Kaynak: BDDK, 2024 Resmî Gazete – 31066 Sayılı Yönetmelik
“Yönetmelik geldi, peki kültür hazır mı?”
Son yıllarda bankacılık sektörünün kulaklarında yankılanan üç kelime var:
Bilgi Sistemleri Yönetmeliği.
Kimine göre bu bir “uyum projesi”, kimine göre siber güvenliğin bankacılıktaki anayasası.
Ama 2026’ya geldiğimizde asıl soru şu olacak:
“Kurumlar sadece kağıt üzerinde mi hazır, yoksa gerçekten güvenli mi?”
Yönetmelik Neyi Kapsıyor?
“Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik”,
BDDK tarafından yayımlanan ve bankaların bilgi sistemlerini, yazılım geliştirme süreçlerini,
ve siber güvenlik faaliyetlerini nasıl yürütmesi gerektiğini belirleyen bir çerçevedir.
Bu yönetmelik sadece BT departmanını değil;
yazılımcılardan yöneticilere, hukuk biriminden risk yönetimine kadar herkesi ilgilendiriyor.
Yönetmeliğin Kalbi: 4 Kritik Madde
| Madde | Kapsam | Ne Anlama Geliyor |
|---|---|---|
| Madde 20 – Güvenli Yazılım Geliştirme | Yazılım geliştirme süreçlerinde güvenli kodlama standartlarına uyum. | Artık “çalışıyor” demek yetmiyor, güvenli çalışıyor mu demek gerekiyor. |
| Madde 22 – Değişiklik Yönetimi | Her sistem değişikliği test, onay ve kayıt altına alınmalı. | “Ufak bir değişiklik” bile artık ciddi bir süreç. |
| Madde 23 – Güvenlik Testleri | Sürekli sızma testi, statik kod analizi ve izleme. | Güvenlik bir event değil, sürekli bir süreç. |
| Madde 25 – Bilgi Güvenliği Yönetimi | Kurum genelinde güvenlik kültürünün oluşturulması. | Teknoloji kadar insan farkındalığı da zorunlu hale geldi. |
[Infografik: BDDK Uyumluluk Haritası]
(3 Adımlı Görsel Yer Tutucu)
Farkındalık ve Eğitim
Süreç ve Otomasyon
Denetim ve İzlenebilirlik
2026’da Bankalar Ne Kadar Hazır?
Gerçekçi olalım:
Birçok kurum “belge” tarafında iyi durumda. Ancak, “uygulama kültürü” tarafında hâlâ uzun bir yol var.
Bazı kurumlar Secure by Design yaklaşımını benimsemiş durumda,
bazıları ise hâlâ “test ederiz” aşamasında.
Ama artık DevSecOps, sürekli güvenlik testleri ve geliştirici eğitimleri olmadan yönetmeliğe tam uyum sağlamak mümkün değil.
Yönetmeliğe Uyum İçin Eğitim Yol Haritası
| Eğitim | Kapsadığı Madde | Seviye |
|---|---|---|
| Programming Foundations | Madde 20 | Temel |
| Application Security for Developers | Madde 20-23 | Orta |
| DevSecOps Eğitimi | Madde 22-23 | İleri |
| Secure by Design | Madde 25 | Orta |
| Certified Java and Web Application Security | Madde 20 | İleri |
| Certified C# and Web Application Security | Madde 20 | İleri |
Bu eğitimler, kurumların hem uyum sürecini hızlandırmasına hem de geliştirici farkındalığını artırmasına yardımcı olur.
Gerçek Hayattan Mini Bir Örnek
Bir finans kuruluşu, test ortamında açık bırakılan bir API anahtarı nedeniyle veri sızıntısı yaşadı.
Denetim sonucunda, “Madde 23 – Güvenlik Testleri” gerekliliğine tam uyum sağlanmadığı belirlendi.
Bu olay, teknik önlemlerin yanında insan ve süreç eğitimlerinin önemini bir kez daha gösterdi.
“Yönetmeliğe uyum, sadece BT departmanının değil, tüm kurumun sorumluluğudur.
Güvenli kodlama, test, erişim yetkilendirme ve farkındalık eğitimleri artık birlikte yürümek zorunda.”
Sık Sorulan Sorular
Bu yönetmelik sadece bankaları mı kapsıyor?
Hayır, bankalarla birlikte finansal hizmet sağlayan iştirakler, ödeme kuruluşları ve fintech’ler de kapsam dahilindedir.
Güvenli yazılım geliştirme eğitimleri zorunlu mu?
Evet. Madde 20’ye göre geliştiriciler “güvenli yazılım geliştirme prensiplerine uygun” davranmak zorundadır.
Yönetmeliğe uyum sağlamak için ne kadar süre var?
Yönetmelik yürürlükte, ancak BDDK denetimleri 2026 itibarıyla yoğunlaşacaktır.
Hangi eğitimlerle hazırlanabilirim?
Yukarıdaki bağlantılardan DevSecOps, Secure by Design ve Application Security for Developers en etkili başlangıçlardır.
Uyumdan Güvenliğe Geçiş
Yönetmeliğe uyum sadece bir “checklist” değil; bir kültürel dönüşüm süreci.
Kurumlar, denetime değil; güvenliğe hazırlanmalı.
“Uyumluluk geçici, kültür kalıcıdır.”