sıkı denetim altına girecektir. Bulut hizmet sağlayıcı seçimi artık yalnızca maliyet/performans değil, egemenlik perspektifi de gerektirecektir.
2
Tedarik Zinciri Şeffaflığı
Hangi tedarikçinin hangi veriye, hangi koşullarda eriştiği TPRM kapsamında belgelenmek zorunda kalacaktır. Üçüncü taraf yazılım, SaaS, AI hizmetleri ve yönetilen güvenlik hizmetleri (MSSP) için ayrıntılı bir denetim katmanı doğacaktır.
3
Yerli ve Millî Teknoloji Tercihi
Kurul kararında özellikle vurgulanan “yerli ve millî teknolojilerin kullanımı”, önümüzdeki dönemde kritik altyapı sektörlerinde tedarik kararlarının önemli bir bileşeni olacaktır. Bu durum, açık kaynak ve yerli üreticilerin değerlendirilmesini, küresel ürünlerin ise yerli destek ve egemenlik koşullarına uyumunu gerektirecektir.
Uyum riski. Halihazırda kritik altyapı sektörlerinde faaliyet gösteren kurumlarda kurumsal verilerin gölge AI araçlarına (ChatGPT, Gemini, Copilot vb.) kontrolsüz biçimde aktarılması, hem KVKK hem de veri egemenliği perspektifinden en yüksek riskli alanlardan biridir. Resmi bir AI kullanım politikası olmayan kurumların bu alanı acilen ele alması gerekmektedir.

Kurumlar İçin Stratejik Etkiler ve Uyum Beklentileri

Toplantıda alınan kararların kurumlar üzerindeki pratik etkilerini beş başlık altında değerlendirmek mümkündür:

AlanBeklenen Etki
Kapsam Genişlemesi15 kritik altyapı sektörü içindeki kurumlar ve bunlara hizmet veren tedarikçiler için yeni denetim ve raporlama yükümlülükleri.
Yönetişim OlgunluğuISO 27001 BGYS, ISO 22301 İş Sürekliliği ve ISO/IEC 42001 AI Yönetim Sistemi gibi yönetim sistemlerinin “iyi olur”dan “zorunlu” hale gelmesi.
Veri EgemenliğiVeri yerleşimi, sınır ötesi aktarım ve bulut tedarikçi seçiminde yeni kontrol kriterleri.
Tedarik Zinciri RiskiTPRM süreçlerinin formalize edilmesi; tedarikçi denetimlerinin yıllık değil sürekli yapılması.
Olay BildirimiSiber Güvenlik Başkanlığı’na bildirim eşiklerinde ve sürelerinde sıkılaşma; olay müdahale planlarının test edilmiş ve belgelenmiş olması beklentisi.

Bu beklentilerin tamamı, kurumun büyüklüğünden bağımsız olarak belirli bir bilgi güvenliği olgunluk seviyesini şart koşacak niteliktedir. Kritik altyapı sektörlerinde faaliyet gösteren orta ölçekli kurumların önümüzdeki 12–18 ay içinde bu olgunluğu yapılandırılmış bir programa dönüştürmesi gerekmektedir.

7545 Sayılı Kanun ile Birleşik Etki

Siber Güvenlik Kurulu kararları, 7545 Sayılı Siber Güvenlik Kanunu’nu tek başına değiştirmez; ancak Kanun’un uygulama yüzeyini ve kapsamını operasyonel düzeyde somutlaştırır. İki düzenleyici çerçeve birbirini şu şekilde tamamlamaktadır:

  • 7545 Sayılı Kanun yükümlülük çerçevesini ve idari yaptırımları belirler.
  • Kurul kararları hangi sektörlerin bu yükümlülüklere doğrudan tabi olacağını netleştirir.
  • Siber Güvenlik Başkanlığı denetim, koordinasyon ve raporlama mekanizmalarını işletir.

Bu üçlü yapı, ilgili kurumlar için tek bir uyum hedefi anlamına gelmez; aksine çok katmanlı, sürekli güncellenen bir uyum yığını oluşturur. Bir kurumun yalnızca BGYS belgesine sahip olması ya da yalnızca KVKK uyumlu olması, bundan sonraki dönemde yeterli olmayacaktır.

Çatı çerçeve önerisi. ISO 27001 BGYS’yi temel çatı olarak kurun; üzerine 7545 Sayılı Kanun gerekliliklerini, KVKK kontrollerini, ISO 22301 iş sürekliliği unsurlarını ve gerektiğinde ISO/IEC 42001 AI yönetişim katmanını ekleyin. Her çerçeveyi ayrı bir proje gibi yürütmek hem maliyeti hem de denetim yükünü iki katına çıkarır.

Önümüzdeki 12 Ay İçin Yol Haritası

Kritik altyapı sektörlerinde faaliyet gösteren ya da bu sektörlere hizmet veren kurumlar için önerilen yapılandırılmış yol haritası beş aşamadan oluşur. Aşamaların atlanması, ilerleyen dönemde denetim ve uyum maliyetlerinin katlanarak artmasına yol açar.

1
Kapsam ve Mevzuat Eşleştirmesi (4–6 hafta)
Kurumun hangi sektörlere doğrudan ya da tedarik zinciri üzerinden tabi olduğunun belirlenmesi. 7545 Sayılı Kanun, KVKK ve uygulanabilir uluslararası mevzuatın eşleştirilmesi.
2
Mevcut Olgunluk Değerlendirmesi (3–4 hafta)
ISO 27001 / 22301 / 42001 ve sektörel kontrollere göre boşluk (gap) analizi. Risk envanterinin oluşturulması, varlık sınıflandırması, kritik veri akışlarının haritalanması.
3
Yönetişim Çerçevesinin Kurulması (3–6 ay)
Politika dokümantasyonu, RACI matrisi, üst yönetim sahipliği, BGYS Komitesi, olay müdahale prosedürleri, iş sürekliliği planı, AI kullanım politikası.
4
Teknik Kontroller ve TPRM (4–8 ay)
Kritik kontrollerin uygulanması (PAM, MFA, log yönetimi, EDR, ağ segmentasyonu); tedarikçi denetim programının kurulması, üçüncü taraf risk envanteri.
5
Sürekli İzleme ve Tatbikat (Sürekli)
Belirli aralıklarla iç denetim, masaüstü tatbikat (tabletop), sızma testleri, düzenli zafiyet tarama, sektörel olay bildirim provaları.

Secure Fors Kritik Altyapı Uyum Danışmanlığı

Secure Fors olarak, kritik altyapı sektörlerinde faaliyet gösteren kurumlar için 7545 Sayılı Kanun uyumu, ISO 27001 BGYS kurulumu, ISO 22301 iş sürekliliği, ISO/IEC 42001 AI yönetişimi, TPRM denetimleri, sızma testi ve düzenli zafiyet taraması hizmetlerini uçtan uca sunuyoruz. Kurul kararlarının kurumunuza somut etkilerini ve uyum yol haritanızı birlikte planlayabiliriz.

Kritik Altyapı Uyumunda Doğru Adımı Atmaya Hazır mısınız?

Siber Güvenlik Kurulu kararlarının kurumunuza etkisini değerlendirmek ve önceliklendirilmiş bir uyum yol haritası kurmak için ücretsiz ön görüşme talep edin.

Ücretsiz Ön Görüşme Talebi

Sıkça Sorulan Sorular (SSS)

Sektörümüz listede yok; bu kararlar bizi de etkiler mi?

Doğrudan listede yer almasanız bile, listedeki bir sektöre hizmet veriyorsanız (yazılım, SaaS, bulut, danışmanlık, MSSP vb.) tedarik zinciri üzerinden dolaylı yükümlülüklere tabi olabilirsiniz. Müşteri sözleşmelerindeki güvenlik gereksinimleri, denetim hakları ve raporlama yükümlülükleri önümüzdeki dönemde sıkılaşacaktır.

ISO 27001 belgemiz var; bu yeterli mi?

Güçlü bir başlangıç noktası, ancak tek başına yeterli değildir. 7545 Sayılı Kanun gereklilikleri, sektörel kontroller, iş sürekliliği (ISO 22301) ve AI kullanılıyorsa ISO/IEC 42001 ile tamamlanması gerekir. ISO 27001’in risk yönetimi ve denetim altyapısı bu çerçevelerin üzerine inşa edilebilir.

Veri egemenliği için yurt dışı bulut hizmetlerini bırakmamız gerekecek mi?

Tüm bulut hizmetlerinden çekilmek gerekmemektedir. Esas olan; hangi verinin nerede işlendiğinin belgelenmesi, kritik verilerin uygun yargı yetkisinde tutulması ve sınır ötesi aktarımlarda hem KVKK hem de sektörel gerekliliklerin sağlanmasıdır. Pratik yaklaşım, veri sınıflandırma ve hibrit mimari kararıdır.

Yeni Siber Güvenlik Başkanlığı’na bildirim yükümlülüğü ne zaman başlayacak?

Bildirim mekanizmalarının operasyonel detayları ikincil mevzuat ile şekillenecektir. Ancak proaktif yapı yaklaşımı düşünüldüğünde, kurumların olay tespit ve bildirim süreçlerini şimdiden belgelemiş ve test etmiş olması beklenmektedir.

Uyum sürecine nereden başlamalıyız?

Yapılandırılmış bir başlangıç için ilk adım kapsam ve mevzuat eşleştirmesi ile mevcut olgunluk değerlendirmesidir. Hangi sektörlere tabi olduğunuzu, hangi kontrolün mevcut hangi kontrolün eksik olduğunu net görmeden yatırım yapmak, yaygın bir bütçe israfı kaynağıdır.

Bu kararlar KOBİ’leri nasıl etkiler?

KOBİ’ler doğrudan denetim kapsamına alınmasa da, kritik altyapı sektörlerine tedarikçi olarak hizmet veriyorlarsa müşteri sözleşmeleri üzerinden uyum gereklilikleriyle karşılaşacaklardır. Bu durum, KOBİ’ler için BGYS ve TPRM hazırlığını rekabet avantajına dönüştürme fırsatı yaratmaktadır.

Sonuç: Hız Değil, Yapı Belirleyici Olacak

5 Mayıs 2026 Siber Güvenlik Kurulu kararları, Türkiye’nin siber güvenlik politikasında “genel söylem”den “operasyonel çerçeveye” geçişin resmi adımıdır. 15 kritik altyapı sektörünün netleştirilmesi, Siber Güvenlik Başkanlığı’nın proaktif yapıya kavuşturulması ve veri egemenliğinin stratejik değer olarak tanımlanması; ilgili kurumlar için önümüzdeki 12–18 ayı belirleyecek üç temel eksen olacaktır.

Kurumların bu süreçte düşeceği en yaygın tuzak, kararları “henüz ikincil mevzuat çıkmadı” gerekçesiyle ertelemektir. Oysa düzenleyici çerçeve operasyonel hale geldiğinde sıfırdan uyum kuran kurumlar ile yapısı önceden hazır olan kurumlar arasında belirgin bir maliyet ve denetim farkı oluşacaktır. İlk adım her zaman aynıdır: bir teknoloji satın almak değil, kapsam ve olgunluk değerlendirmesi yapmak.

Kaynaklar: T.C. Cumhurbaşkanlığı İletişim Başkanlığı, “5 Mayıs 2026 Tarihli Siber Güvenlik Kurulu Toplantısı hakkında açıklama”, 05.05.2026 — iletisim.gov.tr | Anadolu Ajansı / Memurlar.net haber bülteni, “Siber Güvenlik Kurulu toplandı: 15 sektör ‘kritik’ ilan edildi”, 05.05.2026.
Sosyal medyada paylaş
Facebook
Twitter
LinkedIn
Telegram