Birincil ve ikincil sistemler, bilgi sistemleri sürekliliği kapsamında düzenlenmiş olup kritik bilgilerin güvenli biçimde kaydedilmesi, erişilebilirliği ve faaliyet kesintilerinde kabul edilebilir süreler içinde devamlılığın sağlanmasına yöneliktir.
Birincil Sistem
Kurum, kuruluş, ortaklık ve işletmelerin kanun ve ilgili alt düzenlemelerden doğan görevlerini yerine getirebilmesi için gerekli bilgilerin elektronik ortamda güvenli şekilde kaydedilmesini, saklanmasını ve istenildiği anda erişilebilir olmasını sağlayan altyapı, donanım, yazılım ve veri bütününü ifade etmektedir (Sermaye Piyasası Kurulu, 2025; SPL, 2025). Düzenlemeler uyarınca kurum, kuruluş, ortaklık ve bankaların birincil sistemlerini yurt içinde bulundurması zorunludur (Sermaye Piyasası Kurulu, 2025; BDDK, 2021). Bankacılık düzenlemelerinde, işlemlerin doğası gereği yurt dışı etkileşim gerektiren sistemler hariç olmak üzere bankanın yurt dışı iletişim ağlarının kesildiği durumlarda dahi ülke içinde kurulu birincil ve ikincil sistemler üzerinden faaliyetlerini sürdürebilmesi esastır (BDDK, 2021). Bir sistemin birincil sistem kapsamında sayılmaması için herhangi bir iş sürecini yürütmemesi ve hassas veya sır niteliğindeki verileri işlememesi, iletmemesi ve saklamaması gerekmektedir (BDDK, 2021). Birincil veya ikincil sistemler kapsamında dış hizmet ya da bulut bilişim hizmeti alınması halinde hizmet sağlayıcının kullandığı bilgi sistemleri ve bunların yedekleri de bu kapsamda değerlendirilir ve yurt içinde bulundurulur (BDDK, 2021).
Birincil Merkez
Birincil merkez, birincil sistemlerin tesis edildiği yapıyı ifade etmektedir (BDDK, 2021). Düzenlemelere göre birincil sistemlerin yurt içinde bulundurulması zorunludur (Sermaye Piyasası Kurulu, 2025; BDDK, 2021). Birincil sistemin tamamen devre dışı kaldığı durumlarda kurum, kuruluş, ortaklık ve bankaların en geç yirmi dört saat içerisinde faaliyetlerini yeniden sürdürebilir hale gelmesi ve ilgili otoritenin derhal bilgilendirilmesi esastır (Sermaye Piyasası Kurulu, 2025; BDDK, 2021). Bilgi sistemleri sürekliliği planı kapsamında bu hususta görev alacak kişiler ile rol ve sorumluluklar belirlenir, planın devreye alınmasına karar verecek kişi ve durumlar yazılı hale getirilir, plan üst yönetim tarafından onaylanır, yalnızca ilgili kişiler tarafından erişilebilir tutulur ve güncel fiziksel kopyalarının gerekli yerlerde bulundurulması sağlanır (Sermaye Piyasası Kurulu, 2025).
İkincil Sistem
Birincil sistemlerde kesinti olması halinde faaliyetlerin iş sürekliliği planında belirlenen kabul edilebilir kesinti süreleri içinde sürdürülebilir hale getirilmesini ve ilgili hususta tanımlanan sorumlulukların yerine getirilmesi için gerekli tüm bilgilere kesintisiz erişimi sağlayan birincil sistem yedeklerini ifade etmektedir (Sermaye Piyasası Kurulu, 2025; SPL, 2025). Birincil sistemlerin kaçıncı yedeği olduğuna bakılmaksızın tüm yedekler ikincil sistem olarak kabul edilir ve aynı yükümlülüklere tabidir (BDDK, 2021). İş sürekliliği planı kapsamında ikincil sistem tesis edilir ve kritik veri ile sistem yedekleri kullanıma hazır bulundurulur (Sermaye Piyasası Kurulu, 2025). Birincil sistemin tamamen devre dışı kaldığı durumlarda ilgili otorite derhal bilgilendirilir ve ikincil sistemlerden birincil sistemlere geri dönüş prosedürleri hazırlanır (Sermaye Piyasası Kurulu, 2025). Bilgi sistemleri bağımsız denetim zorunluluğu bulunmayan halka açık ortaklıklar bakımından birincil ve ikincil sistemlerin yurt içinde bulundurulması yükümlülüğü uygulanmaz (Sermaye Piyasası Kurulu, 2025).
İkincil Merkez
İkincil sistemlerin kullanıma hazır şekilde tesis edildiği, birincil sistemlerde kesinti yaşanması halinde personelin faaliyetlerini sürdürebileceği ve birincil merkez ile aynı risklere maruz kalmayacak şekilde oluşturulan yapıyı ifade etmektedir (BDDK, 2021). İkincil sistemin yeri doğal ve çevresel felaketler bakımından birincil sistemle aynı riskleri taşımayacak şekilde seçilir (Sermaye Piyasası Kurulu, 2025). İş sürekliliği planının etkinliğini ve güncelliğini sağlamak amacıyla yılda en az bir kez gerçek felaket senaryosuna dayalı test yapılır, testlere dış hizmet sağlayıcılar dahil edilir, sonuçlar üst yönetime raporlanır ve plan bu sonuçlara göre güncellenir (Sermaye Piyasası Kurulu, 2025; BDDK, 2021). Bankalar, birincil veya ikincil sistemler kapsamında bulut bilişim hizmetini yalnızca kendilerine tahsis edilmiş donanım ve yazılım kaynakları üzerinden sunulan özel bulut hizmet modeli ile alabilir. Yalnızca BDDK denetimine tabi kuruluşlara tahsis edilen ve fiziksel olarak paylaşılan ancak mantıksal olarak her bankaya ayrı kaynak atanan topluluk bulutu hizmet modeliyle dış hizmet alınması BDDK iznine tabidir (BDDK, 2021).
Kaynaklar
Bankacılık Düzenleme ve Denetleme Kurumu (BDDK). (2021). Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik. https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=34360&MevzuatTur=7&MevzuatTertip=5
Sermaye Piyasası Kurulu. (2025). Bilgi Sistemleri Yönetimine İlişkin Usul ve Esaslar Tebliği (VII-128.10). https://www.resmigazete.gov.tr/eskiler/2025/03/20250313-8.htm
Sermaye Piyasaları Lisanslama Sicil ve Eğitim Kuruluşu (SPL). (2025). Bilgi Sistemleri Yönetimi ve Denetimi: Lisanslama Sınavları Çalışma Notları. https://spl.com.tr/wp-content/uploads/2025/01/1020_MKT_31122024_202401061425pdf.pdf