Avrupa Birliği’nin Dijital Operasyonel Dayanıklılık Yasası (DORA), 17 Ocak 2025 itibarıyla uygulanıyor ve finansal kuruluşların siber olaylar ile BT kesintilerine karşı dayanıklı kalmasını zorunlu kılıyor.
DORA ne getiriyor?
DORA; BT risk yönetimi, olay yönetimi ve bildirim, operasyonel dayanıklılık testleri (TLPT dâhil), BT üçüncü taraf risk yönetimi ve tehdit istihbaratı paylaşımı başlıklarını tek bir çatı düzenlemede birleştirir. Amaç; bankalar, sigorta şirketleri, yatırım kuruluşları, ödeme/e-para kurumları gibi geniş bir yelpazedeki finansal kuruluşların dayanıklılığını artırmaktır.
Kimler kapsamda?
Kredi kuruluşları, sigorta/yeniden sigorta şirketleri, yatırım firmaları, piyasa altyapıları, ödeme ve elektronik para kurumları gibi finansal kuruluşlar ve bunlara hizmet veren BT üçüncü taraf sağlayıcılar (özellikle kritik olanlar) DORA kapsamındadır. Kritik BT üçüncü taraf sağlayıcılar için Avrupa Denetim Otoriteleri (EBA, ESMA, EIOPA) nezdinde özel bir gözetim çerçevesi bulunur.
Uyum için 10 adım
Yönetim sahipliği netleştirin. Yönetim kurulu/üst yönetim rollerini, risk iştahını, politika onay ve raporlama döngülerini yazılılaştırın.
BT risk çerçevesini güncelleyin. Varlık envanteri, risk sınıflandırması, kontrol hedefleri ve KRI/SLI metriklerini tek çatı altında toplayın; mevcut ISO 27001/22301 yapısıyla hizalayın.
Olay sınıflandırma ve bildirim akışını kurun. “Önemli BT olayı” kriterlerini belirleyin; tespit–yanıt–bildirim–kök neden analizi zincirini işletir hâle getirin.
İş sürekliliği ve kriz planlarını DORA’ya uyarlayın. RTO/RPO hedefleri, iletişim planları ve geri dönüş adımlarını güncelleyin.
Dayanıklılık testleri ve TLPT planlayın. Tehdit güdümlü sızma testlerinin (TLPT) kapsamını, bağımsızlığını ve bulgu yönetimini tanımlayın; TIBER-EU ile uyumlu olun.
Üçüncü taraf (TPRM) yönetişimini güçlendirin. Sözleşmelere denetim/erişim hakları, olay bildirimi, alt yüklenici yönetimi, çıkış/ikame planı ve coğrafi yoğunlaşma kontrollerini ekleyin.
Tedarikçi envanteri ve yoğunlaşma riskini görünür kılın. Kritik hizmetler, konum, bağımlılık ve ikame süreleri gibi boyutlarda görselleştirme yapın.
İzleme ve kanıt üretimini bütünleştirin. SIEM/SOAR, uç nokta ve uygulama günlüklerini ortak veri modeliyle birleştirerek olay sınıflandırması ve kanıtlamayı kolaylaştırın.
Dokümantasyon ve kanıt yaşam döngüsünü yönetin. Politika–prosedür–kayıt–rapor zincirini, versiyonlama ve saklama kurallarıyla birlikte belirginleştirin.
Eğitim ve tehdit istihbaratını sistematikleştirin. Rol bazlı eğitim takvimi oluşturun; sektör paydaşlarıyla güvenli bilgi paylaşımı kanallarını kurun.
TLPT
ESMA/EBA/EIOPA, DORA m.26(11) kapsamında tehdit güdümlü sızma testleri (TLPT) için ortak teknik standartları yayımladı; kurumların ileri seviye test programlarını planlarken bu çerçeveyi dikkate alması beklenir.
Kontrol listesi (hemen uygulayın)
Yönetim rolleri ve raporlama takvimi tanımlandı
Güncel ICT Risk Framework yayımlandı
“Önemli BT olay” kriterleri ve bildirim akışı net
BCP/DRP planları DORA terimleriyle hizalı
Yıllık test planında TLPT yaklaşımı var
Tüm sözleşmeler DORA madde ve haklarıyla güncellendi
Tedarikçi envanteri ve yoğunlaşma risk görselleştirmesi hazır
SIEM/SOAR ve log’lar kanıt üretimi odaklı kurgulandı
Kanıt paketleri için saklama/versiyonlama kuralları belirlendi
Rol bazlı eğitim ve tehdit istihbaratı paylaşım planı aktif
SSS
DORA ile NIS2’nin ilişkisi nedir?
NIS2 bir direktif olup geniş sektörleri kapsar; DORA ise finans sektörü için doğrudan uygulanan bir tüzük olarak daha ayrıntılı yükümlülükler getirir. Birçok kurum her iki metne de paralel şekilde uyum sağlar.
AB dışında merkezli olup AB’de hizmet veren kurumlar etkilenir mi?
AB’de faaliyet, şube/alt şirket veya AB’ye hizmet sunma (ör. pasaportlama) gibi modeller DORA kapsamını tetikleyebilir; kapsam ve yükümlülüklerinizi hukuki danışmanınızla birlikte değerlendirin.
