Siber Güvenlik Kurulu Tarafından Kritik Altyapı Sektörlerinin Belirlenmesi

Siber Güvenlikte 2. Faz: Siber Güvenlik Kurulu Toplantısı Yapıldı!

Siber Güvenlik Kurulu, 5 Mayıs 2026 tarihinde Cumhurbaşkanı başkanlığında toplandı. Kurul, 7545 sayılı Siber Güvenlik Kanununda kendisine verilen kritik altyapı sektörlerini belirleme yetkisini kullandı.

Kritik altyapı sektörleri nelerdir? Siber Güvenlik Kurulu hangi sektörleri kritik olarak belirledi?

Siber Güvenlik Kurulu, 15 sektörü kritik olarak belirledi. 1 nolu toplantısında Siber Güvenlik Kurulu, şu sektörleri “Kritik Altyapı Sektörü” olarak belirledi:

• Dijital Altyapılar
• Dijital Hizmetler
• Elektronik Haberleşme
• Enerji
• Finans
• Gıda ve Tarım
• İmalat Sanayi
• Kamu Hizmetleri
• Medya ve Kriz İletişimi
• Posta ve Kargo
• Sağlık
• Savunma Sanayii
• Su Yönetimi
• Ulaştırma
• Uzay

Kritik altyapı nedir? Siber Güvenlik Kanununda kritik altyapı: “işlediği bilginin/verinin gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda can kaybına, büyük ölçekli ekonomik zarara ve güvenlik açıklarına veya kamu düzeninin bozulmasına yol açabilecek bilişim sistemlerini barındıran altyapılar” şeklinde tanımlanmıştır.

Siber Güvenlik Kurulu tarafından 2014 yılında şu sektörler kritik altyapı sektörleri olarak belirlenmişti: Ulaştırma, Enerji, Elektronik Haberleşme, Finans, Su Yönetimi, Kritik Kamu Hizmetleri.

2026 yılında ise kritik sektörler olarak dijital altyapılar, dijital hizmetler, elektronik haberleşme, enerji, finans, gıda ve tarım, imalat sanayi, kamu hizmetleri, medya ve kriz iletişimi, posta ve kargo, sağlık, savunma sanayii, su yönetimi, ulaştırma, uzay belirlendi.

Kritik sektörlerin artırılması NIS2 örneği dikkate alındığında süpriz olmadı.

Kritik sektörler belirlendi. Peki, şimdi ne olacak?

Top şimdi Siber Güvenlik Başkanlığında (SGB). Kurul kategorik düzeyde altyapıları belirledi. SGB ise kritik altyapılar ile ait oldukları kurumları ve konumları belirleme konusunda yetkili. SGB’nin kamu kurum ve kuruluşları ile kritik altyapıların bilişim sistemlerinde kullanılacak ve siber güvenliğe etkisi olan yazılım, donanım, ürün ve hizmetlere dair kriterler ile SGB’ye yapılacak bildirimlere ilişkin kuralları belirlemesi beklenmekte.

Kamuyu bir kenara bırakalım. Kurulun kritik altyapı belirlemesi özel sektör açısından nasıl bir etkisi oldu?

Siber Güvenlik Kanunu uyarınca kamu kurumları ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik ürün, sistem ve hizmetleri SGB tarafından yetkilendirilmiş ve belgelendirilmiş siber güvenlik uzmanlarından, üreticilerden veya şirketlerden tedarik etmekle yükümlü. Bu yükümlülüğün ihlali idari para cezasıyla yaptırıma bağlanmış durumda. Ayrıca SOME kurulum zorunluluğu da var. (Bu arada SİP, USOM’dan siberguvenlik.gov.tr alan adına taşınmış durumda. 14 Sektörel SOME ve 2 bini aşkın kurumsal SOME vardı. Sayı epeyce artacak.) Yani hem sözleşmesel hem de teşkilatsal bir dönüşüm kurumları beklemekte.

Dijital hizmetler ile gıda ve tarım, imalat sanayi sektörlerinin kapsamı çok geniş. Bugün itibariyla binlerce şirket yeni bir hukuki rejime tabi oldu. Bilhassa dijital hizmetlerin kapsamı dikkate alındığında kapsam daha da genişlemiş olabilir. Kamu hizmeti sunmasa da özel sektör tarafından sunulan bazı hizmetler, oluşturabilecekleri zararlar ve yıkıcı etkileri sebebiyle kamu hizmetleriyle aynı kefeye konuldu. Bilişim altyapısını işletmek artık büyük bir sorumluluğu da beraberinde getirmekte.

Özel hukuk kişileri için yeni bir siber sözleşme hukuku dönemi başlamış durumda. Siber güvenlik çalışanları bağlamında da yeni bir siber iş hukuku dönemi başlamış oldu. İdari para cezalarının yanı sıra hapis cezaları da dikkate alındığında bu rejime siber ceza hukuku da eklenmiş oldu. Çok boyutlu bir uyum dönemi şirketleri beklemekte. Yaptırımların bazıları ciro temelli olduğu için ve hapis cezaları da dikkate alındığında risk epeyce büyük.

3. Faz için takvim işlemeye devam etmektedir.

Siber Güvenlik Kurulu’nun 1 nolu kararının detayları şu şekildedir:

Siber Güvenlik Kurulu, 5 Mayıs 2026 tarihinde Cumhurbaşkanı Recep Tayyip Erdoğan başkanlığında toplanmıştır.

Toplantıda; ülkemizin siber güvenliğini ilgilendiren başlıklar kapsamlı biçimde ele alınmıştır. Mevcut risklerin yanı sıra önümüzdeki döneme ilişkin eğilimler de bütüncül bir yaklaşımla değerlendirilmiş; son dönemde yaşanan uluslararası gelişmeler hakkında Kurula bilgi sunulmuştur.

Siber güvenliğin, millî güvenliğin ayrılmaz bir parçası olduğu güçlü biçimde vurgulanmıştır.

Bu çerçevede, Siber Güvenlik Başkanlığının; ülkemizin dijital varlıklarını korumak, tehditlere karşı proaktif bir yapı kurmak, ulusal düzeyde güçlü bir siber güvenlik mimarisi oluşturmak ve güvenli bir dijital gelecek inşa etmek amacıyla faaliyetlerini sürdüreceği ifade edilmiştir.

Küresel düzeyde artan rekabet, bölgesel gerilimler ve çatışma alanları; siber tehditlerin her geçen gün daha karmaşık ve çok boyutlu bir nitelik kazandığını ortaya koymaktadır. Bu çerçevede, siber güvenliğin ekonomik, teknolojik ve toplumsal boyutlarıyla birlikte ele alınması gereken stratejik bir mesele olduğu belirtilmiştir.

Toplantıda, ulusal siber güvenlik yaklaşımımızın temel unsurları gözden geçirilmiş; özellikle kritik altyapıların korunması, dijital sistemlerin güvenliği ile yerli ve millî teknolojilerde kapasite geliştirilmesi konuları öncelikli alanlar olarak değerlendirilmiştir.

Ayrıca, veri egemenliği konusu ayrı bir başlık altında ele alınmıştır. Verinin yalnızca teknik bir unsur olmanın ötesinde, aynı zamanda stratejik bir değer olduğu belirtilmiş; bu kapsamda dijital egemenlik yaklaşımının güçlendirilmesi yönündeki kararlılık teyit edilmiştir.

Mevcut ve potansiyel tehditler karşısında siber dayanıklılık ve caydırıcılık kapasitesinin artırılması öncelikli hedefler arasında yer almıştır.

Önümüzdeki dönemde, belirlenen öncelikler doğrultusunda somut uygulamaların hayata geçirilmesi ve ilgili tüm paydaşların sürece etkin katılımının sağlanması hususlarında mutabakata varılmıştır.

Bu kapsamda;

• Kurumlar arası eş güdümün güçlendirilmesi,

• Kritik alanlarda yerli ve sürdürülebilir kapasitenin artırılması,

• Siber risklere karşı hazırlık ve hızlı uyum kabiliyetinin geliştirilmesi,

• Dijital Altyapılar, Dijital Hizmetler, Elektronik Haberleşme, Enerji, Finans, Gıda ve Tarım, İmalat Sanayi, Kamu Hizmetleri, Medya ve Kriz İletişimi, Posta ve Kargo, Sağlık, Savunma Sanayii, Su Yönetimi, Ulaştırma, Uzay alanlarının Kritik Altyapı Sektörleri olarak belirlenmesi kararlaştırılmıştır.