Kuruluşların DORA Hakkında Bilmesi Gerekenler

Kısa haliyle DORA, Dijital Operasyonel Dayanıklılık Yasası (Digital Operational Resilience Act), Avrupa Birliği'nin finans sektöründe dijital operasyonel dayanıklılığı sağlamak amacıyla oluşturduğu bir düzenlemedir. Bu düzenleme, finansal kuruluşların bilgi teknolojileri (BT) risklerini yönetme ve siber güvenlik olaylarına karşı dayanıklılıklarını artırma amacını taşır.

Dijital Operasyonel Dayanıklılık Yasası (DORA), bugüne kadarki en geniş kapsamlı AB finans sektörü siber düzenlemesidir. Daha önceki Genel Veri Koruma Yönetmeliği'ne (GDPR) benzer şekilde, DORA, AB pazarına erişmek isteyen şirketlere yeni yükümlülükler getirecektir.

DORA Avrupa Birliği'nin bir düzenlemesi olduğu için tüm AB üye ülkeleri bu düzenlemeye uymak zorundadır. Bu ülkeler:

Almanya, Fransa, İtalya, İspanya, Polonya, Romanya, Hollanda, Belçika, Yunanistan, Çekya, Portekiz, İsveç, Macaristan, Avusturya, Bulgaristan, Danimarka, Finlandiya, Slovakya, İrlanda, Hırvatistan, Litvanya, Slovenya, Letonya, Estonya, Kıbrıs, Lüksemburg ve Malta.

Ayrıca, Avrupa Ekonomik Alanı (EEA) üyesi olan İzlanda, Lihtenştayn ve Norveç de AB düzenlemelerini uyguladıklarından DORA'ya uymak zorundadır.

Zaman çizelgesi olarak:

• DORA düzenlemesi 16 Ocak 2023'te yürürlüğe girmiştir.

• Finans kuruluşlarının uyum sağlaması için verilen süre 24 aydır.

• Bu durumda, kuruluşların tam uyum sağlamaları gereken son tarih 17 Ocak 2025'tir.

Bu tarihe kadar tüm ilgili finansal kuruluşlar ve kritik üçüncü taraf BT hizmet sağlayıcıları DORA gerekliliklerini karşılayacak şekilde sistemlerini, politikalarını ve prosedürlerini uyarlamak zorundadırlar.

Türkiye'deki kurumlar ve firmalar, doğrudan DORA'ya uymak zorunda değildir, çünkü Türkiye Avrupa Birliği üyesi bir ülke değildir. DORA, AB üye ülkeleri ve Avrupa Ekonomik Alanı (EEA) ülkeleri için bağlayıcı bir düzenlemedir.

Ancak, aşağıdaki durumlarda Türkiye'deki kurum ve firmaların DORA'ya uymaları gerekebilir:

1. AB ülkelerinde şubeleri veya iştirakleri varsa

2. AB pazarında finansal hizmetler sunuyorlarsa

3. AB'deki finansal kuruluşlara kritik IT hizmetleri sağlıyorlarsa

4. AB merkezli finansal kuruluşlarla önemli iş ilişkileri varsa

Örneğin, bir Türk bankasının AB ülkelerinde şubeleri varsa, bu şubeler DORA düzenlemelerine uymak zorundadır. Benzer şekilde, Türkiye'den AB'deki finans kurumlarına kritik BT altyapı hizmetleri sağlayan teknoloji firmaları da DORA kapsamına girebilir.

Ayrıca, Türkiye'nin AB ile uyum sürecinde veya ikili anlaşmalar kapsamında benzer düzenlemeleri iç hukuka aktarması söz konusu olabilir, ancak şu anda Türkiye'deki kurumlar için doğrudan bir DORA uyum zorunluluğu bulunmamaktadır. Türkiye'de finansal kurumlar BDDK ve SPK gibi yerel düzenleyici kurumların kurallarına tabi olmaya devam etmektedir.

DORA içeriği nedir?

Uygulamada DORA, siber güvenliğe odaklanmış bir düzenlemedir. Finansal kuruluşların (FK) siber güvenlik olaylarının yarattığı iş riskinden (müşterilerine ve sektörün tamamına) sorumlu olmasını sağlamayı amaçlamaktadır.

PCI DSS, Gramm-Leach-Bliley Yasası (GLBA), Sarbanes-Oxley Yasası (SOX) ve NIST CSF 2 gibi ABD düzenlemelerine aşina olan herkes, DORA'nın, finansal kuruluşların güvenlik olaylarını tespit edip raporlama ve bunları ilk etapta önleme konusunda daha iyi hale gelmelerini zorunlu kılan gerekliliklerini tanıyacaktır.

Özetle DORA bir “dayanıklılık” düzenlemesidir.

DORA'nın beş uyum ayağı vardır. Bunlar şunlardır:

• Güçlü BT risk yönetimi çerçevelerinin oluşturulması.

• Üçüncü taraf risklerinin yönetimi.

• Düzenli olarak dijital operasyonel dayanıklılık testleri gerçekleştiriyoruz.

• Sıkı olay bildirim kurallarına uymak.

• Tehdit istihbaratının diğer finansal kuruluşlarla paylaşılması.

Bunlar DORA'nın gereksinimlerinin temel temalarıdır, ancak bu temalar içinde çok sayıda ayrıntılı yükümlülük mevcuttur. Gereksinimlerin tam listesini resmi DORA web sitesinde okuyabilirsiniz .

Bazı büyük firmalar için DORA'nın talepleri mevcut uygulamalarıyla uyumlu olabilir. Yasanın operasyonel dayanıklılık gereklilikleri katıdır, ancak gerçekten yeni bir şey değildir.

Diğerleri, özellikle de küçük finans şirketleri için DORA, risk yönetimi, tehdit tespiti ve olay raporlaması ile test konusunda yeni zorluklar getiriyor.

DORA uyumluluğunun büyük bir kısmı , güvenlik programınıza saldırgan bir güvenlik düzeyi getirmektir. DORA, " tehdit odaklı penetrasyon testi " için yeni bir düzenleyici gereklilik getiriyor. Dayanıklılık Testi ayağı kapsamında DORA, finansal kuruluşların her üç yılda bir test yapmasını gerektirir. Ancak "gelişmiş penetrasyon testi" biraz yanlış bir adlandırmadır. DORA test gereklilikleri, kırmızı takım olarak bilinen açık uçlu saldırgan güvenlik stiline daha çok benzemektedir.

DORA'nın Çok Çeşitli Kuruluşlara Uygulanması Muhtemeldir

DORA, aşağıdakiler de dahil olmak üzere hemen hemen her türlü finansal kuruluşu kapsamaktadır:

• Kredi kuruluşu

• Yatırım firması

• Sigorta veya reasürans teşebbüsü

• Fintech şirketi

• Ödeme kuruluşu

• Elektronik para kuruluşu

• Merkezi menkul kıymet saklama kuruluşu

• Kripto varlık hizmet sağlayıcısı.

• Merkezi karşı taraf

• Ticaret yeri veya depolama alanı

• Kitle fonlaması hizmet sağlayıcısı

• Varlık yönetim şirketi

• Veri raporlama hizmeti sağlayıcısı.

DORA, Avrupa Gözetim Otoritelerinin (ESA'lar) kritik bir BT üçüncü taraf hizmet sağlayıcısı (CTPP) olarak belirlediği kuruluşlar için de geçerlidir. Bu kuruluşlar finansal hizmet kuruluşları değildir ancak AB finansal hizmetler sektörüne kritik hizmetler sağlarlar. Örneğin, birkaç büyük bankanın güvendiği bir bulut hizmetleri sağlayıcısı gibi.

DORA son derece kapsamlı bir mevzuattır. Çoğu finansal hizmet kuruluşu ciro veya işletme büyüklüğünden bağımsız olarak kapsam altına alınacaktır.

Ancak, DORA'nın gereksinimleri şirketin büyüklüğüne ve riskine göre değişir. Örneğin, mikro işletmeler risk yönetimi çerçevelerini yalnızca periyodik olarak gözden geçirmelidir.

DORA'ya uymamak, kuruluşlara günlük küresel cirolarının %1'ine altı aya kadar mal olacak. Bir firmanın AB pazarına erişim yeteneğini ve iş itibarını ciddi şekilde engelleyecektir.

GDPR ile yaşananlara dayanarak, DORA cezalarının;

a) ağır bir şekilde uygulanması ve b) zamanla artması muhtemeldir.

DORA, AB Müşterileriyle Mevcut Sözleşmeleri Etkileyebilir

DORA'nın odaklandığı temel alanlardan biri sözleşme yönetimi ve üçüncü taraf riskleridir.

DORA muhtemelen üçüncü taraf sağlayıcılarının herhangi bir AB finansal kuruluşu veya etkilenen diğer işletmelerle olan sözleşmelerinin bazı kısımlarını değiştirmesini gerektirecektir. Örneğin, yeni risk yönetimi ve raporlama standartları konusunda anlaşmaya varmaları gerekebilir.

Örneğin, bir ABD işletmesi AB müşterileri için kritik bir üçüncü taraf BT hizmet sağlayıcısı (CTTP) olarak kabul edilirse, daha fazla yeni hizmet seviyesi anlaşmasına (SLA) kaydolmaları gerekebilir. Bunlar, yedekleme sağlayıcıları ve ek düzenleyici standartlara uyum için hükümler içermelidir.