DORA (Digital Operational Resilience Act) Uyumluluk Süreçlerinizi Gözden Geçirin!
13/06/2024
Finans Sektöründe DORA Uyumluluğu: Süreçlerinizi Güçlendirin!
Barikat Siber Güvenlik olarak, finans sektörünü yakından ilgilendiren önemli bir güncellemeyi sizlerle paylaşmak istiyoruz. Avrupa Birliği Komisyonu tarafından yürürlüğe giren Dijital Operasyonel Dayanıklılık Yasası (DORA), 16 Ocak 2023 tarihi itibarıyla yürürlüğe girmiştir. Bu yasa, özellikle Avrupa Birliği üye ülkelerinde faaliyet gösteren finans kuruluşları ve bu kuruluşlara hizmet sunan firmalar için büyük önem taşımaktadır.
DORA, Türkiye’de faaliyet gösteren finans kuruluşları, Avrupa Birliği’ne üye ülkelerdeki temsilcilikler, iştirakler, ofisler ve bu ülkelerdeki finans kuruluşlarına hizmet veren tüm kuruluşlar için geçerlidir. Finansal kuruluşların, yasaya uyum sağlamaları için belirlenen son tarih 17 Ocak 2025'tir. Bu tarihe kadar, uyumluluk durumunun tespit edilmesi ve eksikliklerin giderilmesi gerekmektedir.
Uyumluluk durumunun tespit edilmesi ve tespit edilen eksikliklerle ilgili aksiyonların denetimlerin ve yaptırımların başlayacağı 17 Ocak 2025 tarihine kadar yasayı uygulama zorunluluğu olan dek tabi olan şirketlerin çalışmalarını tamamlamaları kritiktir. Finansal kuruluşlar, düzenlemeye uymadıkları takdirde para cezası çarptırılabilecektir.
Temel olarak;
DORA, Avrupa Birliği’ndeki finans sektöründe yer alan kurumların dijital operasyonel dayanıklılık konusunda bir düzenleyici çerçeve sunarak, bilgi ve iletişim teknolojileri (BİT) ile ilgili konularda kesintiye ve tehdide karşı dirençli olmalarını, bu tehditlerden korunmayı ve etkilerini en aza indirgeyebilmelerine yönelik yeni bir perspektif sunmaktadır.
Yasa, operasyonel risklerin yönetimi, siber güvenlik önlemleri, veri yönetimi ve raporlama gereklilikleri gibi konularda standartlar getirir. Ayrıca, finansal kuruluşların sistemlerinde yaşanan kesinti ve saldırıların etkilerini minimize etmeye yönelik tedbirlerin alınmasını sağlar.
Avrupa Birliği (AB) ülkelerinde finansal hizmetler sunan şirketlerin dijital operasyonel esnekliğe ilişkin bağlayıcı bir AB düzenlemesi olan DORA, bu şirketlere bilgi ve iletişim teknolojilerini sağlayan üçüncü tarafların neden olabileceği potansiyel riskleri de ele almaktadır.
Ayrıca DORA’yı uygulamak zorunda olan kuruluşların uyumluluk denetimleri EBA tarafından görevlendirilen denetçiler tarafından yapılacaktır. Denetim hizmetinin ayrıca bir mali yükümlülüğü bulunmaktadır.
DORA Kurumlar için Ne Anlama Gelmektedir?
DORA’nın isterleri 6 önemli başlık altında toplanabilir;
1. Yönetişim ve organizasyon: Yönetişim ve organizasyon, dijital dayanıklılığın temelini oluşturur. Bu başlık altında, dijital güvenlik ve dayanıklılıkla ilgili sorumluluklar ile rollerin açıkça belirlenmesi gerekir. Bu, güvenlik liderliğinin atanması ve güvenlik ekibinin kurulmasını içerir. Ayrıca, güvenlik politikalarının ve prosedürlerinin oluşturulmasına, işletmelerin güvenlik standartlarının belirlenmesine yardımcı olur.
2. BT Risk Yönetimi Çerçevesi: BT risk yönetimi, organizasyonların siber tehditleri ve riskleri nasıl ele alacağını belirler. Bu doğrultuda; risk değerlendirmesi yapılmalı, risk azaltma stratejileri belirlenmeli ve bazı risklerin kabul edileceği durumlar için stratejiler oluşturulmalıdır.
3. ICT Vaka Yönetimi, Sınıflandırma Ve Raporlama: ICT vaka yönetimi; siber güvenlik olaylarının tanımlanmasını, yönetilmesini ve raporlanmasını içerir. Bununla birlikte vaka tanımlama, sınıflandırma ve raporlama süreçleri oluşturulmalıdır.
4. Dijital operasyonel dayanıklılık testi: Dijital operasyonel dayanıklılık testi, organizasyonların kriz durumlarında tepki verme ve iş sürekliliğini sağlama yeteneğini belirler. Bu kapsamda senaryolar ve simülasyonlar geliştirilmeli, test sonuçları değerlendirilmeli ve iyileştirme planları oluşturulmalıdır.
5. Üçüncü taraf sağlayıcı risk yönetimi: Organizasyonlar, üçüncü taraf sağlayıcılarla ilişkilerini analiz ederek bu sağlayıcıların güvenlik risklerini yönetme stratejilerini belirlemelidir. Ayrıca üçüncü taraf değerlendirmeleri, sözleşme ve anlaşmaların gözden geçirilmesi gibi adımlar atılmalıdır.
6. Bilgi paylaşımı: Bilgi paylaşımı, organizasyon içi ve dışındaki güvenlik tehditleri ve olayları hakkında bilgi akışının nasıl yönetileceğini belirler. Bu kapsamda içsel ve dışsal bilgi paylaşım süreçleri oluşturulmalı, gizlilik ve güvenlik prensipleri göz önünde bulundurulmalıdır.
DORA'nın Kapsamı
Avrupa Birliği’ne üye ülkelerdeki finans sektöründe faaliyet gösteren kurumların yanı sıra, finans sektöründe hizmet sunan diğer kurumları da kapsayarak, kritik Bilişim Teknolojisi (BT) hizmetleri üzerine odaklanmaktadır.
Ayrıca, bu hizmetleri sağlamak üzere görev alan üçüncü taraf sağlayıcıları, özellikle bulut bilişim hizmet sağlayıcıları da ele alınmaktadır.
Yasa’nın Madde (2) uyarınca; Avrupa Birliği'nin finans sektöründe yer alan; kredi kuruluşları, ödeme kuruluşları, hizmet sağlayıcıları, elektronik para kuruluşları, yatırım firmaları, kripto varlık hizmet sağlayıcıları, token ihraççıları, merkezi kayıt kuruluşları, alternatif yatırım fonlarının yöneticileri, veri raporlama hizmeti sağlayıcıları, sigorta ve reasürans teşebbüsleri, sigorta aracıları, reasürans aracıları, kredi derecelendirme kuruluşları ve BİT üçüncü taraf hizmet sağlayıcıları gibi birçok sektörü içermektedir.
DORA’nın Yapısı
Avrupa Komisyonu tarafından 13.03.2024 tarihinde yürürlüğe konulan DORA, 4 başlık altında toplanmıştır. Her bir başlık altında ise farklı bölümler bulunmaktadır.
Yasa, genel itibariyle aşağıdaki gibidir;
1. BAŞLIK 1 GENEL İLKELER
1.1 Madde 1: Genel risk profili ve karmaşıklık
2. BAŞLIK 2 YÖNETMELİK'İN 15. MADDESİNE UYGUN OLARAK BT RİSK YÖNETİMİ ARAÇLARI, YÖNTEMLERİ, SÜREÇLERİ VE POLİTİKALARININ DAHA FAZLA UYUMLAŞTIRILMASI
2.1 Bölüm 1 BT GÜVENLİK POLİTİKALARI, PROTOKOLLERİ, PROTOKOLLERİ VE ARAÇLARI
Section 1
Madde 2 BT güvenlik politikalarının, prosedürlerinin, protokollerinin ve araçlarının genel unsurları
Section 2
Madde 3 BT risk yönetimi
Section 3 ICT ASSET MANAGEMENT
Madde 4 BT varlık yönetimi politikası
Madde 5 BT varlık yönetimi prosedürü
Section 4 ENCRYPTION AND CRYPTOGRAPHY
Madde 6 Şifreleme ve kriptografik kontroller
Madde 7 Kriptografik anahtar yönetimi
Section 5 BİT OPERASYONLARI GÜVENLİĞİ
Madde 8 BT operasyonlarına yönelik politikalar ve prosedürler
Madde 9 Kapasite ve performans yönetimi
Madde 10 Zafiyet ve yama yönetimi
Madde 11 Veri ve sistem güvenliği
Madde 12 Loglama
Section 6 AĞ GÜVENLİĞİ
Madde 13 Ağ güvenliği yönetimi
Madde 14 Güvenli bilgi transferi
Section 7 BT PROJE VE DEĞİŞİKLİK YÖNETİMİ
Madde 15 BT Proje Yönetimi
Madde 16 Bİ sistemlerinin edinimi, geliştirilmesi ve bakımı
Madde 17 BT değişiklik yönetimi
Section 8
Madde 18 Fiziksel ve çevresel güvenlik
2.2 Bölüm 2 İNSAN KAYNAKLARI POLİTİKASI VE ERİŞİM KONTROLÜ
Madde 19 İnsan kaynakları politikası
Madde 20 Kimlik yönetimi
Madde 21 Erişim kontrolü
2.3 Bölüm 3 BT İLE İLGİLİ OLAYLARIN TESPİTİ VE MÜDAHALE
Madde 22 BT ile ilgili olay yönetimi politikası
Madde 23 BİT ile ilgili olayların tespiti ve müdahalesi için anormal faaliyetlerin tespiti ve kriterleri
2.4 Bölüm 4 BT İŞ SÜREKLİLİĞİ YÖNETİMİ
Madde 24 BT iş sürekliliği politikasının bileşenleri
Madde 25 BT iş sürekliliği planlarının test edilmesi
Madde 26 BT müdahale ve kurtarma planları
2.5 Bölüm 5 BT RİSK YÖNETİMİ ÇERÇEVE İNCELEMESİ RAPORU
Madde 27 BT risk yönetimi çerçevesinin gözden geçirilmesine ilişkin raporun formatı ve içeriği
3. BAŞLIK 3 YÖNETMELİK'İN 16(1) MADDESİNDE BELİRTİLEN FİNANSAL KURUMLAR İÇİN BASİTLEŞTİRİLMİŞ BİT RİSK YÖNETİMİ ÇERÇEVESİ
3.1. Bölüm 1 BASİTLEŞTİRİLMİŞ BİT RİSK YÖNETİMİ ÇERÇEVESİ
Madde 28 Yönetişim ve organizasyon
Madde 29 Bilgi güvenliği politikası ve tedbirleri
Madde 30 Bilgi varlıklarının ve BT varlıklarının sınıflandırılması
Madde 31 BT risk yönetimi
Madde 32 Fiziksel ve çevresel güvenlik
3.2 Bölüm 2 BT RİSKİNİN ETKİSİNİ EN AZA İNDİRMEK İÇİN DİĞER SİSTEM, PROTOKOL VE ARAÇ UNSURLARI
Madde 33 Erişim kontrolü
Madde 34 BT operasyonlarının güvenliği
Madde 35 Veri, sistem ve ağ güvenliği
Madde 36 BT güvenlik testi
Madde 37 BT sistemlerinin edinimi, geliştirilmesi ve bakımı
Madde 38 BT proje ve değişiklik yönetimi
3.3 Bölüm 3 BT İŞ SÜREKLİLİĞİ YÖNETİMİ
Madde 39 BT iş sürekliliği politikasının bileşenleri
Madde 40 BT iş sürekliliği planlarının test edilmesi
3.4 Bölüm 4 BASİTLEŞTİRİLMİŞ BİLİŞİM RİSK YÖNETİMİ ÇERÇEVESİNİN İNCELENMESİNE İLİŞKİN RAPOR
Madde 41 Basitleştirilmiş BİT risk yönetimi çerçevesinin gözden geçirilmesine ilişkin raporun biçimi ve içeriği
4. BAŞLIK 4 NİHAİ HÜKÜMLER
Madde 42 Yürürlüğe giriş
“Bu Tüzük, Avrupa Birliği Resmî Gazetesinde yayımlanmasını takip eden yirminci gün yürürlüğe girer.
Bu Tüzük bütünüyle bağlayıcıdır ve tüm Üye Devletlerde doğrudan uygulanabilir.”
Finans Şirketleri Ne Yapmalı?
Avrupa Birliği ülkelerinde ofisi bulunan ya da AB ülkelerine hizmet veren Türk Finans şirketlerinin BT kapsamında DORA’ya uyumluluk için çalışmalarını 17 Ocak 2025 tarihine kadar tamamlamaları gerekmektedir. DORA maddelerinin ISO 27001 standardı ile benzerliği göz önünde bulundurularak; ISO 27001 BGYS işletilmiyorsa çalışmalar yapılırken DORA’nın isterlerinin de karşılanarak yapılması, ISO 27001 BGYS işletiliyorsa, mevcut çalışmaların gözden geçirilerek DORA’nın isterleri ile karşılaştırılması ve eksik noktaların tamamlanması gerekecektir. Şirket bünyesinde ISO 27001’in mevcut olması DORA süreçlerini kolaylaştırmakla birlikte, ISO 27001’den bağımsız olarak da çalışmalar yürütülebilir.
Barikat Olarak Nasıl Yardımcı Olabiliriz?
Barikat Siber Güvenlik olarak, finans sektöründe faaliyet gösteren kuruluşların Dijital Operasyonel Dayanıklılık Yasası (DORA)'na uyum süreçlerinde yanındayız. Kuruluşunuzun DORA kapsamındaki mevcut çalışmalarının gözden geçirilmesi ve yasanın isterlerine uyum sağlanması amacıyla gerekli çalışmaların yürütülmesi konusunda destek oluyoruz. Ayrıca, siber güvenlik ve tedarikçi risk yönetimi gibi kritik süreçlerin olgunluğunu artırarak operasyonel dayanıklılığınızı güçlendiriyoruz.
Barikat olarak, DORA uyumluluk çalışmalarında süreçlerinizi iyileştirmek için deneyimli kadromuzla yanınızdayız. Mevcut süreçlerinizi gözden geçirmek ve DORA ile ilgili daha detaylı bilgi almak için bizimle iletişime geçin.
Kaynak: https://www.eiopa.europa.eu/digital-operational-resilience-act-dora_en
Bizimle İletişime Geçin