Dijital Operasyonel Dayanıklılık Yasa’sı (DORA) Nedir?

DORA [Digital Operational Resilience Act- Dijital Operasyonel Dayanıklılık Yasa’sı DORA - 2022/2554 sayılı Tüzük(AB)], Avrupa Birliği’ndeki finans sektöründe yer alan kurumların dijital operasyonel dayanıklılık konusunda bir düzenleyici çerçeve sunarak, bilgi ve iletişim teknolojileri (BİT) ile ilgili konularda kesintiye ve tehdide karşı dirençli olmalarını, bu tehditlerden korunmayı ve etkilerini en aza indirgeyebilmelerine yönelik yeni bir perspektif sunmaktadır.
 
DORA'nın temel amacı; siber tehditleri önceden tespit ederek önlemek ve bu tehditlerin kurumun kritik işlevlerine ve finans sektörüne oluşturacağı etkileri en aza indirmeyi sağlamaktır. Bu sayede, finans sektöründeki oyuncular, BİT operasyonlarını güçlendirmek ve güvenlik seviyesini artırmak için gerekli önlemleri alarak, daha dayanıklı ve güvenilir bir dijital altyapı inşa edebilirler.
 
Yasa, Avrupa Birliği Komisyonu tarafından 16 Ocak 2023 tarihinde yürürlüğe girmiş olup finans sektöründeki kurumlar için Yasa’ya uyumlu olmaları gereken tarih 17 Ocak 2025 olarak belirlenmiştir. Avrupa Birliği Komisyonu, ilgili kurumlara, Yasa gerekliliklerini uyumlu hale getirmeyi amaçlayarak 24 aylık bir süre tanımlanmıştır.
 
Yasa, finans sektöründeki kurumlara BİT risk yönetimi, BİT olay yönetimi, operasyonel dayanıklılık ve tedarikçi risk yönetim süreçlerinin daha olgun hale getirerek kurumları uçtan uca değiştirme ve aynı zamanda sektördeki dinamikleri değiştirme potansiyeline sahip bir yaklaşım sunmaktadır.
 
DORA kapsamına giren finansal kurumlar hangileridir?

Dora'nın kapsamı; Avrupa Birliği’nde yer alan finansal kurumların ötesinde; aynı zamanda finans sektöründe faaliyet gösteren kurumlara BİT hizmetleri sağlayan bulut bilişim hizmet sağlayıcıları da dâhil olmak üzere tüm kritik BİT üçüncü taraf hizmet sağlayıcıları için geçerlidir.
 
Yasa’nın Madde (2) uyarınca; Avrupa Birliği'nin finans sektöründe yer alan; kredi kuruluşları, ödeme kuruluşları, hizmet sağlayıcıları, elektronik para kuruluşları, yatırım firmaları, kripto varlık hizmet sağlayıcıları, token ihraççıları, merkezi kayıt kuruluşları, alternatif yatırım fonlarının yöneticileri, veri raporlama hizmeti sağlayıcıları, sigorta ve reasürans teşebbüsleri, sigorta aracıları, reasürans aracıları, kredi derecelendirme kuruluşları ve BİT üçüncü taraf hizmet sağlayıcıları gibi birçok oyuncuyu içermektedir.
Dolayısıyla DORA'nın kapsamının ve uygulama alanının oldukça geniş olduğunu söyleyebiliriz.

 
DORA, kurumlar için ne anlama gelmektedir?
 
Avrupa Birliği Komisyonu tarafından yayınlanan DORA’nın temel unsurlarını 4 başlıkta değerlendirebiliriz.
 

BİT Risk Yönetimi: DORA, Madde (6) uyarınca; kurumların, dijital operasyonel dayanıklılığını arttırmak için BİT risklerinin hızlı ve etkin bir şekilde tanımlanmasını ve yönetilmesini sağlamak adına bir BİT risk yönetişiminin kurulmasını ve BIT Risk yönetim çerçevesi oluşturmasını istemektedir. Ayrıca kurumların yönetim organına, BİT risk yönetimi çerçevesi ile ilgili tüm düzenlemelerin oluşturulmasına, onaylanmasına, denetlemesine ve uygulanmasına ilişkin sorumluluğu vermektedir.
Kurumun BIT riskiyle orantılı olacak şekilde, BIT Risk yönetim çerçevesinin düzenli aralıklarla bu konuda yeterli bilgi, beceri ve uzmanlığa sahip bağımsız kişiler tarafından denetime tabi tutulması istenilmekte ve ilgili denetimlerinin sıklığı, kurumun yine BİT riski ile orantılı olması beklenilmektedir.
 
Yasa, finansal kurumların, BİT sistemlerini korumak amacıyla, ilgili sistemlerin güvenliğini, işleyişini sürekli olarak izleyerek ve kontrol ederek BIT riskinin sistemlere olan etkisini minimize etmeyi hedefler. Yasa’ya uyumlu olmak için özellikle kritik veya önemli işlevleri destekleyen sistemler için, BIT sistemlerinin sürekliliğini sağlamayı amaçlayan BIT güvenlik politikaları, prosedürleri tasarlanmalı ve uygulanmalıdır.
 
Bununla beraber; Dora’ya uyumlu olmak için BIT risk yönetim çerçevesi oluşturulmalı, üçüncü taraf hizmetlerine yönelik risk değerlendirmeleri yapılmalı, kurumların BİT üçüncü taraf hizmet sağlayıcılarına bağımlı olduğu tüm süreçler tanımlamalı ve dokümante edilmelidir. Ayrıca Yasa, BİT üçüncü taraf hizmet sağlayıcılarıyla yapılan sözleşmelerin düzenli olarak gözden geçirilmesi gibi yükümlülükleri de içermekte olup üçüncü taraf hizmet sağlayıcılarından kaynaklanan riskleri kapsamlı bir şekilde ele alınması istenmektedir.

BİT üçüncü taraf hizmet sağlayıcılarıyla yapılan sözleşmelerin sürekli izlenmesi ve gerektiğinde güncellenmesi, finansal kurumların operasyonel dayanıklılıklarını ve güvenliklerini arttırmalarına katkı sağlamaktadır. Bu kapsamda, etkin bir BİT risk yönetimi ile finansal kurumların hizmet aldığı kritik üçüncü taraf ilişkilerini etkin bir şekilde yönetmelerine ve gerektiğinde önleyici önlemler alabilmelerine olanak sağlamaktadır.
 
DORA, finansal kurumların BİT risklerini yönetmek için gerekli yönetişim ve kontrolleri uygulama zorunluluğunu vurgulamakta, yönetim organının, bu çerçeveyi belirlemek, onaylamak ve denetlemek için önemli bir rol oynadığına ve BİT riskinin etkin bir şekilde yönetilmesini sağlamak için geniş bir yelpazede sorumlulukları üstlendiğine dikkat çekmektedir.
 
BIT Olay Sınıflandırması: DORA Madde (17) uyarınca finansal kurumların, BİT ile ilgili olayları tespit etmek, sınıflandırmak ve yönetmek için BİT ile ilgili bir olay yönetimi sürecinin tanımlanmasını, uygulanması ve önemli BİT olaylarını otoritelere bildirmesini beklemektedir.
 
Yasa, müşterilerin finansal çıkarları üzerinde etkisi olan BİT ile ilgili büyük bir olayın meydana gelmesi durumunda, finansal kurulumlar, farkına varır varmaz olayın olumsuz etkilerini azaltmak için alınan önlemler hakkından müşterilerin bilgilendirmesini istemektedir.
 
Ek olarak Madde (19) uyarınca finansal kurumlar, siber tehdidin finansal sistemler veya müşterilerle ilgili olduğunu düşündüklerinde, önemli siber tehditleri gönüllülük esasına dayanarak ilgili otoriteye bildirmesini önermektedir. Kurumlar, siber olayları izlemek, ele almak ve çözmek için tüm önemli siber tehditleri kaydetmeleri gerekmektedir.
 
BİT ile ilgili olayların sınıflandırılması, sınıflandırmaya ilişkin kriterler ve önemli siber tehditler için kriterlerin belirlenmesi kapsamındaki teknik standartların final hali henüz yayınlanmamıştır. İlgili teknik standartlar, 16 Haziran 2023'ten 15 Eylül 2023'e kadar görüşe açılmış, nihai taslak 16 Ocak 2024'e kadar yayınlanması beklenmektedir.
 
Dijital Operasyonel Dayanıklılık Testi: Madde (24) uyarınca; finansal kurumların BİT risk yönetimi çerçevesinin parçası olarak kapsamlı bir dijital operasyonel dayanıklılık test programı oluşturmasını, uygulamasını ve düzenli olarak gözden geçirmesini beklemektedir.

Dijital operasyonel test gereksinimleri orantılılık ilkesine dayanmakta olup finansal kurumların büyüklüğüne, risk profillerine göre değişkenlik göstermektedir.
 
Yasa, kritik BIT sistemleri ve uygulamaları üzerinde periyodik olarak güvenlik ve dayanıklılık testleri yapma gerekliliği getirmekte ek olarak belirli bir sistemik önem ve olgunluk eşiğinin üzerindeki kurumlar için ise üç yılda bir gelişmiş Tehdit Tabanlı Sızma Testi (TLPT) yapmalarını öne sürmektedir. Yetkili otorite, finansal kurumun risk profilini ve operasyonel koşullarını dikkate alarak, gerektiğinde kurumdan bu sıklığı azaltmasını veya artırmasını talep edebileceğini belirtmiştir.
 
DORA, finansal kurumların kritik süreçleri için destek alınan BİT üçüncü taraf hizmet sağlayıcılarına da testlere dâhil etmelerini gerektiğinin önemini vurgulamaktadır.
 
Avrupa Denetim Komiteleri (ESA'lar) tarafından Tehdit Tabanlı Sızma Testi (TLPT)'nin kapsamı, test metodolojisi ile ilgili gereklilikleri ortaya koymak adına teknik standartlar yayınlanacaktır.
 
 
BİT Üçüncü Taraf Riski: Madde (28) uyarınca, finans sektöründe yer alan kurumlar, BİT üçüncü taraf riskini, BİT riskinin ayrılmaz bir bileşeni olarak, BİT risk yönetimi çerçevesi kapsamında yönetmesi beklenmektedir.

Yasa, BİT üçüncü taraf hizmet sağlayıcılarının kurum açısından doğuracağı risklerin yeterli düzeyde değerlendirilmesi, yönetilmesi ve ilişkilerin etkin bir şekilde yürütülebilmesini sağlamak adına etkin bir yönetim mekanizmasının tesis etmesini bekler.

DORA, finansal kurumların, BİT üçüncü taraf hizmet sağlayıcıları ile sözleşmeye dayalı düzenlemelere girmeden önce risk değerlendirmeleri yapmalarının ve kritik süreçler için iş sürekliliğini sağlamalarına yönelik önlemler alınması gerektiğinin önemini vurgulamaktadır.
 
Kritik veya önemli işlevlerle ilgili olarak üçüncü taraf sağlayıcıları ile yapılan sözleşmelerde, sözleşme içeriklerinin detaylı bir şekilde düzenlenerek BİT üçüncü taraf hizmet sağlayıcısının yükümlülükleri açıkça belirtilmeli, Madde (30)’da belirtilen hususların sözleşme içerisinde yer verilmesine dikkat edilmelidir. Ek olarak ilgili sözleşmeler, hizmet seviyesi anlaşmalarını içermelidir.

Yasa, üçüncü taraf hizmet sağlayıcısının alt yüklenici kullanması durumunda; alt yüklenici kuruluşlar ile yapılacak olan sözleşmelerde bağlayıcı maddelerin yer almasını beklemektedir.
 
Sonuç olarak, DORA finansal sektördeki tüm paydaşları için dijital operasyonel dayanıklılık konusunda güven arttırarak sektörün istikrarını desteklemektedir. Bu Yasa’nın etkin bir şekilde uygulanması, finansal sektörün siber tehditlere karşı daha güçlü bir konuma gelmesine yardımcı olacak ve finansal istikrarını sağlamada kritik bir rol oynayacaktır.

DORA' ya ilişkin teknik standartların önümüzdeki aylarda final halinin yayınlanmasıyla, dijital operasyonel dayanıklılık konusunda finans sektöründe kapsamlı çerçeve oluşturularak kurumlara yol gösterici olacaktır. Kurumların iki yıldan az bir süre zarfında ortaya çıkacak uyum zorunluluklarının farkında olmaları, proaktif bir yaklaşım benimseyerek bir yol haritası geliştirmek için bir değerlendirme çalışması yapmaları gerekecektir. 

Kurumların şimdiden DORA gerekliliklerine daha yakından bakmalı operasyonel dayanıklılık çerçevesini tasarlamak ve uygulamak için yeni gereksinimlere uygun olarak mevcut stratejilerini ve süreç olgunluklarını değerlendirmelidir. Yasa’ya uyum sadece yasal bir gereklilik olmayıp aynı zamanda sektörde rekabet avantajının sağlayacağı kaçınılmazdır.
 
Deloitte olarak nasıl yardımcı olabiliriz?
 
Deloitte, kurumların DORA'ya uyum yolculuğunda, önceden hazırlıklı olmalarını sağlamak ve Yasa’daki değişikliklere uyum sağlamalarına destek olmak için kuruma özel uyum programları geliştirme konusunda kritik bir rol oynamaktadır. Müşterilerin DORA'ya tam anlamıyla uyumlu hale gelmelerine destek olurken, aynı zamanda daha iyi bir operasyonel dayanıklılık adına, siber güvenlik ve tedarikçi risk yönetimi gibi süreçlerinin olgunluklarını arttırmaya yardımcı olmaktayız.

DORA gereklilikleri merceğinden mevcut durumu değerlendirerek Yasa’ya uyumsuzluk teşkil eden alanları tespit ediyoruz. Daha sonra kuruma özel yasal gereksinimlerini karşılamalarına destek olacak bir iyileştirme planı oluşturup, uyumsuzlukların nasıl kapatılacağını tanımlayan pratik öneriler sunuyoruz ve bu önerilerin hayata geçirilme konusunda da destek oluyoruz. Böylelikle müşterilerimizin yasal olarak uyumlu bir şekilde hareket etmelerini sağlayarak potansiyel cezai sorumlulukları önlemeye yardımcı olmaktayız.