Rapunzel’in Kulesi ve DORA: Finansal Kurumlar İçin Yeni Bir Güvenlik Çağı

DORA (Dijital Operasyonel Dayanıklılık Yasası), finansal kuruluşları siber tehditlerden koruyan bir “sihirli kalkan” gibidir. Tıpkı Rapunzel’in yüksek bir kulede dış dünyanın tehlikelerinden korunması gibi, DORA da finansal kuruluşları siber saldırılardan ve operasyonel risklerden korur. Bu yasa, kuruluşların “kulelerini” güçlendirmesine, siber güvenlik açıklarını kapatmalarına ve dijital dünyada güvenli bir şekilde faaliyet göstermelerine yardımcı olur. Peki DORA bu korumayı nasıl sağlıyor? Gelin, DORA’nın temel unsurlarını ve finansal kuruluşlar için önemini birlikte inceleyelim.

DORA Nedir?

DORA kısaltmasıyla bilinen Dijital Operasyonel Dayanıklılık Yasası (Digital Operational Resilience Act), finansal kuruluşların siber güvenlik ve operasyonel dayanıklılıklarını artırmayı amaçlayan kapsamlı bir Avrupa Birliği düzenlemesidir. Resmi adı 2022/2554 sayılı düzenleme olan DORA, özellikle finansal sektördeki kurumların siber saldırılara, bilgi güvenliği ihlallerine ve dijital dönüşüm süreçlerinde karşılaşılan risklere karşı dirençli olmasını sağlayan bir çerçeve sunar.

DORA Kimleri Kapsar?

DORA, Avrupa Birliği’nde faaliyet gösteren finansal kuruluşlar ile bu kuruluşlara bulut bilişim ve siber güvenlik gibi çeşitli hizmetler veren üçüncü tarafları da kapsayan kapsamlı bir düzenlemedir. Bu kapsamdaki kuruluşlar aşağıdaki şekilde gruplanabilir:

  1. Finansal Kurumlar:
    • Bankalar
    • Sigorta şirketleri
    • Yatırım firmaları
    • Ödeme hizmeti sağlayıcıları
    • Elektronik para kuruluşları
    • Menkul kıymetler firmaları
    • Yatırım fonları ve yöneticileri
  2. Piyasa Altyapısı Sağlayıcıları:
    • Merkezi saklama kuruluşları
    • Takas ve ödeme sistemleri
    • Borsa operatörleri
  3. Finansal Teknoloji (FinTech) Firmaları:
    • Dijital ödeme sistemleri sağlayıcıları
    • Kripto varlık hizmet sağlayıcıları
    • Diğer fintech hizmet sağlayıcıları
  4. Bilgi ve İletişim Teknolojileri (ICT) Tedarikçileri:
    • Dış hizmet sağlayıcıları, özellikle bulut hizmeti sağlayıcıları
    • BT altyapı sağlayıcıları ve diğer teknoloji tedarikçileri

Neden Bu Kadar Geniş Bir Kapsam?

DORA’nın kapsamının bu kadar geniş olmasının temel nedeni, finansal sistemin birbirine bağlı ve karmaşık bir yapıya sahip olmasıdır. Bir finansal kuruluşun yaşadığı bir siber saldırı veya operasyonel aksaklık, tüm sistemi etkileyebilir. Bu nedenle, sadece finansal kuruluşların değil, bu kuruluşlara hizmet veren tüm tarafların da siber güvenlik ve operasyonel dayanıklılık konusunda yeterli önlemleri alması gerekmektedir.

Önemli Tarihler

16 Ocak 2023 tarihinde resmi olarak yürürlüğe giren DORA yasasına uyum konusunda finansal kuruluşlara 2 yıllık bir süre tanınmıştır. DORA yasasının tüm hükümleri 17 Ocak 2025 tarihi itibariyle geçerli olacak ve ilgili kurumların düzenlemelere tamamen uyum sağlamaları beklenecektir. DORA yasası için önemli tarihler aşağıdaki görseldeki gibidir.


DORA Regülasyonuna Uyum Sağlayamamanın Sonuçları:

DORA’ya uymayan finansal kuruluşlar, aşağıdaki gibi çeşitli yaptırımlarla karşılaşabilirler:

  • Para Cezaları: Düzenleyici otoriteler tarafından önemli miktarlarda para cezaları kesilebilir. Cezaların miktarı, kuruluşun büyüklüğü, ihlalin ciddiyeti ve süresi gibi faktörlere göre belirlenir.
  • İşlemlerin Durdurulması: Belirli işlemlerin geçici veya kalıcı olarak durdurulmasına karar verilebilir. Bu durum, kuruluşun faaliyetlerini önemli ölçüde kısıtlayabilir.
  • Yönetim Kurulu Üyeleri Üzerine Yaptırımlar: Yönetim kurulu üyeleri, kuruluşun DORA’ya uymamasından sorumlu tutulabilir ve kişisel olarak yaptırımlarla karşılaşabilirler.
  • Pazarlama Yasağı: Kuruluşun belirli ürün veya hizmetlerini pazarlaması yasaklanabilir.
  • Repütasyon Zararı: DORA’ya uymama, kuruluşun itibarını ciddi şekilde zedeler ve müşteri güvenini sarsabilir. Bu durum, müşteri kaybına ve piyasadaki rekabet gücünün zayıflamasına neden olabilir.
  • Lisansın Geri Alınması: En ağır yaptırım olarak, kuruluşun faaliyet göstermesine izin veren lisansın geri alınması söz konusu olabilir. Bu durumda kuruluş, faaliyetlerine son vermek zorunda kalır.

DORA Regülasyonu ve Türkiye:

Türkiye, Avrupa Birliği üyesi olmasa da, finansal sektörü Avrupa ile sıkı bir şekilde entegredir. Özellikle Avrupa Birliği’nde faaliyet gösteren Türk bankaları ve finansal kuruluşları, DORA’nın direkt etkisi altındadır. Peki, Türkiye’de DORA’nın etkileri nasıl yorumlanabilir?

  • Doğrudan Uyum: Türkiye’deki bankalar, sigorta şirketleri, fintech firmaları veya diğer finansal kurumlar, Avrupa’da faaliyet gösteriyorsa veya AB’deki finansal sistemle entegre durumdaysa (örneğin, Avrupa’daki şubelere veya iştiraklere sahiplerse), DORA’ya uyum sağlamak zorunda kalabilirler.
  • Düzenleyici Çerçeveye Etkisi: Türkiye’deki Bankacılık Düzenleme ve Denetleme Kurumu (BDDK) gibi düzenleyici kurumlar, DORA’yı yakından takip ederek kendi düzenlemelerini güncelleyebilir. 
  • Rekabet Avantajı: DORA’ya uyum sağlayan Türk bankaları,uluslararası arenada daha rekabetçi konuma gelebilir ve müşteri güvenini artırabilir.
  • Risk Yönetimi: DORA, Türk bankalarının siber risk yönetimi kültürünü güçlendirerek, olası siber saldırılara karşı daha hazırlıklı olmalarına katkı sağlayabilir.

Sonuç:

Sonuç olarak, DORA, finans sektöründe siber güvenliğin önemini vurgulayan ve kurumların bu alanda daha ciddi adımlar atmalarını zorunlu kılan kapsamlı bir düzenlemedir. Bu sayede, finansal sistem daha güvenli, daha dayanıklı ve daha şeffaf hale gelecektir. 

DORA yasasına uyum konusunda yapılacak çalışmalar kurumların siber dayanıklılığına  pozitif katkı sağlayacaktır. Uyum sağlanmadığı durumda ise ciddi cezalar  ile karşı karşıya kalınacaktır. Yasanın tamamen yürürlüğe gireceği tarih olan 17 Ocak 2025 göz önüne alındığında, DORA uyum konusunda henüz aksiyon almamış kurumların gerekli çalışmaları ivedilikle başlatması bir zorunluluktur.

Yazımızın sonuna gelirken finansal kurumların DORA yasasına uyum sağlamak için aşağıdaki temel adımları atmalarını önermekteyiz. Bu adımların birer genel öneri niteliğinde olduğunu ve bu aksiyonların DORA yasasına uyum konusuna bir garanti vermeyeceğini de hatırlatmak isteriz.

Risk Değerlendirmesi:

  • Kurumun tüm IT sistemlerinin ve üçüncü taraf sağlayıcılarının risk haritasını çıkarmak.
  • Kritik iş süreçlerini ve bunlara bağlı IT sistemlerini belirlemek.

Güçlü Bir Siber Güvenlik Altyapısı Oluşturmak:

  • Güçlü kimlik doğrulama mekanizmaları oluşturmak.
  • Veri şifreleme ve erişim kontrolü uygulamalarını geliştirmek.
  • Güncel güvenlik yazılımları kullanmak; sistem ve uygulamalara düzenli olarak yama uygulamak.
  • Kurum genelinde siber güvenlik farkındalığını arttırmaya yönelik programlar geliştirmek.

Güvenlik Olay Yönetimi Sistemlerini Geliştirmek:

  • Siber saldırıları hızlı bir şekilde tespit etmek ve müdahale etmek için bir güvenlik olay yönetimi sistemi kurmak.
  • Yaşanan vakalar sonrası iyileşme planları oluşturmak.

Üçüncü Taraf Risk Yönetimi:

  • Üçüncü taraf sağlayıcıların siber güvenlik durumlarını değerlendirmek.
  • Sözleşmelerde uyulması gereken siber güvenlik şartlarını belirlemek.

İş Sürekliliği Planları Oluşturmak:

  • Felaket senaryolarına karşı iş sürekliliği planları oluşturmak ve düzenli olarak test etmek.

DORA yasası, finansal kuruluşlar için önemli bir dönüşüm süreci başlatmıştır. Bu yasayı kurumlarımızın siber güvenlik altyapılarını ve siber dayanıklılıklarını iyileştirecek bir fırsat olarak görmek, kurumların gelecekteki başarısı için kritik öneme sahip olacaktır.

Yazar Hakkında