DORA Yönetmeliği’nin dört temel ilkesi: Finansal Sistem Dayanıklılığı için Bir Çerçeve
Bu yılın başında yürürlüğe giren Avrupa düzenlemesi olan DORA (Dijital Operasyonel Dayanıklılık Yasası), 17 Ocak 2025 tarihinde tüm üye devletler tarafından uygulanmaya başlanmıştır. Bu tarihe kadar, finansal katılımcılar geniş anlamda, dijital dayanıklılıklarını ve buna bağlı olarak finansal sistemlerini artırmayı amaçlayan beş temel ilkeye dayanan yeni yükümlülükleri yerine getirmek zorunda kalacaklar. Bu yaklaşan son tarihe yakınlığı göz önüne alındığında, hızlı eylemlerin bugün alınması gerekmektedir.
2008 yılında, dünya eşi benzeri görülmemiş bir finansal krizle sarsıldı; 1929’un ünlü Kara Perşembe’si gibi geçmiş önemli çalkantılardan daha şiddetli bir şekilde gerçekleşti. Küresel finansal sistem, karmaşık bağlantılarla birbirine bağlı ve çeşitli piyasalarda etkili oyuncular tarafından domine edilen bir yapıya sahipti ve bu sistem içinde bir kurumun çöküşü, diğerlerinin hızla çöküşüne neden olan bir domino etkisine yenik düştü. Bugün, finansal kurumların hiper-dijital olarak bağlı olduğu dünya, daha büyük bir tehdit oluşturuyor: anahtar bir oyuncunun bilgi sistemi aksarsa, sistemin çöküşü neredeyse anlık ve eşi benzeri görülmemiş bir büyüklükte olabilir.
Bu bağlamda, Dijital Operasyonel Dayanıklılık Yasası (DORA), finansal kurumların ve bunlara bağlı üçüncü tarafların, sürekli siber tehditlere maruz kalan yüzde 100 dijital bir sektörde dayanıklılığını garanti etmeyi amaçlamaktadır. DORA, finans sektöründeki şirketlere ve kuruluşlara iş sürekliliğiyle ilgili tüm bileşenleri yönetmelerini zorunlu kılan yeni bir AB düzenlemesidir: bilgi ve iletişim teknolojileri (ICT) olaylarına karşı koruma, tespit, kapsama alma, kurtarma ve onarım yeteneği.
Bu düzenlemeden en az 22,000 kuruluş etkilenecek. DORA’nın ortaya koyduğu yükümlülükleri yerine getirmek için, finansal kurumlar ve üçüncü tarafları, bilgi ve iletişim teknolojileri (ICT) etrafında bir dizi önlemi uygulamalı ve belgelemelidir. Bu 22,000 şirket, 17 Ocak 2025 tarihine kadar, bu yönergeler altındaki yükümlülüklerini karşılamak için gerekli tüm hazırlıkların yapıldığından emin olmalıdır.
1 – Bilgi ve İletişim Teknolojileri (ICT) Risk Yönetim Sistemi Kurma (Pilâr 1)
DORA’nın ilk pilârı en önemli olanıdır; diğer tüm unsurların türediği temelidir. Aynı zamanda en karmaşık olanıdır, çünkü şirketin, işlemlerinin ve süreçlerinin (özellikle en kritik olanların) detaylı bir bilgisine dayalı bütünlük temelli bir yaklaşım gerektirir ve en önemlisi, teknolojik mimarisine (bu süreçleri destekleyen sistemler ve uygulamalar) derinlemesine bir anlayışa dayanır.
Bu risk yönetim sistemi kurulduktan sonra, DORA, sürekli veya önceden belirlenmiş frekansta gerçekleştirilebilecek bir kontrol yükümlülüğü getirir. Bu son derece detaylı kontroller, iş ve prosedürsel yönleri kapsar, aynı zamanda teknolojik katmana kadar iner – özellikle kritik bir sürecin içinde bulunan en küçük uygulamaya kadar. Çoğu finans kuruluşu zaten böyle kontrolleri uygulamış olsa da, DORA’ya özgü IT kontrollerinin tam uyumluluğu sağlamak için dikkate alınmalıdır.
Daha geniş bir anlamda, Risk ve Kontrol ekipleri ile IT departmanı arasında daha yakın işbirliği için artan bir ihtiyaç olacaktır.
2 – Üçüncü Tarafları Tanımlama ve Kontrol Etme (Pilâr 5)
Finansal bilgi sistemlerinin ve bunun içindeki varlık, uygulama ve altyapıların giderek karmaşıklaştığını fark eden Avrupa düzenleyicisi, bu mimariler içinde entegre edilmiş üçüncü taraf hizmetlere yönelik önleme yükümlülüklerinin kapsamını genişletmiştir. Bu, sadece DORA’ya zaten tabi olan iş ortakları değil, aynı zamanda tüm teknoloji ortaklarını içerir.
Uygulama yayıncıları, bulut sağlayıcıları ve diğer Yönetilen Hizmet Sağlayıcıları (MSP’ler), yeni Avrupa düzenlemesinden etkilenecektir. Özellikle Hizmet Seviyesi Anlaşması (SLA) koşulları ve sağladıkları güvenlik açısından. Ayrıca, sistem hatası veya güvenlik ihlali durumunda yedek üçüncü taraflar için acil durum planları oluşturmak kritik olacaktır.
Hizmetlerin tek bir üçüncü taraf içinde yoğunlaşması, başlı başına bir risk oluşturabilir: ana (veya hatta tek) bulut hizmet sağlayıcısı saldırıya uğrarsa ne olur? Bu nedenle, finansal kuruluşların anahtar üçüncü tarafların saldırı veya başarısızlıkları durumunda riskleri (ve zararı) sınırlamak için çoklu satıcı stratejisi geliştirmeleri faydalı olabilir.
3 – Sürekli olarak iş sürekliliği yeteneklerinizi test edin (Pilâr 3)
Finans sektöründeki risk farkındalığı yeni bir şey değildir. İş sürekliliği ve bir domino etkisi tehdidi, çoğu kurumun ana süreçleri için acil durum planları oluşturmasına yol açmıştır. Bu, kötüye giden durumlarında düzgün çalışmaya devam edeceklerini sağlamak için düzenli olarak test edildiği sürece yararlı, hatta hayati çözümlerdir.
Siber güvenlik yetenekleri sürekli olarak test edilmeli ve güncellenmeli, sürekli evrimleşen siber tehditlere karşı konulmalıdır. Siber güvenlik, hassas verileri ve dijital varlıkları koruma amacıyla sürekli test ve güncellemeleri gerektiren bir disiplindir. Finans kuruluşları için, zorunluluk, son teknoloji siber güvenlik sistemlerini sürdürmek için devam eden bir yatırım planı oluşturmak ve en son ve karmaşık kötü amaçlı yazılımlara karşı korumak için gerçek bir çeviklik oluşturmaktadır.
4 – Olayları Bildirme ve Paylaşma (Pilâr 2 ve 4)
Son olarak, DORA – birkaç yıl önce kurulan RGPD düzenlemesi gibi – finans sektörü katılımcıları için yeni bir yükümlülük getirir: düzenleyici inceleme durumunda güvenilir bir denetim izini olarak hizmet eden kapsamlı bir olay kaydını tutma. Ancak sadece bu değil, büyük bir olay durumunda bu kayıt, IS’nin direncini ve genel iş sürekliliğini sağlamak için proaktif olarak uygulanan önleyici eylemlerin bir kanıtı olarak da hizmet edecektir.
Aynı zamanda, büyük olaylar denetim otoritelerine bildirilmelidir. Olası yayılma risklerinin belirlenmesinin ötesinde, ana amaç, siber saldırılar, kötü amaçlı eylemler ve tehditler hakkında bir bilgi tabanı oluşturmaktır. Bu bilgi tabanı, bu tehditlerin etkisini sınırlamak için uygulanabilecek en iyi uygulamaları belirlemek amacıyla endüstri oyuncularıyla paylaşılabilir.
Bu net, anlaşılır bilgi paylaşımı, aynı zamanda çoğu çalışan tarafından anlaşılabilen bir iletişim çerçevesi oluşturarak içeride de uygulanmalıdır. Operasyonel dayanıklılık herkesin işidir. Bu, Yürütme Yönetimi, Risk Departmanı (genellikle İş Sürekliliği Departmanı ile birleştirilmiştir), Bilgi Sistemleri veya Bilgi Sistemleri Güvenliği Departmanı ve Satın Alma Departmanı gibi ana paydaşlar için de geçerlidir.
Operasyonel dayanıklılık ve siber güvenlik, özünde son derece teknik olmasına rağmen, bir olayın sonuçları şirketin sınırlarının ötesine geçer, potansiyel dalga etkisi nedeniyle. Bilgi sistemlerinin dayanıklılığı ve genel kurumsal dayanıklılık, şimdi yürütme komitesi görüşmelerine kadar uzanan son derece stratejik konular olarak ortaya çıkmıştır – özellikle, konunun teknik olmasına rağmen, yöneticiler cezai sorumluluk altında tutulabilirler. Bu nedenle, her ihtimale karşı hazırlıklı olmak ve 2025 Ocak ayına kadar plan yapmak önemlidir.