Çin Siber Güvenlik Yasası’nda yapılan değişiklikler 1 Ocak 2026 itibarıyla yürürlüğe girdi. Siber Uzay İdaresi (CAC) tarafından yayınlanan Ulusal Siber Güvenlik Olayı Bildirim Yönetmeliği ise 1 Kasım 2025’te yürürlüğe girdi.
Değişiklikler, kritik bilgi altyapısı işletmecileri için önemli siber güvenlik olaylarının bildirimi sürelerini sıkılaştırdı. Özellikle kritik olaylar için ilk bildirim süresi 60 dakika, görece büyük olaylar için ise 4 saat olarak belirlendi. Bu düzenlemeler, 2017’den bu yana yasanın en kapsamlı güncellemesini oluşturdu.
Kritik bilgi altyapısı işletmecileri, görece büyük siber güvenlik olaylarını tespit ettikleri andan itibaren 4 saat içinde ön bildirimde bulunmak zorunda kaldı. Bir milyondan fazla bireyin verilerini etkileyen veri ihlalleri veya 5 milyon yuan’ı (yaklaşık 700 bin ABD doları) aşan ekonomik kayıplara yol açan olaylar bu kategoriye girdi. Ön bildirimden sonra 72 saat içinde detaylı değerlendirme raporu, olayın çözülmesinden itibaren 30 gün içinde ise sonradan inceleme raporu sunulması zorunlu kılındı.
Özellikle kritik olaylar için bildirim süresi bir saate indirildi. Hükümet portallarına, büyük haber sitelerine veya kritik altyapıya 24 saatten fazla süren saldırılar, tam sistem etkilenmesi durumunda 6 saatten fazla süren olaylar bu kapsama girdi. Bildirimi alan yetkililer, Ulusal Siber Uzay İdaresi ve Devlet Konseyi’ne 30 dakika içinde haber vermekle yükümlü tutuldu.
CAC’nin bildirim yönetmeliği, özellikle kritik olaylar için detaylı eşikler tanımladı. Bir eyalet nüfusunun yüzde 50’sinden fazlasını veya 10 milyondan fazla kişiyi etkileyen hizmet kesintileri, 100 milyondan fazla vatandaşın kişisel verilerini içeren büyük ölçekli veri ihlalleri veya 100 milyon yuan’ı (yaklaşık 14 milyon ABD doları) aşan mali kayıplar bu kategoriye dahil edildi. Olay çözümlendikten sonra ağ işletmecileri, kök nedenleri, yanıt önlemlerini, etki değerlendirmesini, düzeltici eylemleri ve çıkarılan dersleri içeren kapsamlı bir rapor sunmak üzere 30 gün süre tanındı.
Yasadaki değişiklikler, ihlal cezalarını önemli ölçüde artırdı. Ciddi ihlallerde kuruluşlara 10 milyon yuan’a kadar, doğrudan sorumlu bireylere ise 1 milyon yuan’a kadar para cezası uygulanabileceği belirtildi. Cezalandırma süreci hızlandırıldı; geleneksel uyarı ve düzeltme aşamaları atlanarak doğrudan ceza verilebileceği kaydedildi.
Tedarik zinciri hesap verebilirliği sıkılaştırıldı. Kritik bilgi altyapısı işletmecileri, uyumsuz ürün veya hizmet kullanımı nedeniyle satın alma bedelinin on katına varan cezalarla karşılaşabileceği ifade edildi. Bu, tedarikçi yönetimi ve satın alma süreçlerindeki riskleri artırdı.
Yasanın yurtdışı yetki alanı genişletildi. Çin’in ağ güvenliğini tehlikeye atan herhangi bir yabancı faaliyet, kritik altyapıyı doğrudan hedef almasa bile kapsama alındı. Şiddetli durumlarda varlık dondurma veya diğer yaptırımlar uygulanabileceği aktarıldı. Çok uluslu kuruluşlar için bulut yönlendirme, yazılım bağımlılıkları, yönetilen hizmetler ve Çin bağlantılı sistemlerle kesişen operasyonlar yeni uyum riskleri doğurdu.
Siber güvenlik yasasına yapay zeka ilk kez resmen dahil edildi. Yeni eklenen madde, yapay zekanın siber güvenlik yönetiminde kullanımını teşvik ederken, etik yönetim ve güvenlik denetimini güçlendirdi. Gelecekteki düzenlemelerle detaylı uygulama rehberlerinin beklendiği kaydedildi. Bu entegrasyon, uyum beklentilerinin geleneksel BT güvenliğinin ötesine, algoritmik hesap verebilirlik ve risk yönetimine uzanacağını işaret etti.
Değişiklikler, Çin’de faaliyet gösteren, ürün veya hizmet satan veya Çin kritik altyapısına bağlı tedarikçilere bağımlı olan kuruluşlar için uyum ortamını dönüştürdü. Siber güvenlik yükümlülükleri artık uzun inceleme süreleri veya aşamalı düzeltmelerle tanımlanmıyor; hız, hesap verebilirlik ve anında düzenleyici etkileşim ön plana çıkarıldı.
Ulusal Siber Güvenlik Olayı Bildirimi İdari Tedbirleri, Çin içinde ağ kuran veya işleten, Çin ağları üzerinden hizmet sağlayan tüm ağ işletmecilerine tek bir çerçeve getirdi. Önceki dağınık bildirim yükümlülükleri birleştirildi ve dört seviye ciddiyet sınıflandırması getirildi.
Görece büyük olaylar için dört saatlik bildirim süresi, bir milyondan fazla bireyi etkileyen veri ihlalleri veya 5 milyon yuan ekonomik kayıplarla örneklendirildi. Bu olaylarda 72 saatlik detaylı rapor ve 30 günlük son inceleme zorunlu hale getirildi.
Özellikle kritik olaylarda bir saatlik bildirim, hükümet ve kritik altyapı saldırılarını kapsadı. Yetkililerin 30 dakikalık üst bildirim yükümlülüğü, hükümetin en üst seviyelerine hızlı tırmanışı sağladı.
Cezalarda kişisel sorumluluk genişletildi. Yöneticiler, güvenlik liderleri ve sorumlu kişiler doğrudan hesap verebilir kılındı. Tedarik zinciri cezaları, uyumsuzluk için satın alma bedelinin on katı olarak tanımlandı.
Yurtdışı yetki genişlemesi, kritik altyapı hedefi dışındaki yabancı eylemleri de kapsadı. Bulut, yazılım, ağ ekipmanları ve üretim kökenleri gibi unsurlar risk altına girdi.
Yapay zeka entegrasyonu, savunma aracı olarak kullanımını teşvik ederken sistemik riskleri yönetmeyi vurguladı. Teknik standartlarla detaylandırılması beklenen stratejik öncelikler belirlendi.
CAC kriterleri, eyalet çapında yüzde 50 nüfus kesintisi, 10 milyon kişi etkisi, 100 milyon veri ihlali veya 100 milyon yuan kaybı gibi eşikleri içerdi. 30 günlük kapsamlı rapor, kök neden analizini zorunlu kıldı.
LinkedIn’de Sanjiv Cherian, “SOC’umuz ciddiyeti 60 dakika içinde sınıflandırıp raporlanabilirliğini belirleyebilir mi? Yönetici onayı için saat dilimleri arası bekletilen yetki devri var mı? Olay devam ederken düzenleyiciye hazır belge üreten kanıt hattımız olgunlaştı mı?” diye kaydetti. Çoğu kuruluşun ilk saati olayı anlamakla geçirdiğini, bu saatin artık uyum zamanı olduğunu belirtti.
Değişiklikler, Çin kritik altyapısına vendor, yazılım, ağ veya yönetilen hizmetler yoluyla bağlı küresel işletmeler için kesin bir dönüşüm getirdi. Hız, dokümantasyon ve hesap verebilirlik, siber güvenlik programlarının isteğe bağlı unsurları olmaktan çıkarak yasal olarak zorunlu kılındı.
