Sermaye Piyasası Kurulu (“Kurul”) tarafından yayımlanan Bilgi Sistemleri Bağımsız Denetim Tebliği (III-62.2)’nde Değişiklik Yapılmasına Dair Tebliğ (III-62.2.b) (“Denetim Tebliği”) ile Bilgi Sistemleri Yönetimine İlişkin Usul ve Esaslar Tebliği (VII-128.10) (“Yönetime İlişkin Tebliğ”), 13 Mart 2025 tarihli ve 32840 sayılı Resmî Gazete’de yayımlanarak yürürlüğe girmiştir. Söz konusu Tebliğler ile sermaye piyasası kurumlarının bilgi sistemleri yönetimine ve denetimine yönelik yükümlülüklerinde önemli değişiklikler gerçekleştirilmiştir.

Aynı tarihli Resmi Gazete ile III-35/B.1 sayılı Kripto Varlık Hizmet Sağlayıcıların Kuruluş ve Faaliyet Esasları Hakkında Tebliğ ile III-35/B.2 sayılı Kripto Varlık Hizmet Sağlayıcıların Çalışma Usul ve Esasları ile Sermaye Yeterliliği Hakkında Tebliğ de yayımlanmıştır. İlgili düzenlemelere ilişkin detaylı bilgiye ulaşabilirsiniz.

İlgili değişiklikler kapsamındaki açıklamalarımızı aşağıda dikkatinize sunarız. 

1.Denetim Tebliği’ndeki Değişiklikler

Denetim Tebliği ile kripto varlık hizmet sağlayıcıları, bilgi sistemleri bağımsız denetimi kapsamına alınmıştır. Buna göre, Borsa İstanbul A.Ş., İstanbul Takas ve Saklama Bankası A.Ş., Merkezi Kayıt Kuruluşu A.Ş., borsalar ve piyasa işleticileri, teşkilatlanmış diğer pazar yerleri, merkezi takas kuruluşları, merkezi saklama kuruluşları, veri depolama kuruluşları ile kripto varlık hizmet sağlayıcıları, yılda bir kez bilgi sistemleri bağımsız denetimine tabi olacaktır.

Ayrıca, banka ve sigorta şirketleri ile finansal kiralama, faktoring, finansman ve tasarruf finansman şirketleri, kendi özel mevzuatlarında belirlenen ilkeler çerçevesinde denetlenecek olup, bu Denetim Tebliği’nde öngörülen yükümlülüklerin yerine getirilmesi hükmündedir. Kendi özel mevzuatına aykırı olmamak kaydıyla bilgi sistemleri bağımsız denetimi raporlarının Kurul’a sunulmasında Denetim Tebliğ hükümlerine tabi olduğu düzenlenmiştir.

Denetlenen kurumların bilgi sistemleri bağımsız denetim raporlarının hazırlanması, teslimi ve Kurul’a gönderilmesine ilişkin usuller güncellenmiş; Önceden, bilgi sistemleri bağımsız denetim raporları kesinleşmesini izleyen ilk iş günü yönetim kurulu başkanlığına teslim edilmeli ve en geç 5 iş günü içinde Kurul’a gönderilmeliydi. Ayrıca, raporların denetim döneminin bitimini izleyen 30 gün içinde tamamlanarak Kurul’a iletilmesi zorunluydu.

Yeni düzenleme ile 5 iş günlük süre kaldırılmış, raporların ilgili denetim döneminin bitimini izleyen ayın sonuna kadar Kurul’a gönderilmesi şartı getirilmiştir. Bu değişiklikle, süreç daha hızlı ve etkin hale getirilmiştir.

Son olarak, belirli aracı kurumlar ve portföy yönetim şirketleri için denetim süreleri farklılaştırılarak, kısmî ve geniş yetkili aracı kurumlar ile belirli portföy yönetim şirketleri için iki yılda bir; diğer portföy yönetim şirketleri ve Sermaye Piyasası Lisanslama Sicil ve Eğitim Kuruluşu A.Ş. için ise üç yılda bir denetim yükümlülüğü getirilmiştir.

2.Yönetime İlişkin Tebliğ’de Yapılan Değişiklikler

Yönetime İlişkin Tebliğ ile, daha önce yürürlükte olan VII-128.9 numaralı Bilgi Sistemleri Yönetim Tebliği yürürlükten kaldırılmış ve bilgi sistemleri yönetimine ilişkin düzenlemeler VII-128.10 numaralı yeni Tebliğ ile güncellenmiştir. Bu kapsamda, sermaye piyasasında faaliyet gösteren kurum, kuruluş ve ortaklıkların bilgi sistemleri yönetimine ilişkin bazı yükümlülüklerinde değişiklikler yapılmıştır.

Kapsam ve Yükümlülükler

Yeni Tebliğ ile daha önce kapsamda olmayan kripto varlık hizmet sağlayıcıları, bilgi sistemleri yönetimi yükümlülüklerine tabi hale getirilmiştir. Ayrıca, mevcut yükümlülükleri olan kurum ve kuruluşlar açısından bazı hükümlerde güncellemeler yapılmış ve süreçlerin uyumlaştırılması sağlanmıştır.

Bilgi Sistemleri Yönetimi ve Güvenliği Alanında Değişiklikler

  • Bilgi güvenliği politikalarının yönetim kurulu tarafından onaylanması zorunlu hale getirilmiş ve uygulama esasları detaylandırılmıştır.
  • Bilgi sistemleri risk yönetimi süreçleri güçlendirilmiş, risk analizlerinin yılda en az bir kez yapılması zorunlu hale getirilmiştir.
  • İç denetim yükümlülükleri genişletilmiş ve yılda en az bir kez bilgi sistemleri yönetimi konusunda iç denetim yapılması şartı getirilmiştir.
  • Ağ güvenliği ile ilgili gereklilikler artırılmış, kritik sistemlere erişim için çok faktörlü kimlik doğrulama zorunlu hale getirilmiştir.
  • Dış hizmet sağlayıcılarıyla ilgili düzenlemeler sıkılaştırılmış, bulut hizmetlerinin kullanımına ilişkin kısıtlamalar getirilmiştir.

Bilgi Sistemleri Sürekliliği ve Kriz Yönetimi ile İlgili Güncellemeler

  • İş sürekliliği planlarının kapsamı genişletilmiş, olağanüstü durum senaryolarının belirlenmesi zorunlu hale getirilmiştir.
  • Birincil ve ikincil sistemlerin yurt içinde tutulması gerekliliği netleştirilmiş, özellikle kripto varlık hizmet sağlayıcıları için belirli geçiş süreleri tanımlanmıştır.
  • Sızma testleri ile ilgili zorunluluklar artırılmış, kritik bilgi sistemleri için ek testler öngörülmüştür.

Yürürlük ve Uyum Süreci

Yeni Tebliğ, 30 Haziran 2025 tarihinde yürürlüğe girecek olup, belirli kurum ve kuruluşlar için uyum süreci 2025 ve 2026 yıllarına kadar devam edecektir. VII-128.9 Tebliği’nin yürürlükten kaldırılmasıyla birlikte, bilgi sistemleri yönetimiyle ilgili tüm yükümlülükler VII-128.10 Tebliği kapsamında düzenlenmektedir.

Bu düzenlemeler ile sermaye piyasası kurumlarının bilgi güvenliği ve bilgi sistemleri yönetimi alanında daha kapsamlı bir çerçeveye tabi tutulması, risk yönetimi süreçlerinin iyileştirilmesi ve denetim mekanizmalarının güçlendirilmesi amaçlanmaktadır. Tebliğlere buradan ulaşabilirsiniz: Denetim Tebliği / Yönetime İlişkin Tebliğ

 

Paylaş:

Linkedin'de paylaş Twitter'da paylaş Facebook'ta Paylaş E-postada paylaş Pay