Türkiye’de Sızma Testi Yasal Boyutu
Nisan 9, 2026
Uncategorized
Giriş
Dijitalleşen dünyada siber güvenlik, sadece teknik bir koruma kalkanı değil, aynı zamanda sıkı yasal düzenlemelerle çerçevelenmiş hukuki bir zorunluluktur. Türkiye’de sızma testi (pentest) yaptırmak, kurumların dijital varlıklarını koruma iradesinin ötesinde, başta 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) olmak üzere birçok sektörel regülasyonun temel gereksinimlerinden biridir.
Bir kurumun kendi sistemlerine “saldırı simülasyonu” yaptırması, hukuki açıdan “veri sorumlusunun özen yükümlülüğü” kapsamında değerlendirilir. Bu makale, Türkiye’deki güncel mevzuat ışığında sızma testlerinin yasal dayanaklarını ve süreçteki hukuki riskleri analiz etmektedir.
Konunun Temel Açıklaması
Sızma testinin yasal boyutu, temelde “yetkilendirme” ve “hesap verebilirlik” ilkeleri üzerine kuruludur. Türk Ceza Kanunu (TCK) Madde 243 ve devamı, bilişim sistemlerine yetkisiz erişimi suç sayarken; sızma testi, bu erişimin kurumun rızası ve yazılı bir sözleşme çerçevesinde gerçekleşmesiyle “hukuka uygunluk nedeni” oluşturur.
Kurumsal perspektifte pentest, bir siber olay yaşandığında kurumun “gerekli teknik tedbirleri aldığını” ispatlayan en güçlü yasal kanıttır.
KVKK ve Teknik Tedbirler İlişkisi
Türkiye’de sızma testi yaptırmanın en güçlü yasal dayanağı KVKK’dır. Kanun’un 12. maddesi, veri sorumlusuna kişisel verilerin hukuka aykırı erişilmesini önlemek amacıyla her türlü teknik tedbiri alma yükümlülüğü yükler.
Kişisel Veri Güvenliği Rehberi: KVKK Kurulu tarafından yayımlanan rehberde sızma testleri açıkça bir teknik tedbir olarak belirtilmiştir. Kurul, veri ihlali sonrası incelemelerde düzenli pentest yapılıp yapılmadığını bir kusur kriteri olarak görür.
İdari Para Cezaları: Pentest yaptırmamak veya sonuçlarını uygulamamak, “veri güvenliği yükümlülüklerinin ihlali” kapsamında yüksek idari para cezalarına yol açabilmektedir.
Sektörel Regülasyonlar ve Zorunluluklar
Bazı sektörlerde sızma testi yaptırmak doğrudan bir yasal mecburiyettir:
Bankacılık ve Finans (BDDK): Bankaların ve ödeme kuruluşlarının her yıl en az bir kez bağımsız firmalara sızma testi yaptırmaları zorunludur.
Sermaye Piyasaları (SPK): Aracı kurumlar için periyodik sızma testleri denetimin ayrılmaz bir parçasıdır.
Kamu Kurumları: Cumhurbaşkanlığı Dijital Dönüşüm Ofisi “Bilgi ve İletişim Güvenliği Rehberi”, kamu ve kritik altyapılar için sızma testini standart haline getirmiştir.
Teknik Arka Plan ve Sözleşme Hukuku
Sızma testinin yasal olarak “suç” teşkil etmemesi için şu hazırlıklar eksiksiz olmalıdır:
Yetkilendirme Formu ve Sözleşme: Kapsamı, süreyi ve **”Angajman Kuralları”**nı (Rules of Engagement) belirleyen yazılı bir sözleşme imzalanmalıdır.
Log Yönetimi: Test sırasında yapılan tüm işlemlerin loglanması zorunludur. Olası bir aksaklıkta işlemin test kapsamında olup olmadığını belirleyen yegane kanıt budur.
Riskler ve Etkileri
Yasal boyutu ihmal edilmiş bir süreç şu riskleri doğurur:
Hukuka Aykırı Erişim Suçu: Yazılı onay alınmadan veya kapsam dışına çıkılarak yapılan işlemler TCK kapsamında suç oluşturabilir.
Veri İhlali Bildirimi: Test sırasında gerçek bir sızıntı yaşanırsa, durumun 72 saat içinde Kurum’na bildirilmesi gerekir.
Gizlilik İhlali: Testi yapan firmanın elde ettiği verileri ifşa etmesi cezai sorumluluk yaratır.
Önleme ve Güvenlik Önlemleri
Gizlilik Sözleşmesi (NDA): Test firması ile kapsamlı bir gizlilik sözleşmesi imzalanmalıdır.
Sertifikasyon Kontrolü: Testi yapacak personelin (TSE, OSCP vb.) yetkinlik belgeleri sorgulanmalıdır.
Maskeleme: Test raporlarında kişisel verilerin açıkça yer almaması, bu verilerin maskelenmesi (redaction) yasal bir gerekliliktir.
Sonuç
Türkiye’de sızma testi yaptırmak, teknik bir gereklilik olduğu kadar karmaşık bir hukuki süreçtir. 2026 yılının siber hukuk ikliminde, sistemlerini test ettirmeyen kurumlar sadece saldırganlara karşı değil, aynı zamanda yasalar önünde de savunmasız kalacaktır. Yasalara uygun bir sızma testi, bir kurumun hem verisini hem de itibarını koruyan en stratejik adımdır.
Tags :
#TeknikTedbirler,kvkk,SızmaTestiHukuku
Share This :