Kripto Varlık Hizmet Sağlayıcılarının Bilgi Sistemleri Yönetimi, Güvenliği ve Risk Kontrolüne Yönelik Yükümlülükleri Nelerdir?
Kripto Varlık Hizmet Sağlayıcılarının Bilgi Sistemleri Yönetimi, Güvenliği ve Risk Kontrolüne Yönelik Yükümlülükleri Nelerdir?

Kripto Varlık Hizmet Sağlayıcılarının Bilgi Sistemleri Yönetimi, Güvenliği ve Risk Kontrolüne Yönelik Yükümlülükleri Nelerdir?
Kripto Varlık Hizmet Sağlayıcıların (KVHS) uymak zorunda oldukları ana yükümlülükler madde madde özetlenmiştir:
1. Bilgi Sistemleri Yönetimi ve Güvenliği Sağlama:
KVHS’ler, bilgi sistemlerinin kurulması, işletilmesi, yönetilmesi ve kullanılmasına ilişkin tüm düzenlemelere uygun hareket etmek, sistemlerin gizlilik, bütünlük, erişilebilirlik ve performansını sağlamak zorundadır. (Örneğin; MADDE 5 ve MADDE 6)2. Risk Yönetimi ve Değerlendirme:
Bilgi sistemlerine ilişkin risklerin belirlenmesi, analiz edilmesi, ölçülmesi, izlenmesi ve raporlanması; risk kabul kriterlerinin oluşturulması ve uygulanan önlemlerin düzenli olarak gözden geçirilmesi gerekmektedir. (Örneğin; MADDE 8)3. Sızma Testleri ve Güvenlik Açığı Yönetimi:
KVHS’ler, bilgi sistemlerinde meydana gelebilecek güvenlik açıklarının tespiti amacıyla yılda en az bir kez sızma testine tabi tutulmak ve test raporlarını belirlenen sürelerde ilgili kuruma iletmekle yükümlüdür. (MADDE 8, MADDE 24)4. Denetim İzleri ve Kayıt Mekanizması Oluşturma:
Bilgi sistemlerinde gerçekleşen işlemlerin, erişimlerin, yapılan değişikliklerin detaylı denetim izlerinin kayda alınması, saklanması ve düzenli denetlenmesi gerekmektedir. (MADDE 22)5. Bilgi Sistemleri Sürekliliği ve Yedekleme:
Kritik bilgi sistemlerinin sürekliliğini sağlamak amacıyla iş sürekliliği planı oluşturulması, yedekleme işlemlerinin yapılması ve yedekten geri dönüş testlerinin en az yıllık olarak gerçekleştirilmesi zorunludur. (MADDE 27)6. Ek Teknik ve Altyapı Kriterlerine Uyum:
KVHS’ler, tebliğde öngörülen düzenlemelerin yanı sıra, Türkiye Bilimsel ve Teknolojik Araştırma Kurumu’nun “Kripto Varlık Hizmet Sağlayıcıların bilgi sistemleri ve teknolojik altyapılarına ilişkin” hazırladığı ek kriterlere de uyum sağlamak durumundadır. (MADDE 31/2)7. Belirlenmiş Transisyon Sürelerine Uyum:
KVHS’ler için özel olarak belirlenen uyum sürelerine dikkat edilmelidir:
• MADDE 27 kapsamında yer alan yükümlülükler için 31/12/2025’e,
• MADDE 29’un üçüncü fıkrası kapsamında yer alan yükümlülükler için ise 31/12/2026 tarihine kadar uyum sağlanması gerekmektedir. (GEÇİCİ MADDE 1)8. Bilgi Güvenliği İhlali Yönetimi ve Olay Raporlaması:
Her türlü bilgi güvenliği ihlalinin veya tespit edilen güvenlik açığının kayda alınması, derhal müdahale planlarının uygulanması ve üst yönetime raporlanması yükümlülüğü bulunmaktadır. (MADDE 24)9. Diğer Uygulanabilir Hükümlere Uyum:
KVHS’ler, bu tebliğde yer alan diğer tüm hükümler ve yükümlülükler çerçevesinde, bilgi sistemleri, altyapı, erişim yönetimi, değişiklik yönetimi, iç denetim ve diğer düzenleyici gereklilikleri eksiksiz yerine getirmekle yükümlüdür.
Soru ve danışmanlık talepleriniz için






