Cybersecurity Law Published.
- Nuri Melih İnce
- Mar 25
- 3 min read
Updated: Apr 9
The Law No. 7545 on Cyber Security (“Law”), published in the Official Gazette on March 19, 2025, has entered into force with the aim of ensuring the national security of the Republic of Turkey in cyberspace, eliminating cyber threats and attacks, and increasing the resilience of public institutions and organizations, as well as private sector actors, against cyberattacks. The Law contains comprehensive regulations regarding the determination of national cybersecurity policies, the protection of critical infrastructures, and the establishment of mechanisms for responding to cyber incidents.
Scope and Purpose of the Law
The Law covers public institutions operating in cyberspace, professional organizations with public legal entity status, natural and legal persons, as well as organizations without legal personality, and includes important provisions aimed at increasing Turkey’s cybersecurity capacity. The main objectives of the Law are as follows:
Recognizing cybersecurity as an integral part of national security,
Ensuring the protection of public institutions and organizations, as well as the private sector, against cyber threats,
Introducing regulations for the prevention, detection, and minimization of the effects of cyber incidents,
Determining strategies and policies for the protection of critical infrastructures,
Clearly defining the responsibilities of public and private sector actors in cybersecurity,
Establishing the Cyber Security Authority (“Authority”) and the Cyber Security Council to form an institutional framework.
Cyber Security Authority and Its Duties
The Cyber Security Authority (“Authority”), established by the Law, has been designated as the primary body responsible for formulating, implementing, and overseeing Turkey’s cybersecurity strategies. The Authority will determine national cybersecurity policies and strategies to mitigate cyber threats and ensure the necessary coordination.
The main duties of the Authority include:
Determining the policies, strategies, and objectives for ensuring cyber security, preparing action plans, carrying out legislative work, coordinating relevant activities, and monitoring their effective implementation,
Conducting awareness, training, and consciousness-raising activities concerning cyber security,
Carrying out projects that support cyber security and information security,
Undertaking efforts to increase cooperation in the field of cyber security among the public sector, private sector, and universities,
Conducting activities for developing the cyber security ecosystem, domestic and national products and technologies, and enabling local entrepreneurs to become competitive in the global market,
Conducting R&D and technology transfer in areas needed for cyber security,
Carrying out activities to encourage participation in exercises, events, and fairs related to cyber security held domestically or internationally,
Conducting efforts to detect cyber security vulnerabilities,
Determining priority cyber security areas in order to direct capacity in the field of cyber security to critical areas and prevent duplicate investments,
Developing cyber security emergency and crisis management plans and establishing joint operation centers within the framework of these plans,
Providing opinions regarding incentives to be granted by public institutions and organizations in the field of cyber security,
Performing other duties assigned by legislation.
Inspections, Administrative Sanctions, and Criminal Provisions
The Law also sanctions certain violations:
Kanun’a Aykırı Fiil | Öngörülen Yaptırım |
Yetkili makamlarca istenen bilgi, belge, yazılım, veri ve donanımların sağlanmaması | 1 yıldan 3 yıla kadar hapis ve 500 günden 1500 güne kadar adli para cezası |
Kanun’da öngörülen izin, yetki veya onayları almadan faaliyette bulunulması | 2 yıldan 4 yıla kadar hapis ve 1000 günden 2000 güne kadar adli para cezası |
Kişisel veriler veya kritik kamu hizmeti kapsamındaki kurumsal verilerin izinsiz erişilebilir kılınması, paylaşılması veya satışa açılması | 3 yıldan 5 yıla kadar hapis cezası |
Gerçeğe aykırı içerik oluşturma veya yayımlama suretiyle siber güvenlik ihlali iddiasında bulunarak kamuoyunda korku veya panik yaratma | 2 yıldan 5 yıla kadar hapis cezası |
Kritik altyapıların siber saldırılara karşı korunması yükümlülüğünü ihmal ederek veri ihlaline sebebiyet verme | 1 yıldan 3 yıla kadar hapis cezası |
Bilişim sistemlerini kullananların Başkanlık’a bilgi verme ve sertifikalı ürün/hizmet tedarik etme yükümlülüğüne aykırı hareket etmesi | 1.000.000 TL - 10.000.000 TL idari para cezası |
Siber güvenlik ürünlerinin yurt dışına satışında veya ilgili şirketlerin birleşme/devralma süreçlerinde Başkanlık’ın onayına başvurmama | 10.000.000 TL - 100.000.000 TL idari para cezası |
Denetimler sırasında işbirliği yükümlülüğünün yerine getirilmemesi | 100.000 TL - 1.000.000 TL idari para cezası; ticaret şirketleri için brüt satış hasılatının %5’ine kadar idari para cezası |
Sonuç ve Değerlendirme
7545 sayılı Siber Güvenlik Kanunu, Türkiye’nin siber güvenliğini güçlendirmeyi, siber saldırılara karşı daha etkin bir koruma mekanizması oluşturmayı ve kamu ile özel sektörün sorumluluklarını net bir çerçeveye oturtmayı hedeflemektedir. Yürürlüğe giren bu düzenleme, siber güvenlik alanındaki denetimleri sıkılaştırarak caydırıcılığı artırmakta ve ulusal siber güvenlik stratejilerinin uygulanmasını zorunlu kılmaktadır. Kamu ve özel sektör aktörlerinin Kanun’a uyum sağlamak için gerekli önlemleri zamanında alması büyük önem arz etmektedir.
