7545 Sayılı Siber Güvenlik Kanunu ve Yapay Zekâ Sistemleri:
Kurumunuz Hazır mı?
7545, Türkiye'nin siber güvenliğini ulusal düzeyde düzenleyen çerçeve kanun. Metin "yapay zekâ" demiyor, ama yükümlü kurumların LLM asistanları, RAG hatları ve AI agent'ları doğrudan kapsama giriyor. Bu rehber; kimin yükümlü olduğunu, yapay zekâ sistemlerinin bu yükümlülüğe nasıl dahil olduğunu, periyodik test ve denetimi, idari yaptırım riskini ve EU AI Act ile KVKK kesişimini adım adım açıklıyor.
1. 7545 Sayılı Siber Güvenlik Kanunu nedir?
7545 sayılı Siber Güvenlik Kanunu, Türkiye'de siber güvenliği ulusal ölçekte düzenleyen çerçeve kanundur; 19 Mart 2025 tarihli Resmî Gazete'de yayımlanarak yürürlüğe girmiştir. Kanunun amacı, kamunun ve kritik altyapıların bilişim sistemlerini siber tehditlere karşı korumak, siber güvenlik politikasını merkezî bir otorite altında toplamak ve olay yönetimini kurumsallaştırmaktır.
Kanun iki ana kurumsal yapıyı yetkilendirir:
- Siber Güvenlik Başkanlığı: Siber güvenlik politikalarını uygulayan, olay bildirimlerini toplayan, denetim yapan ve yaptırım sürecini yürüten idari otorite.
- Siber Güvenlik Kurulu: Cumhurbaşkanı başkanlığında toplanan, stratejik kararların ve önceliklerin belirlendiği üst kurul.
Kanun; siber güvenlik, kritik altyapı, siber olay, zafiyet ve siber tehdit gibi kavramları tanımlar ve yükümlü kesime hem önleyici tedbir alma hem de olay sonrası bildirim ve iş birliği yükümlülüğü getirir. Yani 7545, yalnızca "saldırıya uğrarsan bildir" demez; sistemleri korumak için düzenli tedbir almayı, denetime hazır olmayı ve Başkanlığın talep ettiği bilgi ve belgeyi sunmayı da zorunlu kılar.
Bu çerçeve, KVKK gibi tek bir varlık türünü (kişisel veri) değil, kurumun tüm bilişim yüzeyini konu alır. Yapay zekâ bileşenleri de bu yüzeyin bir parçasıdır ve tam da bu nedenle kanunun kapsamına dahildir.
2. 7545 hangi kurumları kapsıyor?
Kanunun yükümlü kitlesi, günlük hayatta "herkes" değil; ağırlıklı olarak kamu ve kritik hizmet üretenlerdir. Genel hatlarıyla kapsam üç öbekte toplanabilir:
- Kamu kurum ve kuruluşları ile kamu niteliğindeki meslek kuruluşları.
- Kritik altyapı işleticileri: enerji, elektronik haberleşme, finans ve bankacılık, ulaştırma, su yönetimi, sağlık ve benzeri, aksaması halinde toplumsal/ekonomik etkisi yüksek sektörler.
- Siber güvenlik alanında ürün, hizmet veya çözüm sağlayanlar: güvenlik yazılımı, denetim, sızma testi ve benzeri hizmet sunan aktörler.
Bu öbeklerin ortak paydası, sundukları hizmetin kesintisi ya da veri güvenliğinin bozulmasının kamusal etki doğurmasıdır. Bir banka mobil uygulaması, bir hastane bilgi sistemi, bir enerji dağıtım SCADA ağı ya da bir e-Devlet servisi bu tanımın merkezindedir.
Kritik nokta şudur: bu kurumların çoğu artık yapay zekâ kullanıyor. Bankaların müşteri hizmetleri chatbot'ları, sigorta şirketlerinin poliçe asistanları, kamu kurumlarının belge özetleyen RAG sistemleri, çağrı merkezlerinin LLM tabanlı yönlendiricileri… Yükümlü kurum yapay zekâ kullandığı anda, bu bileşenler de onun siber güvenlik yükümlülüğünün parçası hâline gelir.
3. Yapay zekâ sistemleri 7545 kapsamına nasıl giriyor?
Kanun metni ayrı bir "yapay zekâ" başlığı taşımıyor. Bu, yapay zekâ sistemlerinin kapsam dışı olduğu anlamına gelmez; aksine, bir LLM veya AI agent hukuki olarak bir bilişim sistemi ve veri işleme bileşeni olduğu için genel yükümlülüklerin altına girer. Kapsama giriş üç yoldan gerçekleşir:
a) Yapay zekâ bir saldırı yüzeyidir
Bir LLM chatbot, dışarıya açık her uç gibi saldırılabilir bir yüzeydir. Prompt injection, jailbreak, sistem promptu sızdırma ve dolaylı enjeksiyon gibi teknikler; klasik web zafiyetlerinden farklı ama etki olarak eşdeğer sonuçlar üretir: yetkisiz veri erişimi, hizmet manipülasyonu, kimlik doğrulama atlatma. 7545'in "sistemleri koru" yükümlülüğü, bu yeni yüzeyi de kapsar.
b) Yapay zekâ veri işler
Bir RAG sistemi arka planda müşteri kayıtlarına, sözleşmelere veya sağlık verilerine erişir. Modelin yetkisiz bir belgeyi döndürmesi ya da bağlam penceresine düşen bir talimatı çalıştırması, doğrudan bir güvenlik olayıdır. Veri hareketi olan her yer, siber güvenlik yükümlülüğünün de olduğu yerdir.
c) Yapay zekâ eylem alır
Araç kullanan (tool-calling) bir AI agent, e-posta gönderebilir, kayıt güncelleyebilir, API çağırabilir. Bu, saldırı etkisini "bilgi sızıntısı"ndan "yetkisiz işlem"e taşır. Agent'ın manipüle edilmesi, klasik bir yetki yükseltme zafiyetiyle aynı ciddiyettedir ve aynı yükümlülük çerçevesine tabidir.
Özetle: yükümlü bir kurumun ürettiği ya da işlettiği yapay zekâ sistemi, tıpkı bir web uygulaması ya da veritabanı gibi, korunması, izlenmesi, test edilmesi ve olay hâlinde bildirilmesi gereken bir varlıktır. "AI ayrı bir dünya" varsayımı, uyum açısından en riskli varsayımdır.
4. Yapay zekâ hangi yeni siber risk yüzeylerini açıyor?
Yapay zekâ bileşenleri, geleneksel güvenlik kontrollerinin çoğu zaman görmediği yeni bir saldırı sınıfı getirir. Bu risklerin ortak dili, sektörde OWASP LLM Top 10 (2025) ve MITRE ATLAS ile kuruluyor. Başlıca yüzeyler:
| Risk Yüzeyi | Ne oluyor? | Standart Eşlemesi |
|---|---|---|
| Prompt Injection | Kullanıcı girdisiyle sistem talimatlarının ezilmesi, jailbreak | OWASP LLM01 · ATLAS |
| Hassas Bilgi Sızıntısı | Modelin müşteri verisi, sır veya sistem promptu döndürmesi | OWASP LLM02 · KVKK |
| RAG / Veri Kaynağı Zehirlenmesi | Vektör veritabanına ya da belgeye gizli talimat gömme | OWASP LLM04 · LLM08 |
| Aşırı Yetkilendirme | Agent'ın yetkisiz araç çağrısı yapması, işlem tetiklemesi | OWASP LLM06 |
| Tedarik Zinciri | Güvenilmeyen model/eklenti ile arka kapı ya da kirli ağırlık | OWASP LLM03 · ATLAS |
Bu yüzeylerin hepsi 7545 açısından anlamlıdır çünkü her biri bir siber olayı tetikleyebilir. Bir bankanın chatbot'undan sızan müşteri IBAN'ı, bir hastane RAG sisteminden çıkan sağlık verisi ya da manipüle edilmiş bir agent'ın gönderdiği yetkisiz talimat; hem gerçekleşmiş bir güvenlik olayı hem de bildirim gerektiren bir durumdur. Klasik WAF, DLP ve EDR ürünleri bu semantik saldırıları çoğunlukla görmez; çünkü paket düzeyinde "kötü" bir şey yoktur, kötülük dilin içindedir.
5. Periyodik test ve denetim yükümlülüğü ne getiriyor?
7545'in pratikteki en somut yansıması, yükümlü kurumların düzenli olarak güvenlik durumunu kanıtlayabilir olmasıdır. Siber Güvenlik Başkanlığı denetim yapabilir, bilgi ve belge talep edebilir; kurum ise aldığı tedbirleri ve test bulgularını gösterebilecek durumda olmalıdır. Bu beklenti, yapay zekâ bileşenlerini de kapsayacak biçimde okunmalıdır.
Ne var ki geleneksel sızma testi yaklaşımı LLM'lerde yetersiz kalır. Bir web pentest metodolojisi SQL injection ve XSS arar; ama prompt injection, jailbreak zinciri, çok turlu (crescendo) manipülasyon veya Türkçe morfolojiyle filtre atlatma gibi vektörleri kapsamaz. Yapay zekâ sistemleri için denetimin şu katmanları içermesi gerekir:
- LLM sızma testi: Prompt injection, jailbreak, sistem promptu sızdırma, PII exfiltrasyonu ve araç kötüye kullanımına yönelik, Türkçe saldırı kalıplarını da içeren adversarial test. Bkz. LLM Sızma Testi.
- Çalışma zamanı izleme (guardrail): Girdi ve çıktı denetimi, PII maskeleme, politika ihlali tespiti ve olay loglama. Kurumun "olay olduğunda haberim var mı?" sorusuna cevabı budur.
- Kayıt ve kanıt: Denetim izlerinin, bildirim süreçlerinin ve test raporlarının saklanması; Başkanlık talep ettiğinde sunulabilir olması.
- Yeniden test döngüsü: Model, sistem promptu ya da entegrasyon değiştiğinde testin tekrarlanması. Yapay zekâ sistemleri hızlı değiştiği için tek seferlik test, kısa sürede geçersizleşir.
Bu noktada AltaySec'in Guardian ürünü, çalışma zamanı izleme katmanını Türkçe saldırı kalıplarına ve KVKK bağlamına göre kuran yerli bir çözüm olarak konumlanır; amaç, denetim anında "tedbir aldık ve izliyoruz" iddiasını somut loglarla desteklenebilir kılmaktır.
6. Uyumsuzluğun idari yaptırımları nelerdir?
7545, yükümlülüklere aykırılık hâlinde idari para cezası öngörür; belirli ağır fiillerde ise adli yaptırımlar (hapis cezasına kadar giden hükümler) devreye girebilir. Bu yazı bilinçli olarak rakam vermez; çünkü ceza tutarları düzenlemelerle güncellenir ve olayın niteliğine, kurumun büyüklüğüne ve ihlalin ağırlığına göre değişir. Önemli olan mantığı kavramaktır:
- Tedbir almama / denetime uymama: Yükümlü kurumun gerekli güvenlik tedbirlerini almaması veya denetim sürecine iş birliği sağlamaması idari yaptırım konusudur.
- Olay bildirmeme: Yaşanan bir siber olayın Başkanlığa bildirilmemesi ayrı bir aykırılık oluşturur. Bir LLM veri sızıntısını "içeride hallettik" diye bildirmemek, riski büyütür.
- Ağır fiiller: Verinin yetkisiz biçimde yurt dışında saklanması, sistemlerin kasıtlı manipülasyonu ya da asılsız içerikle kamuoyunda korku/panik yaratılması gibi fiiller için kanun cezai boyutlara yer verir.
Yapay zekâ açısından kritik çıkarım: bir prompt injection olayının maliyeti yalnızca sızan veriyle sınırlı değildir. Aynı olay, KVKK cezasıyla 7545 yaptırımını üst üste bindirebilir. Dahası, "haberimiz olmadı" savunması artık koruyucu değildir; çünkü izleme ve bildirim kapasitesine sahip olmamak da başlı başına bir eksikliktir.
7. 7545, EU AI Act ve KVKK ile nasıl kesişiyor?
Türk kurumları için yapay zekâ uyumu tek bir kanunla bitmez; üç çerçeve iç içe geçer. Her biri farklı bir soruya cevap verir, ama gerçek bir olay çoğunlukla üçünü aynı anda tetikler.
| Çerçeve | Odak sorusu | LLM sızıntısında rolü |
|---|---|---|
| 7545 Siber Güvenlik Kanunu | Sistem ve altyapı güvende mi? | Bildirilebilir siber olay; tedbir ve denetim yükümlülüğü |
| KVKK (6698) | Kişisel veri korunuyor mu? | Veri ihlali; özel nitelikli veride ağırlaşan sorumluluk |
| EU AI Act | Yapay zekâ güvenli ve sağlam mı? | Yüksek riskli sistemde sağlamlık/siber güvenlik açığı |
| NIST AI RMF / 600-1 | Risk nasıl yönetiliyor? | Gönüllü çerçeve; ölçüm ve yönetişim için ortak dil |
Örnek bir senaryoyla somutlaştıralım: Bir sigorta şirketinin poliçe chatbot'undan, prompt injection ile bir müşterinin sağlık geçmişi sızıyor. Bu tek olay şunları aynı anda doğurur — KVKK açısından Madde 6 özel nitelikli veri ihlali; 7545 açısından bildirilmesi gereken bir siber güvenlik olayı; ihracatçı/çok uluslu bir yapı varsa EU AI Act kapsamındaki yüksek riskli sistem için sağlamlık açığı. Üç çerçeve tek noktada birleşir. Bu kesişim tablosunun daha geniş bir haritası için Türkiye yapay zekâ düzenlemeleri ve EU AI Act uyum rehberi yazılarına bakılabilir.
Pratik sonuç: uyumu üç ayrı silo olarak yönetmek verimsizdir. Aynı teknik kontrol seti — LLM sızma testi, çalışma zamanı guardrail'ı, olay bildirim süreci ve PII maskeleme — her üç çerçevenin de temel beklentisini aynı anda karşılar.
8. Kurumunuz 7545'e hazır mı? Hazırlık adımları
Hazırlık, tek bir denetim gününe değil, sürdürülebilir bir yapıya dayanır. Aşağıdaki adımlar, yapay zekâ bileşenlerini de kapsayan pratik bir yol haritasıdır:
- Yapay zekâ envanteri çıkarın. Hangi LLM'ler, RAG hatları ve agent'lar üretimde? Hangi veriye erişiyorlar? Hangi araçları çağırabiliyorlar? Görünmeyen bileşen korunamaz.
- Veri sınıflandırması yapın. Her yapay zekâ bileşeninin dokunduğu veriyi (kişisel, özel nitelikli, finansal, gizli) etiketleyin. KVKK ve 7545 riskini bu harita belirler.
- LLM sızma testi planlayın. Prompt injection, jailbreak, PII exfiltrasyonu ve araç kötüye kullanımını, Türkçe saldırı kalıplarını da içerecek biçimde düzenli test edin.
- Çalışma zamanı izleme kurun. Girdi/çıktı denetimi, PII maskeleme, politika ihlali tespiti ve olay loglama olmadan "olayı bildirme" yükümlülüğü havada kalır.
- Olay bildirim sürecini tanımlayın. Bir yapay zekâ olayı yaşandığında kim, neyi, hangi eşikte Siber Güvenlik Başkanlığı'na bildirecek? Bu akış önceden yazılı olmalı.
- Standartlara eşleyin. Kontrollerinizi OWASP LLM Top 10, MITRE ATLAS ve NIST AI RMF ile eşleştirin; bu, denetimde ortak dil ve kanıt sağlar.
- Yeniden test döngüsü kurun. Model, sistem promptu veya entegrasyon değiştiğinde testi tekrarlayın; tek seferlik uyum, yapay zekâda hızla eskir.
- Yönetişimi kurumsallaştırın. Sorumluluğu tek kişiye değil, bir yapay zekâ güvenliği/yönetişim sürecine bağlayın.
Bu adımların büyük kısmı, bir kurumun genel siber güvenlik olgunluğuyla örtüşür; fark, yapay zekâya özgü katmanı (semantik saldırılar, model davranışı, veri hattı) açıkça dahil etmektir. Bu katmanı ihmal eden kurumlar, geleneksel kontrolleri güçlü olsa bile 7545 kapsamındaki yeni yüzeyde açık kalır.
9. Sonuç
7545 sayılı Siber Güvenlik Kanunu, Türkiye'de kamunun ve kritik altyapının siber güvenliğini merkezî bir çerçeveye bağladı. Metin "yapay zekâ" demese de, yükümlü kurumların LLM asistanları, RAG sistemleri ve AI agent'ları — bilişim sistemi ve veri işleyen bileşen olarak — bu çerçevenin tam içindedir. Bir prompt injection olayı artık yalnızca teknik bir aksaklık değil; KVKK, EU AI Act ve 7545'in üç ayrı yükümlülüğünü aynı anda tetikleyebilen bir olaydır.
Doğru okuma şudur: uyum, denetim gününde toplanacak bir evrak yığını değil; test edilebilir, izlenebilir ve bildirilebilir bir yapay zekâ güvenliği yapısıdır. Bu yapıyı erken kuran kurumlar, 2026'nın yapay zekâ uyum dalgasında hazırlıklı tarafta olur. AltaySec olarak bu alanda Türkiye'deki öncü isimlerden biri olarak, yükümlü kurumların bu hazırlığı somut ve yerli araçlarla kurmasına odaklanıyoruz.
Kurumunuzun yapay zekâ uyumunu birlikte değerlendirelim
LLM ve agent sistemlerinizin 7545, KVKK ve EU AI Act karşısındaki durumunu; sızma testi, çalışma zamanı izleme ve olay bildirim süreçleriyle birlikte haritalayalım. Satış değil, önce durum tespiti.
İlgili Yazılar
7545, tek başına değil; bir düzenleme ekosisteminin parçası. Yapay zekâ uyumunu bütün olarak görmek için bu yazılar birbirini tamamlıyor — regülasyon, saldırı yüzeyi ve savunma üç ayağını birlikte kapsıyor.
Sıkça Sorulan Sorular
7545 sayılı Siber Güvenlik Kanunu nedir ve ne zaman yürürlüğe girdi?
7545 sayılı Siber Güvenlik Kanunu, 19 Mart 2025 tarihli Resmî Gazete'de yayımlanarak yürürlüğe giren, Türkiye'de siber güvenliği ulusal düzeyde düzenleyen çerçeve kanundur. Siber Güvenlik Başkanlığı'nı ve Cumhurbaşkanı başkanlığındaki Siber Güvenlik Kurulu'nu yetkilendirir; kamu kurumları, kritik altyapı işleticileri ve siber güvenlik alanında ürün/hizmet sunanlar için tedbir alma, olay bildirme ve denetime tabi olma yükümlülükleri getirir.
7545 yapay zekâ sistemlerini kapsıyor mu?
Kanun metni "yapay zekâ" terimini ayrı bir başlıkta saymasa da, yapay zekâ ve büyük dil modeli (LLM) sistemleri bilişim sistemi ve veri işleyen bileşen oldukları için kapsam içindedir. Yükümlü bir kurumun ürettiği ya da kullandığı bir LLM asistanı, RAG hattı veya AI agent'ı bir saldırı yüzeyidir; bu bileşenlerin güvenliği, olay bildirimi ve denetimi kanunun genel yükümlülükleri kapsamına girer.
LLM veri sızıntısı 7545'e göre bildirilmesi gereken bir siber olay mıdır?
Evet. Prompt injection ile bir chatbot'tan müşteri verisinin sızması ya da RAG sisteminin yetkisiz belge döndürmesi, hem KVKK açısından veri ihlali hem de 7545 açısından bildirilebilir bir siber güvenlik olayıdır. Yükümlü kurumlar bu tür olayları Siber Güvenlik Başkanlığı'na bildirmek ve talep hâlinde bilgi/belge sunmakla yükümlüdür.
7545 ile KVKK ve EU AI Act arasındaki fark nedir?
KVKK kişisel verinin korunmasına, EU AI Act yapay zekânın risk temelli ürün güvenliğine, 7545 ise sistemlerin ve altyapının siber güvenliğine odaklanır. Bir LLM veri sızıntısı çoğu zaman üçünü aynı anda ilgilendirir: KVKK'ye göre veri ihlali, EU AI Act kapsamındaki yüksek riskli sistem için sağlamlık açığı ve 7545 kapsamında bir siber olay.
Kurumumuz 7545 uyumu için nereden başlamalı?
İlk adım, yapay zekâ bileşenlerini de kapsayan bir envanter çıkarmaktır: hangi LLM'ler, hangi RAG hatları, hangi agent'lar hangi veriyle çalışıyor. Ardından bu bileşenler için düzenli LLM sızma testi, olay bildirim süreci, çalışma zamanı izleme (guardrail) ve OWASP LLM Top 10 ile MITRE ATLAS eşlemesi kurulmalıdır.
