2020 yılında küresel ekonomiye siber suçlardan kaynaklanan yıllık maliyetin 5,5 trilyon avro olduğu tahmin ediliyor. 2024 yılı itibarıyla ise bu maliyetin 9,5 trilyon dolara ulaşmış olabileceği öngörülüyor.
Son on yılda siber saldırılar hem sıklık hem de karmaşıklık açısından önemli ölçüde artmış ve hem küresel ölçekte hem de Avrupa Birliği’nde ciddi mali kayıplara yol açmıştır.
2020 yılında küresel ekonomiye siber suçlardan kaynaklanan yıllık maliyetin 5,5 trilyon avro olduğu tahmin edilmektedir; bu rakam 2015 yılına kıyasla iki katına çıkmıştır[1]. Bu artış eğilimi devam etmekte olup, 2024 yılı itibarıyla maliyetin 9,5 trilyon dolara ulaşmış olabileceği öngörülmektedir. Gelişen siber tehdit ortamı, kuruluşlar için kritik sorunun artık “Saldırıya uğrayacak mıyız?” değil, “Ne zaman saldırıya uğrayacağız?” olduğunu açıkça ortaya koymuştur[2].
AB’de işletmeler, siber saldırılar nedeniyle önemli mali kayıplarla karşı karşıya kalmaktadır. Örneğin, 2023 yılında Avrupa’daki şirketlerin bir siber saldırıdan kaynaklanan ortalama maliyeti ülke bazında değişiklik göstermekle birlikte, yüz binlerce Euroyu bulmaktadır. İşletmelerin karşılaştığı finansal maliyetler genellikle; siber saldırının anlık sonucu olan olay müdahalesi (incident response) ve sistemin eski haline getirilmesinin (system restoration) yanı sıra uzun vadede itibar ve müşteri kaybı şeklinde de tezahür etmektedir. Bazı durumlarda bu saldırılar sonucunda fima bütün varlıklarını yitirebilmektedir.
Yapay zekânın (AI) kullanımı da saldırı yüzeylerini (attack surface vectors) çeşitlendirmiş ve siber saldırıların daha sofistike ve etkili hale gelmesine neden olmuştur. Bunun bir sonucu olarak da siber güvenlik savunma önlemlerinin maliyeti artırmıştır.
Özellikle fidye yazılımı (ransomware) saldırıları çok önemli mali sonuçlar doğurmuştur. 2023 yılında ortalama fidye ödeme miktarı 1,54 milyon dolara ulaşmış, bu rakam bir önceki yılla kıyaslandığında yaklaşık iki katına artmıştır[3].
IBM’in 2024 Veri İhlali Maliyeti Raporu[4], Avrupa’dan üç ülkenin en çok etkilenen 10 ülke arasında yer aldığını göstermektedir.
Veri İhlali Maliyeti En Yüksek Olan Ülkeler (2023):
- Amerika Birleşik Devletleri: 9,48 milyon dolar
- Orta Doğu: 8,07 milyon dolar
- Kanada: 5,13 milyon dolar
- Almanya: 4,67 milyon dolar
- Japonya: 4,52 milyon dolar
- Güney Kore: 4,69 milyon dolar
- Birleşik Krallık: 4,67 milyon dolar
- Fransa: 4,57 milyon dolar
- İtalya: 3,61 milyon dolar
- Güney Afrika: 3,21 milyon dolar
Buna ek olarak, tedarik zinciri saldırıları (supply chain attack) önemli ölçüde artmıştır. Analiz firması Gartner, 2025 yılına kadar küresel kuruluşların %45’inin bu tür saldırılardan etkileneceğini tahmin etmektedir[5].
Artan siber saldırılar, işletmeler için siber güvenlikten ziyade siber dayanıklılık (cyber resilience) kavramını ön plana çıkarmıştır. Bu doğrultuda, işletmelerin bir siber saldırı sırasında ve sonrasında faaliyetlerini kesintisiz sürdürebilmesi için gerekli önlemleri alması hayati önem taşımaktadır. Bu çerçevede, Avrupa Birliği kurumları da kapsamlı siber güvenlik düzenlemeleri ve proaktif risk yönetimi stratejileri geliştirmişlerdir.
AB’nin Yeni Siber Güvenlik Düzenlemeleri: Avrupa Birliği, siber güvenliği ve dijital dayanıklılığı güçlendirmek maksadıyla, konu ve kapsamları birbirinden farklı üç önemli yönetmeliği yürürlüğe koymuştur. Bunlar:
- NIS2 Direktifi: 2016 yılında kabul edilen NIS Direktifi’nin (Ağ ve Bilgi Sistemleri Güvenliği Direktifi) genişletilmiş versiyonudur. Enerji, sağlık ve ulaşım gibi daha fazla sektörü kapsamına alarak daha sıkı güvenlik tedbirleri ve olay bildirim yükümlülüklerini uygulamaya koyarken risk tabanlı bir yaklaşım geliştirmektedir. Ayrıca, AB ülkelerindeki siber güvenlik uygulamalarının mevzuata uygun hale getirilmesi, birbiriyle uyumlu hale getirilmesi ve AB ülkeleri arasında iş birliğinin sağlanmasını amaçlanmaktadır.
- Dijital Operasyonel Dayanıklılık Yasası (DORA): Bankalar, sigorta şirketleri, yatırım firmaları ve diğer finansal kuruluşların Bilgi Teknolojileri(BT) kaynaklı faaliyet aksamalarına dayanabilmesini ve toparlanabilmesini sağlamak için hazırlanmıştır. BT risk yönetimi, olay bildirme, üçüncü taraf BT hizmet sağlayıcılarının denetimi gibi konulara odaklanır. Sürekli izleme, düzenli testler ve yönetişim önlemleriyle finansal piyasa istikrarını artırmayı ve tüketici korumasını güçlendirmeyi hedefler.
- Siber Dayanıklılık Yasası (CRA): Dijital bileşenlere sahip ürünlerin tüm yaşam döngüsü boyunca güvenli olmasını sağlamak için oluşturulmuştur. Üreticilerin siber güvenlik gerekliliklerine uymasını zorunlu kılarak, cihazların ve yazılımların güvenli tasarlanmasını ve düzenli güncellemelerle korunmasını hedefler. Bu düzenleme, tüketici güvenini artırmayı, AB pazarını korumayı ve dijital ekosistemin dayanıklılığını artırmayı amaçlamaktadır.
Yeni Düzenlemelerin Etkileri ve Karşılaşılması Muhtemel Zorluklar:
- Siber güvenlik pazarının Büyümesi: Şirketlerin, uyum çözümleri (compliance), risk yönetimi standartları (risk management frameworks) ve gelişmiş güvenlik teknolojileri arayışına girmeleri beklenmelidir. Bu bağlamda, siber güvenlik tehditlerinin tespiti, hassasiyet yönetimi (vulnerability management) olay müdahalesi, ve uyumluluk otomasyonu alanlarındaki siber güvenlik firmalarına olan talep artacaktır.
- Nitelikli siber güvenlik uzmanlarına talebin artması: Siber risk yönetimi, hassasiyet yönetimi, güvenli yazılım geliştirme ve uyumluluk konularında uzmanlaşmış profesyonellere duyulan ihtiyaç artacaktır.
- Uyum maliyetlerinin artması: Artan regülasyonlar ve siber güvenlik standartlarına uyum sağlamak, özellikle küçük ve orta ölçekli işletmeler (KOBİ’ler) için ciddi mali yükler getirebilir. Zorunlu sertifikasyonlar, gelişmiş altyapı yatırımları ve uzman istihdamı gibi unsurlar, işletmelerin bütçelerini zorlayabilir.
- Regülatörlerin rolü kritik olacak: AB üyesi ülkelerin ulusal regülatörleri yerel düzeyde uyum politikalarının uygulanmasını sağlamakta, işletmelere rehberlik etmekte ve uyum süreçlerini kolaylaştırıcı finansal teşvikler sunmaktadır. Özellikle KOBİ’ler için teknik destek programları, hibeler ve eğitim girişimleri, siber dayanıklılığı artırma noktasında kritik bir rol oynacaktır.
Sonuç olarak;
NIS2, DORA ve CRA’nın uygulanmasının önemli çaba ve yatırım gerektirse de, işletmeler açısından dayanıklılığın artması, siber güvenlik alt yapısının güçlendirilmesi gibi uzun vadeli faydaları olacaktır. Bunun doğal sonucu olarak da tüketici, müşteri ve partnerlerin güveni artacak böylelikle işletmeler daha rantabl hale gelebilecektir. Siber güvenlik ve risk yönetimi yatırımlarını ve uygulamalarını zamanında ve efektif bir şekilde yerine getiren işletmeler kazançlı çıkacaktır. Bununla birlikte, özellikle KOBİ’lerin ortaya çıkacak maliyetleri karşılayabilmesi ve uzman kaynağı ihtiyacını giderebilmesi için teknik destek programları ve finansal teşviklere yönelik projeler geliştirilmesi büyük önem taşımaktadır.
[1] Top cyber threats in the EU, 16 January 2025, https://www.consilium.europa.eu/en/infographics/cyber-threats-eu/
[2] Financial Times, Technology and cybercrime: how to keep out the bad guys, https://www.ft.com/content/8a79ab25-c902-4110-bcb8-be2fd422f6bf.
[3] [3] 101 Cybersecurity Statistics and Trends for 2025, January 14, 2025 https://www.nu.edu/blog/cybersecurity-statistics/.
[4] 2024 bate récords históricos en ciberataques, que con ayuda de la IA son cada vez más precisos,31 December 2024, https://elpais.com/tecnologia/2024-12-31/2024-bate-records-historicos-en-ciberataques-que-con-ayuda-de-la-ia-son-cada-vez-mas-precisos.html.
[5] TechTarget, 35 cybersecurity statistics to lose sleep over in 2025, https://www.techtarget.com/whatis/34-Cybersecurity-Statistics-to-Lose-Sleep-Over-in-2020
