Sermaye Piyasası Kurulu’nun (“Kurul”) 25.12.2025 tarihli ve i-SPK 128.26 (67/2412 s.k.) sayılı İlke Kararı (“İlke Kararı”) ile VII-128.10 sayılı Bilgi Sistemleri Yönetimine İlişkin Usul ve Esaslar Tebliği (“Tebliğ”) kapsamında bilgi güvenliği sorumluluğu ve iç denetim faaliyetlerine ilişkin uygulamada ortaya çıkan tereddütlerin giderilmesi amacıyla bazı açıklamalar yapılmış ve belirli kurum ve ortaklıklar bakımından geçici muafiyetler tanınmıştır.

İlke Kararı ile getirilen düzenlemeler aşağıda özetlenmektedir:

    • Bilgi Güvenliği Sorumlusunun Belirlenmesine İlişkin Açıklamalar: Tebliğ’in “Üst Yönetimin Gözetimi ve Sorumluluğu” başlıklı 7. maddesinin beşinci fıkrası uyarınca, Tebliğ kapsamındaki kurum, kuruluş ve ortaklıklar nezdinde bir bilgi güvenliği sorumlusu belirlenmesi gerekmektedir.

İlke Kararı ile, söz konusu bilgi güvenliği sorumlusunun;

    • dışarıdan hizmet alımı yoluyla,
    • grup şirketleri arasında akdedilecek hizmet sözleşmeleri kapsamında,
    • ortak istihdam veya yarı zamanlı çalışma modelleriyle

belirlenebilmesinin mümkün olduğu açıklığa kavuşturulmuştur.

Bununla birlikte, bilgi güvenliği sorumlusunun Tebliğ’de öngörüldüğü üzere üst yönetime bağlı olarak çalışması zorunluluğu devam etmekte olup, bu yükümlülüğün yerine getirilmesinden ilgili kurum, kuruluş veya ortaklık sorumludur. Dışarıdan hizmet alımı yoluna gidilmesi halinde ayrıca Tebliğ’in “Bilgi Sistemlerine İlişkin Dışarıdan Hizmet Alımı” başlıklı 19. maddesi hükümlerine uyulması gerekmektedir.

    • Tebliğ’in 7/5 Maddesine Getirilen Geçici Muafiyetler: Kurul, İlke Kararı ile Tebliğ’in “Muafiyetler” başlıklı 30’uncu maddesinin altıncı fıkrası çerçevesinde, Tebliğ’in 7’nci maddesinin beşinci fıkrasının uygulanmasına ilişkin olarak belirli kurum ve ortaklıklar bakımından 30 Haziran 2026 tarihine kadar geçerli olmak üzere geçici muafiyetler getirmiştir.
      • Finansal Kuruluşlar Bakımından:

Aşağıda sayılan kurum ve kuruluşlar, belirtilen tarihe kadar Tebliğ m.7/5 hükmünün uygulanmasından muaftır:

        • III-55.1 sayılı Portföy Yönetim Şirketleri ve Bu Şirketlerin Faaliyetlerine İlişkin Esaslar Tebliği’nin 28’inci maddesinin birinci fıkrasının (a), (b) ve (c) bentlerine tabi portföy yönetim şirketleri,
        • Dar yetkili aracı kurumlar,
        • Varlık kiralama şirketleri,
        • İpotek finansmanı kuruluşları,
        • Varlık finansmanı fonları,
        • (İlgili bentte öngörülen istisna saklı kalmak üzere) kolektif yatırım kuruluşları,
        • Emeklilik yatırım fonları,
        • Konut finansmanı fonları.
      • Halka Açık Ortaklıklar Bakımından:

II-17.1 sayılı Kurumsal Yönetim Tebliği ve Kurul’un i-SPK. II-17.6 (15.10.2020 tarihli ve 64/1284 s.k.) sayılı İlke Kararı kapsamında yapılan gruplandırma çerçevesinde;

    • Payları Borsa İstanbul AŞ Yıldız Pazar, Ana Pazar veya Alt Pazar’da işlem gören halka açık ortaklıklardan birinci grup dışında kalanlar,
    • Fiili dolaşımdaki pay oranının %5’in altına düşmesi nedeniyle Piyasa Öncesi İşlem Platformu’na alınan ve birinci grup kapsamında yer almayan ortaklıklar,

30 Haziran 2026 tarihine kadar Tebliğ m.7/5 hükmünün uygulanmasından muaf tutulmuştur.

Halka açık ortaklıkların dahil oldukları grupların değişmesi halinde, Tebliğ’in 7/5 maddesine uyumun ilgili yılın Haziran ayı sonuna kadar sağlanması gerekmektedir.

    • İç Denetim Faaliyetlerine İlişkin Açıklamalar: İlke Kararı’nın üçüncü maddesi ile, Tebliğ’in “İç Denetim” başlıklı 29’uncu maddesinin ikinci fıkrasının uygulanmasına ilişkin olarak;
      • iç denetim faaliyetinin grup şirketleri arasında akdedilecek hizmet sözleşmeleri kapsamında ve ortak istihdam veya yarı zamanlı çalışma modelleriyle yerine getirilmesinin, ve
      • banka iştiraki olan şirketlerde iç denetim faaliyetinin; ilgili bankanın bilgi teknolojileri müfettişleri veya iç denetçileri tarafından yürütülmesinin ya da banka ile şirket nezdinde ortak bir denetim faaliyeti şeklinde icra edilmesinin

Tebliğ’e aykırı kabul edilmeyeceği açıklığa kavuşturulmuştur.

Bahar Ülgen Hasşerbetçi
Ortak | bahar.ulgen@bener.com
Oya Türeoğlu
Kıdemli Avukat | oya.tureoglu@bener.com