ISO 27001 Kimler İçin Zorunlu?

EPDK, BTK, GİB, YYS ve elektrikli araç şarj istasyonları dahil Türkiye’de yasal ve fiili zorunluluk haline gelen sektörler.

✓ ISO 27001:2022✓ 2026 Güncel Rehber

ISO 27001 Bilgi Güvenliği Yönetim Sistemi belgesi temelde gönüllülük esasına dayansa da, Türkiye’de çeşitli yasal düzenlemeler ve sektörel gereklilikler nedeniyle birçok kurum için doğrudan veya fiili zorunluluk haline gelmiştir. Bu rehber, ISO 27001’in hangi kurum ve sektörlerde yasal dayanakla zorunlu kılındığını ve hangi alanlarda sözleşmesel/sektörel beklenti olarak öne çıktığını ele almaktadır.

Önemli: ISO 27001 belgesinin TÜRKAK akreditasyonlu bir belgelendirme kuruluşundan alınması, EPDK, BTK ve GİB gibi resmi kurumlar nezdinde geçerli sayılması için zorunludur.
Sürüm Uyarısı — ISO 27001:2022: ISO 27001’in 2022 revizyonu 25 Ekim 2022’de yayımlanmıştır. TÜRKAK ve IAF kararı uyarınca tüm belgelendirme kuruluşları 1 Kasım 2023’ten itibaren ISO 27001:2013 versiyonuna göre yeni belgelendirme veya yeniden belgelendirme yapamamaktadır. Mevcut ISO 27001:2013 belgeleri 31 Ekim 2025’te geçerliliğini yitirmiştir. Bu tarihten sonra yalnızca ISO 27001:2022 (TS EN ISO/IEC 27001:2023) versiyonu resmi kurumlar nezdinde geçerlidir.

A) Yasal Zorunluluk Getiren Düzenlemeler

ISO 27001’i doğrudan yasal zeminde zorunlu kılan kurum ve düzenlemeler:

Kurum Düzenleme Kapsam
EPDK Elektrik Piyasası Lisans Yönetmeliği (26.12.2014, 29217 sayılı RG) Kurulu gücü 100 MW ve üzeri üretim tesisleri (OSB hariç) ve elektrik iletim, dağıtım ile piyasa işletim lisansı sahibi tüm firmalar — 01.03.2016’dan beri
EPDK Doğal Gaz Piyasası Lisans Yönetmeliği İletim ve dağıtım lisansı sahibi tüm firmalar
EPDK Petrol Piyasası Lisans Yönetmeliği Rafinerici lisansı sahibi tüm firmalar
EPDK Şarj Hizmeti Yönetmeliği (2026) Şarj ağı işletmeci lisansı sahipleri ve başvuru yapacak firmalar (ISO 27001 + ISO 18295-1)
GİB E-Fatura Özel Entegratörlük Özel entegratör başvurusu yapan firmalar (ISO 27001 + ISO 20000-1 + ISO 22301)
Gümrük ve Ticaret Bak. Yetkili Yükümlü Sertifikası (YYS) YYS başvurusu yapan ithalat ve ihracat firmaları (ISO 27001 + ISO 9001)
BTK Elektronik Haberleşme Güvenliği Tebliği 9 işletmeci türü (detay aşağıda)
Sanayi ve Teknoloji Bak. Kamu Bilişim Hizmet Alımı Yetkilendirme Yönetmeliği (2022) Kamu bilişim ihalelerine katılmak isteyen tüm firmalar — 3 yetki belgesi türü (detay aşağıda)
KİK Kamu İhale Kanunu Bilişim ve savunma sanayi projelerinde şartname gereği

B) BTK Kapsamında Zorunlu Olan 9 İşletmeci Türü

BTK’nın Elektronik Haberleşme Güvenliği Tebliği uyarınca ISO 27001 belgesi alması zorunlu olan işletmeciler:

  1. Görev veya imtiyaz sözleşmesi imzalayan işletmeciler
  2. Uydu haberleşme hizmeti veren işletmeciler
  3. Altyapı işletmeciliği hizmeti veren firmalar
  4. Sabit telefon hizmeti işletmecileri
  5. GMPCS mobil telefon hizmeti veren işletmeciler
  6. Sanal mobil şebeke (MVNO) hizmeti işletmecileri
  7. İnternet servis sağlayıcıları (İSS)
  8. Hava taşıtlarında GSM 1800 mobil telefon hizmeti veren işletmeciler
  9. Kablolu TV ve altyapı işletmecileri

C) Sanayi ve Teknoloji Bakanlığı — Kamu Bilişim Hizmet Alımı Yetkilendirme Yönetmeliği

29 Haziran 2022 tarihli Resmi Gazete’de yayımlanan bu yönetmelik, kamu bilişim ihalelerine katılmak isteyen tüm firmalar için ISO 27001 belgesini zorunlu kılmaktadır. 3 ayrı yetki belgesi türü tanımlanmıştır:

Yetki Belgesi Gerekli Belgeler Kapsam
Kamu Bilişim Yetki Belgesi ISO 27001 Kamu bilişim hizmet alımı ihalelerine genel katılım
Yazılım Yetki Belgesi ISO 27001 + TS ISO/IEC 15504 Seviye 2 veya CMMI Seviye 3 Yazılım geliştirme, entegrasyon ve bakım hizmetleri
Sızma Testi Yetki Belgesi ISO 27001 + TSE Sızma Testi Yapan Firma Belgesi Siber güvenlik ve sızma testi hizmetleri
Önemli: Yönetmelik yalnızca kamu ihalelerine katılım için değil; ihaleyi kazanan firmanın alt yüklenicileri için de ISO 27001 zorunluluğu getirmektedir. Tüm tedarik zincirini kapsar.

Yaptırım: Uygunsuzluk tespitinde 6 aya kadar süre verilir; giderilmezse yetki belgesi iptal edilir. İptal durumunda 1 yıl, tekrarında 3 yıl süreyle aynı tür belge başvurusu yapılamaz.

D) EPDK Şarj Hizmeti Yönetmeliği — Elektrikli Araç Şarj İstasyonları (2026)

23 Mart 2026 tarihli Resmi Gazete’de yayımlanan yönetmelik değişikliği ile şarj ağı işletmecilerine ISO 27001 zorunluluğu getirildi. Kapsam: şarj ağı işletmeci lisansı almak isteyen veya halihazırda sahip olan tüm tüzel kişiler ile mobil şarj istasyonu işleten firmalar.

Belge Kapsam Geçiş Süresi
ISO 27001 Şarj ağı yazılım sistemleri ve bilişim altyapısının güvenliği; yetkisiz erişim önleme, kimlik doğrulama, bulut güvenliği 1 yıl
ISO 18295-1 7/24 kesintisiz müşteri iletişim merkezi hizmeti 6 ay

Şarj istasyonları kullanıcıların kredi kartı bilgileri, araç verileri, konum ve şarj geçmişi gibi hassas verileri işlemektedir. Geçiş süresi sonunda ISO 27001 sertifikasını ibraz edemeyen firmaların lisansları iptal edilebilir; yeni başvurularda belgesiz başvuru kabul edilmez.

E) Cumhurbaşkanlığı DDO — Bilgi ve İletişim Güvenliği Rehberi (BİGR)

2020/6 sayılı Cumhurbaşkanlığı Genelgesi ile yürürlüğe giren BİGR, kamu kurum ve kuruluşları ile kritik altyapı hizmeti sunan işletmeleri kapsamaktadır. Rehber doğrudan ISO 27001 belgesini zorunlu kılmamakla birlikte:

  • Kapsam dahilindeki kuruluşların BİGR’e uyum faaliyetlerini belirli sürelerde tamamlaması zorunludur.
  • DDO, 2024’te TS ISO/IEC 27001 Kontrolleri ile BİGR Eşleştirme Tablosu‘nu yayımlamıştır; ISO 27001 sahibi kuruluşlar iç tetkiklerini ve BİGR uyum denetimlerini tek süreç altında yürütebilmektedir.
  • Elektrik, doğalgaz, su, ulaşım ve telekomünikasyon sektörlerindeki kritik altyapı işletmecileri en yüksek güvenlik kademeleriyle muhatap olup bu kademelerin karşılanması pratikte ISO 27001 uygulamasını gerektirmektedir.

F) SPK ve BDDK Kapsamındaki Finans Sektörü

Finans sektöründe ISO 27001 doğrudan yasal zorunluluk değil; ancak düzenleyici çerçevenin fiili beklentisi haline gelmiştir:

Kurum Düzenleme ISO 27001 ile İlişkisi
BDDK Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetlerinde Bilgi Güvenliği Yönetmeliği ISO 27001, yönetmeliğin referans aldığı uluslararası çerçevedir. Yönetmelik uyumlu bir BGYS kurulmasını zorunlu kılar; bankalar ISO 27001 belgesiyle uyumlarını en güçlü biçimde kanıtlamaktadır.
SPK VII-128.10 Bilgi Sistemleri Yönetimine İlişkin Tebliği (13.03.2025, RG:32840) — Yürürlük: 30 Haziran 2025 Sermaye piyasası kuruluşları ve kripto varlık hizmet sağlayıcıları için bilgi sistemleri yönetimi gereklilikleri; ISO 27001 referans çerçeve olarak kullanılmaktadır.
SPK Kripto Varlık Hizmet Sağlayıcılarına İlişkin Tebliğler (III-35/B.1 ve III-35/B.2, 13.03.2025) Bilgi güvenliği ve altyapı kriterleri; tam zamanlı bilgi güvenliği sorumlusu zorunluluğu. Sektördeki kuruluşlar ISO 27001 ile uyumlarını belgelemektedir.

G) Fiili / Sözleşmesel Zorunluluk Haline Gelen Sektörler

Müşteri talepleri, ihale şartları ve sektörel beklentiler nedeniyle ISO 27001 belgesinin fiili zorunluluk haline geldiği sektörler:

Sektör Gerekçe
Yazılım geliştirme firmaları Kamu ve banka projelerinde sözleşme şartı; Sanayi ve Teknoloji Bakanlığı yetki belgesi kapsamındaki projelerde yasal
Bankalar ve finans kuruluşları BDDK bilgi sistemleri yönetmeliği referans çerçevesi; uyum kanıtı olarak fiilen zorunlu hale gelmiştir
Fintech, ödeme ve e-para kuruluşları BDDK lisans süreçlerinde bilgi güvenliği altyapısı beklentisi
Kripto varlık hizmet sağlayıcıları SPK tebliğleri (2025) kapsamında bilgi güvenliği gereklilikleri; sektörde fiili standart
Sermaye piyasası kuruluşları (aracı kurumlar vb.) SPK VII-128.10 Tebliği (2025) bilgi sistemleri yönetimi gereklilikleri
Bulut ve veri merkezi hizmet sağlayıcıları Müşteri verilerinin güvenliği için zorunlu sözleşme şartı
Çağrı merkezi hizmetleri Banka ve kamu müşterilerinin sözleşme şartı
Sağlık verisi işleyen firmalar KVKK kapsamında hassas veri koruma; Sağlık Bakanlığı projelerinde sözleşme şartı
Savunma sanayi tedarikçileri SSB ihale şartnamesi; gizlilik dereceli verilere erişim koşulu
İnsan kaynakları ve bordro firmaları Çalışan özlük verilerinin korunması; müşteri sözleşme şartı
E-ticaret platformları Ödeme bilgileri ve müşteri verisi güvenliği; büyük perakendecilerin tedarikçi şartı
Üniversite bilgi işlem birimleri DDO BİGR kapsamı; öğrenci verisi ve uzaktan eğitim güvenliği

H) Zorunluluk Türüne Göre Özet Tablo

Tür Kurum / Düzenleme Yaptırım
Yasal EPDK — Elektrik (üretim 100 MW+, iletim, dağıtım, piyasa işletim) Lisans iptali riski
Yasal EPDK — Doğal Gaz (iletim ve dağıtım lisansları) Lisans iptali riski
Yasal EPDK — Petrol (rafinerici lisansı) Lisans iptali riski
Yasal EPDK — Şarj ağı işletmecileri (2026) Lisans iptali / başvuru reddi
Yasal GİB özel entegratörleri (e-Fatura, e-Arşiv, e-İrsaliye) Yetki iptali
Yasal Gümrük — YYS başvuru sahipleri Sertifika verilmemesi
Yasal BTK — 9 işletmeci türü İdari yaptırım / yetki iptali
Yasal San. ve Tek. Bak. — Kamu bilişim ihaleleri (2022) Yetki belgesi iptali / 3 yıl ihale yasağı
Düzenleyici Cumhurbaşkanlığı DDO — Kamu kurumları ve kritik altyapı BİGR uyumsuzluğu; denetim bulgusu
Düzenleyici BDDK — Bankalar ve finans kuruluşları BDDK denetim bulgusu; yönetim yaptırımı
Düzenleyici SPK — Sermaye piyasası kuruluşları ve KVHS (2025) SPK denetim bulgusu
Sözleşmesel KİK / Kamu ihaleleri (şartname gereği) İhaleye katılamama
Fiili Savunma sanayi, sağlık, e-ticaret, fintech, bulut hizmetleri Pazar kaybı, rekabet dezavantajı

2025-2026’da Talebi Artıran Etkenler

  • ISO 27001:2022 geçiş zorunluluğu tamamlandı — ISO 27001:2013 belgeleri 31 Ekim 2025 itibarıyla geçerliliğini yitirdi. Geçiş yapmayan kuruluşlar EPDK, BTK ve GİB nezdinde geçersiz belge durumuna düştü.
  • SPK VII-128.10 Tebliği yürürlükte (Haziran 2025) — Sermaye piyasası kuruluşları ve kripto varlık hizmet sağlayıcıları için kapsamlı bilgi sistemleri yönetimi yükümlülükleri başladı.
  • EPDK şarj ağı zorunluluğu (2026) — Hızla büyüyen elektrikli araç şarj sektöründe yeni piyasa oyuncuları için lisans koşulu haline geldi.
  • KVKK ve GDPR uyum süreçlerinin sıkılaşması — Kişisel veri işleyen firmalar için belgeli güvence talebi artıyor.
  • Tedarik zinciri baskısı — Büyük şirketler tedarikçilerinden BGYS sertifikasını zorunlu koşuyor; bu baskı her geçen yıl artıyor.
  • Bulut ve uzaktan çalışma yaygınlaşması — Veri güvenliği risklerinin artmasıyla belge önemi büyüyor.
  • Veri ihlallerinin mali ve itibari riski — İhlal başına milyonlarca TL’lik KVKK idari para cezaları ve kurumsal itibar kaybı.
  • Uluslararası ticaret gereklilikleri — Yurt dışı müşteriler ISO 27001’i ön koşul olarak talep ediyor; AB NIS2 Direktifi kapsamındaki müşteri beklentisi de devreye giriyor.

Sıkça Sorulan Sorular

Hayır. Gönüllülük esaslıdır; ancak EPDK (enerji lisansları ve şarj ağı), BTK, GİB özel entegratörleri ve YYS başvuru sahipleri için doğrudan yasal zorunluluktur. Diğer sektörlerde ise ihale şartları ve müşteri talepleri nedeniyle fiili zorunluluk oluşmuştur.

Tüm resmi kurumlar (EPDK, BTK, GİB, Gümrük) belgenin mutlaka TÜRKAK veya uluslararası eşdeğer akreditasyonlu bir belgelendirme kuruluşundan alınmasını şart koşar. Akreditasyonsuz belgelendirme kuruluşlarından alınan belgeler geçerli sayılmaz.

Özellikle GİB özel entegratörleri ve YYS sahipleri için belgenin sadece alınması değil, sürekli olarak uygulanması da denetlenir. Uygunsuzluk tespiti halinde yetki iptaline kadar varan yaptırımlar uygulanabilir.

Hayır. ISO 27001:2013 sertifikaları 31 Ekim 2025 tarihi itibarıyla geçerliliğini yitirmiştir. Bu tarihten önce ISO 27001:2022 geçiş denetimi yapılmamış belgeler EPDK, BTK, GİB ve Sanayi Bakanlığı gibi resmi kurumlar nezdinde geçersiz sayılmaktadır. Hâlâ 2013 versiyonuna sahipseniz geçiş denetimini bir an önce tamamlamanız gerekmektedir.

Rehber ISO 27001 sertifikasını doğrudan zorunlu kılmamaktadır; ancak getirdiği güvenlik gereklilikleri ISO 27001 çerçevesiyle büyük örtüşme göstermektedir. DDO’nun yayımladığı eşleştirme tablosu sayesinde ISO 27001 belgeli kurumlar BİGR uyum denetimlerini aynı süreçte yürütebilmektedir. Kritik altyapı kategorisindeki kamu işletmecileri için pratikte ISO 27001 olmaksızın BİGR uyumunu sağlamak son derece güçtür.

Doğrudan yasal zorunluluk yoktur; ancak SPK’nın 2025 tarihli tebliğleri (VII-128.10 ve III-35/B.1, III-35/B.2) kapsamlı bilgi sistemleri güvenliği yükümlülükleri getirmiştir. Tam zamanlı bilgi güvenliği sorumlusu, güvenli altyapı ve denetlenebilir süreçler zorunludur. Sektördeki firmaların büyük çoğunluğu bu gereklilikleri karşılamak için ISO 27001’i tercih etmektedir.

100 MW altındaki elektrik üretim tesisleri EPDK’nın elektrik lisans yönetmeliği kapsamında ISO 27001 zorunluluğundan muaf tutulmaktadır. Ancak bu muafiyet yalnızca üretim lisansları için geçerlidir: iletim, dağıtım ve piyasa işletim lisansı sahipleri kurulu güçten bağımsız olarak ISO 27001’e sahip olmak zorundadır. Ayrıca GİB entegratör, YYS, BTK veya Sanayi Bakanlığı kapsamına giriyorsanız bu muafiyet geçerli olmaz.

ISO 27001 belgelendirme sürecinizi başlatmak ister misiniz?

TÜRKAK akredite belgelendirme için uzman ekibimizle ücretsiz ön değerlendirme talep edin.