Avrupa Birliği “bulut egemenliği” 8 kuralı. Şimdi hamle sırası Türkiye’de
Dijital egemenlik yıllardır gündemimizde. Veri yeni petroldür, bulut stratejik altyapıdır diyoruz da ihale şartnamesine ve yatırım önceliklerine gelince durumumuz nasıl acaba?
Avrupa Birliği’nin yayımladığı Cloud Sovereignty Framework (Bulut Egemenliği Çerçevesi) bu açıdan kritik bir eşik AB ilk kez “bulut egemenliğini” siyasi söylem olmaktan çıkarıp kamu alımlarında kullanılacak, puanlanabilir bir kriter setine dönüştürüyor.
Kısacası oyun alanı değişti: Artık sadece “veri nerede tutuluyor?” değil, “kontrol kimde, hukuk kimin elinde, tedarik zinciri kimlere bağlı?” soruları resmen puanlanacak.
Dijital egemenliğin 8 bileşeni
Çerçeve, bulut egemenliğini sekiz başlıkta topluyor:
1) Stratejik egemenlik
2) Hukuki ve yargısal egemenlik
3) Veri ve yapay zekâ egemenliği
4) Operasyonel egemenlik
5)Tedarik zinciri egemenliği
6)Teknoloji egemenliği
7)Güvenlik ve uyum egemenliği
8)Çevresel sürdürülebilirlik.
Yani sadece veri merkezinin adresi değil; sahiplik yapısı, uygulanan hukuk, verinin ve modellerin kontrolü, tedarik zinciri, teknoloji yığını ve sürdürülebilirlik birlikte değerlendiriliyor.
SEAL: Egemenlik seviyesi ölçülebilir hale geliyor
AB, her başlık için SEAL (Sovereignty Effective Assurance Level) adıyla 0–4 arası bir seviye tanımlıyor.
lSEAL-0 egemenlik güvencesinin olmadığı durum,
lSEAL-1 kâğıt üzerinde teminat olup fiiliyatta ciddi dış bağımlılığın bulunduğu seviye.
lSEAL-2 hukuk ve pratik daha dengeli,
lSEAL-3 kritik kontrol noktalarının büyük ölçüde Avrupa aktörlerinde olduğu seviye.
lSEAL-4 teknoloji, operasyon, hukuk ve tedarik zinciri açısından tam dijital egemenlik.
Bundan sonra bir AB kamu kurumu ihale dokümanına şunu rahatlıkla yazabilecek: “Bu iş yükü için hukuki egemenlikte asgari SEAL-3, tedarik zinciri egemenliğinde asgari SEAL-2 zorunludur.” Ardından sekiz başlıktaki seviyeler ağırlıklandırılarak toplam bir “egemenlik skoru” hesaplanacak. Nasıl teknik ve mali puan varsa, artık egemenlik puanı da olacak.
Bu tablo, ABD merkezli hiper ölçekli bulut sağlayıcılarını hukuk ve tedarik zinciri tarafında zorlayacak.
Türkiye için stratejik ayna
Bu çerçeveye Türkiye’den baktığımızda karşımıza kritik bir soru çıkıyor: Biz bulut ve veri merkezi tarafında egemenliği nasıl ölçüyoruz?
Politika belgelerinde bulut, veri merkezi ve yazılımı “stratejik alan” olarak tanımlıyoruz. Ancak kamu alımlarında hâlâ ağırlıkla fiyata, kapasiteye, bazı güvenlik sertifikalarına ve KVKK uyumuna bakıyoruz. Hukuk, tedarik zinciri ve operasyon açısından egemenlik kaybını sistematik biçimde ölçmüyoruz.
AB’nin çerçevesi elimizin altında hazır bir iskelet. Bizde Ulusal Bulut Egemenliği Çerçevesi’ni tasarlarken sekiz başlığı yerelleştirerek kullanabiliriz. KVKK ve kritik altyapı düzenlemeleriyle birlikte düşünülürse; kritik kamu sistemleri için asgari SEAL-TR-3, savunma, enerji, finans ve sağlık gibi alanlar için SEAL-TR-4 hedeflenmesi mümkün.
Yerli veri merkezleri ve bulut sağlayıcıları için bu çerçeveye uyum düzeyi; teşviklere, sertifikasyon programlarına ve ihale puanlamalarına entegre edilebilir. Böylece “yerli olsun” tercihi ulusal egemenlik açısından ölçülebilir bir politika aracına dönüşebilir.
Yerli sağlayıcıların oyunu
Türkiye’de veri merkezi, bulut, SaaS ve güvenlik hizmeti sunan şirketler için bu çerçeve güçlü bir strateji aracı. Her sağlayıcı kendi sermaye yapısı, SOC lokasyonu, tedarik zinciri ve açık kaynak stratejisi üzerinden bir “egemenlik envanteri” çıkarabilir. Mevcut durumunu SEAL-TR-1 veya SEAL-TR-2 gibi kodlayıp, orta vadede SEAL-TR-3 hedefine nasıl ulaşacağını planlayabilir.
Doğru okunduğunda bu çerçeve, yerli oyuncular için tehdit değil, rekabet üstünlüğü tasarlama kılavuzudur.
Son söz: Bulutu sadece teknik bir hizmet kalemi olarak mı göreceğiz, yoksa Türkiye’nin dijital egemenliğinin çekirdek altyapısı olarak mı yöneteceğiz? Bu soruya vereceğimiz cevap, yazılım ve bulut ekosistemimizin önümüzdeki on yılını belirleyecektir.
Kaynak: European Commission – Cloud Sovereignty Framework Version 1.2.1 – Oct 2025
