SPK, 2025 yılında yayımladığı VII-128.10 sayılı Bilgi Sistemleri Tebliği ile sermaye piyasasında faaliyet gösteren kurumların bilgi sistemleri yönetimine bakışını kökten güncelledi. Artık bilgi teknolojileri, sadece “destek birimi” değil, doğrudan yönetim kurulu sorumluluğu altında değerlendirilen kritik bir risk alanı haline gelmiştir.
Bu yazı, Tebliğ’in teknik detaylarına boğulmadan; kimlerin kapsamda olduğu, hangi tarihlerin kritik olduğu ve kurumların pratikte neler yapması gerektiğini özetleyen bir uyum rehberi olarak tasarlanmıştır.
Yeni Tebliğ’in temel amacı, sermaye piyasasında faaliyet gösteren kurumların bilgi sistemlerinin Güvenli, Sürekli, Denetlenebilir ve Regülatör beklentilerine uyumlu bir şekilde yönetilmesini sağlamaktır.
Önceki VII-128.9 Tebliği’ndeki genel çerçeve korunurken, yeni düzenleme ile tanımlar netleştirilmiş, bilgi güvenliği organizasyonu güçlendirilmiş, sızma testleri ve log tutma gibi teknik kontroller detaylandırılmış, iç denetim ve bağımsız denetim süreçleri yeniden kurgulanmıştır.
Tebliğ, sadece aracı kurum ve portföy yönetim şirketlerini değil; sermaye piyasası ekosisteminin neredeyse tamamını kapsayarak yükümlü sayısını önemli ölçüde artırmıştır. Kapsamdaki kuruluşlar arasında Borsa İstanbul A.Ş., Takasbank, Merkezi Kayıt Kuruluşu A.Ş. (MKK), portföy saklayıcıları, sermaye piyasası kurumları, halka açık ortaklıklar ve kripto varlık hizmet sağlayıcıları öne çıkmaktadır.
Bankalar, sigorta şirketleri ve diğer finansal kuruluşlar kendi özel mevzuatlarına tabi olsalar da, bilgi sistemleri bağımsız denetimi ve raporlama açısından bu çerçeveyle ilişkilendirilmektedir. Unutulmamalıdır ki, 31.12.2025’e kadar kurumlar eski VII-128.9 Tebliği hükümlerine uymaya devam edecek; dolayısıyla 2025 yılı, iki düzenlemenin birlikte dikkate alındığı bir geçiş dönemi olarak yönetilecektir.
Temel Yükümlülükler: Kurumlar Pratikte Ne Yapmalı?
Tebliğ’in ana hedefleri, kurumsal yönetim, güvenlik ve denetim başlıkları altında 10 ana yükümlülükte özetlenebilir:
1. Bilgi sistemleri, açıkça üst yönetim ve Yönetim Kurulu sorumluluğundadır. Kurumun bilgi güvenliği politikası üst yönetim tarafından hazırlanır ve Yönetim Kurulu tarafından onaylanarak yılda en az bir kez gözden geçirilir. Bilgi güvenliği sorumlusu, doğrudan üst yönetime bağlı ve bağımsız bir rol olarak konumlandırılmalıdır.
2. Kurumlar; Gizlilik, Bütünlük ve Erişilebilirlik ilkelerini kapsayan politikalar oluşturmak ve risk yönetim süreçlerini dokümante etmek zorundadır. Yılda en az bir kez risk analizi yapılmalı, siber tehditler düzenli olarak analiz edilmeli ve risk aksiyonları üst yönetime raporlanmalıdır.
3. Tüm bilgi varlıklarını içeren güncel bir envanterin oluşturulması ve bu varlıkların güvenlik sınıflandırmasının yapılması, güvenlik yatırımlarının doğru hedeflenmesi açısından zorunludur.
4. Kritik sistemlere erişim, çok faktörlü kimlik doğrulama (MFA) ile zorunlu hale gelmektedir. Ayrıcalıklı hesaplar, parola politikaları ve yetki gözden geçirme süreçleri detaylı şekilde ele alınmalı; erişim, en kısıtlı yetki prensibiyle yönetilmelidir.
5. Kurumlar, bilgi sistemleri kullanımına ilişkin etkin bir denetim izi (log) mekanizması kurmalı ve bu kayıtları asgari 5 yıl saklamalıdır. Loglar, yetkisiz erişimleri ve şüpheli hareketleri tespit edebilecek şekilde yapılandırılmalıdır.
6. Bilgi sistemleri süreklilik planı, genel iş sürekliliği planının ayrılmaz bir parçası olmalıdır. Birincil ve ikincil sistemlerin tamamının yurt içinde ve mümkün olduğunca farklı bir risk bölgesinde bulundurulması zorunludur. Yedekten geri dönüş testleri yılda en az bir kez yapılmalı ve sonuçları üst yönetime raporlanmalıdır.
7. Dış hizmet sağlayıcılarla (bulut bilişim dahil) yapılan sözleşmelerde, bilgi güvenliği, veri yerleşimi, denetim, raporlama ve hizmet sürekliliği ile ilgili asgari hükümler yer almak zorundadır. Birincil ve ikincil sistemlerin yurt içinde tutulması kuralı bulut altyapısı için de geçerlidir.
8. Kurumlar, bilgi sistemlerini yılda en az bir kez sızma testine tabi tutmak zorundadır. Siber olaylara müdahale planı hazırlanmalı, Kurumsal Siber Olaylara Müdahale Ekibi (SOME) yapısı oluşturulmalı ve bu planlar senaryo bazlı tatbikatlarla düzenli olarak test edilmelidir.
9. Kurumlar, yılda en az bir kez bilgi sistemlerine yönelik iç denetim gerçekleştirmelidir. Bilgi sistemleri iç denetimini yapacak kişilerin bilgi sistemleri bağımsız denetim lisansına sahip olması ve göreve başladıktan sonra SPL’ye bildirilmesi zorunludur.
10. III-62.2 Bilgi Sistemleri Bağımsız Denetim Tebliği’ndeki değişikliklerle; Borsa İstanbul, Takasbank, MKK, veri depolama kuruluşları ve kripto varlık hizmet sağlayıcıları için yıllık bağımsız denetim zorunlu hale gelmiştir. Diğer kurumların denetim sıklıkları da netleştirilmiştir.
SPK’nın yeni Bilgi Sistemleri Tebliği ve buna paralel bağımsız denetim düzenlemeleri, kurumların dijital dayanıklılığını doğrudan şekillendiren kritik bir çerçevedir. Bu düzenlemelere uyum programının doğru kurgulanması sayesinde kurumlar; düzenleyici beklentileri karşılar, siber olaylara karşı hazırlık seviyelerini yükseltir, müşteri ve yatırımcı güvenini güçlendirir ve kurumsal itibarlarını korur.
? Tebliği daha detaylı incelemek için ?