6362 sayılı Sermaye Piyasası Kanunu’nun (“Kanun”) çeşitli maddelerinde değişiklik yapan “7518 sayılı Sermaye Piyasası Kanunu’nda Değişiklik Yapılmasına Dair Kanun” 02.07.2024 tarihli ve 32590 sayılı Resmî Gazete ‘de yayımlanarak yürürlüğe girmiştir. Söz konusu düzenleme ile kripto varlık hizmet sağlayıcılar Kanun kapsamında Sermaye Piyasası Kurulu’nun (“Kurul”) düzenleme ve denetimine tabi kılınmıştır. Kurul nezdinde yürütülen ikincil düzenleme çalışmaları çerçevesinde hazırlanan Bilgi Sistemleri Yönetimine İlişkin Usul ve Esaslar Tebliği (VII-128.10) (“Tebliğ”) 13/3/2025 tarihli ve 32840 sayılı Resmî Gazete ‘de yayımlanarak yürürlüğe girmiştir. 5/1/2018 tarihli ve 30292 sayılı Resmî Gazete’de yayımlanan Bilgi Sistemleri Yönetimi Tebliği (VII-128.9) yürürlükten kaldırılmıştır. Söz konusu Tebliğ’in 2. maddesinde tanımlanan Kurum, Kuruluş ve Ortaklıkların Tebliğ hükümlerine uyumluluk sağlaması zorunlu hale getirilmiştir.
Tebliğ ile önem arz eden ve uyum sağlanması gerekli konular başlıca aşağıdaki gibidir;
- Bilgi sistemlerinin yönetimi
- Bilgi Sistemlerinin kontrol ve denetimine ilişkin esaslar
- Dış hizmet alımları ve üçüncü taraflarla ilişkiler
- Bilgi güvenliği ihlalleri ve müdahale planları
- Bilgi sistemlerinin geliştirilmesi ve uygulama güvenliği
Tebliğ’in 2. Maddesinde tanımlanan ve Tebliğ’e uymakla yükümlü olan kurum, kuruluş ve ortaklıklar aşağıdaki gibidir:
- Borsa İstanbul A.Ş.
- Borsalar ve piyasa işleticileri ile teşkilatlanmış diğer pazar yerleri
- Emeklilik yatırım fonları
- İstanbul Takas ve Saklama Bankası A.Ş.
- Merkezi Kayıt Kuruluşu A.Ş.
- Portföy saklayıcısı kuruluşlar
- Sermaye Piyasası Lisanslama Sicil ve Eğitim Kuruluşu A.Ş.
- Sermaye piyasası kurumları
- Halka açık ortaklıklar
- Türkiye Sermaye Piyasaları Birliği
- Türkiye Değerleme Uzmanları Birliği
- Kripto Varlık Hizmet Sağlayıcılar
- Bilgi Sistemlerinin Yönetilmesi
Kurumlar, bilgi sistemlerinin yönetimini iş hedefleriyle uyumlu hale getirir ve buna yönelik stratejiler oluşturur. Bu stratejiler, yönetsel hiyerarşi içinde yer alır, güvenlik, performans ve süreklilik gibi unsurları hedeflemelidir.
Bilgi sistemlerinin yönetimine dair kontroller yazılı hale getirilir, düzenli olarak gözden geçirilir ve onaylanır.
Sorumluluklar, görevler ayrılığına dayalı olarak belirlenmelidir.
- Bilgi Güvenliği Politikası:
Bilgi güvenliğinin sağlanması için üst yönetim tarafından hazırlanır ve yönetim kurulu tarafından onaylanır. Onaylanan bilgi güvenliği politikası personele ve ilgili diğer taraflara duyurulur.
Bu politika, bilgi güvenliği süreçlerini, risklerin yönetilmesini ve kontrollerin sağlanmasını kapsar. Bilgi güvenliği politikası yılda en az bir defa gözden geçirilir; iş ihtiyaçları, değişen tehdit ve risklere göre güncellenir.
- Üst Yönetimin Gözetimi:
Bilgi güvenliği politikası ve stratejisinin uygulanmasından üst yönetim sorumludur. Bilgi güvenliği politikası kapsamında bilgi sistemleri kontrollerinin etkin, yeterli ve uyumlu bir şekilde tesis edilmesi, değerlendirilmesi ve gözetimi yönetim kurulunun sorumluluğundadır.
Yeni bilgi sistemlerinin kullanıma alınmasına ilişkin kritik projeler üst yönetim tarafından gözden geçirilir ve bunlara ilişkin risklerin yönetilebilirliği göz önünde bulundurularak onaylanır. Kritik projelerin Kurum, Kuruluş ve Ortaklıkların iç kaynaklarıyla veya dışarıdan hizmet alımı yoluyla gerçekleştirilmesine bakılmaksızın personel uzmanlığının, projelerin teknik gereksinimlerini karşılayabilecek nitelikte olması esastır. Bu yapıyı desteklemek üzere oluşturulacak yönetsel rol ve sorumluluklar açıkça belirlenir.
Asgari olarak kritik iş süreçlerini ve faaliyetlerini destekleyen bilgi sistemlerinin sürekliliğini sağlamak üzere iş sürekliliği planının bir parçası olan bilgi sistemleri süreklilik planı hazırlanması gerekmektedir.
- Bilgi Sistemleri Risk Yönetimi
Kurum, Kuruluş ve Ortaklıklar, bilgi sistemlerine ilişkin riskleri belirlemek, ölçmek, izlemek, işlemek ve raporlamak üzere risk yönetimi süreç ve prosedürlerini tesis eder ve güncelliğini sağlar.
Bilgi sistemlerine ilişkin risk analizi, risk işleme ve gözetim süreçleri işletilir. Risk analizi yılda en az bir defa gerçekleştirilir. Bilgi sistemlerinde meydana gelecek önemli değişikliklerde tekrarlanır. Risk analizinde tüm bilgi varlıkları değerlendirmeye alınır.
Kurum, Kuruluş ve Ortaklıkların bilgi sistemleri süreçleri ve kullanıcılara sundukları hizmetlere yönelik risk analizi yılda en az bir defa gerçekleştirilir, süreç ve hizmetlerde meydana gelebilecek önemli değişikliklerde tekrarlanır
Bilgi güvenliği tehditlerine karşı uygun tedbirler alınır ve Kurum, Kuruluş ve Ortaklıkların bilgi sistemleri, bilgi güvenliğine ilişkin gerekliliklerin yerine getirilmesi hususunda herhangi bir görevi bulunmayan ve sızma testi konusunda ulusal veya uluslararası belgeye sahip gerçek veya tüzel kişiler tarafından yılda en az bir kez sızma testine tabi tutulur. Kurul gerekli gördüğü takdirde Kurum, Kuruluş ve Ortaklıkların sızma testi yaptırmasını isteyebilir.
- Bilgi Sistemleri Kontrollerine İlişkin Esaslar
- Bilgi sistemleri kontrollerinin tesisi ve yönetilmesi
Üst yönetim, bilgi güvenliği politikası kapsamında, bilgi sistemlerinin güvenlik risklerini yönetir ve sistemlerin etkin bir şekilde işletilmesini sağlar.
Her sürecin sahibi ve sorumlulukları açıkça tanımlanır.
Süreçlerin performansı ölçülür ve eğitimlerle personelin yeterliliği sağlanır.
Süreçler ve kontroller sürekli olarak takip edilir, değerlendirilir ve önemli eksiklikler yılda en az bir kez üst yönetime raporlanır.
- Varlık Yönetimi
Bilgi varlıkları belirlenir, envanteri oluşturulur ve güncel tutulur. Envanterde her varlıkla ilgili bilgiler (tanım, edinim tarihi, güvenlik sınıfı vb.) yer alır.
Varlıkların güvenlik sınıfı belirlenir ve üst yönetim tarafından onaylanır. Bu sınıflandırma, varlıkların gizlilik, bütünlük ve erişilebilirlik gereksinimlerine göre yapılır.
Taşınabilir cihazlar ve ortamlar, yüksek güvenlik gereksinimi taşıyan verilerle ilgili risklere karşı korunur.
Kullanımdan kaldırılan varlıklara güvenli silme işlemleri uygulanır.
- Görevler Ayrılığı İlkesi
Bilgi sistemleri üzerinde hata, eksiklik veya kötüye kullanım risklerini azaltmak için görev ve sorumluluk alanları ayrılır. Bu kapsamda ayrılması gereken görev ve sorumluluklar belirlenir, yılda en az bir kez gözden geçirilir ve güncelliği sağlanır.
Bilgi sistemleri süreçleri tasarlanırken kritik işlemlerin tek bir personele veya dış hizmeti sunan kuruluşa bağımlı olmaması göz önünde bulundurulur.
- Fiziksel/Çevresel Güvenlik ve Ağ Güvenliği
Kritik bilgi sistemlerinin konumlandırıldığı veri merkezlerinin veya güvenli alanların yetkisiz fiziksel erişime, değişen ortam koşullarına, altyapı hizmeti kesintilerine ve felaketlere karşı korunması için Tebliğ’in 12. Maddesinde düzenlenen asgari kontroller uygulanır.
Kurumsal ağın iç ve dış tehditlere karşı korunması ve ağı kullanan sistem, veri tabanı ve uygulamaların güvenliğinin sağlanması için kontroller tesis edilir ve etkin bir şekilde yönetilir. Kurumsal ağın ve ağda bulunan bilgi sistemlerinin güvenliğinin sağlanmasında katmanlı güvenlik yaklaşımı esas alınır. Bu yaklaşımda ağ altyapısı, işletim sistemi, uygulama savunmaları şeklinde birden çok koruma katmanı bir bütünün parçası olarak tasarlanıp devreye alınır.
Kurumsal ağın fiziksel ve mantıksal topolojisi; tüm alt ağları, güvenlik cihazlarını, erişim noktalarını ve bağlantı yollarını içerecek şekilde yazılı hale getirilir, güncel tutulur ve güvenli saklanır.
- Bilgi sistemlerinin işletimi
Kurum, Kuruluş ve Ortaklıklar, ihtiyaç duyulan bilgi sistemleri hizmetlerinin istenilen seviyede ve süreklilik arz edecek şekilde sunulması için gerekli kontrolleri tesis eder. Bu kapsamda sunulan her hizmetin seviyesi, iş gereksinimleriyle uyumlu olacak şekilde iş birimleri ile mutabakata varılarak belirlenir. Kullanıcıların bilgi sistemleri ile ilgili sorun ve taleplerinin kayda alınması, bunlara cevap verilmesi ve altta yatan kök sebeplerin çözülmesi için gerekli mekanizmalar kurulur.
- Veri Gizliliği
Bilgi sistemleri faaliyetleri kapsamında gerçekleşen işlemlerin ve bu işlemler kapsamında iletilen, işlenen ve saklanan verilerin gizliliğini sağlayacak önlemleri ve kişisel verilerin korunması ve işlenmesine yönelik gerekli tedbirler alınmalıdır. Buna ilişkin Tebliğ’de düzenlenmeyen hususlar bakımından 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili diğer mevzuat hükümleri uygulanır.
- Bilgi sistemlerine ilişkin dışarıdan hizmet alımı
Üst yönetimi tarafından, bilgi sistemleri kapsamında dışarıdan hizmet alımının doğuracağı risklerin yeterli düzeyde değerlendirilmesine, yönetilmesine ve dışarıdan hizmet sağlayıcı kuruluşlarla ilişkilerin etkin bir şekilde yürütülebilmesine olanak sağlayacak bir gözetim mekanizması tesis edilir.
Kurum, Kuruluş ve Ortaklıkların üst yönetimi; dışarıdan alınan kritik hizmetlerin erişilebilirliğini, performansını, kalitesini, bu hizmet kapsamında gerçekleşen güvenlik ihlalleri ile dış kaynak yoluyla hizmet sağlayan kuruluşun güvenlik kontrollerini, finansal koşullarını ve sözleşmeye uygunluğunu yakından takip etmek için yeterli bilgi ve tecrübeye sahip sorumluları belirler. Bu sorumlular, yılda en az bir defa olmak üzere bu maddede sayılan hususları içeren bir değerlendirme raporu hazırlar ve üst yönetime sunar.
Dışarıdan hizmet alımına ilişkin koşul, kapsam ve her türlü diğer tanımlama, dış hizmeti sağlayan kuruluşça da imzalanmış olacak şekilde sözleşmeye bağlanır.
Kurum, Kuruluş ve Ortaklıklar, faaliyetlerinin tamamı veya bir bölümü için bulut hizmeti kullanabilir. Bulut hizmeti alımı, kullanımı ve yönetimi, dışarıdan hizmet alımı olarak değerlendirilir.
- Müşterilerin Bilgilendirilmesi
Elektronik ortamda sunulan hizmetlerden yararlanacak müşteriler; sunulan hizmetlere ilişkin şartlar, riskler ve istisnaî durumlarla ilgili olarak açık bir şekilde bilgilendirilir. Bu kapsamda; söz konusu hizmetlere ilişkin risklerin etkisini azaltmaya yönelik olarak benimsenen bilgi güvenliği ilkeleri ve bu risklerden korunmak için kullanılması gereken yöntemler, müşterilerin dikkatine sunulur. Bu bilgilendirmenin yapıldığının ispatı Kurum, Kuruluş ve Ortaklıkların sorumluluğundadır.
- Kayıt mekanizmasının oluşturulması
Kurum, Kuruluş ve Ortaklıklar, bilgi sistemleri üzerindeki riskleri, sistem veya faaliyetlerinin karmaşıklığını ve kapsamının genişliğini göz önünde bulundurarak bilgi sistemlerinin kullanımına ilişkin etkin bir denetim izi kayıt mekanizması tesis eder.
Denetim izleri asgari 5 yıl saklanır. Denetim izlerinin yeterli güvenlik düzeyine sahip ortamlarda korunması ve yedeklerinin alınması suretiyle, yaşanması muhtemel olumsuzluklar sonrasında da öngörülen süre için erişilebilir olmaları temin edilir.
- Bilgi güvenliği İhlali
Kurumlar, gerçekleşen her türlü bilgi güvenliği ihlali veya güvenlik açığı için gerekli kontrolleri belirler ve tüm personeli bu konuda bilgilendirir. Olaylar en kısa sürede kayda alınarak müdahale edilir. İhlallerin değerlendirilmesinde kullanılan kriterler arasında operasyonel kesinti süresi, veri sızıntıları, etkilenen kullanıcı sayısı ve gelir kaybı gibi faktörler yer alır. Olaylara müdahale için bir plan hazırlanır; bu plan, olayın değerlendirilmesi, ilgili tarafların bilgilendirilmesi ve raporlama süreçlerini içerir. Eğer olay kritik bir kesintiye veya veri sızıntısına yol açarsa, ilgili kurumlar derhal bilgilendirilir. Olay sonrası detaylı bir rapor hazırlanarak üst yönetime sunulur ve bu rapor, olayın kök sebebi, yapılan işlemler, harcanan zaman, maliyet gibi bilgileri içerir. Ayrıca, personelin olay müdahale yetkinlikleri arttırılmak amacıyla düzenli eğitimler yapılır. Olay müdahale planının etkinliği yılda en az bir kez test edilir ve bu testin sonuçları üst yönetime raporlanır.
Bilgi sistemlerinin edinimi, geliştirilmesi ve bakımı süreçlerinde gerekli güvenlik kontrolleri uygulanır. Bu süreçlerde, sistemlerin fonksiyonel gereksinimleri, güvenlik gereksinimleri ve test aşamaları belirlenir. Sistemlerin tasarımı ve geliştirilmesi, kurumun büyüklüğü ve faaliyetleri ile uyumlu olmalıdır. Kaynağı tedarik edilemeyen yazılımlar için, yazılım saklama sözleşmeleri yapılır. Geliştirilen veya alınan yazılımlar proje yönetim süreçleri ile takip edilir ve bu projeler üst yönetim tarafından onaylanır. Yazılım geliştirme süreçlerinde güvenlik gereksinimlerine uygunluk sağlanır ve yazılım geliştiren personelin güvenli yazılım geliştirme konusunda eğitim alması sağlanır. Ayrıca, yeni sistemler kullanılmadan önce testlere tabi tutulur ve gerekli güvenlik testleri yapılır. Geliştirme, test ve gerçek ortamlar arasındaki erişim, güvenlik risklerini en aza indirmek amacıyla ayrılır. Sistemler, olgunlaşana kadar eski sistemle paralel olarak çalıştırılabilir. Bu süreçlerde sürüm kontrolü kullanılarak yapılan değişiklikler kayıt altına alınır.
- Uygulama Güvenliği
Kurum, Kuruluş ve Ortaklıklar, uygulamaların güvenli çalışmasını temin etmek amacıyla kontroller geliştirir. Bu kontroller girdi ve çıktı denetimini, hataların ele alınmasını, güncellemeleri, erişim denetimini, mobil uygulama ve API işletimine özgü konuları içerir ve asgari olarak kritik uygulamalarda ele alınır.
Uygulamalarda veri girişlerinin tam, doğru ve geçerli şekilde yapılması, veri üzerindeki işlemlerin doğru sonuçlar üretmesi sağlanır, veri ve işlem kaybı, verinin yetkisiz değiştirilmesi ve kötüye kullanımı önlenir. Bu kapsamda; girdi doğrulama ve filtreleme mekanizmaları tesis edilir. Girdiler zararlı içerikleri engellemek üzere doğrulanır. Girdilerin önceden belirlenen uzunluk ve format gereksinimlerine uygunluğu sağlanır.
- Bilgi Sistemleri Sürekliliği
Kurum, Kuruluş ve Ortaklıkların birincil ve ikincil sistemlerini yurt içinde bulundurmaları zorunludur. İkincil sistemin yeri, doğal ve çevresel felaketlere karşı birincil sistemle aynı risklere maruz kalmayacak şekilde seçilir.
Bilgi sistemleri süreklilik planının geliştirilmesi ve işletilmesinde görev alacak kişiler ile rol ve sorumlulukları belirlenerek ilgili eğitimleri almaları sağlanır. Planın devreye alınması kararını verecek kişi ve durumlar yazılı hale getirilir. Bilgi sistemleri süreklilik planı üst yönetim tarafından onaylanır. Planın sadece ilgili kişiler tarafından erişilebilir olması ve güncel fiziksel kopyalarının gereken yerlerde bulundurulması sağlanır.
Kurum, Kuruluş ve Ortaklıklar, yılda en az bir kez olmak kaydıyla bilgi sistemlerine yönelik iç denetim gerçekleştirir.
Bilgi sistemleri yönetimine ilişkin olarak iç denetim gerçekleştirecek kişileri, göreve başlamalarını takiben 10 iş günü içinde Sermaye Piyasası Lisanslama Sicil ve Eğitim Kuruluşu A.Ş.’ye bildirir.
5/1/2018 tarihli ve 30292 sayılı Resmî Gazete’de yayımlanan Bilgi Sistemleri Yönetimi Tebliği (VII-128.9) yürürlükten kaldırılmıştır.
- Yürürlüğe ilişkin Hükümler
Kripto Varlık Hizmet Sağlayıcıların Bilgi Sistemleri Sürekliliğine ilişkin 27. maddeye 31/12/2025, Değişiklik Yönetimine ilişkin 29. maddenin üçüncü fıkrasına 31/12/2026 tarihine kadar uyum sağlaması gerekmektedir.
Kripto Varlık Hizmet Sağlayıcılar haricindeki Kurum, Kuruluş ve Ortaklıkların ise Değişiklik Yönetimine ilişkin 29. maddenin üçüncü fıkrasına 31/12/2026 tarihine kadar, bu Tebliğin diğer hükümlerine ise 31/12/2025 tarihine kadar uyum sağlaması gerekmektedir.
Kripto Varlık Hizmet Sağlayıcılar haricindeki Kurum, Kuruluş ve Ortaklıklar, 31/12/2025 tarihine kadar 32. madde ile yürürlükten kaldırılan 5/1/2018 tarihli ve 30292 sayılı Resmî Gazete’de yayımlanan Bilgi Sistemleri Yönetimi Tebliği hükümlerine uymakla yükümlüdür.
Tebliğin tam metnine aşağıdaki linkten ulaşabilirsiniz.
Konuyla ilgili detaylı bilgi edinmek ve uyum sürecinde profesyonel destek almak için bizimle her zaman iletişime geçebilirsiniz.
İşbu hukuki duyuru güncel hukuki konular hakkında sadece genel bilgilendirme amacı ile hazırlanmış olup, Hukuki Duyuru içerisinde yer alan değerlendirmeler hukuki tavsiye ya da hukuki görüş niteliği teşkil etmemektedir. İşbu Hukuki Duyuru içeriğinden dolayı herhangi bir şekilde SRP-Legal Hukuk Ofisine sorumluluk tahmili mümkün değildir. Bu Hukuki Duyuru kapsamındaki soru ve sorunlarınız bakımından hukuki danışman görüşü alınması tavsiye edilir.
