15.09.2025

Küresel İşletmeler İçin BT Egemenliği Neden Stratejik Bir Zorunluluktur (1. Bölüm)

Birçok uluslararası işletme için, BT egemenliği konusundaki tartışmalar genellikle uyum departmanında başlar. Ancak egemenlik, düzenleyici kökenlerini aşarak işin hayatta kalmasıyla ilgili bir mesele haline gelmiştir. Kritik veriler, uygulamalar ve sistemler kontrolünüz dışındaki yasalar veya otoriteler tarafından yönetildiğinde, tüm kuruluşun dayanıklılığı tehlikeye girer.

Serinin bu ilk bölümünde, BT egemenliğinin katmanları incelenmekte ve küresel şirketler için pratik rehberlik sunulmaktadır. Gelecek yazılarda, fiziksel altyapı ve veri merkezi stratejisi, bulut dağıtım modelleri, yapay zeka yönetişimi, siber güvenlik, ağ bağımlılıkları, düzenleyici çerçeveler ve şirketlerin kabul edilebilir yabancı bağımlılıklar hakkında alması gereken stratejik kararlar ele alınacaktır.

BT Egemenliğinin Gerçek Anlamı

BT egemenliği, gizlilik kurallarına uymaktan daha fazlasını ifade eder. Dijital varlıkların (veri, altyapı veya süreçler) dışarıdan dayatılan değil, sizin seçtiğiniz yargı yetkisi ve korumalar altında yönetildiğinin garantisidir. Bu, bilgilerin nerede depolandığını bilmekle kalmaz, aynı zamanda altyapıyı kimin işlettiğini, satıcılara hangi yasal çerçevelerin uygulandığını ve operasyonların ani siyasi veya yasal aksaklıklara dayanıp dayanamayacağını da bilmek anlamına gelir.

Basitçe söylemek gerekirse, egemenlik izolasyon değildir. Üçüncü taraflara ne kadar güvenilebileceğine ve kontrolün nerede kesinlikle kendi elinizde kalması gerektiğine karar verme özgürlüğüdür. AB terimleriyle, bu kavram basit veri yerelleştirmeden daha geniş bir kavram olan dijital egemenlik veya teknolojik egemenlik olarak tanımlanır.

Jeopolitik Boyut

Küresel işletmeler, ABD merkezli bulut sağlayıcılarına, yabancı ülkelerde üretilen donanıma ve çok uluslu telekom ağlarına büyük ölçüde bağımlıdır. Bu karşılıklı bağlantı verimliliği sağlar, ancak aynı zamanda güvenlik açıkları da yaratır.

Örnek olarak ABD CLOUD Yasası'nı ele alalım. Bu yasa, veriler yurtdışında depolanmış olsa bile Amerikan sağlayıcıların geçerli yasal emirlere uymasını gerektirir. Sağlayıcılar, yabancı yasalarla çelişen taleplere itiraz edebilir, ancak nihayetinde sunucuların fiziksel konumu değil, satıcının yargı yetkisi daha önemlidir.

CLOUD Yasası'nın ötesinde, işletmeler ayrıca FISA §702 (Nisan 2024'te yeniden onaylanmış ve 20 Nisan 2026'ya kadar uzatılmış) ve Birleşik Krallık Soruşturma Yetkileri (Değişiklik) Yasası 2024'ü de dikkate almalıdır. İkincisi, 2016 Yasası'nın hükümlerini genişleterek Teknik Yetenek Bildirimlerinin sınır ötesi uygulanmasına izin vermektedir.

Avrupa tarafında, AB-ABD Veri Gizliliği Çerçevesi (DPF) 10 Temmuz 2023'ten beri yürürlüktedir. Sertifikalı ABD şirketleri için veri aktarımını kolaylaştırsa da, sürekli yasal incelemeye tabidir. AB Genel Mahkemesi 3 Eylül 2025'te çerçeveyi onayladı, ancak Avrupa Birliği Adalet Divanı'na temyiz başvurusu yapmak hala mümkündür. Diğer tüm durumlarda, Standart Sözleşme Maddeleri (2021/914) Transfer Etki Değerlendirmeleri ve ek önlemlerle birlikte uygulanmalıdır.

AB'nin NIS2 Direktifi de siber güvenlik gerekliliklerini yeniden şekillendirmektedir. Direktif, olayların bildirilmesi için sıkı süreler getirmektedir: 24 saat içinde erken uyarı, 72 saat içinde bildirim ve bir ay içinde nihai rapor. 17 Ekim 2024'ten itibaren, üye devletler bu kuralları farklı hız ve kapsamlarda uygulamakta ve çok uluslu uyumluluğu daha da karmaşık hale getirmektedir. Madde 21, tedarik zinciri ve üçüncü taraf risk yönetimini daha da vurgulamaktadır.

Bu gelişmeler bir araya geldiğinde basit bir gerçeği ortaya koymaktadır: Dijital varlıklarınızın yargı yetkisi kontrolünü net bir şekilde haritalayamıyorsanız, aslında hiçbir kontrolünüz olmayabilir.

Neler Söz Konusu

Egemenlik stratejisi olmadan, işletmeler somut risklerle karşı karşıya kalır. Hassas verileri işleyen kuruluşlar, düzenleyici cezalarla karşı karşıya kalır. Yabancı bir sağlayıcı, hükümet emri veya yaptırımları kapsamında erişimi kısıtlarsa, operasyonel süreklilik bozulabilir. Gözetim veya arka kapılar gibi güvenlik endişeleri, hafifletilmesi daha zor hale gelir. Kritik iş yükleri, sizin etkinizin dışındaki satıcılara kilitlendiğinde, stratejik esneklik ortadan kalkar.

Finans, sağlık, savunma ve hükümet gibi sektörler için bu riskler soyut değildir. Bu riskler, halihazırda tedarik gereksinimlerini şekillendirmekte, yerelleştirme girişimlerini teşvik etmekte ve egemen bulut çözümlerine olan talebi artırmaktadır.

Finans sektöründe, 17 Ocak 2025 tarihinde yürürlüğe giren DORA, ICT üçüncü taraf kayıtları, NIS2 ile uyumlu uyumlaştırılmış olay raporlaması ve finansal kuruluşlar ile kritik ICT sağlayıcıları arasında standartlaştırılmış üçüncü taraf risk yönetimi gerektirmektedir. Bu önlemler, kritik finansal hizmetlerde dayanıklılık çıtasını önemli ölçüde yükseltmektedir.

Dengeyi Bulmak

Egemen bir BT stratejisi, yabancı teknolojilerin terk edilmesini gerektirmez. Hiçbir işletme gerçekçi olarak her şeyi yerel olarak yeniden inşa edemez. Zorluk, dengeyi bulmaktır: hangi sistemlerin ve veri kümelerinin maksimum koruma gerektirdiğini ve hesaplanmış üçüncü taraf bağımlılığının kabul edilebilir olduğu alanları belirlemek.

Çoğu kuruluş için sonuç, hibrit bir yaklaşımdır. Egemen kontrol, en önemli alanlarda uygulanırken, uluslararası teknolojiler ve ortaklar, dayanıklılığı tehlikeye atmadan değer kattıkları alanlarda kullanılır. Kritik altyapıda izolasyon haklı olabilir. Diğer sektörlerde ise, karma bir model genellikle doğru uzlaşmayı sağlar.

Egemenlik aynı zamanda mimari ve kontrollerle de ilgilidir: çıkış/taşınabilirlik planlaması (ISO/IEC 19941, SWIPO Kodları), AB anahtar emanetçileriyle kendi anahtarını getir (BYOK) ve kendi anahtarını sakla (HYOK) uygulamalarının benimsenmesi ve kullanımdaki verileri korumak için gizli bilgi işlem teknolojisinin kullanılması.

Geleceğe bakış

BT ile ilgili kurallar hızla değişiyor ve işletmelerin üç temel alana dikkat etmesi gerekiyor:

• AI Yasası: Avrupa'nın yapay zeka ile ilgili yeni yasası aşamalı olarak yürürlüğe giriyor. Şubat 2025'ten itibaren bazı AI sistemleri yasaklandı ve şirketler çalışanlarına temel AI eğitimi vermek zorunda. Ağustos 2025'ten itibaren, genel amaçlı AI modelleri üretenlerin sistemlerinin nasıl çalıştığı hakkında daha fazla bilgi vermesi gerekiyor. Yüksek riskli AI (örneğin, sağlık veya finans) için daha katı gereklilikler de gelecek.
  
• Siber güvenlik sertifikaları: AB artık resmi güvenlik etiketlerine sahiptir. BT ürünleri için bir program (EUCC) halihazırda yürürlüktedir. Bulut hizmetleri için bir başka program (EUCS) ise halen son halini almaktadır. Bazı ülkeler kendi kurallarını da eklemektedir; örneğin, Fransa'nın SecNumCloud programı.
  
• Standartlar: Uluslararası kılavuzlar, sözleşmelerde ve denetimlerde giderek daha fazla referans olarak kullanılmaktadır. İki örnek: ISO/IEC 27018 (bulutta kişisel verilerin korunması) ve ISO/IEC 42001 (AI'nın sorumlu bir şekilde yönetilmesi).
  

Kısacası: Yapay zeka kuralları sıkılaşıyor, güvenlik sertifikaları yaygınlaşıyor ve uluslararası standartlar güven ve uyumluluk için referans noktası haline geliyor.

Temel Soru

Düzenleyici baskı yoğunlaşırken ve dijital altyapı politik açıdan daha hassas hale gelirken, işletmeler belirleyici bir soruyla karşı karşıya kalıyor: IT'mizi gerçekten kim kontrol ediyor? Bu sorunun cevabı, sadece uyumluluk sonuçlarını değil, işletmenin uzun vadeli bağımsızlığını ve dayanıklılığını da şekillendirecek.

Sırada ne var?

BT egemenliğinin katmanlarını derinlemesine ele alacağımız serinin bir sonraki bölümünü takip etmeye devam edin.