ISO 27001 Kimler İçin Zorunlu?
EPDK, BTK, GİB, YYS ve elektrikli araç şarj istasyonları dahil Türkiye’de yasal ve fiili zorunluluk haline gelen sektörler.
EPDK, BTK, GİB, YYS ve elektrikli araç şarj istasyonları dahil Türkiye’de yasal ve fiili zorunluluk haline gelen sektörler.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi belgesi temelde gönüllülük esasına dayansa da, Türkiye’de çeşitli yasal düzenlemeler ve sektörel gereklilikler nedeniyle birçok kurum için doğrudan veya fiili zorunluluk haline gelmiştir. Bu rehber, ISO 27001’in hangi kurum ve sektörlerde yasal dayanakla zorunlu kılındığını ve hangi alanlarda sözleşmesel/sektörel beklenti olarak öne çıktığını ele almaktadır.
ISO 27001’i doğrudan yasal zeminde zorunlu kılan kurum ve düzenlemeler:
| Kurum | Düzenleme | Kapsam |
|---|---|---|
| EPDK | Elektrik Piyasası Lisans Yönetmeliği (26.12.2014, 29217 sayılı RG) | Kurulu gücü 100 MW ve üzeri üretim tesisleri (OSB hariç) ve elektrik iletim, dağıtım ile piyasa işletim lisansı sahibi tüm firmalar — 01.03.2016’dan beri |
| EPDK | Doğal Gaz Piyasası Lisans Yönetmeliği | İletim ve dağıtım lisansı sahibi tüm firmalar |
| EPDK | Petrol Piyasası Lisans Yönetmeliği | Rafinerici lisansı sahibi tüm firmalar |
| EPDK | Şarj Hizmeti Yönetmeliği (2026) | Şarj ağı işletmeci lisansı sahipleri ve başvuru yapacak firmalar (ISO 27001 + ISO 18295-1) |
| GİB | E-Fatura Özel Entegratörlük | Özel entegratör başvurusu yapan firmalar (ISO 27001 + ISO 20000-1 + ISO 22301) |
| Gümrük ve Ticaret Bak. | Yetkili Yükümlü Sertifikası (YYS) | YYS başvurusu yapan ithalat ve ihracat firmaları (ISO 27001 + ISO 9001) |
| BTK | Elektronik Haberleşme Güvenliği Tebliği | 9 işletmeci türü (detay aşağıda) |
| Sanayi ve Teknoloji Bak. | Kamu Bilişim Hizmet Alımı Yetkilendirme Yönetmeliği (2022) | Kamu bilişim ihalelerine katılmak isteyen tüm firmalar — 3 yetki belgesi türü (detay aşağıda) |
| KİK | Kamu İhale Kanunu | Bilişim ve savunma sanayi projelerinde şartname gereği |
BTK’nın Elektronik Haberleşme Güvenliği Tebliği uyarınca ISO 27001 belgesi alması zorunlu olan işletmeciler:
29 Haziran 2022 tarihli Resmi Gazete’de yayımlanan bu yönetmelik, kamu bilişim ihalelerine katılmak isteyen tüm firmalar için ISO 27001 belgesini zorunlu kılmaktadır. 3 ayrı yetki belgesi türü tanımlanmıştır:
| Yetki Belgesi | Gerekli Belgeler | Kapsam |
|---|---|---|
| Kamu Bilişim Yetki Belgesi | ISO 27001 | Kamu bilişim hizmet alımı ihalelerine genel katılım |
| Yazılım Yetki Belgesi | ISO 27001 + TS ISO/IEC 15504 Seviye 2 veya CMMI Seviye 3 | Yazılım geliştirme, entegrasyon ve bakım hizmetleri |
| Sızma Testi Yetki Belgesi | ISO 27001 + TSE Sızma Testi Yapan Firma Belgesi | Siber güvenlik ve sızma testi hizmetleri |
Yaptırım: Uygunsuzluk tespitinde 6 aya kadar süre verilir; giderilmezse yetki belgesi iptal edilir. İptal durumunda 1 yıl, tekrarında 3 yıl süreyle aynı tür belge başvurusu yapılamaz.
23 Mart 2026 tarihli Resmi Gazete’de yayımlanan yönetmelik değişikliği ile şarj ağı işletmecilerine ISO 27001 zorunluluğu getirildi. Kapsam: şarj ağı işletmeci lisansı almak isteyen veya halihazırda sahip olan tüm tüzel kişiler ile mobil şarj istasyonu işleten firmalar.
| Belge | Kapsam | Geçiş Süresi |
|---|---|---|
| ISO 27001 | Şarj ağı yazılım sistemleri ve bilişim altyapısının güvenliği; yetkisiz erişim önleme, kimlik doğrulama, bulut güvenliği | 1 yıl |
| ISO 18295-1 | 7/24 kesintisiz müşteri iletişim merkezi hizmeti | 6 ay |
Şarj istasyonları kullanıcıların kredi kartı bilgileri, araç verileri, konum ve şarj geçmişi gibi hassas verileri işlemektedir. Geçiş süresi sonunda ISO 27001 sertifikasını ibraz edemeyen firmaların lisansları iptal edilebilir; yeni başvurularda belgesiz başvuru kabul edilmez.
2020/6 sayılı Cumhurbaşkanlığı Genelgesi ile yürürlüğe giren BİGR, kamu kurum ve kuruluşları ile kritik altyapı hizmeti sunan işletmeleri kapsamaktadır. Rehber doğrudan ISO 27001 belgesini zorunlu kılmamakla birlikte:
Finans sektöründe ISO 27001 doğrudan yasal zorunluluk değil; ancak düzenleyici çerçevenin fiili beklentisi haline gelmiştir:
| Kurum | Düzenleme | ISO 27001 ile İlişkisi |
|---|---|---|
| BDDK | Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetlerinde Bilgi Güvenliği Yönetmeliği | ISO 27001, yönetmeliğin referans aldığı uluslararası çerçevedir. Yönetmelik uyumlu bir BGYS kurulmasını zorunlu kılar; bankalar ISO 27001 belgesiyle uyumlarını en güçlü biçimde kanıtlamaktadır. |
| SPK | VII-128.10 Bilgi Sistemleri Yönetimine İlişkin Tebliği (13.03.2025, RG:32840) — Yürürlük: 30 Haziran 2025 | Sermaye piyasası kuruluşları ve kripto varlık hizmet sağlayıcıları için bilgi sistemleri yönetimi gereklilikleri; ISO 27001 referans çerçeve olarak kullanılmaktadır. |
| SPK | Kripto Varlık Hizmet Sağlayıcılarına İlişkin Tebliğler (III-35/B.1 ve III-35/B.2, 13.03.2025) | Bilgi güvenliği ve altyapı kriterleri; tam zamanlı bilgi güvenliği sorumlusu zorunluluğu. Sektördeki kuruluşlar ISO 27001 ile uyumlarını belgelemektedir. |
Müşteri talepleri, ihale şartları ve sektörel beklentiler nedeniyle ISO 27001 belgesinin fiili zorunluluk haline geldiği sektörler:
| Sektör | Gerekçe |
|---|---|
| Yazılım geliştirme firmaları | Kamu ve banka projelerinde sözleşme şartı; Sanayi ve Teknoloji Bakanlığı yetki belgesi kapsamındaki projelerde yasal |
| Bankalar ve finans kuruluşları | BDDK bilgi sistemleri yönetmeliği referans çerçevesi; uyum kanıtı olarak fiilen zorunlu hale gelmiştir |
| Fintech, ödeme ve e-para kuruluşları | BDDK lisans süreçlerinde bilgi güvenliği altyapısı beklentisi |
| Kripto varlık hizmet sağlayıcıları | SPK tebliğleri (2025) kapsamında bilgi güvenliği gereklilikleri; sektörde fiili standart |
| Sermaye piyasası kuruluşları (aracı kurumlar vb.) | SPK VII-128.10 Tebliği (2025) bilgi sistemleri yönetimi gereklilikleri |
| Bulut ve veri merkezi hizmet sağlayıcıları | Müşteri verilerinin güvenliği için zorunlu sözleşme şartı |
| Çağrı merkezi hizmetleri | Banka ve kamu müşterilerinin sözleşme şartı |
| Sağlık verisi işleyen firmalar | KVKK kapsamında hassas veri koruma; Sağlık Bakanlığı projelerinde sözleşme şartı |
| Savunma sanayi tedarikçileri | SSB ihale şartnamesi; gizlilik dereceli verilere erişim koşulu |
| İnsan kaynakları ve bordro firmaları | Çalışan özlük verilerinin korunması; müşteri sözleşme şartı |
| E-ticaret platformları | Ödeme bilgileri ve müşteri verisi güvenliği; büyük perakendecilerin tedarikçi şartı |
| Üniversite bilgi işlem birimleri | DDO BİGR kapsamı; öğrenci verisi ve uzaktan eğitim güvenliği |
| Tür | Kurum / Düzenleme | Yaptırım |
|---|---|---|
| Yasal | EPDK — Elektrik (üretim 100 MW+, iletim, dağıtım, piyasa işletim) | Lisans iptali riski |
| Yasal | EPDK — Doğal Gaz (iletim ve dağıtım lisansları) | Lisans iptali riski |
| Yasal | EPDK — Petrol (rafinerici lisansı) | Lisans iptali riski |
| Yasal | EPDK — Şarj ağı işletmecileri (2026) | Lisans iptali / başvuru reddi |
| Yasal | GİB özel entegratörleri (e-Fatura, e-Arşiv, e-İrsaliye) | Yetki iptali |
| Yasal | Gümrük — YYS başvuru sahipleri | Sertifika verilmemesi |
| Yasal | BTK — 9 işletmeci türü | İdari yaptırım / yetki iptali |
| Yasal | San. ve Tek. Bak. — Kamu bilişim ihaleleri (2022) | Yetki belgesi iptali / 3 yıl ihale yasağı |
| Düzenleyici | Cumhurbaşkanlığı DDO — Kamu kurumları ve kritik altyapı | BİGR uyumsuzluğu; denetim bulgusu |
| Düzenleyici | BDDK — Bankalar ve finans kuruluşları | BDDK denetim bulgusu; yönetim yaptırımı |
| Düzenleyici | SPK — Sermaye piyasası kuruluşları ve KVHS (2025) | SPK denetim bulgusu |
| Sözleşmesel | KİK / Kamu ihaleleri (şartname gereği) | İhaleye katılamama |
| Fiili | Savunma sanayi, sağlık, e-ticaret, fintech, bulut hizmetleri | Pazar kaybı, rekabet dezavantajı |
Hayır. Gönüllülük esaslıdır; ancak EPDK (enerji lisansları ve şarj ağı), BTK, GİB özel entegratörleri ve YYS başvuru sahipleri için doğrudan yasal zorunluluktur. Diğer sektörlerde ise ihale şartları ve müşteri talepleri nedeniyle fiili zorunluluk oluşmuştur.
Tüm resmi kurumlar (EPDK, BTK, GİB, Gümrük) belgenin mutlaka TÜRKAK veya uluslararası eşdeğer akreditasyonlu bir belgelendirme kuruluşundan alınmasını şart koşar. Akreditasyonsuz belgelendirme kuruluşlarından alınan belgeler geçerli sayılmaz.
Özellikle GİB özel entegratörleri ve YYS sahipleri için belgenin sadece alınması değil, sürekli olarak uygulanması da denetlenir. Uygunsuzluk tespiti halinde yetki iptaline kadar varan yaptırımlar uygulanabilir.
Hayır. ISO 27001:2013 sertifikaları 31 Ekim 2025 tarihi itibarıyla geçerliliğini yitirmiştir. Bu tarihten önce ISO 27001:2022 geçiş denetimi yapılmamış belgeler EPDK, BTK, GİB ve Sanayi Bakanlığı gibi resmi kurumlar nezdinde geçersiz sayılmaktadır. Hâlâ 2013 versiyonuna sahipseniz geçiş denetimini bir an önce tamamlamanız gerekmektedir.
Rehber ISO 27001 sertifikasını doğrudan zorunlu kılmamaktadır; ancak getirdiği güvenlik gereklilikleri ISO 27001 çerçevesiyle büyük örtüşme göstermektedir. DDO’nun yayımladığı eşleştirme tablosu sayesinde ISO 27001 belgeli kurumlar BİGR uyum denetimlerini aynı süreçte yürütebilmektedir. Kritik altyapı kategorisindeki kamu işletmecileri için pratikte ISO 27001 olmaksızın BİGR uyumunu sağlamak son derece güçtür.
Doğrudan yasal zorunluluk yoktur; ancak SPK’nın 2025 tarihli tebliğleri (VII-128.10 ve III-35/B.1, III-35/B.2) kapsamlı bilgi sistemleri güvenliği yükümlülükleri getirmiştir. Tam zamanlı bilgi güvenliği sorumlusu, güvenli altyapı ve denetlenebilir süreçler zorunludur. Sektördeki firmaların büyük çoğunluğu bu gereklilikleri karşılamak için ISO 27001’i tercih etmektedir.
100 MW altındaki elektrik üretim tesisleri EPDK’nın elektrik lisans yönetmeliği kapsamında ISO 27001 zorunluluğundan muaf tutulmaktadır. Ancak bu muafiyet yalnızca üretim lisansları için geçerlidir: iletim, dağıtım ve piyasa işletim lisansı sahipleri kurulu güçten bağımsız olarak ISO 27001’e sahip olmak zorundadır. Ayrıca GİB entegratör, YYS, BTK veya Sanayi Bakanlığı kapsamına giriyorsanız bu muafiyet geçerli olmaz.
TÜRKAK akredite belgelendirme için uzman ekibimizle ücretsiz ön değerlendirme talep edin.