Yeni Gelişmeler
Sermaye Piyasası Kurulu (“SPK”) tarafından hazırlanan VII-128.10 sayılı Bilgi Sistemleri Yönetimine İlişkin Usul ve Esaslar Tebliği (“Bilgi Sistemleri Tebliği”) 13 Mart 2025 tarih ve 32840 sayılı Resmi Gazete’de yayımlandı.
Bilgi Sistemleri Tebliği Neler Getiriyor?
Bilgi Sistemleri Tebliği kapsamında:
- Önceki düzenlemelerde de yer alan ancak tam olarak tanımlanmayan çeşitli terimlerin tanımları yapıldı. Bu kapsamda, “bilgi sistemleri”, bilginin işlendiği, iletildiği ve saklandığı yazılım, donanım ve iletişim altyapısı ile bunlarla etkileşimde bulunan insan kaynağı, faaliyet ve süreçlerin tümünü ifade edecek şekilde tanımlandı.
- Bilgi güvenliği politikası sadece personele değil ilgili diğer taraflara da duyurulacak ve yılda en az bir kez gözden geçirilecek.
- Bilgi güvenliği sorumlularının sağlaması gereken çeşitli kriterler belirlendi. Bu kapsamda, bilgi güvenliği sorumlusu, bilgi sistemleri iç kontrol, bilgi sistemleri denetimi, bilgi sistemleri yönetişimi ve kontrollerinin tesisi veya bilgi güvenliği alanlarının herhangi birinde yeterli teknik bilgiye ve en az beş yıl tecrübeye sahip olacak. Bilgi güvenliği sorumlusunun, bilgi sistemleri yönetimine ilişkin gerekliliklerin yerine getirilmesi hususunda herhangi bir görevinin bulunmaması ve üst yönetime bağlı çalışması gerekecek.
- Bilgi varlıklarının envanterinde kayıt altına alınacak asgari hususlar belirlendi. Ayrıca, bilgi sistemleri kapsamında sunulan hizmetler için hizmet envanteri; bilgi sistemleri kapsamındaki süreçler için süreç envanteri oluşturulacak. Bu envanterlerde asgari olarak Bilgi Sistemleri Tebliği’nde yer alan hususlar kayıt altına alınacak.
- Fiziksel ve çevresel güvenlik konularındaki düzenlemelerin genişletilmesiyle, bakım yapan üçüncü şahıslar ile gizlilik sözleşmesi akdedilmesi, veri merkezlerinin hareket algılama özelliğine sahip kameralar ile 7/24 izlenmesi ve bu kamera kayıtlarının çeşitli süreler saklanması gibi ek zorunluluklara uyulacak.
- Uzaktan erişimlerde çok faktörlü kimlik doğrulama, ağ bölümü izolasyonu, beyaz-kara liste uygulamaları gibi çeşitli ek güvenlik önemleri ile ağ güvenliğinin artırılmasına yönelik düzenlemeler dikkate alınacak.
- Bilgi sistemleri kapsamında dışarıdan alınacak kritik olmayan hizmetler, hizmet sözleşmelerinde Bilgi Sistemleri Tebliği’nde aranan asgari unsurların yer almasının imkân dâhilinde olmadığı durumlarda, bu durumun gerekçesi yazılı hale getirilerek standart sözleşmeler ile alınabilecek.
- Bilgi Sistemleri Tebliği’ne tabi yükümlüler, faaliyetlerin tamamı veya bir bölümü için bulut hizmeti kullanabilecek. Bulut hizmeti alımı, kullanımı ve yönetimi, dışarıdan hizmet alımı olarak değerlendirilecek. Bulut hizmeti kapsamında, birincil ve ikincil sistemlerin yurt içinde bulundurulması yükümlülüğüne uyulacak. Kripto varlık alım satım platformları, bulut hizmet sağlayıcının yurt içinde temsilciliğinin bulunması ve yurt dışında oluşturulan tüm kayıtların gün sonunda yurt içine aktarılması koşuluyla müşteri emirlerinin eşleştiği ortamlar için yurt dışından bulut hizmeti alabilecek.
- Dışarıdan alınan yazılım, donanım, işletim sistemi veya bu bileşenlerin bir ya da birkaçını barındıran cihaz/sistemlerin, mevcut güvenlik önlemlerini aşarak erişim sağlamak üzere özel olarak tasarlanan ve/veya kasıtlı olarak dâhil edilmiş boşluklar veya güvenlik açıklarını barındırmadığına yönelik olarak dağıtıcı, tedarikçi veya üreticiden taahhütname alınacak.
- Bilgi güvenliği ihlali halinde yapılacak işlemleri içeren müdahale planı hazırlanmasına yönelik hükümler de dahil olmak üzere bilgi güvenliği ihlallerini azaltıcı ve böyle bir ihlal gerçekleştikten sonra yapılacakları daha detaylı düzenleyen hükümlere uyulacak.
- Uygulamaların güvenli çalışmasını temin etmek amacıyla kontroller geliştirilecek ve uygulama güvenliğinin sağlanmasına yönelik olarak getirilen detaylı düzenlemelere uyulacak.
- İkincil sistemlerin yeri, doğal ve çevresel felaketlere karşı birincil sistemlerle aynı risklere maruz kalmayacak şekilde seçilecek.
- Yılda en az bir defa asgari olarak kritik sistemlerin yedekten geri dönme testi gerçekleştirilecek ve teste katılanların bilgisi, tarih, testin detayları ve sonuçları kayıt altına alınacak.
- Yılda en az bir kez bilgi sistemleri bağımsız denetim lisansına sahip kişilerce bilgi sistemlerine yönelik iç denetim faaliyeti yürütülecek.
- Bilgi Sistemleri Tebliği kapsamında yer alan bazı kuruluşlara, önceki düzenlemelerde olduğu gibi geniş muafiyetler tanındı. Bu çerçevede, dar yetkili aracı kurumlar ve belirli özsermaye yükümlülüklerine tabi olan portföy yönetim şirketleri ile halka açık şirketlerin bilgi sistemleri iç denetimi yaptırmasına gerek olmayacak. Ek olarak, SPK’nın i-SPK.62.1 (1 Mart 2018 tarihli ve 9/327 s.k.) sayılı ilke kararına paralel olarak, halka açık şirketler, birincil ve ikincil sistemlerini yurt içinde bulundurma yükümlülüğünden muaf olacak.
- Kripto varlık hizmet sağlayıcılar ayrıca, Türkiye Bilimsel ve Teknolojik Araştırma Kurumu’nun kripto varlık hizmet sağlayıcıların bilgi sistemleri ve teknolojik altyapılarına ilişkin olarak hazırladığı dokümanda yer alan kriterlere uyacak.
Geçiş Süreci
Bilgi Sistemleri Tebliği 30 Haziran 2025 tarihinde yürürlüğe girecek. Bu kapsamda, kripto varlık hizmet sağlayıcılarının birincil ve ikincil sistemlerin yurt içinde bulundurulması yükümlülüğü başta olmak üzere bilgi sistemlerinin sürekliliğine ilişkin düzenlemelere 2025 yılı sonuna kadar, iç denetimin bilgi sistemleri bağımsız denetim lisansına sahip kişilerce yapılması konusundaki düzenlemeye ise 2026 sonuna kadar uyması gerekiyor.
Öte yandan kripto varlık hizmet sağlayıcıları dışındaki yükümlülerin iç denetimin bilgi sistemleri bağımsız denetim lisansına sahip kişilerce yapılmasına yönelik düzenlemeye 2026 yılı sonuna kadar, Bilgi Sistemleri Tebliği’nin diğer düzenlemelerine ise 2025 yılı sonuna kadar uyum sağlaması gerekiyor. Bu yükümlüler, yürürlükten kalkacak VII-128.9 sayılı Bilgi Sistemleri Yönetimi Tebliği’ne 2025 yılı sonuna kadar uymaya devam edecek.
Sonuç
Bilgi Sistemleri Tebliği ile birlikte SPK’nın bilgi sistemleri mevzuatına tabii yükümlülerin ve bunların uymak zorunda olduğu yükümlülüklerin sayısı artıyor.
