Sermaye Piyasası Kurulu (SPK), dijitalleşmenin derinleştiği bir çağda, finansal teknolojilere yönelik düzenleyici gücünü bir kez daha gösterdi. 13 Mart 2025 tarihli Resmî Gazete’de yayımlanan değişiklik ile Bilgi Sistemleri Yönetmeliği sil baştan ele alındı. Bu değişiklik, teknik güncellemeler ve sermaye piyasalarında sürdürülebilir dijital güvenliğin anayasası niteliğinde.
Özellikle Kripto Varlık Hizmet Sağlayıcıların ilk kez açık ve ölçülebilir kurallarla kapsam altına alınması, bu alandaki denetim kültürünün kurumsallaştığını gösteriyor. Bir diğer kritik nokta, sadece kimlerin kapsama alındığı değil, nasıl denetleneceklerinin artık teknik olarak tanımlanmış olması.
Yeni Tebliğ’e göre bilgi sistemlerinin güvenli, sürdürülebilir ve mevzuata uyumlu biçimde yönetiliyor olması gerekiyor. SPK’nın bu adımı, teknolojik gelişmeler karşısında sermaye piyasalarının geri kalmaması, siber dirençli bir yapı kurulması ve eski Tebliğin artık güncel ihtiyaçlara yanıt verememesi gibi nedenlerle zorunlu hale geldi.
5 Ocak 2018 tarihli VII-128.9 numaralı eski Tebliğin yürürlükten kaldırılmasıyla birlikte, Sermaye Piyasası Kurulu (SPK) tarafından 13 Mart 2025 tarihli Resmî Gazete’de yayımlanan VII-128.10 sayılı Bilgi Sistemleri Yönetimine İlişkin Usul ve Esaslar Tebliği, 30 Haziran 2025 tarihinde yürürlüğe girecektir.
Yeni Tebliğ’de Öne Çıkan Teknik ve Yapısal Güncellemeler;
1-Bilgi Güvenliği ve Risk Yönetimi:
a. Yılda en az bir kez sızma testi yapılması zorunlu hale getirilmiştir.(Ayrıntılar EK-1’de belirlenmiştir.)
b. Bilgi Güvenliği Sorumlusu atanması ve bu kişinin bağımsız bir yapıya bağlı olarak raporlama yapması zorunlu hale getirilmiştir.
c. Risk yönetimi yılda en az bir kez yapılmalı, sistemdeki değişiklikler durumunda güncellenmelidir.
Sistem ve Süreç Yönetimi:
a. Bilgi varlıkları, hizmetler ve süreçler için envanter oluşturulması ve sınıflandırılması zorunluluğu getirilmiştir.
b. Görevlerin ayrılması ilkesine özel vurgu yapılmış, bu ilkenin sağlanamadığı durumlar için telafi edici kontrollerin uygulanması şart koşulmuştur.
c. İş Sürekliliği Planı (BCP) ve bilgi sistemleri süreklilik planı hazırlanmalı ve test edilmelidir.
Kimlik ve Erişim Yönetimi :
a. Çok faktörlü kimlik(MFA)doğrulama zorunlu hale getirilmiştir.
b. Kullanıcı yetkileri görev temelli olarak verilmeli ve düzenli olarak gözden geçirilmelidir.
E-posta, Uygulama ve API Güvenliği:
a. Güçlü şifreleme algoritmaları kullanılmalı, güvenlik açıkları test edilmeli ve izinsiz erişimlerin önlenmesine yönelik detaylı teknik koşullar uygulanmalıdır.
b. Mobil uygulamalarda çerez yönetimi, cihaz tanıma, SIM kart değişikliği kontrolü gibi ileri seviye güvenlik önlemleri zorunlu hale getirilmiştir.
Kayıt ve İzleme :
a. Denetim izleri en az 5 yıl boyunca saklanmalı; bütünlük ve güvenlikleri sağlanmalıdır.
b. Merkezi kayıt yönetim sistemi kurulmalı; bu sistemde korelasyon kuralları(bilgi sistemlerinde farklı güvenlik olayları arasında ilişki kurarak olası tehditleri erken tespit etmeye yarayan mantıksal eşleştirme kurallarıdır.) ile erken uyarı mekanizmaları geliştirilmelidir.
Yeni Tebliğ ile “bilgi varlığı sorumlusu”, “rol tabanlı erişim kontrolü” ve “kurumsal SOME faaliyet raporu” gibi kavramlar, mevzuat diline açıkça tanımlanarak dâhil edilmiştir. Bu kavramlar, kurumların bilgi güvenliği yapılarını daha sistematik, izlenebilir ve denetlenebilir şekilde oluşturmalarını gerektirmektedir.
Yeni yapılanmada denetim birimlerinin ve bilgi teknolojileri ekiplerinin düzenlemeleri dikkatle incelemesi, gerekli uyum ve risk planlarını oluşturması ve süreçlerini yönetmelik hükümlerine göre yeniden entegre edilmesi gerekmektedir.
CFECERT olarak Eğitim & Belgelendirme alanlarında ile sizlere profesyonel hizmetler sunuyoruz. Detaylı bilgi almak veya süreçlerinizi güvence altına almak için info@cfecert.co.uk mail adresinden bizimle iletişime geçebilirsiniz.
