İçinde bulunduğumuz dijital çağda, kurumlar ve devletler için dijital altyapıların güvenliği ve dayanıklılığı kritik bir öneme sahip. Siber saldırılar ve diğer dijital tehditler, önemli veri kaybına, operasyonel kesintilere ve ulusal güvenlik risklerine neden olabilir. Bu nedenle birçok ülke, dijital operasyonel dayanıklılığını artırmak ve tehditlere karşı daha etkili koruma sağlamak amacıyla çeşitli yasal düzenlemeleri hayata geçirdi. Bu düzenlemelerden biri, "Dijital Operasyonel Dayanıklılık Yasası" veya kısaca "DORA"dır. Avrupa Parlamentosu, 2025 yılında yürürlüğe girecek olan Dijital Operasyonel Dayanıklılık Yasası’nı (DORA) 10 Kasım 2022 tarihinde onayladı.
DORA, aşağıdaki temel nedenlere dayanıyor:
· Mali sektörün artan birbirine bağlılığı, güvenlik risklerinin artmasına neden oluyor. DORA, bu riskleri azaltma hedefini üstleniyor.
· Finansal hizmetlerin dijitalleşmesindeki artış, risk profili üzerinde değişikliklere yol açıyor. DORA, bu değişimleri ele almayı amaçlıyor.
· Finansal sektörün istikrarının temelinde yatan üçüncü taraf güvenini kabul etmek ve ele almak, DORA'nın odaklandığı önemli bir unsur.
· Tek pazar genelinde operasyonel esnekliği teşvik etmek amacıyla tek ve tutarlı bir denetim yaklaşımının benimsenmesi, DORA'nın amaçları arasında.
DORA ve benzeri yasal düzenlemeler, dijital operasyonel dayanıklılığı artırmak için adımlar atmaya yönlendirir. Siber güvenlik farkındalığını artırır, ulusal güvenliği tehdit eden siber saldırılara karşı daha etkili bir savunma sağlar ve dijital altyapının sürekli çalışmasını temin eder. DORA; şirketleri, bir dijital dayanıklılık stratejisi oluşturmaya yönlendirir. Bu strateji; işletmelerin tüm çapraz faaliyetlerini kapsayarak, kritik iş fonksiyonlarını destekleyen BT sisteminin uçtan uca görünümünü, iş sürekliliğini, vaka yönetimini ve üçüncü taraf risklerine karşı olgun bir yaklaşımı içermelidir.
DORA kapsamı ve yürürlük
Eylül 2020'de yayımlanan DORA önerisi, Avrupa Komisyonu'nun dijital finans stratejisinin önemli bir parçasını oluşturuyor.
DORA; mevcut EBA dış kaynak kullanımı gerekliliklerine dayanarak şirketleri, sadece dış kaynak kullanımı olarak sınıflandırılanlar değil, tüm sözleşme düzenlemelerini içeren bir sağlayıcı kaydını genişletmeye zorlar. Ayrıca DORA, şirketlerin BT üçüncü taraf riski konusunda bir stratejiye sahip olmalarını gerektirir. Çıkış planlarının içeriği ve yerine geçebilirlik değerlendirmeleri etrafında daha ayrıntılı rehberlikler sunarak, bunları test etme gerekliliğini ortaya koyar. Ek olarak, yönetim dışındaki üçüncü tarafların AB dışında kullanımını sınırlamayı da amaçlar.
DORA; büyük ölçüde EBA'nın BT ve güvenlik riski yönergelerine dayanarak, yaşam döngülerinin her aşamasında risklerin nasıl yönetileceğini tanımlar, üst düzey yönetimin rolünü vurgular. Ayrıca felaket kurtarma, iletişim ve kriz yönetimi etrafında ek gereksinimler bulunur. Harici olaylardan ve firmanın kendi BT vakalarından öğrenmek ve gelişmek için gereksinimleri belirler.
Mevcut olarak kapsanmayan sektörlere ait BT ile ilgili vakaların raporlanmasını genişletir. Ayrıca bir firmaya ait çeşitli raporlama gereksinimlerine çözüm getirmeye çalışırken, yaygın şablonlar, zaman çizelgeleri ve tek bir raporlama noktasıyla raporlamayı basitleştirmeye çalışır. Ayrıca rehberlikler, finansal kuruluşlar arasında siber tehdit bilgisi ve istihbaratı üzerine güvenilir topluluklar arasında iş birliğini teşvik eder.
Firmaların büyüklükleri, iş yapış biçimleri ve risk profillerine bağlı olarak test programları oluşturmasını önerir. Bu programlar, çeşitli değerlendirmeleri, testleri, metodolojileri, uygulamaları ve araçları içermelidir. Sonuç olarak, testler risk temelli olmalı ve riskin yanı sıra BT kaynaklarının ve destekledikleri hizmetlerin kritikliği de dikkate alınmalıdır.
İlgili yasa yürürlüğe girdiğinde, her Avrupa Birliği ülkesi tarafından kabul edilecektir. Detaylı teknik standartlar ise Avrupa denetim otoriteleri tarafından belirlenerek uyum ve mevcut ulusal yetkili otorite çerçevesi tarafından denetlenecektir.
Bu kanun, finansal hizmetler sektörü genelinde uygulanacak olup, "kritik BT üçüncü taraf hizmet sağlayıcıları" terimi altında genişletilen düzenleyici çerçeve kapsamına giren ek firmaları da içerecektir. Bunlar arasında bulut kaynakları, veri analitiği ve denetim gibi hizmetler yer alacaktır.
Dijital dayanıklılığı sağlamak için hayata geçirilecek olan DORA yasasının metnini, altı önemli başlıkta inceleyebiliriz:
1. Yönetişim ve organizasyon:
Yönetişim ve organizasyon, dijital dayanıklılığın temelini oluşturur. Bu başlık altında, dijital güvenlik ve dayanıklılıkla ilgili sorumluluklar ile rollerin açıkça belirlenmesi gerekir. Bu, güvenlik liderliğinin atanması ve güvenlik ekibinin kurulmasını içerir. Ayrıca, güvenlik politikalarının ve prosedürlerinin oluşturulmasına, işletmelerin güvenlik standartlarının belirlenmesine yardımcı olur.
2. BT risk yönetimi çerçevesi:
BT risk yönetimi, organizasyonların siber tehditleri ve riskleri nasıl ele alacağını belirler. Bu doğrultuda; risk değerlendirmesi yapılmalı, risk azaltma stratejileri belirlenmeli ve bazı risklerin kabul edileceği durumlar için stratejiler oluşturulmalıdır.
3. ICT vaka yönetimi, sınıflandırma ve raporlama:
ICT vaka yönetimi; siber güvenlik olaylarının tanımlanmasını, yönetilmesini ve raporlanmasını içerir. Bununla birlikte vaka tanımlama, sınıflandırma ve raporlama süreçleri oluşturulmalıdır.
4. Dijital operasyonel dayanıklılık testi:
Dijital operasyonel dayanıklılık testi, organizasyonların kriz durumlarında tepki verme ve iş sürekliliğini sağlama yeteneğini belirler. Bu kapsamda senaryolar ve simülasyonlar geliştirilmeli, test sonuçları değerlendirilmeli ve iyileştirme planları oluşturulmalıdır.
5. Üçüncü taraf sağlayıcı risk yönetimi:
Organizasyonlar, üçüncü taraf sağlayıcılarla ilişkilerini analiz ederek bu sağlayıcıların güvenlik risklerini yönetme stratejilerini belirlemelidir. Ayrıca üçüncü taraf değerlendirmeleri, sözleşme ve anlaşmaların gözden geçirilmesi gibi adımlar atılmalıdır.
6. Bilgi paylaşımı:
Bilgi paylaşımı, organizasyon içi ve dışındaki güvenlik tehditleri ve olayları hakkında bilgi akışının nasıl yönetileceğini belirler. Bu kapsamda içsel ve dışsal bilgi paylaşım süreçleri oluşturulmalı, gizlilik ve güvenlik prensipleri göz önünde bulundurulmalıdır.
DORA’nın, temel amaçlarını ise şu şekilde özetleyebiliriz:
İş birliği ve paylaşım: Kamu ve özel sektör arasındaki iş birliğini ve tehdit bilgisi paylaşımını teşvik eder, tüm paydaşların daha hazırlıklı olmalarına yardımcı olabilir.
Dijital altyapının güvenliği: Dijital altyapının güvenliğini artırmayı hedefler. Bu, siber saldırıların önlenmesi veya etkilerinin en aza indirilmesi anlamına gelir. Yasal düzenlemeler, düzenli denetimler ve güvenlik standartlarını ilgilendiren önlemleri gerektirebilir.
Risk yönetimi: Kurumların dijital riskleri değerlendirmesini ve uygun önlemleri almasını teşvik eder. Bu, sürekli güncellenen risk yönetimi süreçlerini içerir.
İzleme ve uyarı sistemi: Dijital altyapının sürekli izlenmesini ve tehditlerin erken tespit edilmesini içerir. Bu, saldırıların hızlı bir şekilde tanımlanmasını ve zamanında müdahale edilmesini sağlayarak hasarı en aza indirmeyi hedefler.
Sorumluluk ve uyum: Kurumların dijital güvenlik önlemlerini uygulamalarını ve yasal düzenlemelere uymalarını zorunlu kılabilir. Ayrıca, siber güvenlik ihlalleri durumunda sorumlulukları belirleyebilir ve ihlallerin bildirilmesini gerektirebilir.
Özetle, Avrupa Parlamentosu tarafından onaylanan Dijital Operasyonel Dayanıklılık Yasası (DORA), 2025'te yürürlüğe girecek ve finansal hizmetlerin dijital dayanıklılığını artırmak için altı temel ilkeyi içerecek. Bu kapsamda, Avrupa denetim otoriteleri (ESA'lar), finansal kurumlar üzerindeki denetimlerini güçlendirecek ve daha etkili kontroller uygulayabilecek. Finans sektörü, uyum için şimdiden bir boşluk değerlendirmesi yapmalı ve uyum yol haritasını belirleyerek hazırlıklara başlamalıdır. Bu önlemler, sektördeki aktörlerin gelecekteki dijital risklere karşı güçlü ve uyumlu bir pozisyonda olmalarını sağlayacaktır.
*Bu yazı, Danışmanlık Bölümü Siber Güvenlik Hizmetleri Kıdemli Uzmanı Merve Oral'ın katkılarıyla hazırlanmıştır.