Kamu Kurumları İçin Siber Güvenlik Yazılımı – 2026 Satın Alma ve Uyum Kriterleri
2026 satın alma gündeminde kamu için siber güvenlik yazılımı sadece “ürün” değil; uyum, süreklilik ve ulusal siber dayanıklılık katmanının bir parçası. Üstelik 2025 tarihli 7545 Sayılı Siber Güvenlik Kanunu ile kamu ve kritik altyapıların siber saldırılara karşı korunmasına ilişkin kapsam, yetki ve sorumluluk çerçevesi daha kurumsal bir zemine taşındı.
SOME’lerin kurulması/denetlenmesi, risk analizi, varlık envanteri gibi başlıklar açıkça tanımlanıyor.
Bu yüzden “hangi yazılımı alalım?” sorusu artık şu soruya dönüştü:
Kurumumuzun siber olgunluk hedefini, mevzuat uyumunu ve denetlenebilirliğini hangi çözüm seti en iyi taşır?
1) Kamu kurumları için uyum çerçevesi | Rehber + standart + mevzuat
Kamu tarafında teknik kriterler çoğunlukla üç katmandan beslenir:
Bilgi ve İletişim Güvenliği Rehberi
Kamu kurumlarında bilgi güvenliği risklerini azaltmaya dönük tedbir setini hedefleyen çerçeve (2019/12 genelgesi sonrası rehberin yayınlandığı belirtiliyor).ISO 27001
Bilgi güvenliği yönetim sisteminin standardı; kamu/özel tüm kuruluşlar için uygulanabilir bir yapı sağlar.Siber Güvenlik Kanunu
Varlık envanteri, risk analizi, SOME yapılanmaları, teknik kriterlerin belirlenmesi gibi yetki ve sorumlulukları tanımlar; kamu ve kritik altyapı tarafında uyum beklentisini yükseltir.
Kurumsal satın alma kriterleri bu üç kaynaktan “denetimlenebilir” hale getirilmelidir.
2) 2026 siber güvenlik yazılımı satın alma kriterleri
Aşağıdaki kriterler, ihale/şartname kurgusunda “ölçülebilir” ve karar vericiye “risk azaltımı” olarak dönen maddelerdir.
A) Varlık envanteri ve risk analizi kabiliyeti
Kamu ölçeğinde “neye sahip olduğunu bilmeyen kurum” güvenliği yönetemez. Kanun çerçevesinde varlık envanteri ve risk analizi yaklaşımı açıkça önemseniyor. Yazılımınız; uç noktalar, sunucular, ağ cihazları, uygulamalar, kritik servisler ve veri sınıflarını tek modelde gösterebilmeli.
B) SOME ve olay müdahale yaşam döngüsü
Olay müdahalesi; tespit → triyaj → containment → eradication → recovery → lessons learned döngüsüdür. 2026’da kamu, sadece “alarm üreten” üründen çok, SOME süreçleriyle uyumlu “olay yönetimi” ister. Kanunda SOME’ler ile ilgili kurma/denetleme/olgunluk ölçümü gibi alanlar açıkça yer alır.
C) Log yönetimi, raporlama ve denetim izleri
Kamu denetiminde “kanıt” konuşur. Çözümünüz merkezi log toplama, korelasyon, saklama politikaları ve raporlama sunmalı; ayrıca denetim izi (kim neyi değiştirdi?) üretmelidir. Kanunda log kayıtlarına ilişkin toplama/değerlendirme ve raporlama yetkinlikleri de görev alanı olarak geçiyor.
D) Sertifikasyon ve teknik kriterlere uyum
Kamuya hizmet veren teknoloji firmalarında/çözümlerde ISO 27001 şartı, pratikte birçok kamu alımında yeterlilik kriteri olarak görülüyor (şartnamelerde yer bulabiliyor). Bu yüzden satın alma ekibi; ürünü değil ekosistemi (üretici, bakım, destek süreçleri, belgelendirme) birlikte değerlendirir.
E) Tedarikçi yönetimi, veri egemenliği ve sözleşmesel güvenlik
Kamu projelerinde sürdürülebilirlik; SLA, yamalama takvimi, zafiyet yönetimi, üçüncü taraf erişimi, veri barındırma modeli ve felaket kurtarma planı ile gelir. Kanun, kamu/kritik altyapılarda kullanılacak ürün/hizmetlerin kriterlerine ve tedarik zinciri yaklaşımına kapı açan bir çerçeve sunuyor.
3) 2026 trendi: “Platformlaşma” ve ölçülebilir olgunluk
Kamu kurumlarında trend net;
Dağınık noktasal ürünlerden (tek başına antivirüs vs.) “platform” mimarisine geçiş.
Bunun iki sebebi var:
Operasyon maliyeti; Tek panel, tek olay dili, tek rapor standardı.
Denetlenebilirlik; ISO 27001/BİGR gibi çerçevelerde kanıt üretmek kolaylaşıyor.
Son söz: 2026’da doğru kamu siber güvenlik yazılımı; kurumu sadece korumaz, kurumu denetime hazırlar, riskini ölçer ve SOME süreçlerini “işleyen bir makine”ye dönüştürür.



