BDDK 2026 Siber Güvenlik Yönetmeliği: Bankalar ve Fintek Şirketleri için Uyum Rehberi
Türkiye'nin finansal sisteminin dijitalleştirilmesi ve kripto varlıkların yaygınlaşması, BDDK (Bankacılık Düzenleme ve Denetleme Kurumu) tarafından siber güvenlik alanında yeni düzenlemeler yapılmasını gerekli kılmıştır. 2026 yılında yürürlüğe giren BDDK Siber Güvenlik Yönetmeliği, bankalar, fintek şirketleri ve diğer finansal kuruluşlar için kapsamlı bir uyum çerçevesi belirlemektedir. Bu yazıda, yönetmeliğin temel ilkeleri, zorunlu gereklilikler ve uygulama stratejilerini detaylı olarak inceleyeceğiz.
1. BDDK Siber Güvenlik Yönetmeliğinin Yasal Dayanağı ve Tarihçesi
BDDK, 5411 sayılı Bankacılık Kanunu ve 6102 sayılı Türk Ticaret Kanunu'nun ilgili hükümleri çerçevesinde, finansal sistem güvenliğini sağlamak için siber güvenlik alanında yeni düzenlemeler getirmiştir. Bu yönetmelik, uluslararası standartlara (NİST Cybersecurity Framework, ISO 27001, EBA Guidelines) uyumlaştırılarak hazırlanmıştır.
1.1 Yönetmeliğin Amacı ve Kapsam
Yönetmeliğin temel amacı:
- Finansal kuruluşların bilgi sistemlerini siber tehditlere karşı korumak
- Müşteri verilerinin gizliliği, bütünlüğü ve erişilebilirliğini sağlamak
- Kritik finansal altyapıyı tehditlerden korumak
- Siber olaylar sonrasında hızlı iyileşme (disaster recovery) mekanizmaları oluşturmak
Yönetmelik, bankaları, fintek şirketlerini, ödeme kuruluşlarını ve diğer BDDK tarafından denetlenen finansal kuruluşları kapsamaktadır.
1.2 Tarihsel Bağlam
2024 yılında başlayan "Siber Güvenlik Yönetmeliği Taslağı" uzun danışma süreçlerine tabi tutulmuş, 2025 yılında finalize edilerek 2026 Ocak ayında yürürlüğe girmiştir. Geçiş dönemi olarak, kuruluşlara 6 ay içinde (Haziran 2026'ya kadar) temel kontrolleri uygulamaya almaları, 12 ay içinde ise tam uyuma ulaşmaları zorunlu kılınmıştır.
2. Yönetmeliğin Temel Yapı Taşları
2.1 Risk Bazlı Yaklaşım
BDDK yönetmeliği, "risk bazlı yaklaşım" ilkesini benimsemiştir. Bu, kuruluşların:
- Kendi siber risk profillerini değerlendirmek
- Kritik sistemleri tanımlamak
- Kaynakları risk düzeyine göre tahsis etmek
anlamına gelmektedir.
Kütüklenmiş Fintek Şirketleri (düşük risk) ile Sistemik Önem Taşıyan Bankalar (yüksek risk) arasında farklı uyum seviyeleri bulunmaktadır.
2.2 Kritik Sistem ve Veri Sınıflandırması
Yönetmelik, veri ve sistemleri üç seviyeye ayırmıştır:
| Seviye | Tanım | Örnekler | Koruma Gereksinimleri |
|---|---|---|---|
| A (Kritik) | Finansal işlemleri doğrudan etkiler | Ödeme sistemleri, hesap yönetimi | Maksimum koruma, 24/7 monitoring |
| B (Yüksek) | Müşteri verisi içerir | KYC verileri, hukuki belgeler | İleri koruma, günlük log denetimi |
| C (Orta) | Genel işletme verisi | Personel kayıtları, marketing verileri | Temel koruma |
3. Teknik Gereklilikler
3.1 Kriptografik Kontroller
Yönetmelik, AES-256 şifrelemesini bütün kritik veriler için zorunlu kılmaktadır:
- Versiyon Kontrolü: TLS 1.2 minimum (TLS 1.3 önerilir)
- Anahtar Yönetimi: Anahtarlar fiziksel olarak ayrı ortamlarda saklanmalı
- Eliptik Eğri Kriptografi (ECC): Modern alternatiflere de izin verilmektedir
3.2 Ağ Segmentasyonu
Kritik sistemlerin demilitarize bölgede (DMZ) izole edilmesi gerekmektedir:
- Üretim ortamı ile test/geliştirme ortamının tamamen ayrılması
- Firewall kurallarının en az ayrıcalık ilkesine (Principle of Least Privilege) göre yapılandırılması
- Tüm ağ trafiğinin günlüğe kaydedilmesi
3.3 Endpoint Security
Her bilgisayar ve sunucuda:
- Virüs koruması (endpoint antivirus)
- Hava açığı taraması (vulnerability scanning)
- Disk şifrelemesi (BitLocker/LUKS)
- Log kayıtları (syslog, SIEM sistemlerine aktarım)
4. Olay Yönetimi ve Bildirim Gereksinimleri
4.1 Siber Olay Sınıflandırması
BDDK, siber olayları dört kategoriye ayırır:
-
Kritik Olay: Sistemler tamamen down, müşteri verisi sızıntısı
- Bildirim: 2 saat içinde (BDDK'nın 24/7 hattına)
- Kurum içi belgeleme: 24 saat içinde
-
Yüksek Olay: Kısmi hizmet kesintisi, yetkisiz erişim denemesi
- Bildirim: 24 saat içinde
- Detaylı rapor: 72 saat içinde
-
Orta Olay: Veri tabanı yavaşlaması, sistem uyarıları
- İç raporlama: 1 hafta içinde
-
Düşük Olay: Günlük sistem hatası, başarısız login denemesi
- Aylık tutanakta kaydedilir
4.2 Müşteri Bildirimi
Müşteri verilerinin sızıntısı veya işlenmesinin durması halinde:
- BDDK tarafından yetkilendirilen müşteriler 72 saat içinde bilgilendirilir
- Kamu ortamında duyuru yapılabilir
5. Üçüncü Taraf Risk Yönetimi
5.1 Satıcı Due Diligence
BDDK, "outsourcing risk management" konseptine önem vermektedir. Kuruluşlar:
- Tüm dış satıcılarının (bulut sağlayıcılar, yazılım tedarikçileri) siber güvenlik durumunu yıllık denetlemelidir
- Satıcı sözleşmelerine siber güvenlik şartları eklemelidir
5.2 Bulut Hizmetleri
Bulut ortamında (AWS, Azure, Google Cloud) tutulan veriler için:
- Hizmet Seviyesi Anlaşması (SLA) minimum 99.9% uptime garantisi içermeli
- Veri saklanma yeri Türkiye sınırları içinde olmalı (KVKK uyumu)
- Şifreleme anahtarları kuruluş tarafından yönetilmeli
6. İnsan Kaynağı ve Organizasyon
6.1 Siber Güvenlik Sorumluluğu
Kuruluşlar aşağıdaki rolleri tanımlamalıdır:
- Chief Information Security Officer (CISO): Direktör seviyesi yönetici
- Security Operations Center (SOC): 24/7 monitoring ve olay yanıt
- Penetration Test Ekibi: Yıllık (en az) güvenlik testleri
Sistemik önem taşıyan bankalar için CISO Direktör Kurulu'na raporlama zorunluluğu vardır.
6.2 Eğitim ve Farkındalık Programları
- Tüm personel için yıllık en az 8 saatlik siber güvenlik eğitimi
- Yönetici seviyeleri için kurumsal risk yönetimi eğitimi
- Sosyal mühendislik (phishing) simülasyonları en az 3 ayda bir
7. Uyum Stratejileri ve İmplementasyon
7.1 Çapraz Kurumsal Koordinasyon
-
Birinci Aşama (Haziran 2026'ye kadar):
- Siber risk taraması (risk assessment) yapılır
- Mevcut kontroller envanteri oluşturulur
- Boşluk analizi (gap analysis) yapılır
-
İkinci Aşama (Aralık 2026'ye kadar):
- Temel kontroller uygulanır (firewall, antivirus, şifreleme)
- İlk SOC bileşenleri devreye alınır
- Personel eğitimi başlatılır
-
Üçüncü Aşama (2027 ve sonrası):
- Gelişmiş koruma araçları (SIEM, EDR) entegre edilir
- Otomatik olay yanıt sistemleri uygulanır
- Siber sigortası alınır (opsiyonel ama tavsiye)
7.2 Maliyet Tahminlemesi
Kuruluş büyüklüğüne göre uyum maliyetleri:
| Kuruluş Tipi | Yıllık Bütçe | Başlangıç Yatırım |
|---|---|---|
| Fintek Şirketi (50-200 çalışan) | 500K - 1M TL | 2-3M TL |
| Orta Banka (200-1000 çalışan) | 2-5M TL | 10-15M TL |
| Büyük Banka (1000+ çalışan) | 10-30M TL | 50-100M TL |
8. Yasal Sonuçlar ve Cezalar
Yönetmeliğe uymayanlar:
| İhlal Seviyesi | Ceza Tutarı | Diğer Yaptırımlar |
|---|---|---|
| Kritik (olay bildirimi geciktirme) | 1-5M TL | Yönetim değişikliği zorunluluğu |
| Yüksek (kontrol eksikliği) | 500K-2M TL | İş sınırlaması uyarısı |
| Orta (eksik dokümantasyon) | 100K-500K TL | - |
| Düşük (eğitim eksikliği) | 50K-100K TL | - |
9. Uluslararası Standartlarla Karşılaştırma
BDDK yönetmeliği, EBA (European Banking Authority) Rehberlerine ve NİST Framework'e uyumlu olmakla birlikte:
- GDPR (Avrupa): Daha katı veri anonimleştirme gereklilikleri
- PCI-DSS (Ödeme Kartları): Daha spesifik şifreleme ve logging standartları
- ISO 27001: Daha genel bilgi güvenliği çerçevesi
BDDK, Türkiye'nin finansal sistemine özgü riskleri (ülke-seviyesi tehditler, yerel yazılım seçimi zorunluluğu) dikkate almıştır.
10. Sonuç ve Tavsiyeler
BDDK 2026 Siber Güvenlik Yönetmeliği, Türk finansal kurumlarının dijital çağda güvenli kalması için kritik bir adımdır. Önemli noktalar:
- Aciliyet: 6 aylık geçiş dönemi hızlı geçecektir. Şimdi başlamak zorunludur.
- Risk Bazlı Yaklaşım: Küçük fintek şirketleri bile temel kontrollere sahip olmalıdır.
- İnsan Unsuru: Teknoloji kadar, personel eğitimi ve farkındalığı önemlidir.
- İş Devamlılığı: Siber olay meydana gelirse, kurum 24-48 saat içinde iyileşebilmeli.
Türkiye'deki finansal kurumlar, bu yönetmeliği bir zorunluluk değil, rekabetçi avantaj olarak görebilir. Güçlü siber güvenliğe sahip bankalar ve fintekler, müşteri güvenini daha kolay kazanacaktır.
Bu rehber bilgilendirme amaçlıdır. Spesifik yasal danışmanlık için yetkilendirilen hukuk müşaviri veya danışman ile görüşünüz.