Sermaye Piyasası Kurulu, kripto varlık hizmet sağlayıcılarının faaliyet izni başvuruları kapsamında sunması gereken bilgi sistemleri bağımsız denetim raporları için tanınan süreyi uzattı. III-35/B.1 sayılı Tebliğ'in geçici hükümleri uyarınca 30 Eylül 2025 olarak belirlenen son tarih, Kurulun 5 Eylül 2025 tarihli ve 48/1627 sayılı kararıyla 31 Aralık 2025 tarihine alındı. Karar, 2025/47 sayılı SPK Bülteninde yayımlandı.
Uzatma, yalnızca mevcut kripto varlık hizmet sağlayıcılarının bağımsız BT denetim raporunu Kurula sunması için verilen sürenin üç ay ileri alınmasına ilişkindir. Bilgi sistemleri bağımsız denetimi zorunluluğu ve TÜBİTAK tarafından yayımlanan bilgi sistemleri ile teknolojik altyapı kriterlerine uyum yükümlülüğü yürürlükte kalmaya devam ediyor.
Kararın, faaliyet izni sürecinin bütününe ilişkin bir erteleme olarak okunmaması gerekiyor. Faaliyet izni başvurusunun diğer şart ve yükümlülükleri değişmeden uygulanmaya devam ediyor; süre uzatımı kuruluşlara denetim hazırlıklarını tamamlamaları için ilave zaman tanıyor.
Öne Çıkanlar
- Bilgi sistemleri bağımsız denetim raporunun SPK'ya sunulması için belirlenen 30 Eylül 2025 tarihi, 31 Aralık 2025'e uzatıldı.
- Uzatma, Kurulun 5 Eylül 2025 tarihli ve 48/1627 sayılı kararıyla yapıldı ve 2025/47 sayılı Bültende duyuruldu.
- Süre uzatımı yalnızca raporun sunulmasına ilişkin olup, TÜBİTAK bilgi sistemleri ve teknolojik altyapı kriterlerine uyum yükümlülüğü devam ediyor.
- Bilgi sistemleri bağımsız denetimi zorunluluğu kaldırılmadı; denetimlerin yetkili bağımsız denetim kuruluşlarınca yürütülmesi gerekiyor.
- Faaliyet izni başvurusunun diğer şart ve yükümlülükleri yürürlükte kaldı.
- Karar, genel lisanslama sürecinin ertelenmesi anlamına gelmiyor.
İşletmeler İçin Anlamı
Tanınan üç aylık ilave süre, kripto varlık hizmet sağlayıcılarına bilgi sistemleri tarafındaki hazırlıkları denetim öncesinde tamamlama imkânı veriyor. Bu dönemde bilgi sistemleri envanterinin çıkarılması, TÜBİTAK kriterleri karşısında boşluk analizinin yapılması, cüzdan güvenliği, erişim kontrolü, loglama, yedekleme ve iş sürekliliği gibi alanlardaki eksikliklerin giderilmesi ve denetim kanıtlarının sistemden üretilebilir hale getirilmesi öne çıkıyor. Teknik kriterlere uyum çalışmalarının kapsamı TÜBİTAK KVHS hazırlığı sayfasında ele alınmaktadır.
Sürenin uzatılmış olması, hazırlıkların denetim tarihine yakın bir döneme bırakılabileceği anlamına gelmiyor. Bağımsız denetimde yazılım, bilgi sistemleri ve operasyonel kontrollerin bir bütün olarak incelendiği dikkate alındığında, uyum çalışmalarının tek bir gereksinim haritası üzerinden planlanması gerekiyor; bu yaklaşım regülasyon uyum ve denetim hazırlığı kapsamında açıklanmaktadır.