Kritik Alt Yapı Sektörleri ve Kargo Sektörü İçin İç Denetim Faaliyeti Yönünden Bir Değerlendirme...
15.06.2026
1. Giriş
Kritik altyapı kavramı yapılan hukuki düzenlemeler ile birlikte günümüzde giderek ön plana çıkmaktadır. Bu nedenle, bu yazıda öncelikle kritik altyapı kavramı ile ilgili hukuki düzenlemelere yer vermek, bu kapsamdaki sektörleri belirtmek, dünyada hangi sektörlerin bu kapsamda olduğuna örnek ülkeler bazında değinmek ve son olarak, kargo sektöründeki şirketler özelinde önümüzdeki dönemde iç denetim faaliyetleri ile ilgili olarak hangi konuların gündeme alınmasında fayda olabileceği hususunda bir değerlendirmede bulunmak amaçlanmıştır.
2. Kritik Altyapı Kavramı
19.03.2025 tarihli ve 32846 Sayılı Resmi Gazetede yayımlanan 7545 Sayılı Siber Güvenlik Kanunu [1] “İşlediği bilginin/verinin gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda can kaybına, büyük ölçekli ekonomik zarara ve güvenlik açıklarına veya kamu düzeninin bozulmasına yol açabilecek bilişim sistemlerini barındıran altyapıları” kritik alt yapı olarak tanımlamaktadır.
3. Kritik Altyapı Sektörleri
Siber Güvenlik Kurulu’nun 05.05.2026 tarihli toplantısında kritik alt yapı sektörlerinin; “dijital altyapılar, dijital hizmetler, elektronik haberleşme, enerji, finans, gıda ve tarım, imalat sanayi, kamu hizmetleri, medya ve kriz iletişimi, posta ve kargo, sağlık, savunma sanayii, su yönetimi, ulaştırma, uzay alanları” [2] şeklinde belirlendiği görülmektedir
7545 Sayılı Kanunun 9. Maddesinin (ç) fıkrasında kritik altyapı sektörlerini belirlemek, Siber Güvenlik Kurulu’nun görevleri arasında sayılmıştır.
4. Kritik Altyapı ile İlgili Bazı Kavramlar
7545 Sayılı Kanun’un içeriğinde geçen ve yalnızca aşağıda değinilenler ile sınırlı kalınmamış birçok kavram bulunmaktadır.
Bu kavramların bazılarından bahsetmek gerekirse:
Siber olay: “Bilişim sistemlerinin veya verinin gizlilik, bütünlük veya erişilebilirliğinin ihlal edilmesini” ifade etmektedir.
Siber uzay: “Doğrudan ya da dolaylı olarak internete, elektronik haberleşme veya bilgisayar ağlarına bağlı olan tüm bilişim sistemlerini ve bunları birbirine bağlayan ağlardan oluşan ortamı” ifade etmektedir.
SOME: “Siber olaylara müdahale ekibini” ifade etmektedir.
Zafiyet: “Siber uzayda yer alan varlıkların herhangi bir siber tehdit tarafından istismar edilebilecek zayıflık ve güvenlik açıklarını” ifade etmektedir.
5. Kanunda Yer Verilmiş İlkelerden Bazıları
7545 Sayılı Kanunun 4. Maddesinde “Temel İlkeler” başlığına yer verilmiş olup, buradan bazı ilkelere değinmek gerekirse:
Siber güvenliğin milli güvenliğin ayrılmaz bir parçası olması,
Kritik altyapı ve bilişim sistemlerinin korunması ile güvenli bir siber uzay oluşturulmasının temel hedef oluşu,
Siber güvenlikle ilgili çalışmaların kurumsallık, süreklilik ve sürdürülebilirlik temelli yürütüldüğü,
Siber güvenliğin sağlanmasında yerli ve milli ürünlerin tercih edilmesi,
Siber güvenlik süreçlerinin yürütülmesinde hesap verebilirliğin esas olduğu.
6. Kanunda Değinilen Hususlardan Bazıları:
“Kamu kurum ve kuruluşları ile kritik altyapıların veri envanteri dâhil olmak üzere tüm varlıklarının envanterinin tutulmasını ve varlıklara yönelik risk analizinin gerçekleştirilmesini sağlamak, kamu kurum ve kuruluşları ile kritik altyapıların sahip olduğu varlıkların kritikliğine göre güvenlik tedbirlerini almak veya aldırmak” (Madde 5/ç, Başkanlığın Görevleri)
“SOME’ler kurmak, kurdurmak ve denetlemek…” (Madde 5/d, Başkanlığın Görevleri)
“Siber güvenlik alanına ilişkin standartları hazırlamak, diğer kişi veya kuruluşlarca hazırlanan standartları tetkik etmek, bunlar hakkında mütalaa vermek, uygun bulduğu takdirde standart olarak kabul etmek, bunları yayımlamak ve uygulanmalarını takip etmek” (Madde 5/g, Başkanlığın Görevleri),
“Siber güvenlik alanına ilişkin yazılım, donanım, ürün, sistem ve hizmetlere yönelik test ve sertifikasyon işlemlerini yürütmek, buna yönelik test altyapıları kurmak, kurdurmak ve işletmek ile siber güvenlik uzmanları ve şirketlerine yönelik sertifikasyon, yetkilendirme ve belgelendirme işlemlerini ilgili kurumlarla koordineli olarak yürütmek” (Madde 5/ğ, Başkanlığın Görevleri),
“Kamu kurum ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik ürün ve hizmetleri ile bunları sağlayacak işletmelerin taşıması gereken niteliklere yönelik teknik kriterler belirlemek ve mevzuat düzenlemeleri yapmak, bunların denetimini yapmak ya da yaptırmak, denetimleri yapacak kuruluşların taşımaları gereken nitelikleri belirlemek, bu kuruluşları görevlendirmek, gerektiğinde görevlendirmeyi geçici olarak durdurmak ya da iptal etmek” (Madde 5/ı, Başkanlığın Görevleri),
“Bu Kanun kapsamındakilerden, yürüttüğü faaliyetlerle sınırlı olmak üzere bilgi, belge, veri ve kayıtları alabilir ve değerlendirmesini yapabilir…” (Madde 6/ç, Yetkiler),
“Bilişim sistemlerindeki log kayıtlarını bünyesinde toplayabilir, saklayabilir, değerlendirebilir…” (Madde 6/d, Yetkiler)
“Siber güvenlik denetimi gerçekleştiren bağımsız denetçiler ve bağımsız denetim kuruluşlarını yetkilendirebilir, yetkisini süreli veya süresiz iptal edebilir”. (Madde 6/ğ, Yetkiler)
“Kamu kurum ve kuruluşları ile kritik altyapıların bilişim sistemlerinde kullanılacak ve siber güvenliğe etkisi olan yazılım, donanım, ürün ve hizmetlere dair kriterler ile Başkanlığa yapılacak bildirimlere ilişkin usul ve esasları belirler.” (Madde 6/h, Yetkiler)
“Siber güvenlik yazılım, donanım, ürün ve hizmetlerinin asgari güvenlik kriterlerini belirler. Bunları sağlayacak veya tedarik edecek gerçek ve tüzel kişilere yönelik sertifikasyon, yetkilendirme ve belgelendirme süreçlerini yönetir…” (Madde 6/ı, Yetkiler)
“Başkanlığın görev ve faaliyetleri kapsamında talep ettiği her türlü veri, bilgi, belge, donanım, yazılım ve diğer her türlü katkıyı öncelikle ve zamanında Başkanlığa iletmek” (Madde 7/a, Sorumluluklar ve İş Birliği)
“Siber güvenliğe yönelik olarak milli güvenlik, kamu düzeni veya kamu hizmetinin gereği gibi yürütülmesi amacıyla mevzuatın öngördüğü tedbirleri almak, hizmet sundukları alanda tespit ettikleri zafiyet veya siber olayları gecikmeksizin Başkanlığa bildirmek”(Madde 7/b, Sorumluluklar ve İş Birliği)
“Kamu kurumları ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik ürün, sistem ve hizmetleri Başkanlık tarafından yetkilendirilmiş ve belgelendirilmiş siber güvenlik uzmanlarından, üreticilerden veya şirketlerden tedarik etmek” (Madde 7/c, Sorumluluklar ve İş Birliği)
“Sertifikasyon, yetkilendirme ve belgelendirmeye tabi siber güvenlik şirketlerince faaliyete başlamadan önce mevcut düzenlemeler çerçevesinde Başkanlığın onayını almak” (Madde 7/ç, Sorumluluklar ve İş Birliği)
“Başkanlık, bu Kanunda belirtilen görevleri ile ilgili olarak gerekli gördüğü hallerde Kanunun kapsamına giren her türlü fiil ve işlemi denetleyebilir; bu amaçla mahallinde inceleme yapabilir veya yaptırabilir. Denetim, bu Kanun kapsamındaki kurum, kuruluş ve ilgili diğer gerçek ve tüzel kişilerin bu Kanun hükümleriyle ilgili faaliyet ve işlemlerini kapsar” (Madde 8/1, Denetim)
7. Dünyada Kritik Altyapı Sektörleri Neler?
“Türkiye’de Afet Yönetimi Bağlamında Kritik Altyapı Kavramı” başlıklı makalelerinde
Tanrıverdi, Kurada, Şen ve Demirkol Kılıç; AB, ABD, İngiltere, Avustralya, Almanya, Japonya ve Ülkemiz örneğinde kritik alt yapı sektörlerini karşılaştırmışlardır. Bu çalışmada da görüleceği üzere; enerji, ulaşım, sağlık, iletişim, finans sektörleri ile su ve barajlar, tüm ülkelerde kritik altyapı sektörü olarak belirlenmiştir.
8. Kargo Sektörü İçin Bazı Çıkarımlar
Bu başlık altında, yukarıda bahsedilen hususları, “iç denetim faaliyeti çerçevesinde hangi hususlar kontrol edilebilir?” sorusu ile değerlendirdiğimizde ulaştığımız şahsi yorumlara yer verilmiştir.
Elbette hepsi bunlar olmamakla birlikte, kargo sektöründeki kuruluşların iç denetim ekiplerinin, önümüzdeki dönemde şu hususları kontrol gündemlerine alma noktasında değerlendirmede bulunmaları faydalı olabilir:
Kurum içinde Kurul düzenlemeleriyle uyumlu bir Siber Güvenlik Politikası ve Prosedürü belirlendiğinin değerlendirilmesi,
Bu politikadaki hususların ilgili personele etkin bir şekilde (konuya hakim olacak şekilde) aktarılıp aktarılmadığının kontrol edilmesi,
Politika ve prosedürün Kurul’un yapacağı düzenlemelere uygun şekilde zamanlıca revize edilip edilmediğinin kontrolü,
BT altyapısı ile ilgili hizmet alınacak ise Kurul tarafından yetkilendirilmiş kuruluşlardan hizmet alındığının kontrolü,
Geçmişte yapılan BT denetimleri varsa, açıkta kalan aksiyonların olup olmadığı ve bunların sıkı periyotlarda takip denetimine konu edilmesi,
Şirket içinde kullanılan güncel bir yazılım, donanım ve veri envanterinin bulunduğunun (şube – transfer merkezleri – bölge müdürlükleri ve genel merkezler kapsamında) değerlendirmesi,
Birim/bölüm ve saha denetimlerinde, iç prosedürlere uyum sağlandığına dair bir kanaat ortaya koyma amacıyla bazı BT kontrollerine yönelik testlere, (denetim ekibinin uzmanlığını da göz önünde bulundurarak) denetim görevleri arasında yer verilmesinin değerlendirilmesi,
(Güncel hukuki düzenlemeler ışığında güncellenecek iç Siber Güvenlik Politika ve Prosedürü uyarınca kontrol testleri belirlenerek )
Kurum içinde Siber Güvenlik Kurulu ile koordineli çalışacak ve/veya Kurulun yayımladığı hususları takip etmekle yükümlü olacak kişi/kişilerin görevlendirmelerinin yapıldığının değerlendirmesi,
Özellikle donanım temininde yetkilendirilmiş tedarikçilerin yanı sıra yetkilendirilmiş milli üreticilerin satınalma süreçlerinde değerlendirmeye alınıp alınmadığının kontrolü,
Kurum içinde; Acil Durum Planlaması, Kriz Yönetimi ve Toparlanma – İyileştirme sac ayağı üzerine kurulu bulunan bir iş sürekliliği planının[3] varlığının ve kapsamının değerlendirmesi (ek bir husus olarak),
Risk değerlendirme faaliyetleri içinde siber güvenlik ile ilgili hususların ne ölçüde bulunduğunun değerlendirilmesi,
Yukarıdakiler ile sınırlı kalmayarak, Kurul’un zaman içinde yayımladığı hususlara uyum sağlama ile ilgili başlıkların denetim kapsamına alınması ve önceliklendirilmesi.
Burada belirtilen hususlar, şirketlerin iç denetim bölümleri tarafından şirket içinde yürütülecek bir “şirket içi denetim faaliyeti” kapsamındadır.
Bu iç denetim faaliyetinin başarısı için şirket içinde Kurul ile iletişimde olacak kişi ya da ekibin, Kurulun yayımladığı güncel bilgi ve düzenlemeleri şirket içinde hızlı şekilde iletimi önem taşıyacaktır.
Saygılarımızla.
KAYNAKÇA
[1] 7574 Sayılı Siber Güvenlik Kanunu, Kabul Tarihi: 13.03.2025, Yayımlandığı Tarih: 19.03.2025, 32846 Sayılı Resmi Gazete
https://mevzuat.gov.tr/mevzuat?MevzuatNo=7545&MevzuatTur=1&MevzuatTertip=5, Erişim Tarihi: 13.06.2026.
[2] Bknz. Siber Güvenlik Başkanlığı Websitesi, Haberler Bölümü, https://siberguvenlik.gov.tr/haberler/detay/siber_guvenlik_kurulu_toplandi Erişim Tarihi: 13.06.2026.
[3] Dr. Selim YAZICI, İş Sürekliliği Yönetimi: Stratejik Bir Değerlendirme, Türkmen Kitabevi, İstanbul 2013, s.59.