Giriş

Türkiye’de internet erişimi, barındırma ve veri merkezi hizmetleri sağlayan tüm işletmeler, Bilgi Teknolojileri ve İletişim Kurumu (BTK) tarafından belirlenen yasal düzenlemelere tabidir.
BTK, 5651 sayılı Kanun ve ilgili yönetmelikler kapsamında bu işletmelerin teknik, idari ve kayıt tutma yükümlülüklerini denetler.

Bu yazıda, yer sağlayıcı, erişim sağlayıcı ve internet servis sağlayıcıların (ISS) uyması gereken temel yükümlülükleri ve denetim süreçlerini açıklıyoruz.

---

5651 Sayılı Kanun Nedir?

5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi Kanunu, internet ortamında yapılan yayınların içerik, yer ve erişim sağlayıcılarını tanımlar.
Amaç:

• İnternet üzerinden işlenen suçların izlenebilmesi,
• Trafik kayıtlarının yasal süreyle saklanması,
• Kullanıcı kimlik bilgilerinin korunması ve denetlenmesi.

BTK, bu kanun kapsamında denetim ve lisanslama yetkisine sahiptir.

---

Yer Sağlayıcı Nedir?

Yer sağlayıcı, internet ortamında yayınlanan içerikleri barındıran sistemleri sağlayan veya işleten gerçek veya tüzel kişilerdir.

Örneğin:

• Web hosting firmaları,
• Veri merkezi işletmecileri,
• Bulut platformları.

Yer sağlayıcıların yükümlülükleri:

• Sunucu barındırma hizmeti alan müşterilerin trafik kayıtlarını 1 yıldan az, 2 yıldan fazla olmamak üzere saklamak,
• Bu kayıtları güvenli biçimde tutmak ve BTK talep ettiğinde ibraz etmek,
• Müşteri verilerini KVKK kapsamında korumak,
• Log kayıtlarının zaman damgalı, değiştirilemez formatta tutulmasını sağlamak.

Bu yükümlülükler, hem BTK hem de KVKK açısından denetime tabidir.

---

Erişim Sağlayıcı Nedir?

Erişim sağlayıcı, kullanıcıların internete erişimini sağlayan işletmelerdir.
Bu kapsama ISS’ler (Internet Servis Sağlayıcılar), kampüs ağları ve bazı özel altyapı işletmeleri dahildir.

Erişim sağlayıcı yükümlülükleri:

• İnternet trafiğine ilişkin log kayıtlarını 2 yıl süreyle saklamak,
• Erişim Sağlayıcıları Birliği (ESB) kararlarını uygulamak (ör. erişim engelleme talepleri),
• BTK sistemlerine düzenli raporlama yapmak,
• USOM (Ulusal Siber Olaylara Müdahale Merkezi) ve SOME ekipleriyle koordinasyon sağlamak.

Erişim sağlayıcılar için kayıt tutma altyapısının BTK teknik kriterlerine uygun olması zorunludur.

---

İnternet Servis Sağlayıcı (ISS) Nedir?

ISS, kullanıcılara internet erişimi sağlayan ve BTK tarafından yetkilendirilmiş firmalardır.
Bu firmalar, “Erişim Sağlama Yetkilendirmesi” veya “Altyapı İşletmeciliği” lisansları ile faaliyet gösterir.

ISS’lerin dikkat etmesi gerekenler:

• BTK Cevher sistemi üzerinden lisans bildirimlerinin yapılması,
• Abone kimlik bilgileri ve trafik kayıtlarının mevzuata uygun biçimde saklanması,
• SOME yapısının oluşturulması ve USOM entegrasyonu,
• Kurum içi denetim ve veri güvenliği süreçlerinin ISO/IEC 27001 temelli yürütülmesi.

---

USOM, SOME ve SİP Platformu

BTK tarafından tanımlanan her erişim veya yer sağlayıcı, bir Siber Olaylara Müdahale Ekibi (SOME) kurmak zorundadır.
Bu ekip, USOM (Ulusal Siber Olaylara Müdahale Merkezi) ile koordineli çalışır.

Zafiyetler, oltalama girişimleri veya saldırılar SİP (Siber İhlal Paylaşım) Platformu üzerinden bildirilir.
Bu bildirim mekanizması sayesinde hem kurumlar hem de BTK hızlı önlem alabilir.

USOM kayıtlı SOME ekipleri, kurumun ulusal siber güvenlik ekosistemine dahil olmasını sağlar.

---

BTK Denetimlerinde Dikkat Edilmesi Gerekenler

BTK denetimleri genellikle üç aşamalıdır:

1. Doküman İncelemesi: Trafik kayıt politikası, log arşiv planı, erişim yetkileri.
2. Teknik Kontroller: Log tutma sistemlerinin zaman damgalı ve bütünlük kontrolü sağlanıyor mu?
3. Saha Denetimi: Veri merkezinde sistemlerin fiziksel güvenliği, erişim logları, yedekleme planları.

Denetim sonuçları, uyum puanı ve düzeltici faaliyet raporları şeklinde geri bildirilir.

---

ISO 27001 ile Uyumun Önemi

BTK denetimlerinde ISO/IEC 27001 standardına göre yönetilen süreçler ciddi avantaj sağlar.
Çünkü bu standart:

• Log yönetimi,
• Erişim kontrolü,
• İş sürekliliği,
• Risk yönetimi gibi konularda uluslararası düzeyde uyum sağlar.

BTK uyumu için ISO 27001 altyapısına sahip olmak, denetimlerde kurumu güçlü kılar.

---

Sonuç

BTK mevzuatı, sadece yasal bir zorunluluk değil; aynı zamanda bilgi güvenliği kültürünün bir göstergesidir.
Yer sağlayıcı, erişim sağlayıcı ve ISS’lerin hem BTK hem KVKK hem de BİG-RE standartlarına uygun çalışması;
kurumun itibarını ve operasyonel güvenilirliğini güçlendirir.

💬 BTK denetimlerine hazırlık, log yönetimi, USOM–SOME süreçleri ve mevzuat uyumu danışmanlığı için bizimle iletişime geçebilirsiniz.

---

İlgili Yazılar

• Bilgi ve İletişim Güvenliği Rehberi (BİG-RE) Nedir, Kimleri Kapsar?
• USOM Bildirimleri Nedir, SİP Platformu Nasıl Kullanılır?
• ISO/IEC 27001:2022 Nedir, Kurumlar İçin Neden Zorunlu Hale Geldi?

---

#BTK #YerSağlayıcı #ErişimSağlayıcı #ISS #USOM #SOME #SİPPlatformu #5651 #VeriMerkezi #ISO27001 #BilgiGüvenliği