Kuruluşların DORA Hakkında Bilmesi Gerekenler

selen guvenc
Mart 5, 2025
  • 293

Kısa haliyle DORA, Dijital Operasyonel Dayanıklılık Yasası (Digital Operational Resilience Act), Avrupa Birliği'nin finans sektöründe dijital operasyonel dayanıklılığı sağlamak amacıyla oluşturduğu bir düzenlemedir. Bu düzenleme, finansal kuruluşların bilgi teknolojileri (BT) risklerini yönetme ve siber güvenlik olaylarına karşı dayanıklılıklarını artırma amacını taşır.

Dijital Operasyonel Dayanıklılık Yasası (DORA), bugüne kadarki en geniş kapsamlı AB finans sektörü siber düzenlemesidir. Daha önceki Genel Veri Koruma Yönetmeliği'ne (GDPR) benzer şekilde, DORA, AB pazarına erişmek isteyen şirketlere yeni yükümlülükler getirecektir.

DORA Avrupa Birliği'nin bir düzenlemesi olduğu için tüm AB üye ülkeleri bu düzenlemeye uymak zorundadır. Bu ülkeler:

Almanya, Fransa, İtalya, İspanya, Polonya, Romanya, Hollanda, Belçika, Yunanistan, Çekya, Portekiz, İsveç, Macaristan, Avusturya, Bulgaristan, Danimarka, Finlandiya, Slovakya, İrlanda, Hırvatistan, Litvanya, Slovenya, Letonya, Estonya, Kıbrıs, Lüksemburg ve Malta.

Ayrıca, Avrupa Ekonomik Alanı (EEA) üyesi olan İzlanda, Lihtenştayn ve Norveç de AB düzenlemelerini uyguladıklarından DORA'ya uymak zorundadır.

Zaman çizelgesi olarak:

DORA düzenlemesi 16 Ocak 2023'te yürürlüğe girmiştir.

Finans kuruluşlarının uyum sağlaması için verilen süre 24 aydır.

Bu durumda, kuruluşların tam uyum sağlamaları gereken son tarih 17 Ocak 2025'tir.

Bu tarihe kadar tüm ilgili finansal kuruluşlar ve kritik üçüncü taraf BT hizmet sağlayıcıları DORA gerekliliklerini karşılayacak şekilde sistemlerini, politikalarını ve prosedürlerini uyarlamak zorundadırlar.

Türkiye'deki kurumlar ve firmalar, doğrudan DORA'ya uymak zorunda değildir, çünkü Türkiye Avrupa Birliği üyesi bir ülke değildir. DORA, AB üye ülkeleri ve Avrupa Ekonomik Alanı (EEA) ülkeleri için bağlayıcı bir düzenlemedir.

Ancak, aşağıdaki durumlarda Türkiye'deki kurum ve firmaların DORA'ya uymaları gerekebilir:

1. AB ülkelerinde şubeleri veya iştirakleri varsa

2. AB pazarında finansal hizmetler sunuyorlarsa

3. AB'deki finansal kuruluşlara kritik IT hizmetleri sağlıyorlarsa

4. AB merkezli finansal kuruluşlarla önemli iş ilişkileri varsa

Örneğin, bir Türk bankasının AB ülkelerinde şubeleri varsa, bu şubeler DORA düzenlemelerine uymak zorundadır. Benzer şekilde, Türkiye'den AB'deki finans kurumlarına kritik BT altyapı hizmetleri sağlayan teknoloji firmaları da DORA kapsamına girebilir.

Ayrıca, Türkiye'nin AB ile uyum sürecinde veya ikili anlaşmalar kapsamında benzer düzenlemeleri iç hukuka aktarması söz konusu olabilir, ancak şu anda Türkiye'deki kurumlar için doğrudan bir DORA uyum zorunluluğu bulunmamaktadır. Türkiye'de finansal kurumlar BDDK ve SPK gibi yerel düzenleyici kurumların kurallarına tabi olmaya devam etmektedir.

DORA içeriği nedir?

Uygulamada DORA, siber güvenliğe odaklanmış bir düzenlemedir. Finansal kuruluşların (FK) siber güvenlik olaylarının yarattığı iş riskinden (müşterilerine ve sektörün tamamına) sorumlu olmasını sağlamayı amaçlamaktadır.

PCI DSS, Gramm-Leach-Bliley Yasası (GLBA), Sarbanes-Oxley Yasası (SOX) ve NIST CSF 2 gibi ABD düzenlemelerine aşina olan herkes, DORA'nın, finansal kuruluşların güvenlik olaylarını tespit edip raporlama ve bunları ilk etapta önleme konusunda daha iyi hale gelmelerini zorunlu kılan gerekliliklerini tanıyacaktır.

Özetle DORA bir “dayanıklılık” düzenlemesidir.

DORA'nın beş uyum ayağı vardır. Bunlar şunlardır:

Güçlü BT risk yönetimi çerçevelerinin oluşturulması.

Üçüncü taraf risklerinin yönetimi.

Düzenli olarak dijital operasyonel dayanıklılık testleri gerçekleştiriyoruz.

Sıkı olay bildirim kurallarına uymak.

Tehdit istihbaratının diğer finansal kuruluşlarla paylaşılması.

Bunlar DORA'nın gereksinimlerinin temel temalarıdır, ancak bu temalar içinde çok sayıda ayrıntılı yükümlülük mevcuttur. Gereksinimlerin tam listesini resmi DORA web sitesinde okuyabilirsiniz .

Bazı büyük firmalar için DORA'nın talepleri mevcut uygulamalarıyla uyumlu olabilir. Yasanın operasyonel dayanıklılık gereklilikleri katıdır, ancak gerçekten yeni bir şey değildir.

Diğerleri, özellikle de küçük finans şirketleri için DORA, risk yönetimi, tehdit tespiti ve olay raporlaması ile test konusunda yeni zorluklar getiriyor.

DORA uyumluluğunun büyük bir kısmı , güvenlik programınıza saldırgan bir güvenlik düzeyi getirmektir. DORA, " tehdit odaklı penetrasyon testi " için yeni bir düzenleyici gereklilik getiriyor. Dayanıklılık Testi ayağı kapsamında DORA, finansal kuruluşların her üç yılda bir test yapmasını gerektirir. Ancak "gelişmiş penetrasyon testi" biraz yanlış bir adlandırmadır. DORA test gereklilikleri, kırmızı takım olarak bilinen açık uçlu saldırgan güvenlik stiline daha çok benzemektedir.

DORA'nın Çok Çeşitli Kuruluşlara Uygulanması Muhtemeldir

DORA, aşağıdakiler de dahil olmak üzere hemen hemen her türlü finansal kuruluşu kapsamaktadır:

Kredi kuruluşu

Yatırım firması

Sigorta veya reasürans teşebbüsü

Fintech şirketi

Ödeme kuruluşu

Elektronik para kuruluşu

Merkezi menkul kıymet saklama kuruluşu

Kripto varlık hizmet sağlayıcısı.

Merkezi karşı taraf

Ticaret yeri veya depolama alanı

Kitle fonlaması hizmet sağlayıcısı

Varlık yönetim şirketi

Veri raporlama hizmeti sağlayıcısı.

DORA, Avrupa Gözetim Otoritelerinin (ESA'lar) kritik bir BT üçüncü taraf hizmet sağlayıcısı (CTPP) olarak belirlediği kuruluşlar için de geçerlidir. Bu kuruluşlar finansal hizmet kuruluşları değildir ancak AB finansal hizmetler sektörüne kritik hizmetler sağlarlar. Örneğin, birkaç büyük bankanın güvendiği bir bulut hizmetleri sağlayıcısı gibi.

DORA son derece kapsamlı bir mevzuattır. Çoğu finansal hizmet kuruluşu ciro veya işletme büyüklüğünden bağımsız olarak kapsam altına alınacaktır.

Ancak, DORA'nın gereksinimleri şirketin büyüklüğüne ve riskine göre değişir. Örneğin, mikro işletmeler risk yönetimi çerçevelerini yalnızca periyodik olarak gözden geçirmelidir.

DORA'ya uymamak, kuruluşlara günlük küresel cirolarının %1'ine altı aya kadar mal olacak. Bir firmanın AB pazarına erişim yeteneğini ve iş itibarını ciddi şekilde engelleyecektir.

GDPR ile yaşananlara dayanarak, DORA cezalarının;

a) ağır bir şekilde uygulanması ve b) zamanla artması muhtemeldir.

DORA, AB Müşterileriyle Mevcut Sözleşmeleri Etkileyebilir

DORA'nın odaklandığı temel alanlardan biri sözleşme yönetimi ve üçüncü taraf riskleridir.

DORA muhtemelen üçüncü taraf sağlayıcılarının herhangi bir AB finansal kuruluşu veya etkilenen diğer işletmelerle olan sözleşmelerinin bazı kısımlarını değiştirmesini gerektirecektir. Örneğin, yeni risk yönetimi ve raporlama standartları konusunda anlaşmaya varmaları gerekebilir.

Örneğin, bir ABD işletmesi AB müşterileri için kritik bir üçüncü taraf BT hizmet sağlayıcısı (CTTP) olarak kabul edilirse, daha fazla yeni hizmet seviyesi anlaşmasına (SLA) kaydolmaları gerekebilir. Bunlar, yedekleme sağlayıcıları ve ek düzenleyici standartlara uyum için hükümler içermelidir.


Gelişmelerimizden haberdar olmak ve fırsatlarımızdan faydalanmak için; bültenimize abone olmayı ve bizi takip etmeyi unutmayın!


İlgili İçerik
Duyurular

Siber Güvenlik Kanunu Yayımlandı

Siber Güvenlik Kanunu Teklifi (“Kanun Teklifi”), 10 Ocak 2025 tarihinde Türkiye Büyük Millet Meclisi’ne sunulmuş, 12 Mart 2025 tarihinde ise onaylanarak ve 19 Mart 2025 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe girmiştir.

selen guvenc Nisan 16

Mobildev POP İş Birliği Günleri ile Dört Şehirde Buluştuk

Mobildev olarak, iş ortaklığı ağımızı genişletmek ve sektördeki profesyonellere daha fazla fırsat sunmak amacıyla ”Ortak Ol, Güçlen, Kazan!” sloganıyla başlattığımız POP – Power of Partnership İş Birliği Günleri, dört şehirde büyük bir ilgiyle gerçekleşti

selen guvenc Nisan 16

Google Analytics 4 Yeni 'Generated Insights' Özelliği: Veri Dalgalanmalarını Anlamada Devrim

Son dönemde Google Analytics, veri dalgalanmalarını otomatik olarak tespit edip açıklayan 'Generated Insights' adlı yeni bir özelliği kullanıma sundu.

selen guvenc Nisan 16

Google Analytics 4’te Annotations Özelliği Geri Döndü: Veri Analizinde Yepyeni Bir Dönem Başlıyor

Dijital pazarlamacıların uzun süredir beklediği özellik sonunda geri döndü: Google Analytics 4 (GA4), "Annotations" yani Açıklamalar özelliğini yeniden kullanıma sundu.

selen guvenc Nisan 16

KVKK - Biyometrik Verilerin İşlenmesi

Kişisel Verileri Koruma Kurumu tarafından biyometrik verilerin işlenmesinde dikkat edilmesi gereken hususlara ilişkin rehber güncellenmiştir.

selen guvenc Nisan 16

2025'in Önemli Siber Güvenlik Temaları

Sosyal mühendislik, kimlik avı ve smishing saldırıları bu yıl siber güvenlik uygulayıcıları için en büyük endişe olmaya devam ediyor. Generative AI'daki gelişmeler bu tehditleri artırıyor, onları daha karmaşık ve tespit edilmesi daha zor hale getiriyor.

selen guvenc Nisan 16

Bültene Üye Ol

İşinizi geliştirmenize katkı sağlayacak, başarılı örnekleri, sektörel gelişmeleri ve kampanyaları kaçırmayın.