Bilgi Güvenliği Sorumlusunun Dışarıdan Hizmet Alımı Yoluyla Belirlenmesine İzin Verildi
Sermaye Piyasası Kurulu’nun (“Kurul”), 25.12.2025 tarih ve 2025/66 sayılı bülteni ile yayımlanan 25.12.2025 tarihli 67/2412 sayılı İlke Kararı (“İlke Kararı”) ile VII-128.10 sayılı Bilgi Sistemleri Yönetimine İlişkin Usul ve Esaslar Tebliği (“Tebliğ”) kapsamında, bilgi güvenliği sorumlusunun dışarıdan hizmet alımı yoluyla veya grup şirketleri arasında akdedilecek hizmet sözleşmeleri kapsamında belirlenebilmesine izin verilmiştir.
A. Bilgi Güvenliği Sorumlusunun Dışarıdan Hizmet Yoluyla Belirlenmesine İlişkin Esaslar
İlke Kararı uyarınca, Tebliğ’in 7’nci maddesinin 5’inci fıkrası uyarınca belirlenmesi zorunlu olan bilgi güvenliği sorumlusunun dışarıdan hizmet alımı yoluyla veya grup şirketleri arasında akdedilecek hizmet sözleşmeleri kapsamında belirlenebilmesine izin verilmiştir.
Bilgi güvenliği sorumlusuna ilişkin görevlerin ortak istihdam ya da yarı zamanlı çalışma modelleri ile yerine getirilebilmesi de mümkün kılınmıştır.
Bu kapsamda görevlendirilen bilgi güvenliği sorumlusunun, Tebliğ’de öngörüldüğü üzere “üst yönetime bağlı” olarak çalışma zorunluluğu devam etmekte olup, bu yükümlülüğün yerine getirilmesinden ilgili kurum, kuruluş veya ortaklık sorumludur.
Bilgi güvenliği sorumlusunun dışarıdan hizmet yoluyla belirlenmesinde Tebliğ’in dışarıdan hizmete yönelik esas ve usullerini düzenleyen 19’uncu maddesi hükümleri uygulanacaktır.
İlke Kararı ile ayrıca, Tebliğ kapsamında yürütülen iç denetim faaliyetlerinin; grup şirketleri arasında akdedilecek hizmet sözleşmeleri çerçevesinde ortak istihdam veya yarı zamanlı çalışma modelleriyle yerine getirilebilmesinin, banka iştiraki olan şirketlerde ise söz konusu faaliyetlerin ilgili bankanın bilgi teknolojileri müfettişleri veya iç denetçileri tarafından yürütülmesinin ya da banka ile şirket nezdinde ortak bir denetim faaliyeti şeklinde icra edilmesinin, Tebliğ’in 29’uncu maddesinin 2’nci fıkrasında yer alan iç denetim faaliyetinin dışarıdan hizmet alımı yoluyla yerine getirilemeyeceğine ilişkin düzenlemeye aykırılık teşkil etmeyeceğine karar verilmiştir.
B. Muafiyet Süreleri
Ayrıca, İlke Kararı ile, Tebliğ kapsamında daha önce 31.12.2025 olarak belirlenen bilgi güvenliği sorumlusunun atanmasına ilişkin uyum süresi, belirli kurum ve kuruluşlar bakımından 30 Haziran 2026 tarihine kadar ertelenmiştir.
Bu kapsamda aşağıda yer alan;
(i) Asgari özsermaye yükümlülüğünde III-55.1 sayılı Portföy Yönetim Şirketleri ve Bu Şirketlerin Faaliyetlerine İlişkin Esaslar Tebliği’nin 28 inci maddesinin birinci fıkrasının (a), (b) ve (c) bentlerine tabi portföy yönetim şirketleri,
(ii) Dar yetkili aracı kurumlar, varlık kiralama şirketleri, ipotek finansmanı kuruluşları ve varlık finansmanı fonları,
(iii) Payları Borsa İstanbul A.Ş. Yıldız Pazar, Ana Pazar ve Alt Pazar’da işlem gören halka açık ortaklıklar,
(iv) Fiili dolaşımdaki paylarının oranının %5’in altına düşmesi nedeniyle Piyasa Öncesi İşlem Platformu’na alınan ortaklıkların, sistemik önemlerine göre piyasa değerleri ve fiili dolaşımdaki paylarının piyasa değerleri dikkate alınarak yapılan hesaplamaya bağlı olarak birinci grupta yer alan halka açık ortaklar dışındaki halka açık ortaklıklar 30 Haziran 2026’ya kadar bilgi güvenliği sorumlusu atama yükümlülüğünden muaf olacaktır.
Daha fazla bilgi ve destek için bizimle iletişime geçebilirsiniz.
A. Bilgi Güvenliği Sorumlusunun Dışarıdan Hizmet Yoluyla Belirlenmesine İlişkin Esaslar
İlke Kararı uyarınca, Tebliğ’in 7’nci maddesinin 5’inci fıkrası uyarınca belirlenmesi zorunlu olan bilgi güvenliği sorumlusunun dışarıdan hizmet alımı yoluyla veya grup şirketleri arasında akdedilecek hizmet sözleşmeleri kapsamında belirlenebilmesine izin verilmiştir.
Bilgi güvenliği sorumlusuna ilişkin görevlerin ortak istihdam ya da yarı zamanlı çalışma modelleri ile yerine getirilebilmesi de mümkün kılınmıştır.
Bu kapsamda görevlendirilen bilgi güvenliği sorumlusunun, Tebliğ’de öngörüldüğü üzere “üst yönetime bağlı” olarak çalışma zorunluluğu devam etmekte olup, bu yükümlülüğün yerine getirilmesinden ilgili kurum, kuruluş veya ortaklık sorumludur.
Bilgi güvenliği sorumlusunun dışarıdan hizmet yoluyla belirlenmesinde Tebliğ’in dışarıdan hizmete yönelik esas ve usullerini düzenleyen 19’uncu maddesi hükümleri uygulanacaktır.
İlke Kararı ile ayrıca, Tebliğ kapsamında yürütülen iç denetim faaliyetlerinin; grup şirketleri arasında akdedilecek hizmet sözleşmeleri çerçevesinde ortak istihdam veya yarı zamanlı çalışma modelleriyle yerine getirilebilmesinin, banka iştiraki olan şirketlerde ise söz konusu faaliyetlerin ilgili bankanın bilgi teknolojileri müfettişleri veya iç denetçileri tarafından yürütülmesinin ya da banka ile şirket nezdinde ortak bir denetim faaliyeti şeklinde icra edilmesinin, Tebliğ’in 29’uncu maddesinin 2’nci fıkrasında yer alan iç denetim faaliyetinin dışarıdan hizmet alımı yoluyla yerine getirilemeyeceğine ilişkin düzenlemeye aykırılık teşkil etmeyeceğine karar verilmiştir.
B. Muafiyet Süreleri
Ayrıca, İlke Kararı ile, Tebliğ kapsamında daha önce 31.12.2025 olarak belirlenen bilgi güvenliği sorumlusunun atanmasına ilişkin uyum süresi, belirli kurum ve kuruluşlar bakımından 30 Haziran 2026 tarihine kadar ertelenmiştir.
Bu kapsamda aşağıda yer alan;
(i) Asgari özsermaye yükümlülüğünde III-55.1 sayılı Portföy Yönetim Şirketleri ve Bu Şirketlerin Faaliyetlerine İlişkin Esaslar Tebliği’nin 28 inci maddesinin birinci fıkrasının (a), (b) ve (c) bentlerine tabi portföy yönetim şirketleri,
(ii) Dar yetkili aracı kurumlar, varlık kiralama şirketleri, ipotek finansmanı kuruluşları ve varlık finansmanı fonları,
(iii) Payları Borsa İstanbul A.Ş. Yıldız Pazar, Ana Pazar ve Alt Pazar’da işlem gören halka açık ortaklıklar,
(iv) Fiili dolaşımdaki paylarının oranının %5’in altına düşmesi nedeniyle Piyasa Öncesi İşlem Platformu’na alınan ortaklıkların, sistemik önemlerine göre piyasa değerleri ve fiili dolaşımdaki paylarının piyasa değerleri dikkate alınarak yapılan hesaplamaya bağlı olarak birinci grupta yer alan halka açık ortaklar dışındaki halka açık ortaklıklar 30 Haziran 2026’ya kadar bilgi güvenliği sorumlusu atama yükümlülüğünden muaf olacaktır.
Daha fazla bilgi ve destek için bizimle iletişime geçebilirsiniz.
PDF İndirin
e.copur@lbfpartners.com
