29 Haziran 2022 Tarihli Resmî Gazete
Sayı: 31881
Sanayi ve Teknoloji Bakanlığından:
BİRİNCİ BÖLÜM
Başlangıç Hükümleri
Amaç ve kapsam
MADDE 1- (1) Bu Yönetmeliğin amacı; kamu idareleri tarafından yapılacak bilişim hizmet alımları kapsamında katılımcıların taşımaları gereken kriterlerin belirlenmesi, bu kriterler doğrultusunda yetkilendirilmesi, bu kriterlere uyulmadığının tespiti halinde yetkilendirmelerin askıya alınması veya iptal edilmesine ilişkin usul ve esasları belirlemektir.
(2) Bu Yönetmelik; kamu idareleri tarafından yapılacak bilişim hizmet alımları kapsamında katılımcıların yetkilendirilmesi ve denetlenmesine ilişkin hususları kapsar.
Dayanak
MADDE 2- (1) Bu Yönetmelik, 1 sayılı Cumhurbaşkanlığı Teşkilatı Hakkında Cumhurbaşkanlığı Kararnamesinin 385 inci maddesinin birinci fıkrasının (ı) bendine dayanılarak hazırlanmıştır.
Tanımlar
MADDE 3- (1) Bu Yönetmeliğin uygulamasında;
a) Akredite kuruluş: Türk Akreditasyon Kurumu (TÜRKAK) tarafından akredite edilmiş test ve/veya belgelendirme kuruluşlarını,
b) Bakanlık: Sanayi ve Teknoloji Bakanlığını,
c) Bilişim hizmet alımı: Kamu bilişim projeleri kapsamında kamu idaresince gerçekleştirilecek 4/1/2002 tarihli ve 4734 sayılı Kamu İhale Kanunu kapsamındaki danışmanlık hizmet alımları dahil hizmet alımları, sair mevzuat ile kamu-özel işbirliği projeleri kapsamındaki mal, hizmet, danışmanlık ve yapım işleri alımlarındaki her türlü yazılım geliştirme, yazılım entegrasyon ve yazılım bakım hizmeti, bilişim sistemi kurulum ve bakım hizmeti, bilişim danışmanlığı hizmeti, bilişim güvenlik hizmeti alımını,
ç) Bilişim sistemi: Bilgi ve iletişim teknolojileri vasıtasıyla sağlanan her türlü hizmet ve işlem ile verinin işlenmesinde, erişiminde, saklanmasında ve sunumunda yer alan sistemleri,
d) CMMI: Bütünleşik Yetenek Olgunluk Modelini,
e) Kamu bilişim projesi: Kamu idarelerinin ihtiyaç duydukları bilişim sistemlerine ilişkin yürütecekleri projeleri,
f) Kamu Bilişim Yetki Belgesi: 5 inci maddenin birinci fıkrasının (a) bendindeki kriterlere göre bilişim hizmet alımı ihalelerine katılmak isteyenlerin yeterliğini ve yetkinliğini gösterir belgeyi,
g) Kamu idaresi: Kamu veya özel hukuk hükümlerine tabi olup olmadığına bakılmaksızın Sayıştay denetimine tabi tüm kurum, kuruluş, müessese, birlik, işletme, bağlı ortaklık ve şirketleri,
ğ) Katılımcı: Kamu bilişim hizmet alımı ihalelerine katılmak isteyen gerçek ve/veya tüzel kişileri ve bunların oluşturdukları ortak girişimler ile kamu bilişim hizmet alımı sözleşmeleri kapsamında sözleşme konusu işin nev’i itibarıyla bir kısmını yüklenici ile yaptığı sözleşmeye dayalı olarak gerçekleştirecek olan alt yüklenicilerden yetkilendirilme talebinde bulunanları,
h) Sızma Testi Yetki Belgesi: 5 inci maddenin birinci fıkrasının (c) bendindeki kriterlere göre sızma testi hizmetini sağlayacak katılımcıların yeterliğini ve yetkinliğini gösterir belgeyi,
ı) SPICE: Yazılım Süreci İyileştirme ve Yetenek Değerlendirmesini,
i) TS ISO/IEC 15504 belgesi: SPICE metoduna uygun olarak tetkik yapan akredite kuruluşlar tarafından verilen Bilgi Teknolojisi Süreç Değerlendirme Belgesini,
j) TS EN ISO/IEC 27001 belgesi: ISO/IEC 17021-1 akreditasyonuna sahip akredite kuruluşlar tarafından verilen Bilgi Güvenliği Yönetim Sistemi Belgesini,
k) TSE Sızma Testi Yapan Firma Belgesi: TS 13638 standardı kapsamında sızma testi hizmeti veren katılımcılar için şartları ifade eden belgeyi,
l) Yazılım: Bir bilgisayar, iletişim cihazı veya bilgi teknolojilerine dayalı bir diğer cihazın çalışmasını ve kendisine verilen verilerle ilgili gereken işlemleri yapmasını sağlayan komutlar dizisinin veya programların ve bunların kod listesini, işletim ve kullanım kılavuzlarını da içeren belgelerin, belli bir sistematik içinde, tasarlama, geliştirme şeklindeki ürün ve hizmetlerin tümü ile bu ürün ya da mal ve hizmetlerin lisanslama, kiralama ve tüm hakları ile devretme gibi teslim şekillerinin tümünü,
m) Yazılım Yetki Belgesi: 5 inci maddenin birinci fıkrasının (b) bendindeki kriterlere göre yazılım geliştirme, yazılım entegrasyon ve yazılım bakım hizmetlerini tedarik edecek katılımcıların yeterliğini ve yetkinliğini gösterir belgeyi,
ifade eder.
İKİNCİ BÖLÜM
Yetki Belgeleri, Teknik Kriterler, Müracaat ile İlgili İşlemler, Denetim ve Sonuçları
Yetki belgeleri
MADDE 4- (1) Kamu bilişim projelerini yürütecek katılımcılar için Kamu Bilişim Yetki Belgesi düzenlenir.
(2) Yazılım geliştirme, yazılım entegrasyon ve yazılım bakım hizmetlerini tedarik edecek katılımcılar için Yazılım Yetki Belgesi düzenlenir.
(3) Sızma testi hizmetlerini sunacak katılımcılar için Sızma Testi Yetki Belgesi düzenlenir.
Yetki belgelerine müracaat
MADDE 5- (1) Katılımcıların;
a) Kamu Bilişim Yetki Belgesine sahip olabilmeleri için; bilişim hizmet alımlarından en az biri için TS EN ISO/IEC 27001 belgesine,
b) Yazılım Yetki Belgesine sahip olabilmeleri için; yazılım geliştirme, yazılım entegrasyon ve yazılım bakım hizmetlerini kapsayan TS EN ISO/IEC 27001 belgesi ile birlikte en az “TS ISO/IEC 15504 Seviye 2” veya en az “CMMI Seviye 3” belgelerinden birine,
c) Sızma Testi Yetki Belgesine sahip olabilmeleri için; sızma testi hizmetlerini kapsayan TS EN ISO/IEC 27001 belgesi ile birlikte A veya B tipinde TSE Sızma Testi Yapan Firma Belgesine,
sahip olmaları gerekir.
(2) Yetki belgesi talebinde bulunanlar, bu Yönetmeliğin uygulanma amacına uygun olarak Bakanlıkça istenecek ilave bilgi ve belgeleri ibraz eder.
(3) Yetki belgesi talebinde bulunanlar, gerekli şartları sağladıklarını gösterir bilgi ve belgelerle Bakanlığa müracaat eder.
(4) Bakanlık bilgi ve belgeleri ilgili kurumların veri tabanından sorgulama yapılarak doğrular. Bu bilgilerin doğrulanamadığı durumlarda ise başvuru sahibi söz konusu bilgilere ait belgelerin aslını veya aslına uygunluğu noterce onaylanmış örneklerini ibraz etmek zorundadır. Yanlış ve/veya yanıltıcı beyanda bulunulduğunun tespit edilmesi durumunda müracaat iptal edilir. Müracaatı iptal edilenler, iptal tarihinden itibaren bir yıl süre ile yeniden müracaat edemez.
Müracaatın değerlendirilmesi, onay ve belgelendirme
MADDE 6- (1) Bakanlığa yapılan müracaatlar 5 inci maddede istenilen bilgi ve belgelerin eksiksiz olması halinde değerlendirilir ve en geç iki ay içerisinde sonuçlandırılır. Başvurunun bu Yönetmeliğe uygunluğunun tespiti halinde, Kamu Bilişim Yetki Belgesi, Yazılım Yetki Belgesi veya Sızma Testi Yetki Belgesi elektronik ortamda düzenlenir ve Bakanlık internet sitesinde duyurulur.
(2) Kamu Bilişim Yetki Belgesi, Yazılım Yetki Belgesi veya Sızma Testi Yetki Belgesinin süresi 5 inci maddede istenilen belgelerin içinden geçerlilik süresi en yakın tarihli olanın tarihine kadar olacak şekilde düzenlenir. Belge süresinin uzatılmasının istenmesi halinde geçerlilik süresinin bitim tarihinden en geç bir ay öncesine kadar tekrar müracaat yapılır ve bu durumda ibraz edilen belgelerden yenilenen belgeler Bakanlığa ibraz edilir.
(3) Müracaat, bu Yönetmelik hükümlerine uygun bulunmazsa eksiklikler müracaat sahibine bildirilir ve müracaat beklemeye alınır. Eksikliklerin tamamlanmasını müteakip beklemeye alınan müracaat tekrar işleme konulur.
Denetim ve sonuçları
MADDE 7- (1) Bakanlık, bu Yönetmelik hükümleri uyarınca yetkilendirilen katılımcıları, yetki belgelerine uygun hareket edilip edilmediğinin kontrolü amacıyla denetlemeye yetkilidir.
(2) Katılımcılar; Bakanlıkça görevlendirilen ve denetimde bulunan kişilere gerekli bilgi ve belgeleri gerçeğe uygun ve eksiksiz olarak vermek, incelemelere yardımcı olmak ve doğru beyanda bulunmakla yükümlüdür.
(3) Yapılan denetimde 4 üncü ve/veya 5 inci maddede belirtilen hususlara aykırılığın ya da yanlış ve/veya yanıltıcı beyanda bulunulduğunun tespit edilmesi halinde ilgili yazılı olarak uyarılır, aykırılığın giderilmesi için altı aya kadar süre verilir ve yetki belgesi askıya alınır. Verilen süre içerisinde aykırılığın giderilmesi halinde askıya alma durumu sona erer. Aykırılığın giderilmemesi halinde ise yetki belgesi iptal edilir.
(4) Yetki belgesi askıya alınan katılımcıya, yetki belgesinin askıda kaldığı süre boyunca bu Yönetmelik kapsamında aynı tür yeni bir yetki belgesi verilmez.
(5) Yetki belgesinin üçüncü fıkra uyarınca iptal edilmesi durumunda bir yıl süre ile aynı tür belge talebinde bulunulamaz. Belge iptalinin tekrarı halinde üç yıl süreyle aynı tür belge talebinde bulunulamaz ve üç yıl dolduktan sonra tekrar belge talebinde bulunanların müracaatları ilk müracaat olarak değerlendirilir.
(6) Yetki belgesinin askıda kaldığı süre 6 ncı maddenin ikinci fıkrasına göre belirlenen geçerlilik süresini etkilemez.
(7) Yetki belgesinin askıya alınması, askı durumunun sona ermesi veya iptal edilmesi işlemleri Bakanlık tarafından Kamu İhale Kurumuna bildirilir ve Bakanlık internet sitesinde ilan edilir.
ÜÇÜNCÜ BÖLÜM
Son Hükümler
Yürürlük
MADDE 8- (1) Bu Yönetmelik yayımı tarihinden 3 ay sonra yürürlüğe girer.
Yürütme
MADDE 9- (1) Bu Yönetmelik hükümlerini Sanayi ve Teknoloji Bakanı yürütür.