ARTICLE
28 March 2025

SPK'dan Bilgi Sistemlerine Yönelik Yeni Düzenlemeler

EA
Esin Attorney Partnership

Contributor

Esin Attorney Partnership logo
Esin Attorney Partnership, a member firm of Baker & McKenzie International, has long been a leading provider of legal services in the Turkish market. We have a total of nearly 140 staff, including over 90 lawyers, serving some of the largest Turkish and multinational corporations. Our clients benefit from on-the-ground assistance that reflects a deep understanding of the country's legal, regulatory and commercial practices, while also having access to the full-service, international and foreign law advice of the world's leading global law firm. We help our clients capture and optimize opportunities in Turkey's dynamic market, including the key growth areas of mergers and acquisitions, infrastructure development, private equity and real estate. In addition, we are one of the few firms that can offer services in areas such as compliance, tax, employment, and competition law — vital for companies doing business in Turkey.
Explore Firm Details
Sermaye Piyasası Kurulu ("SPK") tarafından hazırlanan VII-128.10 sayılı Bilgi Sistemleri Yönetimine İlişkin Usul ve Esaslar Tebliği ("Bilgi Sistemleri Tebliği")...
Turkey Finance and Banking
Muhsin Keskin,Ali Cetin, and Semih Aktaş
Your Author LinkedIn Connections

Yeni Gelişmeler

Sermaye Piyasası Kurulu ("SPK") tarafından hazırlanan VII-128.10 sayılı Bilgi Sistemleri Yönetimine İlişkin Usul ve Esaslar Tebliği ("Bilgi Sistemleri Tebliği") 13 Mart 2025 tarih ve 32840 sayılı Resmi Gazete'de yayımlandı.

Bilgi Sistemleri Tebliği Neler Getiriyor?

Bilgi Sistemleri Tebliği kapsamında:

  • Önceki düzenlemelerde de yer alan ancak tam olarak tanımlanmayan çeşitli terimlerin tanımları yapıldı. Bu kapsamda, "bilgi sistemleri", bilginin işlendiği, iletildiği ve saklandığı yazılım, donanım ve iletişim altyapısı ile bunlarla etkileşimde bulunan insan kaynağı, faaliyet ve süreçlerin tümünü ifade edecek şekilde tanımlandı.
  • Bilgi güvenliği politikası sadece personele değil ilgili diğer taraflara da duyurulacak ve yılda en az bir kez gözden geçirilecek.
  • Bilgi güvenliği sorumlularının sağlaması gereken çeşitli kriterler belirlendi. Bu kapsamda, bilgi güvenliği sorumlusu, bilgi sistemleri iç kontrol, bilgi sistemleri denetimi, bilgi sistemleri yönetişimi ve kontrollerinin tesisi veya bilgi güvenliği alanlarının herhangi birinde yeterli teknik bilgiye ve en az beş yıl tecrübeye sahip olacak. Bilgi güvenliği sorumlusunun, bilgi sistemleri yönetimine ilişkin gerekliliklerin yerine getirilmesi hususunda herhangi bir görevinin bulunmaması ve üst yönetime bağlı çalışması gerekecek.
  • Bilgi varlıklarının envanterinde kayıt altına alınacak asgari hususlar belirlendi. Ayrıca, bilgi sistemleri kapsamında sunulan hizmetler için hizmet envanteri; bilgi sistemleri kapsamındaki süreçler için süreç envanteri oluşturulacak. Bu envanterlerde asgari olarak Bilgi Sistemleri Tebliği'nde yer alan hususlar kayıt altına alınacak.
  • Fiziksel ve çevresel güvenlik konularındaki düzenlemelerin genişletilmesiyle, bakım yapan üçüncü şahıslar ile gizlilik sözleşmesi akdedilmesi, veri merkezlerinin hareket algılama özelliğine sahip kameralar ile 7/24 izlenmesi ve bu kamera kayıtlarının çeşitli süreler saklanması gibi ek zorunluluklara uyulacak.
  • Uzaktan erişimlerde çok faktörlü kimlik doğrulama, ağ bölümü izolasyonu, beyaz-kara liste uygulamaları gibi çeşitli ek güvenlik önemleri ile ağ güvenliğinin artırılmasına yönelik düzenlemeler dikkate alınacak.
  • Bilgi sistemleri kapsamında dışarıdan alınacak kritik olmayan hizmetler, hizmet sözleşmelerinde Bilgi Sistemleri Tebliği'nde aranan asgari unsurların yer almasının imkân dâhilinde olmadığı durumlarda, bu durumun gerekçesi yazılı hale getirilerek standart sözleşmeler ile alınabilecek.
  • Bilgi Sistemleri Tebliği'ne tabi yükümlüler, faaliyetlerin tamamı veya bir bölümü için bulut hizmeti kullanabilecek. Bulut hizmeti alımı, kullanımı ve yönetimi, dışarıdan hizmet alımı olarak değerlendirilecek. Bulut hizmeti kapsamında, birincil ve ikincil sistemlerin yurt içinde bulundurulması yükümlülüğüne uyulacak. Kripto varlık alım satım platformları, bulut hizmet sağlayıcının yurt içinde temsilciliğinin bulunması ve yurt dışında oluşturulan tüm kayıtların gün sonunda yurt içine aktarılması koşuluyla müşteri emirlerinin eşleştiği ortamlar için yurt dışından bulut hizmeti alabilecek.
  • Dışarıdan alınan yazılım, donanım, işletim sistemi veya bu bileşenlerin bir ya da birkaçını barındıran cihaz/sistemlerin, mevcut güvenlik önlemlerini aşarak erişim sağlamak üzere özel olarak tasarlanan ve/veya kasıtlı olarak dâhil edilmiş boşluklar veya güvenlik açıklarını barındırmadığına yönelik olarak dağıtıcı, tedarikçi veya üreticiden taahhütname alınacak.
  • Bilgi güvenliği ihlali halinde yapılacak işlemleri içeren müdahale planı hazırlanmasına yönelik hükümler de dahil olmak üzere bilgi güvenliği ihlallerini azaltıcı ve böyle bir ihlal gerçekleştikten sonra yapılacakları daha detaylı düzenleyen hükümlere uyulacak.
  • Uygulamaların güvenli çalışmasını temin etmek amacıyla kontroller geliştirilecek ve uygulama güvenliğinin sağlanmasına yönelik olarak getirilen detaylı düzenlemelere uyulacak.
  • İkincil sistemlerin yeri, doğal ve çevresel felaketlere karşı birincil sistemlerle aynı risklere maruz kalmayacak şekilde seçilecek.
  • Yılda en az bir defa asgari olarak kritik sistemlerin yedekten geri dönme testi gerçekleştirilecek ve teste katılanların bilgisi, tarih, testin detayları ve sonuçları kayıt altına alınacak.
  • Yılda en az bir kez bilgi sistemleri bağımsız denetim lisansına sahip kişilerce bilgi sistemlerine yönelik iç denetim faaliyeti yürütülecek.
  • Bilgi Sistemleri Tebliği kapsamında yer alan bazı kuruluşlara, önceki düzenlemelerde olduğu gibi geniş muafiyetler tanındı. Bu çerçevede, dar yetkili aracı kurumlar ve belirli özsermaye yükümlülüklerine tabi olan portföy yönetim şirketleri ile halka açık şirketlerin bilgi sistemleri iç denetimi yaptırmasına gerek olmayacak. Ek olarak, SPK'nın i-SPK.62.1 (1 Mart 2018 tarihli ve 9/327 s.k.) sayılı ilke kararına paralel olarak, halka açık şirketler, birincil ve ikincil sistemlerini yurt içinde bulundurma yükümlülüğünden muaf olacak.
  • Kripto varlık hizmet sağlayıcılar ayrıca, Türkiye Bilimsel ve Teknolojik Araştırma Kurumu'nun kripto varlık hizmet sağlayıcıların bilgi sistemleri ve teknolojik altyapılarına ilişkin olarak hazırladığı dokümanda yer alan kriterlere uyacak.

Geçiş Süreci

Bilgi Sistemleri Tebliği 30 Haziran 2025 tarihinde yürürlüğe girecek. Bu kapsamda, kripto varlık hizmet sağlayıcılarının birincil ve ikincil sistemlerin yurt içinde bulundurulması yükümlülüğü başta olmak üzere bilgi sistemlerinin sürekliliğine ilişkin düzenlemelere 2025 yılı sonuna kadar, iç denetimin bilgi sistemleri bağımsız denetim lisansına sahip kişilerce yapılması konusundaki düzenlemeye ise 2026 sonuna kadar uyması gerekiyor.

Öte yandan kripto varlık hizmet sağlayıcıları dışındaki yükümlülerin iç denetimin bilgi sistemleri bağımsız denetim lisansına sahip kişilerce yapılmasına yönelik düzenlemeye 2026 yılı sonuna kadar, Bilgi Sistemleri Tebliği'nin diğer düzenlemelerine ise 2025 yılı sonuna kadar uyum sağlaması gerekiyor. Bu yükümlüler, yürürlükten kalkacak VII-128.9 sayılı Bilgi Sistemleri Yönetimi Tebliği'ne 2025 yılı sonuna kadar uymaya devam edecek.

Sonuç

Bilgi Sistemleri Tebliği ile birlikte SPK'nın bilgi sistemleri mevzuatına tabii yükümlülerin ve bunların uymak zorunda olduğu yükümlülüklerin sayısı artıyor.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

Authors
Photo of Muhsin Keskin
Muhsin Keskin
Photo of Ali Cetin
Ali Cetin
Photo of Semih Aktaş
Semih Aktaş
Your Author LinkedIn Connections
See More Popular Content From

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More