DORA sonrası Avrupa Finans sektörü

Dijital Operasyonel Dayanıklılık Yasası (Digital Operational Resilience Act) veya kısaca DORA, Avrupa Birliği'nin (AB) finans sektörünün dijital altyapısını güçlendirmek ve operasyonel dayanıklılığını artırmak amacıyla oluşturduğu bir düzenleme. Ocak 2025’te hayata geçen yasa finansal kurumların bilgi ve iletişim teknolojileri (BT) risklerini daha iyi yönetmelerini ve bu risklere karşı daha dayanıklı olmalarını amaçlıyor. Sonuçta finansal kurumları hem altyapı hem insan kaynağı açısından daha güçlendirerek riskleri asgari seviyeye indirmeyi öngörüyor.

DORA, 2023’te yürürlüğe girdiğinden beri Avrupalı finansal kurumların bir numaralı önceliği haline geldi. Peki DORA’yı diğer mevzuattan ayıran hususlar neler?

DORA'nın önemi

Finans sektörü, günümüzde teknolojiye giderek daha fazla bağımlı hale geldi. Bankacılık, ödeme hizmetleri ve yatırım şirketleri gibi kurumlar, temel hizmetlerini sunmak için tamamen dijital altyapıya güveniyorlar. Ancak bu bağımlılık, siber saldırılar, BT kesintileri ve dış BT hizmet sağlayıcılarına bağımlılık gibi riskleri de beraberinde getiriyor. DORA, temelde bu riskleri yönetmek ve finansal sistemin istikrarını korumak amacıyla tasarlandı.

2023 yılında AB finans altyapısına yönelik siber saldırıların iki katından fazla artması ve yapay zeka teknolojisinin ilerlemesi, ilerleyen dönemlerde siber saldırıların istikrarlı bir şekilde artacağını gösteriyor. Nitekim 2024 yılında da Avrupa bankalarının maruz kaldığı siber saldırıların diğer yıllara kıyasla ciddi artış gösterdiği tespit edildi.

Global politikaların hassaslaştığı bu dönemde ise siber güvenlik her zamankinden daha önemli ve bu sebeple dijital dayanıklılık, Avrupa finans kurumları için kritik bir öncelik haline geldi.

DORA'nın ana hedefleri ve kapsamı

DORA'nın finansal hizmetler sektöründe BT risk yönetimini kapsamlı bir şekilde ele almak ve bu riskleri azaltmak ve AB üye ülkelerindeki farklı BT risk yönetimi düzenlemelerini birleştirmek ve tüm finansal kurumlar için ortak bir çerçeve oluşturmak üzerine iki ana hedefi bulunuyor.

DORA düzenlemeleri, bankalar, sigorta şirketleri, yatırım firmaları gibi finansal kurumları ve bu kurumlar için kritik BT hizmetleri sağlayan üçüncü taraf sağlayıcıları kapsıyor. Bu düzenleme, tüm AB üye ülkelerinde aynı standartları uygulamayı amaçlarken ve finansal kurumların BT kesintilerine karşı dayanıklı olmasını sağlıyor.

DORA'nın getirdiği değişiklikler

DORA, finansal kurumların BT departmanlarının bu tehditlere karşı dayanıklı olmasını sağlamak için birkaç kritik alana odaklanıyor:

• BT Risk Yönetimi Çerçevesi: Finansal kurumlar, BT risklerini yönetmek için kapsamlı bir çerçeve oluşturmak zorunda. Bu çerçeve, zaafiyet değerlendirmeleri, önleme stratejileri ve sürekli izleme gibi başlıkları içeriyor.
• Üçüncü Taraf Sağlayıcı Denetimi: Finansal kurumlar, üçüncü taraf BT hizmet sağlayıcılarıyla işbirliği yapmadan önce kapsamlı bir due diligence yapmak zorunda.
• Olay Yanıtı ve Testleri: DORA, periyodik dijital operasyonel dayanıklılık testlerini zorunlu kılar ve önemli BT tabanlı olayları ilgili otoritelere bildirmek için yönetim sistemlerinin kurulmasını gerektirir.
• Sözleşme ve Hizmet Anlaşmaları: Finansal kurumlar, kritik BT hizmetleri sağlayan üçüncü taraf sağlayıcılarla yapılan sözleşmeleri DORA standartlarına uygun hale getirmelidir.
• Bilgi Paylaşımı: DORA, finansal kurumların siber tehditler hakkında bilgi ve istihbarat paylaşmasını ve yetkilileri bilgilendirmelerini teşvik etmektedir.

DORA ile beraber güçlendirilmesi amaçlanan operasyonel dayanıklılık ve risk yönetimine ek olarak banka ve finansal hizmet sağlayıcı yöneticilerinin bilgi teknolojileri alanında daha derinden ve pratik bilgi sahibi olması amaçlanıyor. Mevzuat, operasyonel dayanıklılık ve risk stratejilerinin sorumluluğunu banka yönetim organlarına yükleyerek yönetimin de konuyla birebir ilgilenmesini bir nevi zorunlu kılmıştır. Bu sebeple DORA, yürürlüğe girdiğinden beri Avrupa banka yöneticilerinin birinci önceliği haline geldi. 

DORA ile beklenen değişiklikler

DORA, uzmanlarca finans sektörünün dijital altyapısını güçlendirmek ve operasyonel dayanıklılığını artırmak için kritik bir adım olarak görülüyor. DORA’daki yenilikler yöneticilerin BT alanında daha proaktif bir tutum takınmasını ve operasyonel dayanıklılığını sürekli olarak stres testine tabi tutmasını, finansal kurumların dış kaynak (outsourcing) iş ortaklarını sıkı bir teste tabi tutmasını zorunlu kılıyor. Buna karşılık, fintech ve dış kaynak şirketlerinin BT risklerini daha da ciddiye almasını sağlamış oluyor.

DORA kriterlerinin pratik olarak yürürlüğe girmesi için belirli süreler olsa da Almanya gibi bazı bölgelerde bu sürelerin öne çekilmesi ile finansal kurumlar için yarış başladı. Bu sebeple, 2025 ve 2026’da Avrupalı finansal kurumlar ile iş birliğine girmek veya bunlara ürün/hizmet sunmak isteyen şirketlerin mutlaka DORA’nın uygulanabilirliği konusunda uyum çalışmalarına yatırım yapmaları ve planlarını finansal kurumların uyum önceliklerine göre yapmalarını tavsiye ederiz.