Kuruluşların DORA Hakkında Bilmesi Gerekenler

selen guvenc
Mart 5, 2025
  • 215

Kısa haliyle DORA, Dijital Operasyonel Dayanıklılık Yasası (Digital Operational Resilience Act), Avrupa Birliği'nin finans sektöründe dijital operasyonel dayanıklılığı sağlamak amacıyla oluşturduğu bir düzenlemedir. Bu düzenleme, finansal kuruluşların bilgi teknolojileri (BT) risklerini yönetme ve siber güvenlik olaylarına karşı dayanıklılıklarını artırma amacını taşır.

Dijital Operasyonel Dayanıklılık Yasası (DORA), bugüne kadarki en geniş kapsamlı AB finans sektörü siber düzenlemesidir. Daha önceki Genel Veri Koruma Yönetmeliği'ne (GDPR) benzer şekilde, DORA, AB pazarına erişmek isteyen şirketlere yeni yükümlülükler getirecektir.

DORA Avrupa Birliği'nin bir düzenlemesi olduğu için tüm AB üye ülkeleri bu düzenlemeye uymak zorundadır. Bu ülkeler:

Almanya, Fransa, İtalya, İspanya, Polonya, Romanya, Hollanda, Belçika, Yunanistan, Çekya, Portekiz, İsveç, Macaristan, Avusturya, Bulgaristan, Danimarka, Finlandiya, Slovakya, İrlanda, Hırvatistan, Litvanya, Slovenya, Letonya, Estonya, Kıbrıs, Lüksemburg ve Malta.

Ayrıca, Avrupa Ekonomik Alanı (EEA) üyesi olan İzlanda, Lihtenştayn ve Norveç de AB düzenlemelerini uyguladıklarından DORA'ya uymak zorundadır.

Zaman çizelgesi olarak:

DORA düzenlemesi 16 Ocak 2023'te yürürlüğe girmiştir.

Finans kuruluşlarının uyum sağlaması için verilen süre 24 aydır.

Bu durumda, kuruluşların tam uyum sağlamaları gereken son tarih 17 Ocak 2025'tir.

Bu tarihe kadar tüm ilgili finansal kuruluşlar ve kritik üçüncü taraf BT hizmet sağlayıcıları DORA gerekliliklerini karşılayacak şekilde sistemlerini, politikalarını ve prosedürlerini uyarlamak zorundadırlar.

Türkiye'deki kurumlar ve firmalar, doğrudan DORA'ya uymak zorunda değildir, çünkü Türkiye Avrupa Birliği üyesi bir ülke değildir. DORA, AB üye ülkeleri ve Avrupa Ekonomik Alanı (EEA) ülkeleri için bağlayıcı bir düzenlemedir.

Ancak, aşağıdaki durumlarda Türkiye'deki kurum ve firmaların DORA'ya uymaları gerekebilir:

1. AB ülkelerinde şubeleri veya iştirakleri varsa

2. AB pazarında finansal hizmetler sunuyorlarsa

3. AB'deki finansal kuruluşlara kritik IT hizmetleri sağlıyorlarsa

4. AB merkezli finansal kuruluşlarla önemli iş ilişkileri varsa

Örneğin, bir Türk bankasının AB ülkelerinde şubeleri varsa, bu şubeler DORA düzenlemelerine uymak zorundadır. Benzer şekilde, Türkiye'den AB'deki finans kurumlarına kritik BT altyapı hizmetleri sağlayan teknoloji firmaları da DORA kapsamına girebilir.

Ayrıca, Türkiye'nin AB ile uyum sürecinde veya ikili anlaşmalar kapsamında benzer düzenlemeleri iç hukuka aktarması söz konusu olabilir, ancak şu anda Türkiye'deki kurumlar için doğrudan bir DORA uyum zorunluluğu bulunmamaktadır. Türkiye'de finansal kurumlar BDDK ve SPK gibi yerel düzenleyici kurumların kurallarına tabi olmaya devam etmektedir.

DORA içeriği nedir?

Uygulamada DORA, siber güvenliğe odaklanmış bir düzenlemedir. Finansal kuruluşların (FK) siber güvenlik olaylarının yarattığı iş riskinden (müşterilerine ve sektörün tamamına) sorumlu olmasını sağlamayı amaçlamaktadır.

PCI DSS, Gramm-Leach-Bliley Yasası (GLBA), Sarbanes-Oxley Yasası (SOX) ve NIST CSF 2 gibi ABD düzenlemelerine aşina olan herkes, DORA'nın, finansal kuruluşların güvenlik olaylarını tespit edip raporlama ve bunları ilk etapta önleme konusunda daha iyi hale gelmelerini zorunlu kılan gerekliliklerini tanıyacaktır.

Özetle DORA bir “dayanıklılık” düzenlemesidir.

DORA'nın beş uyum ayağı vardır. Bunlar şunlardır:

Güçlü BT risk yönetimi çerçevelerinin oluşturulması.

Üçüncü taraf risklerinin yönetimi.

Düzenli olarak dijital operasyonel dayanıklılık testleri gerçekleştiriyoruz.

Sıkı olay bildirim kurallarına uymak.

Tehdit istihbaratının diğer finansal kuruluşlarla paylaşılması.

Bunlar DORA'nın gereksinimlerinin temel temalarıdır, ancak bu temalar içinde çok sayıda ayrıntılı yükümlülük mevcuttur. Gereksinimlerin tam listesini resmi DORA web sitesinde okuyabilirsiniz .

Bazı büyük firmalar için DORA'nın talepleri mevcut uygulamalarıyla uyumlu olabilir. Yasanın operasyonel dayanıklılık gereklilikleri katıdır, ancak gerçekten yeni bir şey değildir.

Diğerleri, özellikle de küçük finans şirketleri için DORA, risk yönetimi, tehdit tespiti ve olay raporlaması ile test konusunda yeni zorluklar getiriyor.

DORA uyumluluğunun büyük bir kısmı , güvenlik programınıza saldırgan bir güvenlik düzeyi getirmektir. DORA, " tehdit odaklı penetrasyon testi " için yeni bir düzenleyici gereklilik getiriyor. Dayanıklılık Testi ayağı kapsamında DORA, finansal kuruluşların her üç yılda bir test yapmasını gerektirir. Ancak "gelişmiş penetrasyon testi" biraz yanlış bir adlandırmadır. DORA test gereklilikleri, kırmızı takım olarak bilinen açık uçlu saldırgan güvenlik stiline daha çok benzemektedir.

DORA'nın Çok Çeşitli Kuruluşlara Uygulanması Muhtemeldir

DORA, aşağıdakiler de dahil olmak üzere hemen hemen her türlü finansal kuruluşu kapsamaktadır:

Kredi kuruluşu

Yatırım firması

Sigorta veya reasürans teşebbüsü

Fintech şirketi

Ödeme kuruluşu

Elektronik para kuruluşu

Merkezi menkul kıymet saklama kuruluşu

Kripto varlık hizmet sağlayıcısı.

Merkezi karşı taraf

Ticaret yeri veya depolama alanı

Kitle fonlaması hizmet sağlayıcısı

Varlık yönetim şirketi

Veri raporlama hizmeti sağlayıcısı.

DORA, Avrupa Gözetim Otoritelerinin (ESA'lar) kritik bir BT üçüncü taraf hizmet sağlayıcısı (CTPP) olarak belirlediği kuruluşlar için de geçerlidir. Bu kuruluşlar finansal hizmet kuruluşları değildir ancak AB finansal hizmetler sektörüne kritik hizmetler sağlarlar. Örneğin, birkaç büyük bankanın güvendiği bir bulut hizmetleri sağlayıcısı gibi.

DORA son derece kapsamlı bir mevzuattır. Çoğu finansal hizmet kuruluşu ciro veya işletme büyüklüğünden bağımsız olarak kapsam altına alınacaktır.

Ancak, DORA'nın gereksinimleri şirketin büyüklüğüne ve riskine göre değişir. Örneğin, mikro işletmeler risk yönetimi çerçevelerini yalnızca periyodik olarak gözden geçirmelidir.

DORA'ya uymamak, kuruluşlara günlük küresel cirolarının %1'ine altı aya kadar mal olacak. Bir firmanın AB pazarına erişim yeteneğini ve iş itibarını ciddi şekilde engelleyecektir.

GDPR ile yaşananlara dayanarak, DORA cezalarının;

a) ağır bir şekilde uygulanması ve b) zamanla artması muhtemeldir.

DORA, AB Müşterileriyle Mevcut Sözleşmeleri Etkileyebilir

DORA'nın odaklandığı temel alanlardan biri sözleşme yönetimi ve üçüncü taraf riskleridir.

DORA muhtemelen üçüncü taraf sağlayıcılarının herhangi bir AB finansal kuruluşu veya etkilenen diğer işletmelerle olan sözleşmelerinin bazı kısımlarını değiştirmesini gerektirecektir. Örneğin, yeni risk yönetimi ve raporlama standartları konusunda anlaşmaya varmaları gerekebilir.

Örneğin, bir ABD işletmesi AB müşterileri için kritik bir üçüncü taraf BT hizmet sağlayıcısı (CTTP) olarak kabul edilirse, daha fazla yeni hizmet seviyesi anlaşmasına (SLA) kaydolmaları gerekebilir. Bunlar, yedekleme sağlayıcıları ve ek düzenleyici standartlara uyum için hükümler içermelidir.


Gelişmelerimizden haberdar olmak ve fırsatlarımızdan faydalanmak için; bültenimize abone olmayı ve bizi takip etmeyi unutmayın!


İlgili İçerik
Duyurular

Mobildev Pazarlama Sohbetleri: Yapay Zeka Döneminde SEO Nereye Gidiyor?

21 Mart'ta gerçekleşecek olan webinarımızda, Dijitanya'nın kurucusu ve SEO Yöneticisi Kürşad Sualp ile yapay zeka döneminde SEO'nun geleceğini ele alacağız.

selen guvenc Mart 17

Mobildev POP - Power of Partnership İş Birliği Günleri Ankara’da!

“Ortak Ol, Güçlen, Kazan!” sloganıyla yola çıktığımız Mobildev POP - Power of Partnership İş Birliği Günleri’nin dördüncü durağı Ankara!

selen guvenc Mart 13

Acil Care: Kesintisiz Acil Durum İletişimi ile Çalışan Güvenliğini Sağlayan Yenilikçi Çözüm

Acil.Care, kurumların kriz anlarında tüm çalışanlarına anında ulaşabilmelerini, durum güncellemelerini alabilmelerini ve gerçek zamanlı konum bilgisi paylaşımıyla müdahale süreçlerini hızlandırmalarını sağlayarak, çalışan güvenliğini en üst düzeye çıkarır

selen guvenc Mart 5

Kimlik Avı Dolandırıcılıklarındaki Artış

Kimlik avı saldırıları son yıllarda endişe verici bir oranda arttı ve raporlar 2022'den 2023'e küresel kimlik avı saldırılarında %58'lik bir artış olduğunu gösteriyor.

selen guvenc Mart 5

SEO Hataları: Trafiğinizi Düşüren 8 Yaygın Tuzak ve Çözüm Önerileri

Bu yazıda, SEO içerik stratejinizde kaçınmanız gereken 8 yaygın hatayı ve bunları düzeltmek için atabileceğiniz adımları ele alıyoruz.

selen guvenc Mart 5

KVKK'nın Yapay Zeka Alanında Tavsiyeleri

Kişisel Verileri Koruma Kurumu tarafından yapay zeka tabanlı uygulamaların mevzuata, kişisel verilerin korunmasına ilişkin ilke ve kurallara uygun şekilde geliştirilmesi, kullanımı ve yönetimi adına önemli tavsiyelerde bulunulmuştur.

selen guvenc Mart 5

Bültene Üye Ol

İşinizi geliştirmenize katkı sağlayacak, başarılı örnekleri, sektörel gelişmeleri ve kampanyaları kaçırmayın.