AB Dijital Operasyonel Dayanıklılık Tüzüğü (DORA)

Giriş

Günümüzde finans sektörü, dijitalleşmenin getirdiği hızlı dönüşümle birlikte büyük bir değişim yaşamaktadır. Bu dönüşüm, finansal hizmetlerin sunumunda verimliliği artıran, maliyetleri düşüren ve müşteri deneyimini iyileştiren birçok fırsat sunarken, aynı zamanda siber saldırılar, veri ihlalleri ve operasyonel kesintiler gibi yeni riskleri de beraberinde getirmektedir. Avrupa Birliği (AB), bu riskleri ele almak ve finansal sistemin dijital dayanıklılığını güçlendirmek amacıyla 14 Aralık 2022'de Dijital Operasyonel Dayanıklılık Tüzüğü'nü (DORA) kabul etmiş olmakla birlikte 17 Ocak 2025 tarihinden itibaren uygulanacaktır. DORA, finansal kuruluşların siber güvenlik ve operasyonel risk yönetimi uygulamalarını standart hale getirerek, daha güvenli ve istikrarlı bir finansal ekosistem oluşturmayı hedeflemektedir. Ancak, bu kapsamlı düzenleme, finans sektöründe hem olumlu hem de olumsuz yankılar uyandırmıştır. Bu makalede, DORA'nın finans sektörü için sunduğu fırsatlar ve zorluklar, hukuki boyutu ve sektördeki tartışmalar ışığında kapsamlı bir şekilde incelenecektir.

A. DORA'nın Temel Hedefleri ve Kapsamı

DORA'nın temel amacı, finansal kuruluşların dijital operasyonel dayanıklılıklarını artırarak, siber saldırılar, veri ihlalleri ve diğer bilgi ve iletişim teknolojisi (BİT) kesintileri karşısında daha dirençli olmalarını sağlamaktır. Tüzük, bu amaca ulaşmak için beş temel alana odaklanmaktadır:

1. BİT Risk Yönetimi: Finansal kuruluşlar, BİT risklerini belirlemek, değerlendirmek ve yönetmek için kapsamlı bir çerçeve oluşturmalıdır. Bu çerçeve, risk yönetimi stratejileri, politika ve prosedürler, BİT varlık envanteri, risk değerlendirme metodolojileri ve raporlama mekanizmalarını içermelidir.
   
   
2. BİT ile İlgili Olay Bildirimi: Finansal kuruluşlar, büyük BİT olaylarını ilgili yetkili makamlara bildirmekle yükümlüdürler. Bu bildirimler, olayın türü, kapsamı, etkisi ve alınan önlemler gibi bilgileri içermelidir. DORA, bildirim sürelerini ve prosedürlerini de ayrıntılı olarak düzenlemektedir.
   
   
3. Operasyonel Dayanıklılık Testi: Finansal kuruluşlar, BİT sistemlerinin ve süreçlerinin dayanıklılığını düzenli olarak test etmelidirler. Bu testler, güvenlik açıklarını belirlemeye, olaylara müdahale etme becerilerini geliştirmeye ve iş sürekliliğini sağlamaya yöneliktir. DORA, farklı test türlerini (örneğin, sızma testleri, zafiyet taramaları) ve test sıklığını da düzenlemektedir.
   
   
4. BİT Üçüncü Taraf Risk İzleme: Finansal kuruluşlar, BİT hizmetleri için üçüncü taraf sağlayıcılara olan bağımlılıklarını yönetmelidirler. Bu, sözleşmelerin dikkatli bir şekilde gözden geçirilmesini, hizmet seviyesi anlaşmalarının yapılmasını, üçüncü taraf sağlayıcıların güvenlik ve dayanıklılık standartlarına uymasını sağlamayı ve performanslarının düzenli olarak izlenmesini içerir.
   
   
5. Bilgi ve İstihbarat Paylaşımı: Finansal kuruluşlar, BİT tehditleri ve güvenlik açıkları hakkında bilgi ve istihbarat paylaşımını teşvik etmelidirler. Bu, sektör genelinde farkındalığı artırmaya, tehditlere karşı daha hızlı ve etkili bir şekilde yanıt vermeye ve sektörün genel dayanıklılığını güçlendirmeye yardımcı olur.

DORA'nın kapsamı oldukça geniştir ve bankalar, yatırım firmaları, sigorta şirketleri, ödeme hizmet sağlayıcıları ve diğer finansal kuruluşları içermektedir. Ayrıca, bu kuruluşlara kritik BİT hizmetleri sağlayan üçüncü taraf hizmet sağlayıcıları da DORA kapsamına girmektedir.

B. DORA'nın Finans Sektörü için Sunduğu Fırsatlar

DORA, finans sektörü için bir dizi önemli fırsat sunmaktadır:

1. Gelişmiş Siber Güvenlik ve Risk Yönetimi: DORA, finansal kuruluşları siber güvenlik ve operasyonel risk yönetimi uygulamalarını geliştirmeye teşvik ederek, siber saldırılar ve diğer BİT kesintileri karşısında daha dirençli hale getirir. Bu, hem finansal kuruluşların kendileri hem de müşterileri için daha güvenli bir ortam sağlar. Özellikle son yıllarda artan siber saldırılar ve veri ihlalleri, finansal kuruluşların güvenlik açıklarını acı bir şekilde ortaya koymuştur. DORA, bu tür olayların tekrarlanmasını önlemek ve finansal sistemin istikrarını korumak için gerekli adımları atmaya zorlamaktadır.
   
   
2. Artırılmış Güven ve İtibar: DORA'ya uyum, finansal kuruluşların güvenilirliğini ve itibarını artırabilir. Müşteriler, kişisel ve finansal bilgilerinin güvende olduğunu bilerek, bu kuruluşlara daha fazla güven duyabilirler. Bu da, müşteri sadakatini artırır ve yeni müşteriler çekmeye yardımcı olur. Günümüzde tüketiciler, finansal hizmet sağlayıcılarını seçerken güvenlik ve gizlilik konularına büyük önem vermektedir. DORA'ya uyum sağlayan kuruluşlar, bu beklentileri karşılayarak müşteri tabanlarını genişletebilirler.
   
   
3. Operasyonel Verimlilik ve Maliyet Tasarrufu: DORA'nın gerektirdiği BİT risk yönetimi ve operasyonel dayanıklılık testleri, finansal kuruluşların operasyonel verimliliklerini artırmalarına ve uzun vadede maliyet tasarrufu sağlamalarına yardımcı olabilir. BİT kesintilerinin önlenmesi veya etkilerinin en aza indirilmesi, finansal kuruluşların gelir kaybını ve itibar zararını önler. Ayrıca, DORA'nın teşvik ettiği otomasyon ve standardizasyon gibi uygulamalar, süreçlerin daha verimli hale gelmesini sağlayarak maliyetleri düşürebilir.
   
   
4. Rekabet Avantajı: DORA'ya uyum sağlayan finansal kuruluşlar, rakiplerine göre rekabet avantajı elde edebilirler. Güçlü bir siber güvenlik ve operasyonel dayanıklılık, müşteriler ve yatırımcılar için önemli bir faktör haline gelmiştir. DORA'ya uyum, finansal kuruluşların bu alandaki güçlü yönlerini vurgulamalarına ve rakiplerinden ayrışmalarına yardımcı olabilir.
   
   
5. İnovasyonu Teşvik: DORA, finansal kuruluşları yeni teknolojiler ve çözümler benimsemeye teşvik ederek, sektördeki inovasyonu destekleyebilir. Örneğin, bulut bilişim, yapay zeka ve makine öğrenmesi gibi teknolojiler, finansal kuruluşların BİT risklerini daha etkili bir şekilde yönetmelerine yardımcı olabilir. Aynı zamanda, DORA'nın getirdiği standartlar ve gereklilikler, yeni teknolojilerin güvenli ve kontrollü bir şekilde benimsenmesini sağlayarak, finansal inovasyonun önünü açabilir.
   
   

C. DORA'nın Finans Sektörü için Getirdiği Zorluklar

DORA'nın getirdiği fırsatların yanı sıra, finans sektörü için bir dizi zorluk da beraberinde getirdiği söylenebilir:

1. Uyum Maliyetleri: DORA'ya uyum sağlamak, finansal kuruluşlar için önemli maliyetler getirebilir. Özellikle küçük ve orta ölçekli kuruluşlar, gerekli BİT altyapısını ve uzmanlığını sağlamakta zorlanabilirler. Bu durum, rekabet eşitsizliğine ve sektörde konsolidasyona yol açabilir. DORA'nın gerektirdiği yatırımlar, personel eğitimi, danışmanlık hizmetleri ve yeni teknolojilerin benimsenmesi gibi alanlarda önemli maliyetler doğurabilir.
   
   
2. Karmaşıklık ve Yorumlama: DORA'nın bazı hükümleri, özellikle BİT üçüncü taraf risk izleme ve operasyonel dayanıklılık testi gibi konularda, karmaşık ve yoruma açık olabilir. Bu durum, finansal kuruluşların uyum süreçlerini zorlaştırabilir ve hukuki belirsizliğe neden olabilir. Özellikle farklı yargı bölgelerinde faaliyet gösteren kuruluşlar, DORA'nın yerel düzenlemelerle uyumunu sağlamakta zorlanabilirler.
   
   
3. Operasyonel Yük: DORA'nın gerektirdiği BİT risk yönetimi, olay bildirimi ve test süreçleri, finansal kuruluşlar için önemli bir operasyonel yük getirebilir. Bu yük, özellikle mevcut kaynakları sınırlı olan kuruluşlar için zorlayıcı olabilir. DORA'nın gerektirdiği düzenli raporlama, denetim ve test süreçleri, finansal kuruluşların iş yükünü artırabilir ve kaynaklarını zorlayabilir. Bu durum, özellikle küçük ve orta ölçekli kuruluşlar için önemli bir sorun olabilir.
   
   
4. Rekabet Etkileri: DORA'ya uyum sağlamak için yapılan yatırımlar, finansal kuruluşların maliyetlerini artırabilir ve bu maliyetler müşterilere yansıtılabilir. Bu durum, finansal hizmetlerin fiyatlarını artırarak, tüketicileri olumsuz etkileyebilir. Ayrıca, DORA'nın getirdiği bazı yükümlülükler, özellikle küçük ve orta ölçekli finansal kuruluşlar için rekabet dezavantajı yaratabilir. Büyük finansal kuruluşlar, DORA'ya uyum sağlamak için gerekli kaynaklara daha kolay erişebilirken, küçük ve orta ölçekli kuruluşlar bu konuda zorlanabilirler. Bu durum, rekabet ortamını bozabilir ve sektörde konsolidasyona yol açabilir.

D. BİT Üçüncü Taraf Risk Yönetimi İlkeleri

DORA'ya göre, finansal kuruluşlar BİT üçüncü taraf riskini, genel BİT risk yönetimi çerçeveleri içerisinde ele almalıdır. Bu süreçte, kuruluşlar her zaman üçüncü taraf sağlayıcılarla yapılan sözleşmelerden kaynaklanan yükümlülüklere uymaktan ve bu yükümlülüklerin yerine getirilmesinden tamamen sorumlu olacaktır. BİT üçüncü taraf risk yönetimi, orantılılık ilkesi doğrultusunda uygulanmalıdır. Bu, risk yönetimi faaliyetlerinin, BİT bağımlılıklarının niteliği, ölçeği, karmaşıklığı ve önemi ile sözleşmeye dayalı düzenlemelerin kritikliği ve finansal hizmetlerin sürekliliği üzerindeki potansiyel etkisi dikkate alınarak ölçeklendirilmesi gerektiği anlamına gelir.

1. Üçüncü Taraf Risk Stratejisi ve Bilgi Kaydı

Mikro işletmeler dışındaki finansal kuruluşlar, BİT üçüncü taraf riskine ilişkin bir strateji belirlemek ve bu stratejiyi düzenli olarak gözden geçirmek zorundadır. Bu strateji, kritik veya önemli işlevleri destekleyen BİT hizmetlerinin kullanımına ilişkin politikaları içermeli ve hem bireysel hem de grup düzeyinde uygulanmalıdır. Yönetim organı, finansal kuruluşun genel risk profilini ve ticari hizmetlerin ölçeğini dikkate alarak, kritik BİT hizmetlerine ilişkin riskleri düzenli olarak değerlendirmelidir. Finansal kuruluşlar, BİT üçüncü taraf hizmet sağlayıcılarıyla yapılan tüm sözleşmelerle ilgili bir bilgi kaydı tutmalı ve bu kaydı güncel tutmalıdır. Bu kayıt, kritik veya önemli işlevleri destekleyen hizmetlere ilişkin sözleşmeleri ayrı olarak belgelendirmeli ve yetkili makamlara düzenli olarak raporlanmalıdır. Ayrıca, finansal kuruluşlar, talep edilmesi halinde bilgi kaydını veya belirli bölümlerini yetkili makama sunmalıdır.

2. Sözleşme Öncesi Değerlendirme ve Çıkış Stratejileri

Finansal kuruluşlar, BİT hizmetlerine ilişkin bir sözleşme imzalamadan önce, sözleşmenin kapsamını, risklerini ve potansiyel çıkar çatışmalarını dikkatle değerlendirmelidir. Ayrıca, yalnızca uygun bilgi güvenliği standartlarına sahip sağlayıcılarla çalışmalı ve kritik işlevler için en güncel ve en yüksek kalitede bilgi güvenliği standartlarını kullanan sağlayıcıları tercih etmelidirler. BİT hizmetlerine ilişkin sözleşmeler, belirli durumlarda (örneğin, yasalara aykırılık, hizmet kalitesinde düşüş veya yetkili makamın denetim yapamaması gibi) feshedilebilir olmalıdır. Finansal kuruluşlar, bu tür durumlar için çıkış stratejileri geliştirmeli ve hizmetlerin kesintiye uğramadan veya müşterilere zarar vermeden başka bir sağlayıcıya veya şirket içine aktarılmasını sağlayacak geçiş planları hazırlamalıdır.

3. Denetim ve İnceleme Hakları

Finansal kuruluşlar, BİT üçüncü taraf hizmet sağlayıcıları üzerinde erişim, inceleme ve denetim haklarına sahip olmalıdır. Denetim ve incelemelerin sıklığı ve kapsamı, risk temelli bir yaklaşımla belirlenmeli ve yaygın olarak kabul edilen denetim standartlarına uygun olmalıdır. Karmaşık BİT hizmetleri söz konusu olduğunda, finansal kuruluşlar, denetimleri gerçekleştirecek iç veya dış denetçilerin yeterli bilgi ve beceriye sahip olduğunu doğrulamalıdır.

DORA'nın BİT üçüncü taraf risk yönetimi çerçevesi, finansal kuruluşların dijital operasyonel dayanıklılıklarını artırmalarına ve BİT kesintilerine karşı hazırlıklı olmalarına yardımcı olmayı amaçlamaktadır. Ancak, bu çerçevenin etkin bir şekilde uygulanabilmesi için, finansal kuruluşların gerekli yatırımları yapmaları, süreçlerini gözden geçirmeleri ve uzmanlıklarını geliştirmeleri gerekmektedir. DORA'nın getirdiği zorlukların üstesinden gelinmesi, finans sektörünün dijital dönüşümünü başarıyla tamamlaması ve müşterilerine güvenli ve kesintisiz hizmet sunmaya devam etmesi için kritik öneme sahiptir.

E. Dijital Operasyonel Dayanıklılık Yasası'na (DORA) Göre Yönetim Organının Sorumlulukları

Dijital Operasyonel Dayanıklılık Tüzüğü (DORA) 5. Maddesi, finansal kuruluşların yönetim organlarının BİT risk yönetiminde oynaması gereken hayati rolü vurgular. Yönetim organlarına, kurumun BİT risklerini etkin bir şekilde yönetebilmesi için kapsamlı bir sorumluluk yelpazesi yükler.

Bu sorumluluklar, BİT risk yönetimi çerçevesinin oluşturulması, onaylanması, denetlenmesi ve uygulanması gibi temel görevleri içerir. Yönetim organı, kuruluşun BİT risk toleransını belirleyerek, risk iştahını ve kabul edilebilir risk seviyelerini belirler. Aynı zamanda, BİT iş sürekliliği politikalarının ve planlarının oluşturulması, gözden geçirilmesi ve onaylanmasından sorumlu olarak, olası kesintilere karşı hazırlıklı olmayı sağlar.

DORA, yönetim organının BİT iç denetim planlarını ve denetimlerini onaylaması ve düzenli olarak gözden geçirmesi gerekliliğini de vurgular. Bu, BİT risk yönetimi süreçlerinin etkinliğini ve uygunluğunu değerlendirmek için önemlidir. Ayrıca, yönetim organı, BİT riskine ilişkin raporlama kanallarının oluşturulmasından sorumlu olarak, BİT riskleriyle ilgili bilgilerin zamanında ve doğru bir şekilde yönetim organına ulaşmasını sağlar.

DORA'nın 5. Maddesi, yönetim organı üyelerinin BİT riskleri ve bunların finansal kuruluş üzerindeki potansiyel etkileri konusunda yeterli bilgi ve beceriye sahip olmaları gerektiğini de belirtir. Bu, yönetim organının BİT risklerini etkin bir şekilde değerlendirebilmesi ve bilinçli kararlar alabilmesi için kritik öneme sahiptir. Bu nedenle, yönetim organı üyelerinin düzenli olarak BİT riskine yönelik eğitimler alması ve güncel gelişmeleri takip etmesi beklenir.

DORA'nın 5. Maddesi, finansal kuruluşların yönetim organlarına yüklediği sorumluluklarla, BİT risk yönetiminin kurumsal yönetişimin ayrılmaz bir parçası haline gelmesini hedeflemektedir. Bu, finansal kuruluşların dijital operasyonel dayanıklılıklarını artırmalarına ve BİT risklerine karşı daha hazırlıklı olmalarına katkı sağlayacaktır.

Sonuç

DORA, finansal kuruluşlar için doğrudan bağlayıcı olan bir AB tüzüğüdür. Bu, tüm AB üyesi ülkelerde doğrudan uygulanabilir olduğu anlamına gelir. DORA'ya uymayan finansal kuruluşlar, idari para cezaları ve diğer yaptırımlarla karşı karşıya kalabilir.

DORA'nın hukuki boyutu ve etkileri üzerine çeşitli tartışmalar devam etmektedir. Bazı hukukçular, DORA'nın bazı hükümlerinin, özellikle veri koruma ve rekabet hukuku gibi diğer alanlardaki mevzuatla çelişebileceğini savunmaktadırlar. Özellikle, DORA'nın gerektirdiği bilgi ve istihbarat paylaşımı, kişisel verilerin korunması ve ticari sırların ifşa edilmesi gibi konularda endişelere yol açabilir. Ayrıca, DORA'nın getirdiği bazı yükümlülüklerin, finansal kuruluşlar için orantısız olabileceği ve küçük ve orta ölçekli kuruluşlara aşırı yük getireceği de tartışılmaktadır.

DORA, finans sektörünün dijital operasyonel dayanıklılığını güçlendirmek için önemli bir adım olarak değerlendirilebilir. Ancak, tüzüğün getirdiği zorluklar ve potansiyel riskler de göz ardı edilmemelidir. Finansal kuruluşlar, DORA'ya uyum sağlamak için gerekli yatırımları yaparken, aynı zamanda inovasyon kapasitelerini korumalı ve rekabet güçlerini kaybetmemelidirler.

DORA'nın finans sektörü için bir dönüm noktası mı yoksa aşılması gereken bir engel mi olacağı, önümüzdeki yıllarda tüzüğün uygulanması ve etkileriyle daha net bir şekilde ortaya çıkacaktır. Ancak, şimdiden görünen o ki, DORA, finans sektörünün dijital dönüşümünün önemli bir parçası olacak ve sektörün geleceğini şekillendirecektir. Bu süreçte, finansal kuruluşların, denetleyici makamların ve diğer paydaşların iş birliği ve uyumlu çalışması büyük önem taşımaktadır.