OSTİM Savunma Sanayii, Nisan 2026'da bünyesindeki tedarikçi firmalar için KVKK ve Siber Güvenlik Bilgilendirme Toplantısı düzenledi. Toplantıda savunma sektörüne özgü siber tehdit ortamı, veri güvenliği gereklilikleri ve uyum süreçleri aktarıldı.
Türkiye'nin 2016'da yürürlüğe giren KVKK mevzuatı savunma tedarikçileri için de uyum yükümlülüğü doğuruyor. Bu uyum sürecinin faturası sabit değil; ağ segmentasyonu, erişim denetimi altyapısı ve kapsamlı politika belgelerinin hazırlanması bir KOBİ için ciddi bir yatırım gerektiriyor. Farkındalık toplantısı bu yatırımın kendisini karşılamıyor; gerçek uyum için bağımsız denetim ve teknik altyapı güncellemesi birlikte gerekli.
Karşılaştırma için ABD'deki paralel çerçeveye bakmak yararlı. Pentagon'un Siber Güvenlik Olgunluk Modeli Sertifikasyonu (CMMC), savunma tedarikçilerini zorunlu denetime tabi kılıyor. Bu süreçte küçük Amerikalı tedarikçilerin önemli bir bölümü ilk yılda zincir dışına çıktı. Türkiye'de zorunlu kılma henüz bu sertleşme düzeyine ulaşmadı; ancak yönelim benzer.
Avrupa'da ise NIS2 direktifi 2024'te yürürlüğe girdi. Savunma tedarikçileri dahil kritik altyapı bileşenlerini kapsayan bu çerçeve, AB üye devletlerindeki KOBİ'ler için de benzer uyum maliyeti yarattı. Türkiye'nin AB sürecinden bağımsız olarak kendi regülasyon zincirini kurduğu bu ortamda OSSA gibi yapıların üstlendiği bilgilendirme rolü giderek daha işlevsel hale geliyor.
OSTİM'in bu toplantısının dolaylı ama belki de en önemli işlevi şu: bu yükü kaldırabilecek firmaları taşıyamayanlardan erken aşamada ayırt etmek. Savunma tedarik zincirinin siber güvenlik açıklarına olan hassasiyeti göz önünde bulundurulduğunda, bu tür eleme mekanizmaları zorunlu bir nitelik kazanıyor.
Sertifikasyon yatırımını gerçekleştiremeyecek KOBİ'ler önümüzdeki ihale döngülerinde liste dışı kalma riskiyle yüz yüze. Bu hem tedarik zincirinin konsolidasyona gittiğinin hem de hayatta kalan firmalar için gerçek bir rekabet avantajına kapı açan bir eşiğin oluştuğunun göstergesi.
