Türk Silahlı Kuvvetlerine ve yiğit mensuplarına…
1. Giriş
Halka açık şirketler için merakla beklenen siber güvenlik bildirim/raporlama kılavuzlarının yayınlanmasının ardından, yeni kuralların ayrıntıları ile ilgili sorular devam edebilir.
Amerika Birleşik Devletleri (ABD) Menkul Kıymetler ve Borsa Komisyonu (United States Securities and Exchange Commission-SEC), Temmuz ayında, siber güvenlik risk yönetimi, stratejisi, kurumsal yönetişimi ve halka açık şirketlerin olay raporlaması hakkında kamuya açıklama yapılmasını zorunlu kılan kurallarında uzun zamandır beklenen değişiklikleri kabul etti. SEC’in kural koyması, siber güvenlik risklerinin ve olaylarının kamuya ifşa edilmesine ilişkin SEC’in on yılı aşkın süredir rehberlik ve uygulama ilgisini sonlandırdı.
Bu yeni kamuyu aydınlatma kuralları, şirketlerin bu kritik alanda yeni şeffaflık ortamına hazırlanmak için siber güvenlikle ilgili kamuyu aydınlatma kontrollerini ve süreçlerini, yönetim süreçlerini ve kurumsal yönetişim yapılarını değerlendirmesini ve uyarlamasını gerektirecektir.
2. SEC’in siber güvenlik ile ilgili kamuyu aydınlatma yükümlülüklerinin arka planı
SEC, Mart 2022’de şunu önerdi: Önemli siber güvenlik olaylarının gerçek zamanlı olarak açıklanmasını ve siber güvenlik risk yönetimi, stratejisi ve kurumsal yönetişimine ilişkin açıklamaları zorunlu kılacak kurallarda değişiklikler yapılması. SEC, bu teklife yanıt olarak 150’den fazla görüş aldı. SEC’in kural koyma eylemi, SEC’in siber güvenlik konulu kamuyu aydınlatmaya ilişkin bir düzine yıllık rehberliğin yanı sıra SEC’in Uygulama Dairesi (Division of Enforcement) tarafından siber güvenlik konulu kamuyu aydınlatmaya odaklanmanın ardından geldi. 2011 yılında SEC’in Kurumsal Finansman Dairesi (Division of Corporation Finance), halka açık şirketlerin (public companies) siber güvenlik sorunları ile ilgili hangi açıklamaların yapılması gerektiğini değerlendirmesine yardımcı olmak için bir açıklama kılavuzu yayınladı ve 2018’de SEC, halka açık şirketlerin yatırımcıları önemli siber güvenlik riskleri ve olayları hakkında zamanında bilgilendirmesi gerektiğini belirten yorumlayıcı bir kılavuz yayınladı.
Son yıllarda SEC, önemli siber güvenlik olayları yaşayan halka açık şirketlere karşı, bu tür olaylarla ilgili açıklamaların yeterliliğine ve bu şirketlerin önemli siber güvenlik olaylarının zamanında kamuya açıklanmasını sağlamak için uygun açıklama kontrolleri ve prosedürlerine sahip olup olmadığına odaklanarak çeşitli yaptırım eylemleri başlattı.
3. Form 8-K’da siber güvenlik olaylarının güncel olarak raporlanması
SEC, Form 8-K’nın “Önemli Siber Güvenlik Olayları” (Material Cybersecurity Incidents) başlıklı yeni Madde 1.05’ini kabul etti. Form 8-K’nın 1.05(a) no.lu maddesi, bir şirketin, şirket tarafından önemli olduğu belirlenen bir siber güvenlik olayıyla karşılaşması durumunda, şirketin, olayın niteliği, kapsamı ve zamanlamasının önemli yönlerini ve finansal durumu ve faaliyet sonuçları da dâhil olmak üzere ihraççı üzerindeki önemli etkisini veya makul derecede olası önemli etkisini kamuya açıklaması gerektiğini belirtmektedir. Aşağıda açıklanan sınırlı istisnalara tabi olarak, bir olayın önemli olduğunun belirlenmesinden sonraki dört iş günü içinde Madde 1.05 Form 8-K’nin sunulması gerekir.
İlk istisna, müşterinin özel ağ bilgilerinin ihlali konusunda FCC’nin (Federal Communications Commission-Federal İletişim Komisyonu) bildirim kuralına tabi olan şirketler için geçerlidir. Bu şirketler, şirketin, Madde 1.05 Form 8-K’nin başka şekilde sunulmasının gerekli olduğu tarihten daha geç olmamak kaydıyla, EDGAR (Electronic Data Gathering, Analysis, and Retrieval system; Elektronik Veri Toplama, Analiz ve Alma sistemi) sistemi aracılığıyla gönderilen yazışmaları SEC’e bildirmesi koşuluyla, FCC bildirim kuralı kapsamında geçerli olan süre boyunca Madde 1.05’in gerektirdiği açıklamaları sağlamayı erteleyebilir ve şirket SEC’e bildirimde bulunduğu sürece hiçbir durumda bu hüküm kapsamında gerekli bildirimin yapılmasından sonraki yedi iş gününü geçemez.
İkinci istisna, ABD başsavcısının derhal kamuya ifşaatın ulusal güvenlik veya kamu güvenliği açısından önemli bir risk oluşturacağını belirlemesi ve bu kararı SEC’e yazılı olarak bildirmesi durumunda, bir şirketin Madde 1.05 Form 8-K’nin sunulmasını geciktirebileceği bir süreci kapsar. Bu, 8-K Formunun doldurulmasında 90 güne kadar potansiyel bir gecikmeye izin verir ve eğer başsavcı daha fazla gecikmenin gerekli olduğunu belirtirse, SEC ilave gecikme taleplerini dikkate alacak ve muafiyetli emirler yoluyla yardım sağlayabilir. SEC, son değişikliklerde daha geniş bir yasa uygulama istisnası veya diğer federal yasa veya düzenlemelere ilişkin istisnalar sağlamamıştır.
SEC, Madde 1.05 Form 8-K’nin zamansız olarak sunulmasının S-3 Formu uygunluğunun kaybına yol açmayacağı şekilde değişiklikleri kabul etmiştir. Madde 1.05 ayrıca, değiştirildiği şekliyle 1934 tarihli Menkul Kıymetler Borsası Kanunu kapsamında madde 10(b) veya Kural 10b-5 uyarınca sorumluluktan sınırlı güvenli limana uygun Form 8-K öğeleri listesine de dâhil edilmiştir.
Form 8-K Madde 1.05(a)’da istenen bilgilerin gerekli başvuru sırasında belirlenmemiş veya mevcut olmaması durumunda; şirket, başvuruya bu yönde bir beyan eklemeli ve daha sonra, şirketin bu tür bilgileri makul olmayan bir gecikme olmaksızın belirlemesinden sonraki dört iş günü içinde veya bu tür bilgilerin elde edilmesinden sonraki dört iş günü içinde bu tür bilgileri içeren Form 8-K’da bir değişiklik sunmalıdır.
4. Siber güvenlik risk yönetimi, stratejisi ve kurumsal yönetişimine ilişkin periyodik açıklamalar
Yeni “Madde 1C. Form 10-K’nın I. Bölümünde yer alan “Siber Güvenlik” uyarınca şirketlerin, SK Düzenlemesinin yeni 106. maddesi uyarınca şirketin siber güvenlik risk yönetimi, stratejisi ve kurumsal yönetişimine ilişkin bilgileri kamuya açıklaması gerekli olacaktır.
SK Yönetmeliğinin 106(b) no.lu maddesi, bir şirketin, siber güvenlik tehditlerinden kaynaklanan önemli riskleri değerlendirmeye, tanımlamaya ve yönetmeye yönelik süreçlerini (varsa) makul bir yatırımcının bu süreçleri anlayabilmesi için yeterli ayrıntıyla tanımlaması gerektiğini söylüyor. Bir şirket, bu açıklamaları sunarken, uygun olduğu şekilde, aşağıdaki münhasır olmayan kamuyu aydınlatma öğeleri listesini ele almalıdır:
- Bu tür süreçlerin şirketin genel risk yönetimi sistemi veya süreçlerine entegre edilip edilmediği ve nasıl entegre edildiği.
- Şirketin bu tür süreçlerle bağlantılı olarak değerlendiriciler, danışmanlar, bağımsız denetçiler veya diğer üçüncü tarafları görevlendirip görevlendirmediği.
- Şirketin, herhangi bir üçüncü taraf hizmet sağlayıcısının kullanımı ile ilişkili siber güvenlik tehditlerinden kaynaklanan bu tür riskleri denetleyecek ve tanımlayacak süreçleri olup olmadığı.
Bir şirket ayrıca, daha önceki siber güvenlik olaylarının sonucu da dâhil olmak üzere siber güvenlik tehditlerinden kaynaklanan herhangi bir riskin, iş stratejisi, faaliyet sonuçları veya finansal durumu da dâhil olmak üzere şirketi önemli olarak etkileyip etkilemediğini veya makul ölçüde önemli ölçüde etkileme ihtimalinin olup olmadığını ve eğer varsa bunu da kamuya açıklamalıdır.
SK Yönetmeliğinin 106(c) no.lu maddesi, bir şirketin yönetim kurulunun siber güvenlik tehditlerinden kaynaklanan risklere ilişkin gözetimini kamuya açıklamasını gerektirmektedir. Mümkünse, bir şirket, siber güvenlik tehditlerinden kaynaklanan risklerin gözetiminden sorumlu herhangi bir yönetim kurulu komitesini veya alt komitesini tanımlamalı ve yönetim kurulu veya yönetim kurulu komitesinin bu tür riskler hakkında bilgilendirildiği süreçleri kamuya açıklamalıdır.
Bir şirket ayrıca, ihraççının siber güvenlik tehditlerinden kaynaklanan önemli risklerinin değerlendirilmesi ve yönetilmesinde yönetimin rolünü de tanımlamalıdır. Bu tür bir açıklamayı sunarken, bir şirket uygun olduğu şekilde aşağıdaki münhasır olmayan açıklama öğeleri listesini ele almalıdır:
- Bu tür risklerin değerlendirilmesinden ve yönetilmesinden hangi yönetim pozisyonlarının veya komitelerin sorumlu olup olmadığı ve bu kişi veya üyelerin ilgili uzmanlığı, uzmanlığın doğasını tam olarak açıklamak için gereken kadar ayrıntılı.
- Bu kişilerin veya komitelerin siber güvenlik olaylarının önlenmesi, tespit edilmesi, hafifletilmesi ve iyileştirilmesi konusunda bilgilendirildiği ve izlendiği süreçler.
- Bu kişilerin veya komitelerin bu tür risklere ilişkin bilgileri yönetim kuruluna, bir komiteye veya yönetim kurulu alt komitesine rapor edip etmediği.
Yönetimin ilgili uzmanlığı, örneğin siber güvenlik alanında önceki iş deneyimini, ilgili dereceleri veya sertifikaları ve siber güvenlikle ilgili her türlü bilgi, beceri veya diğer geçmişi içerebilir.
5. Uygulanabilir tanımlar
SEC, SK Yönetmeliğinin 106. maddesinde ve Form 8-K’nın 1.05. maddesinde kullanıldığı şekliyle “siber güvenlik olayı”, “siber güvenlik tehdidi” ve “bilgi sistemleri” kavramlarını tanımlamak için SK Yönetmeliğinin 106(a) no.lu maddesini kabul etti; şöyle ki:
- “Siber güvenlik olayı” (cybersecurity incident), bir şirketin bilgi sistemleri üzerinde veya bunlar aracılığıyla gerçekleştirilen, bir şirketin bilgi sistemlerinin veya burada bulunan herhangi bir bilginin gizliliğini, bütünlüğünü veya kullanılabilirliğini tehlikeye atan yetkisiz bir olay veya bir dizi ilgili yetkisiz olay anlamına gelir.
- “Siber güvenlik tehdidi” (cybersecurity threat), bir şirketin bilgi sistemleri üzerinde veya bunlar aracılığıyla gerçekleştirilen, bir şirketin bilgi sistemlerinin veya burada bulunan herhangi bir bilginin gizliliği, bütünlüğü veya kullanılabilirliği üzerinde olumsuz etkilere neden olabilecek herhangi bir potansiyel yetkisiz olay anlamına gelir.
- “Bilgi sistemleri” (information systems) ise, şirketin sahip olduğu veya kullandığı, bu tür bilgi kaynakları veya bileşenleri tarafından kontrol edilen fiziksel veya sanal altyapı da dâhil olmak üzere, şirketin faaliyetlerini sürdürmek veya desteklemek amacıyla şirketin bilgilerinin toplanması, işlenmesi, bakımı, kullanımı, paylaşılması, dağıtılması veya elden çıkarılması için düzenlenen elektronik bilgi kaynakları anlamına gelir.
6. Yabancı özel ihraççılara yönelik gereksinimler
Yabancı özel ihraççıların güncel raporları Form 8-K’da sunmaları zorunlu değildir, bunun yerine yabancı özel ihraççının aşağıdaki tüm bilgilerin Form 6-K kopyalarını sunması gerekir:
(i) Kurulduğu yerin kanunları uyarınca kamuya açık hale getirmesi veya bunu yapmasının zorunlu olması;
(ii) Herhangi bir borsanın kuralları uyarınca bildirimin zorunlu olması veya
(iii) Başka şekilde menkul kıymet sahiplerine dağıtması.
SEC ayrıca Form 6-K’deki Genel Talimat B’yi, Form 6-K’de güncel bir raporu tetikleyebilecek öğeler arasında önemli siber güvenlik olaylarına atıfta bulunacak şekilde değiştirmiştir. SEC, Form 20-F’yi, yabancı bir özel ihraççının Form 20-F’deki yıllık raporuna, SK Yönetmeliğinin 106. maddesi uyarınca SEC’in gerektirdiği aynı türdeki açıklamaları dâhil etmesini gerektiren Madde 16K’yı eklemek üzere değiştirmiştir.
7. Uyum takvimi
Nihai kurallar 5 Eylül’de (2023) yürürlüğe girdi. SK Düzenlemesinin 106. maddesi ve Form 20-F’nin 16K no.lu maddesi ile ilgili olarak, tüm şirketlerin 15 Aralık 2023 veya sonrasında sona eren mali yıllara ilişkin yıllık raporlardan başlayarak gerekli açıklamaları sağlaması gerekmektedir.
Form 8-K’nın 1.05. no.lu maddesi ve Form 6-K’daki olay açıklama yükümlülüklerine uyum açısından, daha küçük şirketler dışındaki tüm şirketlerin 18 Aralık 2023 tarihinden itibaren uymaya başlaması gerekir. Daha küçük şirketlerin 15 Haziran 2024 tarihine kadar yeni Form 8-K Madde 1.05’e uymaya başlamaları gerekir.
Yapılandırılmış veri yükümlülüklerine uyum açısından, tüm şirketlerin nihai kurallar kapsamında gerekli olan açıklamaları ilk uyum tarihinden bir yıl sonra ‘Inline XBRL’de etiketlemesi gerekir. Sonuç olarak;
(i) SK Düzenlemesinin 106. maddesi ve Form 20-F’nin 16K no.lu maddesi için, tüm şirketler, 15 Aralık 2024 veya sonrasında sona eren mali yıllara ait yıllık raporlardan başlayarak ‘Inline XBRL’deki duyarlı açıklamaları ve
(ii) Form 8-K ve Form 6-K’nın 1.05. no.lu maddesi için tüm şirketlerin, 18 Aralık 2024 tarihinden itibaren ‘Inline XBRL’de yanıt veren açıklamaları
etiketlemeye başlamaları gerekmektedir.
8. Yükümlülüklere hazırlık
SEC’in siber güvenlik risk yönetimi, stratejisi, kurumsal yönetişimi ve olay raporlamasına ilişkin açıklamaları gerektiren nihai kuralları, halka açık şirketleri aşağıdakileri yapmaya teşvik etmelidir:
- Olay müdahale politika ve süreçlerinin, olayları kurumsal liderliğe ve/veya bir açıklama komitesine iletmek için açık bir yol sağladığından ve bir olayın şirket üzerinde yaratabileceği etkiyi ayırt etmek için açıklama kontrolleri ve prosedürlerinin mevcut olduğundan emin olunmalıdır.
- Bir olayın SEC kuralları uyarınca açıklanması gerekip gerekmediğine ilişkin kararların zamanında tamamlanabilmesi için, olayın ortaya çıkmasından sonra makul olmayan bir gecikme olmaksızın bir önemlilik değerlendirmesinin yapılmasına yönelik çerçevenin oluşturulması gerekir.
- Önemli siber güvenlik olaylarının raporlanmasını kolaylaştırmak için, olayın niteliği, kapsamı ve zamanlaması ile olayın şirketin finansal durumu ve faaliyet sonuçları da dâhil olmak üzere şirket üzerindeki etkisi veya makul derecede olası etkisi de dâhil olmak üzere kamuyu aydınlatma kontrollerini ve prosedürlerini değiştirmek veya oluşturmak Form 8-K’nin yeni Madde 1.05’inde öngörülen dört iş günlük sürenin yanı sıra, Form 8-K’nin ilk başvurusu sırasında belirlenmemiş veya mevcut olmayan tüm bilgilerin sağlanması gerekir.
Siber güvenlik tehditlerinden kaynaklanan önemli risklerin değerlendirilmesi, tanımlanması ve yönetilmesine yönelik şirketin süreçlerine ilişkin şirketin yıllık raporunda yeni açıklamaların hazırlanması; siber güvenlik tehditlerinden kaynaklanan risklerin iş stratejilerini, faaliyet sonuçlarını veya mali durumlarını önemli ölçüde etkileyip etkilemediği veya önemli oranda etkileme ihtimalinin makul olup olmadığının; yönetim kurulunun siber güvenlik tehditlerinden kaynaklanan riskleri gözetimi ve siber güvenlik tehditlerinden kaynaklanan önemli risklerin değerlendirilmesi ve yönetilmesinde yönetimin rolünün belirlenmesi gerekir.
Yavuz Akbulak
1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan ‘Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
• Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
• Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
• Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte),
• Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve
• Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte)
başlıklı kitapları yayımlanmıştır.
• Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003),
• Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004)
ile
• Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II;
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021);
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021);
• Sosyal Bilimlerde Güncel Gelişmeler (2021);
• Ticari İşletme Hukuku Fasikülü (2022);
• Ticari Mevzuat Notları (2022);
• Bilimsel Araştırmalar (2022);
• Hukuki İncelemeler (2023);
• Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024);
• Hukuka Giriş (2024);
• İşletme, Pazarlama ve Hukuk Yazıları (2024),
• İnterdisipliner Çalışmalar (e-Kitap, 2025)
başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 3 bini aşkın Telif Makale ve Telif Yazı ile tamamı İngilizceden olmak üzere Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak ve çalışkanlık vazgeçilmez ilkeleridir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.