Dijitalleşme, yalnızca ekonomik ve toplumsal yaşamı dönüştüren bir araç olmaktan çıkarak devletlerin egemenlik anlayışını, güvenlik doktrinlerini ve hukuk sistemlerini yeniden tanımlayan bir unsur haline gelmiştir. Gelinen noktada siber uzay, kara, deniz, hava ve uzay alanlarını tamamlayan, devletlerin güvenlik stratejilerinde giderek merkezi bir yer edinen yeni bir mücadele ve varlık alanı olarak öne çıkmaktadır. Türkiye'nin son dönemde siber güvenlik alanında attığı adımlar da bu paradigmanın doğal bir yansımasıdır.

Uzun yıllar boyunca siber güvenlik, daha çok teknik bir mesele olarak ele alınmıştır. Oysa günümüzde siber güvenlik ve siber saldırılar sadece sistemlerle sınırlı olmayarak, kamu düzenine, ekonomik istikrara, kritik altyapılara ve hatta demokratik süreçlere ilişkin meseleler haline gelmiştir. Bu nedenle siber güvenlik artık salt bir bilişim konusundan ziyade doğrudan doğruya bir milli güvenlik meselesidir. Türkiye'nin siber güvenliğe ilişkin yaklaşımı da tam bu noktada şekillenmektedir.

Türkiye'de bugüne kadar siber güvenliğe ilişkin düzenlemeler, farklı kanunlar ve ikincil mevzuat içerisinde dağınık biçimde yer almıştır. Kişisel verilerin korunması, elektronik haberleşme, bankacılık ve kritik altyapılara ilişkin düzenlemeler, siber güvenliğin sınırlı olarak belirli parçalarına temas edebilmiştir. Ancak siber tehditlerin karmaşıklığı, bu parçalı yapının artık yeterli olmadığını göstermiştir.

19 Mart 2025 tarihinde yürürlüğe giren 7545 sayılı Siber Güvenlik Kanunu, bu dağınık yapıyı sona erdirerek siber güvenliği merkezi devlet politikası haline getirmeyi hedeflemiştir. Kanun ile birlikte siber güvenlik; koordinasyonu, yetki ve sorumlulukları açıkça tanımlanmış bir kurumsal çerçeveye kavuşturulmuştur.

Kanunun en dikkat çekici yönlerinden biri, "kritik altyapı" ve "kritik kamu hizmeti" kavramlarını açık biçimde tanımlamasıdır. Kanuna göre, gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda can kaybına, büyük ölçekli ekonomik zarara veya kamu düzeninin bozulmasına yol açabilecek bilişim sistemleri kritik altyapılar olarak kabul edilmiştir.

Siber güvenlik tartışmalarının bir diğer önemli boyutu ise dijital egemenlik kavramıdır. Verinin, altyapının ve teknolojinin kontrolü; modern devletler açısından stratejik bir güç unsuru haline gelmiştir. Türkiye'nin bu alandaki politikası, dışa bağımlılığı azaltan, yerli ve milli teknolojileri teşvik eden bir yönelim göstermektedir.

Siber Uzay, Yeni Bir Güvenlik Cephesi

Günümüzde yaşanan bölgesel savaşlar ve uluslararası çatışmalar da, klasik savaş anlayışının köklü biçimde değiştiğini açıkça göstermektedir. Artık savaşlar sadece cephe hatlarında, geleneksel savaş araçlarıyla yürütülmemekte, eş zamanlı olarak siber uzayda, görünmeyen ama son derece yıkıcı bir cephede devam etmektedir. Devletlerin enerji altyapıları, haberleşme ağları, finans sistemleri ve kamu kurumları sıcak çatışmaların öncelikli hedefleri arasına girmiştir.

Yakın dönemde yaşanan savaş ve krizlerde, elektrik şebekelerinin devre dışı bırakılması, havaalanı ve ulaşım sistemlerinin kilitlenmesi, bankacılık altyapılarına yönelik saldırılar, kamuoyunu yönlendirmeye dönük dezenformasyon faaliyetleri ve siber araçlar kullanılarak gerçekleştirilen suikast ve sabotajlar, siber saldırıların artık askeri stratejinin ayrılmaz bir parçası haline geldiğini ortaya koymaktadır.

Kanunun bu bakımdan da önemi belirgindir: Kanun, kritik altyapılar ve kamu hizmetleri üzerinde işleyen sistemlerin her şart ve durumda erişilebilir, güvenilir ve korunabilir olmasını sağlamayı hedeflemektedir. Kanunun emredici hükümleri, siber güvenlik alanında yalnızca teknik standartların belirlenmesine yönelik olmayıp, devletin egemenlik haklarının korunması ve toplumsal düzenin devamının sağlanması bakımından stratejik bir zorunluluk niteliği taşımaktadır.

Bu bağlamda Kanunun bir "yasaklar ve yükümlülükler" metni olarak değil aynı zamanda ulusal siber kapasitenin korunması ve geliştirilmesine hizmet eden bir çerçeve olarak okunması gerekir. Yerli yazılımlar, siber güvenlik girişimleri, insan kaynağı ve eğitim politikaları, bu yaklaşımın tamamlayıcı unsurlarıdır.

Kanunda yer alan önemli düzenlemelerden bir diğeri Siber Güvenlik Kurulu'nun teşkiline ilişkindir. Siber Güvenlik Kurulu; Cumhurbaşkanı, Cumhurbaşkanı Yardımcısı, Adalet Bakanı, Dışişleri Bakanı, İçişleri Bakanı, Milli Savunma Bakanı, Sanayi ve Teknoloji Bakanı, Ulaştırma ve Altyapı Bakanı, Milli Güvenlik Kurulu Genel Sekreteri, Milli İstihbarat Teşkilatı Başkanı, Savunma Sanayii Başkanı ve Siber Güvenlik Başkanından oluşmaktadır. Kurulun yapısı, siber güvenliğin ulusal güvenliği bütün yönleriyle ilgilendiren bir alan olarak ele alındığını göstermektedir.

Kanun, devletin siber uzaydaki varlığını idari tedbirlerin yanında, ağır cezai yaptırımlarla da koruma altına almıştır. Kanuna göre, Türkiye Cumhuriyeti'nin siber uzaydaki milli gücünü oluşturan unsurlara yönelik siber saldırıda bulunanlar, fiil daha ağır bir suç oluşturmadığı takdirde 8 yıldan 12 yıla kadar hapis cezası ile cezalandırılabilecektir. Bu saldırı sonucunda elde edilen verilerin yayılması, başka bir yere aktarılması veya satışa çıkarılması halinde ise ceza 10 yıldan 15 yıla kadar çıkmaktadır. Bahsi geçen düzenlemeler, Türkiye Cumhuriyeti'nin siber uzaydaki millî gücünü oluşturan unsurlar ile kritik altyapılar ve kritik kamu hizmetlerine yönelik siber saldırıların, artık yalnızca kişisel veri ihlali ya da bilişim sistemlerine hukuka aykırı erişim olarak değerlendirilmeyeceğini ortaya koymaktadır.

Özellikle teknolojinin hızlı gelişimi ve dijitalleşmenin yaygınlaşmasıyla birlikte, büyük veri setlerini barındıran sistemler ile bu sistemlerde tutulan kişisel ve hassas bilgiler, dünya genelinde suç örgütleri ve siber korsanların hedefi hâline gelmiştir. Bu verilerin para karşılığı satılması, dolandırıcılık faaliyetlerinde kullanılması ve kimi zaman istihbarat faaliyetlerine konu edilmesi, söz konusu siber saldırıların artık yalnızca kişilere yönelik adi suçlar olarak değerlendirilemeyeceğini açıkça ortaya koymaktadır. Aksine bu tür eylemler, devletlerin dijital egemenliğini, kamu düzenini ve ulusal güvenliğini doğrudan hedef alan ciddi birer tehdit niteliği taşımaktadır. Bu çerçevede, meselenin kamu güvenliği ekseninde ele alınması zorunlu hale gelmiş olup, Kanunla öngörülen cezai düzenlemeler de bu tür saldırılara karşı etkin bir caydırıcılık mekanizması oluşturmayı amaçlamaktadır.

Diğer taraftan siber güvenliğe ilişkin meseleler, yalnızca savunma başlığı altında ele alınabilecek teknik konular olmaktan çıkarak savunma sanayiinde son yıllarda gerçekleştirilen atılımlar ile birlikte değerlendirilmesi gereken stratejik bir alan hâline gelmiştir. Yerli bilişim teknolojilerinin ve ileri teknolojik altyapıların etkin biçimde kullanılması ve bu alanlarda yerli ve millî çözümlerin geliştirilmesi, siber güvenliği savunma anlayışının ötesine taşıyarak, devletin teknik ve stratejik gücünde çarpan etkisi yaratacaktır.

Siber güvenlik, artık geleceğe dair bir mesele değil; bugünün somut ve acil bir gerçekliğidir. Türkiye'nin Siber Güvenlik Kanunu ile ortaya koyduğu yaklaşım, bu gerçeğin farkında olan bir devlet refleksini yansıtmaktadır.

Her ne kadar Kanun, regülasyon bakımından özel sektör aktörlerine yönelik önemli denetleyici ve düzenleyici hükümler içerse de, günümüz dünyasında devletlerin ve çok uluslu şirketlerin siber uzayı hem müspet hem de menfi amaçlarla kullanabilme kapasitesi, meseleyi onların insiyatifine bırakmaktan ziyade, bu alanda kapsamlı bir yasal çerçevenin oluşturulmasını kaçınılmaz hâle getirmiştir.

Bu yönüyle siber güvenlik alanındaki düzenlemeler, savunma sanayiinde olduğu gibi, belirli faaliyet alanlarının sınırlandırılması, kritik ve hassas bilgilerin korunması ve kullanım esaslarının netleştirilmesi ile birlikte, teknoloji üretimi ve gelişiminin teşvik edilmesini de içeren dengeli bir yaklaşımı gerekli kılmaktadır. Özellikle kritik kamu hizmetleri ve kritik altyapılarda kullanılacak donanım, yazılım ve diğer bilişim teknolojilerinde yerli çözümlerin artırılması, verilerin belirli ölçülerde yerel olarak tutulması ve bu süreçlerin doğru politika ve stratejilerle desteklenmesi hâlinde, orta ve uzun vadede olumlu sonuçlar doğurması mümkün görünmektedir.