DORA Üçüncü Taraf Raporlaması: Türk Bankaları İçin Uyum Rehberi

DORA'nın üçüncü taraf hizmet sağlayıcı raporlama gereksinimleri, AB ile iş yapan Türk bankalarını doğrudan etkiliyor. Bulut sağlayıcıları, teknoloji ortakları ve tedarik zinciri riskinin yönetimi üzerine kapsamlı bir inceleme.

DORA'nın Üçüncü Taraf Hizmet Sağlayıcı Raporlaması: Türk Finans Sektörü İçin Ne Anlam İfade Ediyor?

Avrupa Birliği'nin Dijital Operasyonel Dayanıklılık Yasası (DORA), Ocak 2025 itibarıyla tam anlamıyla yürürlüğe girmiş durumda. Ancak bu düzenlemenin etki alanı yalnızca AB üyesi ülkelerle sınırlı kalmıyor. AB finans kurumlarıyla iş yapan, onlara hizmet sunan ya da ortak operasyonlar yürüten Türk bankaları ve fintek şirketleri de bu düzenlemenin dolaylı yükümlülükleri altına giriyor. Özellikle üçüncü taraf hizmet sağlayıcı raporlaması konusu, Türk finans sektörü için hem operasyonel hem de stratejik açıdan kritik bir mesele haline geliyor.

DORA'nın Üçüncü Taraf Raporlamasına Bakışı

DORA, finansal kuruluşların yalnızca kendi sistemlerini değil, dışarıdan aldıkları hizmetlerin oluşturduğu riski de yönetmelerini zorunlu kılıyor. Bu kapsamda Kritik Üçüncü Taraf Hizmet Sağlayıcılar (CTPP - Critical Third-Party Providers) olarak tanımlanan kuruluşlar doğrudan AB denetim otoritelerinin gözetimi altına alınıyor.

Düzenlemenin üçüncü taraf yönetimine ilişkin temel gereksinimleri şu şekilde özetlenebilir:

Kapsamlı sözleşme çerçevesi: AB finansal kuruluşları, teknoloji ve bulut hizmet sağlayıcılarıyla yapılan sözleşmelerin denetim hakkı, çıkış stratejisi ve hizmet sürekliliği maddelerini içermesini sağlamak zorunda.
Risk konsantrasyon analizi: Belirli bir sağlayıcıya aşırı bağımlılığın sistematik olarak değerlendirilmesi ve raporlanması gerekiyor.
Kayıt ve raporlama yükümlülüğü: Tüm kritik üçüncü taraf ilişkileri düzenleyici otoritelere raporlanmalı, değişiklikler anlık olarak kayıt altına alınmalı.
Penetrasyon testi ve güvenlik doğrulaması: Üçüncü tarafların sistemleri üzerinde tehdit odaklı sızma testleri (TLPT) yapılması bekleniyor.

Türk Bankalarının AB Ekosistemindeki Konumu

Türkiye, AB ile derin finansal entegrasyona sahip bir ekonomidir. Birçok Türk bankası Avrupa'da şube ya da iştirak operasyonları yürütmekte; yurt içi bankalar ise AB merkezli kurumsal müşterilere hizmet vermekte ve muhabir bankacılık ilişkileri sürdürmektedir. Bu yapısal bağ, Türk finans kuruluşlarını DORA'nın dolaylı yükümlülük ağına çekiyor.

Somut bir örnek üzerinden düşünelim: İstanbul merkezli bir özel banka, Almanya'daki bir ticaret bankasına muhabir bankacılık hizmeti sunuyor. Bu Alman bankası DORA kapsamında, Türk bankasının kullandığı bulut altyapısını ve kritik yazılım bileşenlerini raporlamak zorunda. Dolayısıyla Türk bankasının teknoloji tedarik zinciri artık yalnızca BDDK denetimiyle değil, dolaylı olarak Avrupa Bankacılık Otoritesi (EBA) ve diğer AB denetim otoritelerinin talepleriyle de şekilleniyor.

Bulut Sağlayıcıları ve Teknoloji Ortakları: Raporlama Pratiği

Hangi Sağlayıcılar Kapsama Giriyor?

Türk bankalarının AB ortaklarıyla paylaşılan ya da bu ortaklara hizmet sunan operasyonlarında kullandığı teknoloji sağlayıcıları raporlama kapsamına girebilir. Bu sağlayıcılar arasında şunlar sayılabilir:

Hiperölçekli bulut platformları (AWS, Microsoft Azure, Google Cloud)
Temel bankacılık yazılımı sağlayıcıları
Ödeme altyapısı ve mesajlaşma hizmetleri (SWIFT hizmet büroları dahil)
Siber güvenlik hizmet sağlayıcıları
Veri merkezi ve colocation hizmetleri

Raporlamada Karşılaşılan Pratik Zorluklar

Türk bankaları için asıl sorun, bu raporlama sürecine pasif bir nesne olarak değil, aktif bir ortak olarak dahil olmak zorunda kalmalarıdır. AB'deki muhatap finansal kuruluş, Türk bankasından sözleşme detaylarını, sağlayıcı güvenlik belgelerini ve denetim raporlarını talep ettiğinde, kurumun buna hazır olması gerekiyor.

Uygulamada karşılaşılan başlıca güçlükler şunlardır:

Belgeleme eksiklikleri: Türkiye'deki birçok banka, üçüncü taraf ilişkilerini DORA'nın öngördüğü ayrıntı düzeyinde kayıt altına tutmuyor. Özellikle alt-yüklenici zincirinin (fourth-party risk) belgelenmesi kritik bir açık oluşturuyor.
Sözleşme uyumsuzlukları: Mevcut teknoloji sözleşmelerinin AB denetim hakkı maddelerini karşılamadığı durumlar yaygın. Bu durum, hem yeniden müzakere süreçlerini hem de sözleşme risklerini beraberinde getiriyor.
Veri egemenliği çatışması: DORA'nın talep ettiği şeffaflık ile Türkiye'nin veri lokalizasyon gereksinimleri zaman zaman çelişiyor. Hangi bilginin paylaşılabileceğinin hukuki olarak netleştirilmesi gerekiyor.
Kapasite ve farkındalık boşluğu: Orta ölçekli Türk bankalarında DORA'nın üçüncü taraf hükümleri hakkında yeterli bilgi birikimi henüz oluşmamış durumda.

Tedarik Zinciri Riskinin Yönetimi: Stratejik Bir Çerçeve

Envanter ve Sınıflandırma

İlk adım, tüm üçüncü taraf ilişkilerinin kapsamlı bir envanterinin çıkarılmasıdır. Bu envanter; sağlayıcının AB operasyonlarıyla bağlantısı, sağladığı hizmetin kritiklik düzeyi, kullandığı alt-yükleniciler ve mevcut sözleşme koşulları bilgilerini içermelidir. DORA terminolojisiyle uyumlu bir sınıflandırma şeması oluşturmak, hem iç yönetimi hem de dış raporlamayı kolaylaştırır.

Sözleşme Modernizasyonu

Mevcut teknoloji ve bulut sözleşmelerinin DORA uyumluluğu açısından gözden geçirilmesi zorunludur. Özellikle şu maddelerin sözleşmelere eklenmesi ya da güncellenmesi gerekiyor:

Denetim ve erişim hakları (AB denetim otoritelerini de kapsayacak şekilde)
Veri portabilitesi ve çıkış planlaması
Hizmet sürekliliği ve felaket kurtarma taahhütleri
Alt-yüklenici değişikliklerinde bildirim yükümlülüğü

Sürekli İzleme ve Raporlama Altyapısı

DORA, üçüncü taraf riskini tek seferlik bir değerlendirme olarak değil, sürekli bir izleme süreci olarak tanımlıyor. Türk bankalarının AB ortaklarına sunacağı bilgilerin doğrulanabilir, güncel ve standart formatlarda olması bekleniyor. Bu nedenle GRC (Governance, Risk and Compliance) platformlarının üçüncü taraf risk modüllerinin DORA gereksinimlerine göre yapılandırılması kritik önem taşıyor.

BDDK Düzenlemeleriyle Örtüşen ve Ayrışan Noktalar

Türkiye'de bankacılık sektörü için Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Yönetmeliği kapsamında üçüncü taraf yönetimine ilişkin yükümlülükler zaten mevcut. DORA ile bu çerçeve arasındaki temel farklar şöyle özetlenebilir:

Raporlama muhatabı: BDDK'ya yapılan raporlama yerel; DORA uyumluluğu ise dolaylı olarak AB denetim otoritelerine uzanıyor.
Kapsam genişliği: DORA, ICT (Bilgi ve İletişim Teknolojileri) riskini çok daha geniş bir perspektiften ele alıyor; operasyonel dayanıklılık testleri bu kapsamda.
Yaptırım mekanizması: DORA ihlallerinin doğrudan yaptırımı Türk bankaları için geçerli olmasa da, AB ortakları üzerindeki baskı Türk tarafına sözleşmesel yükümlülükler olarak yansıyor.

Sonuç: Proaktif Uyum, Rekabet Avantajına Dönüşür

DORA'nın üçüncü taraf raporlama gereksinimleri, AB ile entegre çalışan Türk finans kuruluşları için yalnızca bir uyum yükü değil, aynı zamanda tedarik zinciri yönetimini olgunlaştırma ve AB piyasasındaki güvenilirliği artırma fırsatıdır. Proaktif hazırlık yapan Türk bankaları, AB muhataplarının talep süreçlerini hızlandırabilecek, denetim sürtüşmelerini azaltabilecek ve uzun vadede daha sağlam teknoloji ortaklıkları kurabilecektir.

Bu süreçte yapılması gereken ilk şey, kurumun mevcut üçüncü taraf riskini DORA lensiyle değerlendirmek ve boşlukları sistematik biçimde kapatmaya başlamaktır. Zaman, bu dönüşümün en değerli kaynağıdır.