Siber güvenlik alanında son dönemde atılan en önemli adımlardan biri, ülke açısından stratejik öneme sahip sektörlerin “Kritik Altyapı Sektörü” olarak tanımlanması olmuştur. Kritik altyapılar; bünyelerinde bulunan bilgi sistemlerinin gizlilik, bütünlük veya erişilebilirlik özelliklerinin zarar görmesi halinde can kayıplarına, ciddi ekonomik kayıplara, kamu düzeninin bozulmasına veya ulusal güvenliğin olumsuz etkilenmesine neden olabilecek sistem ve hizmetleri ifade etmektedir.
Siber Güvenlik Kurulu’nun 5 Mayıs 2026 tarihinde gerçekleştirdiği toplantı sonucunda aşağıdaki 15 sektör Kritik Altyapı Sektörü olarak belirlenmiştir:
• Dijital Altyapılar
• Dijital Hizmetler
• Elektronik Haberleşme
• Enerji
• Finans
• Gıda ve Tarım
• İmalat Sanayi
• Kamu Hizmetleri
• Medya ve Kriz İletişimi
• Posta ve Kargo
• Sağlık
• Savunma Sanayi
• Su Yönetimi
• Ulaştırma
• Uzay
Bu sektörlerin kritik altyapı kapsamına alınması, ilgili alanlarda faaliyet gösteren kurum ve kuruluşların siber güvenlik bakımından stratejik öneme sahip kabul edildiğini ve daha kapsamlı yükümlülüklere tabi olacaklarını göstermektedir.
Her ne kadar sektörler belirlenmiş olsa da, hangi faaliyetlerin ve hangi kuruluşların bu kapsamda değerlendirileceği; eşik değerler, kapsam kriterleri ve istisnalar gibi hususların önümüzdeki dönemde yayımlanacak ikincil düzenlemelerle netleşmesi beklenmektedir. Ancak mevcut durumda dahi kuruluşların Kanun kapsamında öngörülen yükümlülüklere uyum için gerekli hazırlıkları başlatmaları büyük önem taşımaktadır.
Kanun kapsamında öne çıkan temel yükümlülükler şu şekilde özetlenebilir:
Yetkili Tedarik Zorunluluğu:
Kritik altyapılarda kullanılacak siber güvenlik ürünleri, sistemleri ve hizmetleri yalnızca Başkanlık tarafından yetkilendirilmiş ve belgelendirilmiş kişi veya kuruluşlardan temin edilmelidir. Bu nedenle satın alma ve tedarikçi yönetim süreçlerinin yeniden değerlendirilmesi gerekmektedir.
Uygunluk ve Onay Süreçleri:
Kritik altyapı bilişim sistemlerinde kullanılacak ve siber güvenliği etkileyebilecek yazılım, donanım, ürün ve hizmetler için Başkanlık tarafından belirlenen uygunluk kriterleri ve onay mekanizmalarına uyulması zorunlu olacaktır. İlgili ikincil mevzuatın yakından takip edilmesi önem taşımaktadır.
Risk Yönetimi ve Güvenlik Tedbirleri:
Kuruluşlar, siber risklerini düzenli olarak analiz etmek ve bu risklere karşı gerekli teknik ve idari tedbirleri almakla yükümlüdür. Siber güvenlik, süreklilik gerektiren dinamik bir yönetim süreci olarak ele alınmalıdır.
Olay ve Zafiyet Bildirimleri:
Tespit edilen siber olaylar ile güvenlik açıklarının gecikmeksizin Başkanlığa bildirilmesi gerekmektedir. Bu nedenle kurum içerisinde hızlı karar alabilen ve etkin çalışan bir olay bildirim mekanizmasının oluşturulması önem arz etmektedir.
Bilgi ve Belge Paylaşımı:
Başkanlığın talep ettiği veri, bilgi, belge, yazılım, donanım ve benzeri unsurların zamanında ve eksiksiz şekilde sunulması, ayrıca ilgili süreçlerde iş birliği içerisinde hareket edilmesi gerekmektedir.
Denetimlere Hazırlık:
Kuruluşların denetim süreçlerinde gerekli teknik desteği sağlamaları, sistemlerini incelemeye açmaları ve denetim faaliyetlerine uygun altyapıyı hazır bulundurmaları beklenmektedir.
Kayıt ve Log Yönetimi:
Erişim kayıtları, sistem logları ve olay kayıtları düzenli şekilde tutulmalı, güvenli olarak saklanmalı ve gerektiğinde denetim otoritelerine sunulabilecek şekilde yönetilmelidir.
Siber Güvenlik Şirketlerine Yönelik Özel Düzenlemeler:
Siber güvenlik ürünü veya hizmeti geliştiren şirketler açısından yurt dışı satışlar, şirket birleşmeleri, bölünmeler, pay devirleri ve kontrol değişiklikleri gibi işlemler için bildirim veya ön onay yükümlülükleri söz konusu olabilecektir. Gerekli izinler alınmadan gerçekleştirilen işlemler hukuki ve idari riskler doğurabilecektir.
Kritik altyapı sektörlerinin ilan edilmesiyle birlikte, Kanun’da yer alan yükümlülükler ilgili kuruluşlar açısından daha somut ve uygulanabilir hale gelmiştir. Bununla birlikte, kapsam ve uygulama esaslarına ilişkin detayların önümüzdeki dönemde yayımlanacak düzenlemelerle netleşmesi beklenmektedir.
Kanun kapsamında öngörülen yaptırımlar ise oldukça ağırdır. İhlalin niteliğine bağlı olarak uygulanabilecek idari para cezaları 100 milyon TL’ye kadar ulaşabilmekte, ticari şirketler açısından ise yıllık brüt satış hasılatının %5’ine kadar idari yaptırım uygulanabilmektedir. Ayrıca bazı ihlaller bakımından yalnızca idari para cezası değil, sorumlular hakkında 15 yıla kadar hapis cezası da söz konusu olabilmektedir. Kritik altyapıların korunmasına ilişkin yükümlülüklerin ihlali sonucunda veri ihlali meydana gelmesi halinde ise ayrıca 1 ila 3 yıl arasında hapis cezası öngörülmektedir.
Bu nedenle faaliyetleri doğrudan veya dolaylı olarak kritik altyapı sektörleriyle ilişkilendirilebilecek tüm kurum ve kuruluşların, siber güvenlik uyum süreçlerini vakit kaybetmeden gözden geçirmeleri, mevcut durum analizlerini gerçekleştirmeleri ve gerekli teknik, idari ve hukuki hazırlıkları başlatmaları tavsiye edilmektedir.