Siber Sigorta 2026: KOBİ'niz İçin Gerekli mi, Poliçe Neyi Öder?

Bir siber sigorta poliçesi, satın aldığınız anda sizi korumaya başlamaz. Poliçenin ödeme yapması, çoğu zaman olaydan aylar önce devreye aldığınız güvenlik kontrollerine bağlıdır. Türkiye’de siber sigortaya ilgi artarken en sık gözden kaçan nokta tam da bu. İşletme primi öder, poliçeyi dosyalar ve bir fidye saldırısının ardından tazminat başvurusu reddedildiğinde gerçeği öğrenir: sigortacının ön şart koştuğu yedekleme ya da çok faktörlü kimlik doğrulama hiç kurulmamıştır.

Siber sigorta teknik bir koruma değildir. Korumanın başarısız olduğu senaryoda devreye giren bir finansal tampondur — riskin mali yükünü kısmen sigortacıya devreden bir araç. Türk hukukunda siber sigortaya özel bir düzenleme henüz bulunmuyor; poliçeler 6102 sayılı Türk Ticaret Kanunu’nun genel sigorta hükümlerine tabi. Bu da poliçe metninin, özellikle istisnalar bölümünün, satın almadan önce satır satır okunmasını gerektiriyor.

Siber sigorta tam olarak neyi öder?

Poliçeler genellikle iki ana grupta teminat sunar: kendi malvarlığınıza dair zararlar (birinci taraf) ve üçüncü kişilere karşı doğan sorumluluk (üçüncü taraf). İçerik sigortacıya ve seçtiğiniz paket düzeyine göre değişir.

Teminat grubu	Tipik kapsam
Birinci taraf	Olay müdahale ve adli bilişim incelemesi, şifrelenen verinin kurtarılması, iş durması kaynaklı gelir kaybı, fidye ödemesi (poliçeye bağlı), kriz iletişimi/PR maliyetleri
Üçüncü taraf	Veri ihlalinden etkilenen müşteri ve iş ortaklarının zararları, hukuki savunma masrafları, sözleşmesel sorumluluk

Burada kritik detay, teminatların hemen hepsinin alt limitler ve muafiyetlerle gelmesidir. “Fidye ödemesi dahildir” ibaresi, ödemenin tamamının karşılanacağı anlamına gelmez; çoğu poliçede üst sınır ve sigortalının payı tanımlıdır. Fidye ödemesi teminatı ayrıca hukuki ve etik olarak tartışmalı bir alan — bazı sigortacılar bunu tamamen kapsam dışı bırakıyor.

Poliçe imzalamadan önce sigortacı sizden ne ister?

Sigorta şirketleri, güvenlik önlemi olmayan ya da çok zayıf olan işletmelere ya hiç poliçe vermiyor ya da yüksek prim talep ediyor. Underwriting (risk değerlendirme) aşamasında istenenler giderek standartlaşıyor:

• Düzenli ve test edilmiş yedekleme — tercihen değişmez (immutable) ve ağdan izole bir kopya. Bir fidye olayında geri dönüş kanıtı buradan gelir.
• Çok faktörlü kimlik doğrulama (MFA) — özellikle e-posta, uzak masaüstü ve yönetici hesaplarında. Kimlik temelli saldırılar en sık giriş yolu.
• Güncel uç nokta koruması — klasik antivirüsün ötesinde EDR/MDR davranış analizi giderek bir ön şart hâline geliyor.
• Yama yönetimi — işletim sistemi ve uygulamalardaki bilinen açıkların kapatıldığının gösterilmesi.
• Erişim kontrolü ve loglama — kim, neye, ne zaman eriştiğinin kayıt altında olması.

Bu liste tanıdık geliyorsa sebebi var: sigortacının istediği kontroller, iyi bir yönetilen güvenlik hizmetinin zaten kurduğu kontrollerle birebir örtüşüyor. Yani bu yatırımı yapmak yalnızca poliçeye hak kazandırmaz; primi de düşürür ve çoğu durumda saldırının kendisini en baştan engeller.

KVKK idari para cezası teminata dahil mi?

En çok yanlış anlaşılan başlık bu. Bazı sigorta aracıları, veri ihlali sonrası karşılaşılabilecek idari para cezalarını teminata dahil ettiklerini belirtiyor. Ancak Türk hukukunda idari para cezalarının sigortalanabilirliği tartışmalı bir konu. Cezaların caydırıcılık amacı taşıması, bu yükün üçüncü bir tarafa devredilmesini kamu düzeni açısından sorunlu hâle getirebiliyor; konuya ilişkin özel bir düzenleme de yok.

Pratikte anlamı şu: poliçede “idari para cezası teminatı” yazıyor olması, bir KVKK cezasının fiilen ödeneceğini garanti etmez. Bu maddeyi satın almadan önce poliçeyi bir hukukçuya okutmak, sonradan reddedilen bir başvuruyla uğraşmaktan çok daha ucuza gelir.

KOBİ’niz için gerekli mi? Bir karar çerçevesi

Siber sigorta her işletme için aynı önceliğe sahip değil. Kararı netleştiren birkaç soru:

• Bir fidye saldırısında üç gün boyunca tüm sistemleriniz dururdu — bu sürenin gelir ve itibar maliyetini hesapladınız mı?
• Müşteri verisi, sağlık verisi ya da finansal veri işliyor musunuz? İhlal hâlinde üçüncü taraf sorumluluğunuz yükselir.
• Mevcut yedekleme ve geri dönüş süreniz (RTO) gerçekten test edildi mi, yoksa varsayım mı?
• Sözleşmeli müşterileriniz tedarikçi denetiminde siber sigorta şartı koşuyor mu? Büyük kurumlar bunu giderek talep ediyor.

Bu sorulara verdiğiniz yanıtlar riskinizi büyütüyorsa, sigorta makul bir tamamlayıcı. Ama altını çizmek gerekir: sigorta, kurulmamış güvenliğin yerine geçmez. Sıralama önce kontrol, sonra poliçedir — tersi değil.

Sık sorulan sorular

Siber sigorta primleri ne belirler? Cironuz, işlediğiniz veri türü, sektörünüz ve en önemlisi mevcut güvenlik olgunluğunuz. Güçlü kontroller primi belirgin biçimde düşürür.

Poliçem varken neden hâlâ EDR/MDR’a ihtiyacım var? Sigorta zararı telafi eder, olayı engellemez. Üstelik çoğu poliçe bu kontrolleri zaten ön şart koşar; olmadan tazminat reddedilebilir.

Küçük bir ofis için siber sigorta abartı mı? Saldırıların büyük kısmı artık KOBİ ölçeğini hedefliyor. Karar, çalışan sayısına değil, durmanın ve veri kaybının size maliyetine bağlı olmalı.

Poliçe fidye ödemesini karşılar mı? Bazıları alt limitle karşılar, bazıları tamamen hariç tutar. Bu maddeyi peşinen doğrulamak gerekir.

Kurumsal değerlendirme

Siber sigorta öncesi en kritik adım, sigortacının arayacağı kontrollerin gerçekten kurulu ve ölçülebilir olduğunu doğrulamaktır. Xen Bilişim, kurumunuzun mevcut güvenlik duruşunu sigortalanabilirlik açısından değerlendirir; yedekleme, MFA, uç nokta koruması ve yama yönetimi katmanlarını poliçe şartlarıyla hizalar. Bu kriterler üzerinden net bir tablo isteyen kurumlar için 30 dakikalık görüşme talebi iletişim formundan iletilebilir.

Kanal	Bilgi
Telefon	0850 259 5949 (Hafta içi 09:00-18:00)
E-posta	[email protected]
Form	Kurumsal değerlendirme talebi
WhatsApp	+90 850 259 5949

Teknik değerlendirme görüşmeleri ücretsizdir; ön bilgi paylaşımı için bir taahhüt gerekmez.

Kaynaklar ve ilgili hizmetler

• Türk Hukukunda Siber Risk Sigortası — Hukuk ve Bilişim Dergisi
• 6102 sayılı Türk Ticaret Kanunu, sigorta hükümleri — Resmî Gazete
• Immutable Backup ve 3-2-1-1-0 Yedekleme Rehberi
• Fidye Yazılımı Saldırısının İlk 72 Saati
• Sophos MDR ile 7/24 Tam Koruma
• Microsoft 365 ve Azure’da Zorunlu MFA Geçişi