Siber Güvenlik Hizmeti sunan şirketler için yeni dönem
March 20, 2025New Regulation Introduced for Crypto Asset Service Providers in Türkiye – Part 2
March 21, 2025
Türkiye’de Kripto Varlık Hizmet Sağlayıcılarına Yeni Düzenleme Getirildi
Yürürlüğe Giren Düzenlemelere İlişkin Rehber:
13 Mart 2025 tarihli ve 32840 sayılı Resmî Gazete’de yayımlanan aşağıdaki tebliğler ile Türkiye’de kripto varlık hizmet sağlayıcılarına ve bilgi sistemleri denetim ve yönetimine ilişkin önemli yeni düzenlemeler getirilmiştir:
- Tebliğ 1: Kripto Varlık Hizmet Sağlayıcılarının Kuruluş ve Faaliyet Esasları Hakkında Tebliğ (III-35/B.1)
- Tebliğ 2: Kripto Varlık Hizmet Sağlayıcılarının Çalışma Usul ve Esasları ile Sermaye Yeterliliği Hakkında Tebliğ (III-35/B.2)
- Tebliğ 3: Bilgi Sistemleri Bağımsız Denetim Tebliği’nde Değişiklik Yapılmasına Dair Tebliğ (III-62.2.b)
- Tebliğ 4: Bilgi Sistemleri Yönetimine İlişkin Usul ve Esaslar Tebliği (VII-128.10)
Rehberimizin ilk bölümünde, Tebliğ 1 ve Tebliğ 2 kapsamındaki düzenlemeler ele alınmıştır. Bu rehberde ise Tebliğ 3 ve Tebliğ 4’ün getirdiği düzenlemeler detaylı olarak incelenecektir.
Tebliğ 3
Tebliğ 3, 5 Ocak 2018 tarihli Bilgi Sistemleri Bağımsız Denetim Tebliği’ne (“Denetim Tebliği”) bazı değişiklikler getirmektedir. İlk olarak, Denetim Tebliği kapsamına Kripto Varlık Hizmet Sağlayıcılar da eklenmiştir. Tebliğ 3’ün yürürlük tarihi olan 30.06.2025 tarihinden itibaren Kripto Varlık Hizmet Sağlayıcılar, bilgi sistemlerinin bağımsız denetimi ile bu faaliyette bulunacak bağımsız denetim kuruluşlarının yetkilendirilmesine ve denetim sonuçlarının raporlanmasına ilişkin usul ve esaslara tabi olacaktır.
Denetim Tebliği uyarınca bilgi sistemleri bağımsız denetim raporu bilgi sistemleri başdenetçisi tarafından imzalandığında kesinleşmekte ve kesinleşmeyi izleyen ilk işgünü mesai bitimine kadar denetlenen kurumun yönetim kurulu başkanlığına teslim edilmektedir. Değişiklik öncesi maddede yönetim kurulunca teslim alınan bu rapor en geç 5 işgünü içinde Sermaye Piyasası Kurulu’na (“SPK”) gönderilir ve ilgili denetim döneminin bitimini izleyen 30 gün içinde tamamlanarak SPK’ya gönderilirdi. Değişiklik ile yönetim kurulu başkanlığınca teslim alınan bilgi sistemleri bağımsız denetim raporu, ilgili denetim döneminin bitimini izleyen ayın sonuna kadar SPK’ya gönderilecektir.
Denetim Tebliği hangi kurumların ne sıklıkta bağımsız denetim yaptırması gerektiğini düzenlemiştir. Tebliğ 3 ile değişik madde 30’da yılda bir kez bilgi sistemleri bağımsız denetimi yaptırma yükümlülüğü olan kurumlar arasında Kripto Varlık Hizmet Sağlayıcılar da sayılmıştır. 2 yılda bir kez denetim yaptırması gereken kurumlar asgari özsermaye yükümlülüğü 5 Milyon TL’den fazla olan portföy yönetim şirketleri iken, “asgari özsermaye yükümlülüğünde 2/7/2013 tarihli ve 28695 sayılı Resmî Gazete’de yayımlanan Portföy Yönetim Şirketleri ve Bu Şirketlerin Faaliyetlerine İlişkin Esaslar Tebliği (III-55.1)’nin 28 inci maddesinin birinci fıkrasının (ç) bendi ile ikinci fıkrasına tabi portföy yönetim şirketleri” olarak değiştirilmiştir. Son olarak, üç yılda bir kez denetim yaptırma yükümlülüğü olan şirketler asgari özsermaye yükümlülüğü 5 Milyon TL ve az olan portföy yönetim şirketleri ve Sermaye Piyasası Lisanslama Sicil ve Eğitim Kuruluşu A.Ş. olarak belirtilmiş iken değişiklik ile “Asgari özsermaye yükümlülüğünde 2/7/2013 tarihli ve 28695 sayılı Resmî Gazete’de yayımlanan Portföy Yönetim Şirketleri ve Bu Şirketlerin Faaliyetlerine İlişkin Esaslar Tebliği (III-55.1)’nin 28 inci maddesinin birinci fıkrasının (a), (b) ve (c) bentlerine tabi portföy yönetim şirketleri ve Sermaye Piyasası Lisanslama Sicil ve Eğitim Kuruluşu A.Ş.” olarak değişmiştir.
Tebliğ 4
Tebliğ 4 ile 05.01.2018 tarihli ve 30292 sayılı Resmî Gazete’de yayımlanan Bilgi Sistemleri Yönetimi Tebliği yürürlükten kaldırılmıştır. Bilgi Sistemleri Yönetmeliği ile içinde Kripto Varlık Hizmet Sağlayıcıların da bulunduğu bir dizi kurum ve kuruluşun (“Kurum, Kuruluş ve Ortaklıklar”) bilgi sistemlerinin yönetimine ilişkin usul ve esasları belirlemektedir. Bilgi sistemleri, bilginin işlendiği, iletildiği ve saklandığı yazılım, donanım ve iletişim altyapısı ile bunlarla etkileşimde bulunan insan kaynağı, faaliyet ve süreçlerin tümünü ifade eder.
Bilgi Sistemlerinin Yönetimi
Bilgi Sistemleri Yönetmeliği kapsamındaki Kurum, Kuruluş ve Ortaklıklar’ın bilgi sistemlerinin yönetilmesi ile ilgili bazı yükümlülükleri bulunmaktadır. Bilgi sistemlerine ilişkin stratejilerin iş hedefleri ile uyumu gözetilmelidir. Kurum, Kuruluş ve Ortaklıklar, bilgi sistemlerinin yönetimine ilişkin kontrolleri tesis ederek süreçler ile sorumlulukları yazılı hale getirecektir. Üst yönetim, yılda en az bir defa güncelleyeceği bir bilgi güvenliği politikası hazırlayacak ve yönetim kurulu bu politikayı onaylayacaktır. Bilgi güvenliği politikası, bilginin gizliliğinin, bütünlüğünün ve gerektiğinde erişilebilir olmasının sağlanmasına yöneliktir ve gerekli rollerin belirlenmesi, görev tanımları, hedefler, risk yönetimi süreçleri ile kontroller gibi süreçleri kapsamaktadır.
Bilgi sistemlerinin güvenliği ve yönetimi üst yönetimin sorumluluğundadır. Üst yönetim, bilgi güvenliği politikalarının uygulanmasını sağlar ve kritik projeleri gözden geçirerek onaylar. Ayrıca bilgi varlıklarının gizlilik ve erişilebilirliğinin sağlanması, risk yönetim süreci oluşturulması, bilgi güvenliği ihlallerinin takip edilmesi, politikaların gözden geçirilmesi, personele eğitim ve rollerin verilmesi hususları da üst yönetimin sorumluluğudur. Bilgi sistemleri güvenliğinin kontrolü ve takibi için üst yönetime rapor veren bir bilgi güvenliği sorumlusu belirlenir.
Bilgi Sistemlerinin Kontrolü
Kurum, Kuruluş ve Ortaklıklar’ın üst yönetimi, gerekli kontrollerin geliştirilmesini sağlamalıdır. Kurum, Kuruluş ve Ortaklıklar sahip oldukları bilgi varlıkları ile ilgili güncel envanter tutmalı ve güvenlik sınıfının belirlenmesi için üst yönetimce onaylanacak bir kılavuz oluşturmalıdır. Bilgi varlıklarına ilişkin uygun kullanım prosedürleri geliştirilip üst yönetim tarafından onaylandıktan sonra ve ilgili personele imza karşılığı duyurulmalıdır. Ayrıca kurumların bilgi sistemleri, yılda en az bir kez sızma testine tabi tutulacak ve sızma tespit raporları SPK’ya gönderilecektir.
Hata, eksiklik ve kötüye kullanım risklerinin bertaraf edilmesi için Tebliğ 4 ile görev ve sorumluluk alanlarının ayrılması öngörülmüştür. Tebliğ 4 madde 12 ve 13’te bilgi sistemlerinin güvenliğinin sağlanması için ise fiziksel ve altyapısal olarak uyulması gereken bazı önlemler açıklanmıştır.
Bunların yanı sıra bilgi sistemlerinin kesintisiz ve güvenli çalışmasını sağlamak için gerekli kontroller yapılmalıdır. Bu kapsamda kapasite planlaması yapılacak, güvenlik açıkları takip edilecek ve yamalar test edilerek uygulanacaktır. Bilgi sistemleri üzerinden gerçekleşen işlemler için, bilgi varlığının güvenlik sınıfına uygun kimlik doğrulama yöntemleri belirlenecek ve uygulanacaktır. Madde 15’te kimlik doğrulama yönteminin asgari olarak yerine getirmesi gereken işlevler sayılmıştır. Kurum, Kuruluş ve Ortaklıklar, bilgi sistemleri faaliyetleri kapsamında gerçekleşen işlemlerin ve bu işlemler kapsamında iletilen, işlenen ve saklanan verilerin gizliliğini sağlayacak önlemleri alır. Gizliliği sağlamak üzere yapılacak çalışmaların asgari olarak içermesi gereken hususlar madde 18’de belirtilmiştir.
Dışarıdan bilgi sistemleri hizmeti alımında risklerin değerlendirilmesi ve yönetilmesi için bir gözetim mekanizması oluşturulmalıdır. Dış hizmet sağlayıcıların risk yönetimi, bilgi güvenliği, müşteri mahremiyeti ve iş sürekliliği ilkelerine uygun olması gerekir. Dış hizmet sağlayıcıların erişim hakları risk değerlendirmesine tabi tutulmalı ve gerektiğinde ek kontroller sağlanmalıdır.
Kurum, Kuruluş ve Ortaklıklar tarafından elektronik ortamda sunulan hizmetlerden yararlanacak müşteriler; sunulan hizmetlere ilişkin şartlar, riskler ve istisnaî durumlarla ilgili olarak açık bir şekilde bilgilendirilir. Bu kapsamda; söz konusu hizmetlere ilişkin risklerin etkisini azaltmaya yönelik olarak benimsenen bilgi güvenliği ilkeleri ve bu risklerden korunmak için kullanılması gereken yöntemler, müşterilerin dikkatine sunulur. Bu bilgilendirmenin yapıldığının ispatı Kurum, Kuruluş ve Ortaklıkların sorumluluğundadır.
Kurum, Kuruluş ve Ortaklıklar, bilgi sistemleri üzerindeki riskleri, sistem veya faaliyetlerinin karmaşıklığını ve kapsamının genişliğini göz önünde bulundurarak bilgi sistemlerinin kullanımına ilişkin etkin bir denetim izi kayıt mekanizması tesis etmelidirler.
Bilgi sistemleri sürekliliğinin sağlanması için plan geliştirilmesi ve ikincil sistem tesis edilmesi gerekmektedir. Kesintilere, işlem performansını düşürecek veya iş sürekliliğini aksatacak durumlara karşı gerekli önlemler alınacaktır. Sürekliliği sağlamak amacıyla risk değerlendirmesi, risk azaltma ve risk izleme faaliyetleri gerçekleştirilecektir. Bilgi sistemleri sürekliliği hakkındaki 27. maddeye uyum açısından Kripto Varlık Hizmet Sağlayıcılar için 31.12.2025 tarihine kadar geçiş süresi öngörülmüştür.
29. madde ile Kurum, Kuruluş ve Ortaklıklar’ın, yılda en az bir kez olmak kaydıyla bilgi sistemlerine yönelik iç denetim gerçekleştireceği ve iç denetimin dışarıdan hizmet alımı ile yapılamayacağı öngörülmüştür. İç denetimi gerçekleştirecek kişileri düzenleyen üçüncü fıkra için Kurum, Kuruluş ve Ortaklıklar’a 31.12.2026 tarihine kadar uyum süresi tanınmıştır. Kripto Varlık Hizmet Sağlayıcılar haricindeki Kurum, Kuruluş ve Ortaklıklar’ın Tebliğ 4’teki diğer hükümlere ise 31.12.2025 tarihine kadar uyum sağlaması gerekmektedir. Bu tarihe kadar, yürürlükten kaldırılan tebliğ hükümlerine uymakla yükümlüdürler.
Rehberimizin 1. Bölümüne aşağıdaki bağlantı üzerinden ulaşabilirsiniz:
