Konu: Siber Güvenlik Kurulu’nun 5 Mayıs 2026 tarihli toplantısında alınan kararlar; kritik altyapı sektörlerinin belirlenmesi ve özel sektör üzerindeki etkileri

Siber Güvenlik Kurulu, 5 Mayıs 2026 tarihinde toplanmıştır. Toplantıda ülkemizin siber güvenliğini ilgilendiren başlıklar kapsamlı biçimde ele alınmış; mevcut riskler ve önümüzdeki döneme ilişkin eğilimler bütüncül bir yaklaşımla değerlendirilmiştir. Toplantının en dikkat çekici çıktısı, Kurul’un Siber Güvenlik Kanunu’nda kendisine verilen yetkiyi kullanarak 15 sektörü kritik altyapı sektörü olarak belirlemesi olmuştur. Aşağıda toplantı kararları ve özel sektör üzerindeki olası etkileri bilgilerinize sunulmaktadır.

1. Kritik altyapı sektörlerinin belirlenmesi

Toplantıda alınan en önemli karar, kritik altyapı sektörlerinin resmi olarak belirlenmesidir. Buna göre aşağıdaki alanlar Kritik Altyapı Sektörleri olarak tespit edilmiştir:

  • Dijital Altyapılar
  • Dijital Hizmetler
  • Elektronik Haberleşme
  • Enerji
  • Finans
  • Gıda ve Tarım
  • İmalat Sanayi
  • Kamu Hizmetleri
  • Medya ve Kriz İletişimi
  • Posta ve Kargo
  • Sağlık
  • Savunma Sanayii
  • Su Yönetimi
  • Ulaştırma
  • Uzay

Hatırlanacağı üzere Siber Güvenlik Kurulu tarafından 2013 yılında enerji, su kaynakları, sağlık, ulaşım, haberleşme ve finansal hizmetler sektörleri örnekseme yoluyla kritik altyapı olarak belirlenmişti[1]. Yeni kararla birlikte bu liste önemli ölçüde genişletilmiş olup özellikle dijital hizmetler, gıda ve tarım, imalat sanayi, sağlık, savunma sanayii ve uzay gibi sektörler kapsama alınmıştır. Bu genişleme, Avrupa Birliği’nin NIS2 Direktifi ile paralellik göstermekte olup Türkiye’nin siber güvenlik regülasyonunda uluslararası standartlarla uyum yönelimini açıkça yansıtmaktadır.

2. Özel sektör üzerindeki etkiler

Kritik altyapı sektörlerinin belirlenmesi, yalnızca kamu kurumlarını değil, söz konusu sektörlerde faaliyet gösteren özel hukuk kişilerini de doğrudan etkilemektedir. Siber Güvenlik Kanunu uyarınca kritik altyapılarda kullanılacak siber güvenlik ürün, sistem ve hizmetlerinin Siber Güvenlik Başkanlığı (SGB) tarafından yetkilendirilmiş ve belgelendirilmiş siber güvenlik uzmanlarından, üreticilerden veya şirketlerden tedarik edilmesi zorunluluğu bulunmaktadır. Bu yükümlülüğün ihlali idari para cezasıyla yaptırıma bağlanmış durumdadır.

Bu kararın özel sektör açısından başlıca sonuçları şu şekilde özetlenebilir:

  • Sözleşmesel dönüşüm: Siber güvenlik hizmet ve ürün tedarikinin SGB tarafından yetkilendirilmiş tedarikçilerden sağlanması zorunluluğu, sektör kapsamının genişlemesiyle birlikte çok daha fazla kuruluş için geçerli hâle gelmiştir. Mevcut sözleşmelerin bu çerçevede gözden geçirilmesi gerekmektedir.
  • Geniş kapsam: Özellikle Dijital Hizmetler, Gıda ve Tarım ile İmalat Sanayi sektörlerinin kapsamı son derece geniş olup SGB tarafından alt kırılımların ve eşiklerin belirlenmesinin ardından binlerce şirketin yeni yükümlülüklerle karşı karşıya kalması beklenmektedir. Kamu hizmeti sunmasa dahi özel sektör tarafından sunulan bazı hizmetler, oluşturabilecekleri zararlar ve etkiler nedeniyle kritik altyapı kapsamına alınmıştır.
  • Yaptırım riski: Uyumsuzluk hâlinde idari para cezalarının yanı sıra bazı ihlaller için hapis cezası da öngörülmüştür. Yaptırımların bir kısmının ciro temelli olması nedeniyle risk önemli boyutlara ulaşabilecektir.

3. Siber Güvenlik Başkanlığının bundan sonraki rolü

Kurul, kategorik düzeyde kritik altyapı sektörlerini belirlerken alt kırılımların ve eşiklerin tespiti SGB’nin yetkisine bırakılmıştır. Bu çerçevede SGB’nin önümüzdeki dönemde aşağıdaki alanlarda düzenleme yapması beklenmektedir:

  • Her bir sektör içinde kritik altyapı olarak nitelendirilen spesifik kurum, kuruluş ve konumların belirlenmesi,
  • Kamu kurum ve kuruluşları ile kritik altyapıların bilişim sistemlerinde kullanılacak ve siber güvenliğe etkisi olan yazılım, donanım, ürün ve hizmetlere ilişkin kriterlerin belirlenmesi,
  • SGB’ye yapılacak bildirimlere ilişkin usul ve esasların düzenlenmesi.

Temel yükümlülüklerden olan SGB ile iş birliği yükümlülüğü ve siber zafiyet/olay bildirimi yükümlülüğü, henüz eşikler belirlenmemiş olsa dahi tüm kuruluşlar için geçerlidir. Bu nedenle kuruluşların, alt kırılımları beklemeksizin bu temel yükümlülüklere yönelik uyum süreçlerini önceliklendirmeleri tavsiye edilmektedir.

4. Toplantının genel çerçevesi

Toplantıda siber güvenliğin millî güvenliğin ayrılmaz bir parçası olduğu güçlü biçimde vurgulanmıştır. Küresel düzeyde artan rekabet, bölgesel gerilimler ve çatışma alanlarının siber tehditleri daha karmaşık ve çok boyutlu hâle getirdiği ifade edilmiş; siber güvenliğin ekonomik, teknolojik ve toplumsal boyutlarıyla birlikte ele alınması gereken stratejik bir mesele olduğu belirtilmiştir.

Siber Güvenlik Başkanlığının; ülkemizin dijital varlıklarını korumak, tehditlere karşı proaktif bir yapı kurmak, ulusal düzeyde güçlü bir siber güvenlik mimarisi oluşturmak ve güvenli bir dijital gelecek inşa etmek amacıyla faaliyetlerini sürdüreceği ifade edilmiştir.

5. Öncelikli alanlar ve alınan diğer kararlar

Ulusal siber güvenlik yaklaşımının temel unsurları gözden geçirilmiş; kritik altyapıların korunması, dijital sistemlerin güvenliği ve yerli teknolojilerde kapasite geliştirilmesi öncelikli alanlar olarak değerlendirilmiştir. Mevcut ve potansiyel tehditler karşısında siber dayanıklılık ve caydırıcılık kapasitesinin artırılması öncelikli hedefler arasında yer almıştır.

Bunun yanı sıra aşağıdaki hususlarda mutabakata varılmıştır:

  • Kurumlar arası eş güdümün güçlendirilmesi,
  • Kritik alanlarda yerli ve sürdürülebilir kapasitenin artırılması,
  • Siber risklere karşı hazırlık ve hızlı uyum kabiliyetinin geliştirilmesi.

6. Veri egemenliği

Toplantıda veri egemenliği konusu ayrı bir başlık altında ele alınmıştır. Verinin yalnızca teknik bir unsur olmanın ötesinde stratejik bir değer olduğu belirtilmiş; dijital egemenlik yaklaşımının güçlendirilmesi yönündeki kararlılık teyit edilmiştir.

7. Değerlendirme ve sonuç

Siber Güvenlik Kurulu’nun 5 Mayıs 2026 tarihli toplantısı, Türkiye’nin siber güvenlik alanında yeni bir döneme girdiğinin açık bir göstergesidir. Özellikle 15 sektörün kritik altyapı olarak belirlenmesi, özel sektörde çok boyutlu bir uyum sürecinin başlatılması gerekeceğinin habercisidir. Sözleşmesel ilişkilerin yeniden yapılandırılmasından teşkilat içi organizasyonel değişikliklere, siber güvenlik ürün ve hizmet tedariğinin yetkilendirilmiş kaynaklar üzerine taşınmasından SOME kurulum zorunluluklarına kadar geniş bir yelpazede aksiyonların planlanması gerekmektedir.

SGB’nin sektörlere yönelik alt kırılımları ve eşikleri belirlemesinin ardından uyum yükümlüklerinin kapsamı daha da netleşecektir. Ancak temel yükümlülükler olan SGB ile iş birliği ve siber zafiyet/olay bildirimi yükümlülükleri, eşikten bağımsız olarak tüm kuruluşlar için geçerli olduğundan şirketlerin bu yükümlülüklere yönelik uyum çalışmalarına derhal başlamaları tavsiye edilmektedir.

Siber güvenlik alanındaki güncel gelişmelere yönelik detaylı hukuki değerlendirme ve diğer tüm hukuki danışmanlık hizmetleri için bizlerle iletişime geçebilirsiniz.

[1] https://www.resmigazete.gov.tr/eskiler/2013/06/20130620-1.htm

 

İletişim:

Av. Tuğçe Gültekin

Şirket Ortağı
tugce.gultekin@tr.ey.com
(212) 315 30 00