BT Hizmet Sağlayıcıları için Siber Sigorta 2026

Bu sayfa, ikinci kişiden itibaren çalışan BT hizmet sağlayıcılarına yöneliktir: yazılım evi, sistem evi, web ajansı, bulut hizmet sağlayıcısı, MSP ve HSP. Tek başına çalışan bir BT freelancer iseniz, Serbest Meslek Sahipleri için Siber Sigorta sayfamız size daha uygun bilgileri sunar.

BSI 2024 Lageberichti'ne göre Alman küçük ve orta ölçekli işletmelerin yaklaşık %80'i en az bir siber saldırıya maruz kaldı. BT hizmet sağlayıcıları bu istatistiğin içinde özel bir konumdadır: hem kendi sistemlerinin korunması hem de müşteri ortamlarında oluşacak hasardan sözleşmesel sorumluluğu vardır. Tek bir RMM aracı ele geçirildiğinde, ransomware bir gecede onlarca müşteriye yayılabilir; o noktada standart KOBİ poliçesi yetmez. İhtiyaç duyduğunuz koruma siber sigorta ailesinin BT'ye özelleşmiş varyantıdır.

BT Pratiğinden Hasar Örnekleri

Aşağıdaki üç senaryo, sigortacılar ve BSI tarafından belgelenen tipik hasar kalıplarına dayanır. Tutarlar yaklaşık değerlerdir ve şirket büyüklüğüne göre değişir.

BT Hizmet Sağlayıcıları için Özel Riskler

Bitkom Wirtschaftsschutz 2025 çalışmasına göre Alman şirketlerinin %87'si siber saldırılardan etkilendi. Toplam ekonomik hasar 289,2 milyar EUR; bunun 202,4 milyar EUR'su doğrudan siber saldırılardan kaynaklanıyor. BT hizmet sağlayıcıları, müşteri sistemlerine ayrıcalıklı erişimleri nedeniyle saldırgan açısından bir "kaldıraç noktası" işlevi görür ve bu yüzden ortalamanın üzerinde risk taşır.

Tipik risk senaryoları

• Ele geçirilmiş uzaktan bakım: Saldırganlar RMM (Uzaktan İzleme ve Yönetim) araçlarını kullanarak ransomware'i tüm yönetilen müşterilere eş zamanlı dağıtır.
• Yanlış bulut yapılandırması: Tek bir hatalı ayar müşteri verilerini herkese açık hale getirir.
• Yazılım kusuru: Geliştirdiğiniz yazılımdaki bir hata müşteride veri kaybına veya iş durmasına yol açar.
• Ele geçirilmiş yönetici hesabı: Saldırganlar, müşteri sistemlerine ayrıcalıklı erişimlerinizi ele geçirir ve içeriden hareket eder.
• İç tehdit: İşten ayrılmış bir çalışan hâlâ aktif olan erişim bilgilerini yetkisiz amaçlarla kullanır.

BSI günde yaklaşık 309.000 yeni zararlı yazılım çeşidi kayda alıyor. BT hizmet sağlayıcıları için bu, saldırı yüzeyinin sürekli büyüdüğü anlamına gelir. Genel bir KOBİ için siber sigorta çoğu zaman yeterli olmaz; BT sektörüne özgü üçüncü taraf hasar risklerini yeterince kapsamaz.

Siber Sigorta Neleri Kapsamalı?

BT hizmet sağlayıcıları için üçüncü taraf hasarları, yani müşteri sistemlerinde oluşan hasar, kritik kalemdir. Buna ek olarak kendi iş durmanız ve standart poliçelerde eksik bırakılan BT'ye özel bileşenler için koruma gerekir.

Üçüncü taraf hasarları (BT sağlayıcılar için özellikle önemli)

• Hizmetiniz sonucu müşteri sistemlerinde oluşan hasara karşı sorumluluk
• Sistemleriniz üzerinden müşterileri etkileyen veri ihlallerinde tazminat
• SLA ihlalleri için sözleşme cezaları (poliçeye bağlı)
• Sorumluluk talepleri için hukuki savunma maliyetleri

Kendi hasarlarınız

• Kendi iş durmanız ve kaybedilen gelir
• Kendi sistemlerinizin ve verilerinizin kurtarılması
• BT adli analizi ve kök neden incelemesi
• Kendi DSGVO veri ihlali bildirimi için süreç ve iletişim maliyetleri

BT hizmet sağlayıcıları için özel bileşenler

• Technology E&O: Yazılımınızdaki veya danışmanlığınızdaki teknik hatalar ve ihmallerden kaynaklanan hasarları kapsar.
• Koşullu iş durması: Önemli bir müşteri veya tedarikçinin arızalanması nedeniyle uğradığınız gelir kaybına karşı koruma.
• Sistem arızası: Donanım arızası veya operatör hatası gibi harici saldırı olmayan durumlarda da kapsam.
• Genişletilmiş fidye yazılım koruması: Pazarlık desteği ve fidye geri ödemesi dahil ransomware kapsamı.

BT Şirketleri için Siber Sigorta Ne Kadar Tutar?

BT hizmet sağlayıcılarında primler benzer büyüklükteki başka sektörlerden daha yüksektir çünkü müşteri sistem erişimi ve veri işleme yoğunluğu risk profilini ağırlaştırır. Aşağıdaki tablo şirket büyüklüğüne göre yol gösterici prim aralıklarını verir. Gerçek prim ciroya, seçilen teminat limitine ve mevcut BT güvenlik kontrollerine bağlıdır.

Stand: Mart 2026. Belirtilen tutarlar yol gösterici değerlerdir; sigortacıya, risk profiline ve bireysel değerlendirmeye göre farklılık gösterir. Detaylı fiyat karşılaştırması için Siber Sigorta Maliyetleri sayfasını inceleyin.

BT Sorumluluk, Mesleki Sorumluluk veya Siber Sigorta?

BT hizmet sağlayıcıları sıklıkla BT Mesleki Sorumluluk poliçesinin yeterli olup olmadığını ya da ek siber sigortaya ihtiyaç olup olmadığını sorar. Kısa cevap: çoğu durumda her ikisi de gerekir, çünkü iki farklı riski kapsarlar.

Öneri: İki poliçeyi birleştirin ya da BT mesleki sorumluluk ile siber sigortayı tek sözleşmede sunan kombine bir çözüm seçin. Bazı sigortacılar BT hizmet sağlayıcıları için özel kombine paketler sunar. Yöneticilerin kişisel sorumluluğu için bir D&O Sigortası'nın faydalı olup olmayacağını da değerlendirin.

Kapsam Boşlukları ve İstisnalar

Her siber sigorta her riski kapsamaz. BT hizmet sağlayıcıları, sözleşme koşullarındaki istisnaları teklif aşamasında dikkatle okumalıdır. Aşağıdaki kısıtlamalar çoğu poliçede yer alır:

1. Kasten ihmal: Bilinçli olarak göz ardı edilen güvenlik açıklarından kaynaklanan hasarlar kapsam dışıdır.
2. Savaş istisnası: Devlet aktörleri tarafından yönlendirilen siber saldırılar (örneğin gelişmiş APT grupları) bu maddeye girebilir; sözleşme metninde net olarak sorgulayın.
3. Bilinen güvenlik açıkları: Yamalanmamış, bilinen güvenlik açıklarından kaynaklanan hasarlar bazı sigortacılar tarafından dışarıda bırakılır.
4. İş durması alt limitleri: Kaybedilen gelir kapsamı genellikle toplam teminat limitinin bir bölümüyle sınırlıdır.
5. Bekleme süresi: İş durması hasarları çoğunlukla belirli bir bekleme süresinden (8-24 saat) sonra ödenir.
6. Sonradan koruma (run-off): Sözleşme sonrası ortaya çıkan hasarlar otomatik olarak kapsanmaz; en az 36 ay sonradan koruma dönemine dikkat edin.

Yönetimli Hizmet Sağlayıcıları (HSP) için Özel Hususlar

HSP'ler, tüm BT hizmet sağlayıcı türleri arasında en yüksek siber riske sahiptir. Genellikle düzinelerce ya da yüzlerce müşteri sistemine yönetimsel düzeyde erişim yönetirler. Tek bir güvenlik olayı birden fazla müşteriyi eş zamanlı etkileyebilir ve sonuçlar hızla katlanır.

• Toplanma riski (aggregation): Tek bir olay birden fazla müşteriyi etkilediğinde, bireysel hasarların toplamı teminat limitini hızla aşar. Limitleri buna göre seçin.
• RMM aracı güvenliği: Uzaktan yönetim araçları en kritik saldırı noktasıdır. Coveware'a göre ransomware saldırısı sonrası ortalama iş durması 23 gündür. RMM'i ele geçirilmiş bir HSP'de bu durma tüm müşterilerde eş zamanlı yaşanır.
• Sözleşme tasarımı: Müşteri sözleşmelerindeki sorumluluk limitlerinizi sigorta kapsamıyla uyumlu hale getirin. Birçok HSP'nin genel koşullarında 1-2 milyon EUR sorumluluk limiti vardır; sigorta bu tutarı kapsamalıdır.

Tedarik zinciri güvenliği ve fidye yazılım koruması hakkında daha fazla bilgiyi Ransomware Koruma Rehberi'mizde bulabilirsiniz.

NIS-2: BT Hizmet Sağlayıcıları için Ne Anlama Geliyor?

NIS-2 Direktifi Almanya'da 6 Aralık 2025 itibarıyla yürürlüktedir ve BSI verilerine göre yaklaşık 29.500 şirketi doğrudan kapsar. BT hizmet sağlayıcıları çoğu zaman doğrudan etkilenmez; ama dolaylı yoldan zorunluluk doğar:

• Tedarik zinciri gereksinimleri: NIS-2 kapsamındaki müşteriler, tüm tedarik zincirinde siber güvenliği sağlamak zorundadır. Bu doğrudan BT tedarikçilerini ilgilendirir.
• Sözleşmesel kanıtlar: Müşteriler giderek tedarikçi sözleşmelerinde BT güvenlik standartları, sertifikalar ve siber sigorta kapsamı kanıtı talep ediyor.
• Para cezası riski: İhlallerde 10 milyon EUR'ya kadar veya yıllık küresel cironun %2'sine kadar para cezası mümkündür. Bu cezalar öncelikle düzenlenen şirketleri vurur; ama rücu yoluyla BT hizmet sağlayıcılarına yansıyabilir.

Düzenlenen sektörlere hizmet veren BT sağlayıcılar için siber sigorta, yeni müşteri kazanımının bir ön koşulu hâline gelmektedir.

BT Güvenliğini İyileştirin, Primi Düşürün

Sigortacılar, belgelenmiş güvenlik kontrollerini risk profilinizin bir parçası olarak değerlendirir. Bazı kontroller artık kapsam ön koşuludur; somut indirim oranları sigortacıya göre değişir ve teklif aşamasında müzakere edilir.

1. ISO 27001 sertifikası: Risk profilinizi belirgin biçimde iyileştiren tanınmış bir bilgi güvenliği standardı.
2. SOC 2 raporu: Güvenlik kontrol olgunluğunuzu sigortacıya gösteren bağımsız denetim raporu.
3. Çok faktörlü kimlik doğrulama (MFA): 2026 itibarıyla birçok sigortacıda zorunlu; belgelenmiş kullanım risk değerlendirmesini olumlu etkiler.
4. Uç tespit ve müdahale (EDR): Modern EDR çözümleri saldırı tespitini ve müdahale hızını ciddi şekilde artırır.
5. Belgelenmiş olay müdahale planı: Test edilmiş bir acil durum planı, sigortacıya olaylara hazır olduğunuzu gösterir.
6. Düzenli sızma testleri: Bağımsız sağlayıcılarca yapılan yıllık pentestler aktif güvenlik kültürünüzün kanıtıdır.

BT güvenliği için pratik ipuçlarını KOBİ Siber Riskleri Rehberi'nde bulabilirsiniz.

BT Hizmet Sağlayıcıları İçin Karşılaştırma Kriterleri

Siber sigorta karşılaştırırken BT hizmet sağlayıcılarının özellikle dikkat etmesi gereken altı kriter şunlardır:

1. Üçüncü taraf hasar kapsamı: Poliçe yalnızca kendi hasarınızı değil, müşteri sistemlerindeki hasarı da açıkça içermelidir.
2. Technology E&O dahil mi: Her siber poliçe teknik hata ve ihmalleri kapsamaz; bu bileşeni teklif aşamasında ayrıca sorun.
3. Yeterli teminat limiti: Toplanma riskini hesaba katın. 20 müşteriyi aynı anda etkileyen bir olay belirgin biçimde daha yüksek limit gerektirir.
4. Sonradan koruma süresi: Sözleşme sonrası en az 36 ay; hasarlar bir olaydan aylar sonra fark edilebilir.
5. Alt limitleri kontrol edin: İş durması, fidye ödemesi ve hukuki savunma için genellikle ayrı alt limitler vardır. Bu limitlerin iş modelinize uygun olduğundan emin olun.
6. 7/24 acil hat: Siber olayda her saat önemlidir. Sigortacının BT adli analiz uzmanlığı ile günün 24 saati ulaşılabilir bir acil hattı olduğunu doğrulayın.

Değerlendirme metodolojimiz hakkında daha fazla bilgi için Nasıl Karşılaştırıyoruz sayfasını inceleyin.

BT Alt Sektörlerine Göre Siber Sigorta

Farklı BT alt sektörleri farklı risk profillerine sahiptir. HSP'ler en yüksek toplanma riskini taşırken, yazılım geliştiriciler öncelikle Technology E&O riskine maruzdur. Tek başına çalışan BT danışmanlarının profili ise freelancer'lara benzer. Aşağıdaki ilgili sayfalar sektör özelinde detay sunar:

• KOBİ için Siber Sigorta (genel ticari işletmeler)
• Serbest Meslek Sahipleri için Siber Sigorta (tek BT danışmanları, freelancer'lar)
• Yazılım Geliştiriciler için BT Mesleki Sorumluluk (yazılım hatalarında sorumluluk)
• Esnaf için Siber Sigorta (dijital kontrollü işletmeler)
• BT Mesleki Sorumluluk (BT danışmanları için sorumluluk koruması)

Sonuç

BT hizmet sağlayıcıları çift risk taşır: kendileri saldırıya maruz kalabilir ve sistemleri üzerinden müşteri ağları ele geçirildiğinde sözleşmesel olarak sorumlu olabilirler. Üçüncü taraf hasar kapsamı yeterli ve Technology E&O bileşeni dahil bir siber sigorta, HSP'ler ve yazılım şirketleri için neredeyse vazgeçilmezdir.

Tedarik zinciri hasarları için alt limitleri kontrol edin ve sözleşmedeki kendi güvenlik yükümlülüklerinizi (yama yönetimi, MFA, yedekleme) sürdürülebilir biçimde yerine getirebileceğinizden emin olun. Aksi halde sigorta hasar talebinizi reddedebilir.