Sermaye Piyasası Kurulu, 25.12.2025 tarihli ve 2025/66 sayılı Bülteni ile Kurul Karar Organı’nın i-SPK 128.26 (25/12/2025 tarih ve 67/2412 s.k.) sayılı İlke Kararı’nı (“İlke Kararı”) yayımlamıştır. Söz konusu İlke Kararı, VII-128.10 sayılı Bilgi Sistemleri Yönetimine İlişkin Usul ve Esaslar Tebliği (“Tebliğ”) kapsamında üst yönetimin gözetimi ve sorumluluğunu düzenleyen 7. maddenin beşinci fıkrasının uygulanmasına açıklık getirmektedir.
Bu çerçevede, Tebliğ’in 7. maddesinin beşinci fıkrasında yer alan düzenleme aşağıdaki şekildedir:
“Bilgi sistemleri güvenliğine ilişkin kontrollerin gereklerinin yerine getirilmesinden ve takibinden sorumlu olan, bilgi sistemleri güvenliğiyle ilgili riskler ve bu risklerin yönetimi hususunda üst yönetime rapor veren, bilgi sistemleri iç kontrol, bilgi sistemleri denetimi, bilgi sistemleri yönetişimi ve kontrollerinin tesisi veya bilgi güvenliği alanlarının herhangi birinde yeterli teknik bilgiye ve en az beş yıl tecrübeye sahip bir bilgi güvenliği sorumlusu belirlenir. Bilgi güvenliği sorumlusunun, bilgi sistemleri yönetimine ilişkin gerekliliklerin yerine getirilmesi hususunda herhangi bir görevinin bulunmaması ve üst yönetime bağlı çalışması sağlanır.”
Söz konusu hüküm ile Tebliğ’de tanımlandığı şekliyle Kurum, Kuruluş ve Ortaklıklar nezdinde bilgi sistemleri güvenliğinin etkin ve bağımsız bir şekilde yönetilmesini teminen, doğrudan üst yönetime raporlama yapan ve icrai bilgi teknolojileri fonksiyonlarından ayrıştırılmış bir bilgi güvenliği sorumlusu belirlenmesi zorunlu hale getirilmişti.
Bununla birlikte, Tebliğ m.7 f.5 hükmünde bilgi güvenliği sorumlusunun istihdam şekline ilişkin açık bir düzenlemeye yer verilmemesi, uygulamada bu görevin mutlaka kurum bünyesinde ve tam zamanlı bir çalışan eliyle yerine getirilip getirilmeyeceği hususunda tereddütlere yol açmıştı. Yayımlanan İlke Kararı, bu belirsizlik giderilmiş bulunmaktadır.
Bu kapsamda İlke Kararı’nda, Tebliğ m.7 f.5 hükmünün uygulanmasına ilişkin olarak aşağıdaki düzenlemeye yer verilmiştir:
“Tebliğ’in 7 nci maddesinin beşinci fıkrasının uygulanmasına ilişkin olarak; bilgi güvenliği sorumlusunun dışarıdan hizmet alımı yoluyla veya grup şirketleri arasında akdedilecek hizmet sözleşmeleri kapsamında belirlenebilmesine, bilgi güvenliği sorumluluğuna ilişkin görevlerin bu kapsamda ortak istihdam ya da yarı zamanlı çalışma modelleriyle yerine getirilebilmesine izin verilmesine karar verilmiştir.”
Bu düzenleme ile Sermaye Piyasası Kurulu (“Kurul”), bilgi güvenliği sorumluluğunun yönetsel ve bağımsız niteliğini korumakla birlikte, uygulamada karşılaşılan organizasyonel ve insan kaynağına ilişkin kısıtları dikkate alan esnek bir yaklaşım benimsemiştir. Böylece bilgi güvenliği sorumluluğunun dış kaynak kullanımı veya grup içi hizmet sözleşmeleri yoluyla yerine getirilmesi mümkün hale gelmiştir.
Ancak İlke Kararı’nda, bilgi güvenliği sorumlusunun üst yönetime bağlı çalışma zorunluluğunun aynen devam ettiği özellikle vurgulanmıştır. Bu kapsamda, yapılan belirlemelerde bilgi güvenliği sorumlusunun Tebliğ’de öngörüldüğü üzere üst yönetime bağlı çalışmasının zorunlu olduğu ve bu yükümlülüğün yerine getirilmesinden ilgili Kurum, Kuruluş veya Ortaklığın sorumlu olduğu ifade edilmiştir. Ayrıca, dışarıdan hizmet alımı yolunun tercih edilmesi hâlinde Tebliğ’in 19 uncu maddesinde düzenlenen dış kaynak kullanımına ilişkin hükümlere uyulması gerektiği belirtilmiştir. Dolayısıyla, bilgi güvenliği sorumlusunun dışarıdan hizmet alımı yoluyla belirlenmesi halinde dahi, fiilen üst yönetime raporlama yapılmasını sağlayacak yönetsel yapının kurulması ve bu yükümlülüğün yerine getirilmesinden ilgili kurumun sorumluluğu devam etmektedir.
İlke Kararı ile ayrıca Tebliğ m.7 f.5’e uyum yükümlülüğünün belirli kurum ve ortaklıklar bakımından ertelenmesine ilişkin düzenlemelere de yer verilmiştir. Bu kapsamda,
1- Asgari özsermaye yükümlülüğünde belirli sermaye piyasası kurumları ile
2- Kurumsal Yönetim Tebliği (II-17.1) uyarınca birinci grupta yer almayan halka açık ortaklıkların
Tebliğ’in 7 nci maddesinin beşinci fıkrası kapsamındaki yükümlülüklerden 30 Haziran 2026 tarihine kadar muaf tutulacağı düzenlenmiştir.
Son olarak İlke Kararı’nda, banka iştiraki olan şirketlere özgü bir açıklamaya da yer verilmiştir. Buna göre, banka iştiraki olan şirketlerde bilgi sistemlerine ilişkin iç denetim faaliyetinin ilgili bankanın bilgi teknolojileri müfettişleri veya iç denetçileri tarafından yürütülmesi ya da banka ile şirket nezdinde ortak bir denetim faaliyeti şeklinde icra edilmesinin Tebliğ hükümlerine aykırılık teşkil etmeyeceği belirtilmiştir. Bu düzenleme ile grup içi yapılarda mükerrer denetim yükünün önüne geçilmesi hedeflenmiştir.
NAZALI VERGI & HUKUK