Barikat Siber Güvenlik Logo

DORA (Digital Operational Resilience Act) Uyumluluk Süreçlerinizi Gözden Geçirin!

DORA (Digital Operational Resilience Act) Uyumluluk Süreçlerinizi Gözden Geçirin!
 | Barikat Siber Güvenlik

DORA (Digital Operational Resilience Act) Uyumluluk Süreçlerinizi Gözden Geçirin!

13/06/2024

Finans Sektöründe DORA Uyumluluğu: Süreçlerinizi Güçlendirin!

Barikat Siber Güvenlik olarak, finans sektörünü yakından ilgilendiren önemli bir güncellemeyi sizlerle paylaşmak istiyoruz. Avrupa Birliği Komisyonu tarafından yürürlüğe giren Dijital Operasyonel Dayanıklılık Yasası (DORA), 16 Ocak 2023 tarihi itibarıyla yürürlüğe girmiştir. Bu yasa, özellikle Avrupa Birliği üye ülkelerinde faaliyet gösteren finans kuruluşları ve bu kuruluşlara hizmet sunan firmalar için büyük önem taşımaktadır.

DORA, Türkiye’de faaliyet gösteren finans kuruluşları, Avrupa Birliği’ne üye ülkelerdeki temsilcilikler, iştirakler, ofisler ve bu ülkelerdeki finans kuruluşlarına hizmet veren tüm kuruluşlar için geçerlidir. Finansal kuruluşların, yasaya uyum sağlamaları için belirlenen son tarih 17 Ocak 2025'tir. Bu tarihe kadar, uyumluluk durumunun tespit edilmesi ve eksikliklerin giderilmesi gerekmektedir.

Uyumluluk durumunun tespit edilmesi ve tespit edilen eksikliklerle ilgili aksiyonların denetimlerin ve yaptırımların başlayacağı 17 Ocak 2025 tarihine kadar yasayı uygulama zorunluluğu olan dek tabi olan şirketlerin çalışmalarını tamamlamaları kritiktir. Finansal kuruluşlar, düzenlemeye uymadıkları takdirde para cezası çarptırılabilecektir.

Temel olarak;

  • DORA, Avrupa Birliği’ndeki finans sektöründe yer alan kurumların dijital operasyonel dayanıklılık konusunda bir düzenleyici çerçeve sunarak, bilgi ve iletişim teknolojileri (BİT) ile ilgili konularda kesintiye ve tehdide karşı dirençli olmalarını, bu tehditlerden korunmayı ve etkilerini en aza indirgeyebilmelerine yönelik yeni bir perspektif sunmaktadır.
  • Yasa, operasyonel risklerin yönetimi, siber güvenlik önlemleri, veri yönetimi ve raporlama gereklilikleri gibi konularda standartlar getirir. Ayrıca, finansal kuruluşların sistemlerinde yaşanan kesinti ve saldırıların etkilerini minimize etmeye yönelik tedbirlerin alınmasını sağlar.
  • Avrupa Birliği (AB) ülkelerinde finansal hizmetler sunan şirketlerin dijital operasyonel esnekliğe ilişkin bağlayıcı bir AB düzenlemesi olan DORA, bu şirketlere bilgi ve iletişim teknolojilerini sağlayan üçüncü tarafların neden olabileceği potansiyel riskleri de ele almaktadır.
  • Ayrıca DORA’yı uygulamak zorunda olan kuruluşların uyumluluk denetimleri EBA tarafından görevlendirilen denetçiler tarafından yapılacaktır. Denetim hizmetinin ayrıca bir mali yükümlülüğü bulunmaktadır.

    DORA Kurumlar için Ne Anlama Gelmektedir?

    DORA’nın isterleri 6 önemli başlık altında toplanabilir;

  • 1. Yönetişim ve organizasyon: Yönetişim ve organizasyon, dijital dayanıklılığın temelini oluşturur. Bu başlık altında, dijital güvenlik ve dayanıklılıkla ilgili sorumluluklar ile rollerin açıkça belirlenmesi gerekir. Bu, güvenlik liderliğinin atanması ve güvenlik ekibinin kurulmasını içerir. Ayrıca, güvenlik politikalarının ve prosedürlerinin oluşturulmasına, işletmelerin güvenlik standartlarının belirlenmesine yardımcı olur.
  • 2. BT Risk Yönetimi Çerçevesi: BT risk yönetimi, organizasyonların siber tehditleri ve riskleri nasıl ele alacağını belirler. Bu doğrultuda; risk değerlendirmesi yapılmalı, risk azaltma stratejileri belirlenmeli ve bazı risklerin kabul edileceği durumlar için stratejiler oluşturulmalıdır.
  • 3. ICT Vaka Yönetimi, Sınıflandırma Ve Raporlama: ICT vaka yönetimi; siber güvenlik olaylarının tanımlanmasını, yönetilmesini ve raporlanmasını içerir. Bununla birlikte vaka tanımlama, sınıflandırma ve raporlama süreçleri oluşturulmalıdır.
  • 4. Dijital operasyonel dayanıklılık testi: Dijital operasyonel dayanıklılık testi, organizasyonların kriz durumlarında tepki verme ve iş sürekliliğini sağlama yeteneğini belirler. Bu kapsamda senaryolar ve simülasyonlar geliştirilmeli, test sonuçları değerlendirilmeli ve iyileştirme planları oluşturulmalıdır.
  • 5. Üçüncü taraf sağlayıcı risk yönetimi: Organizasyonlar, üçüncü taraf sağlayıcılarla ilişkilerini analiz ederek bu sağlayıcıların güvenlik risklerini yönetme stratejilerini belirlemelidir. Ayrıca üçüncü taraf değerlendirmeleri, sözleşme ve anlaşmaların gözden geçirilmesi gibi adımlar atılmalıdır.
  • 6. Bilgi paylaşımı: Bilgi paylaşımı, organizasyon içi ve dışındaki güvenlik tehditleri ve olayları hakkında bilgi akışının nasıl yönetileceğini belirler. Bu kapsamda içsel ve dışsal bilgi paylaşım süreçleri oluşturulmalı, gizlilik ve güvenlik prensipleri göz önünde bulundurulmalıdır.
  • DORA'nın Kapsamı

  • Avrupa Birliği’ne üye ülkelerdeki finans sektöründe faaliyet gösteren kurumların yanı sıra, finans sektöründe hizmet sunan diğer kurumları da kapsayarak, kritik Bilişim Teknolojisi (BT) hizmetleri üzerine odaklanmaktadır.
  • Ayrıca, bu hizmetleri sağlamak üzere görev alan üçüncü taraf sağlayıcıları, özellikle bulut bilişim hizmet sağlayıcıları da ele alınmaktadır.
  • Yasa’nın Madde (2) uyarınca; Avrupa Birliği'nin finans sektöründe yer alan; kredi kuruluşları, ödeme kuruluşları, hizmet sağlayıcıları, elektronik para kuruluşları, yatırım firmaları, kripto varlık hizmet sağlayıcıları, token ihraççıları, merkezi kayıt kuruluşları, alternatif yatırım fonlarının yöneticileri, veri raporlama hizmeti sağlayıcıları, sigorta ve reasürans teşebbüsleri, sigorta aracıları, reasürans aracıları, kredi derecelendirme kuruluşları ve BİT üçüncü taraf hizmet sağlayıcıları gibi birçok sektörü içermektedir.
  • DORA’nın Yapısı

    Avrupa Komisyonu tarafından 13.03.2024 tarihinde yürürlüğe konulan DORA, 4 başlık altında toplanmıştır. Her bir başlık altında ise farklı bölümler bulunmaktadır.

    Yasa, genel itibariyle aşağıdaki gibidir;

    1. BAŞLIK 1 GENEL İLKELER

    1.1 Madde 1: Genel risk profili ve karmaşıklık

    2. BAŞLIK 2 YÖNETMELİK'İN 15. MADDESİNE UYGUN OLARAK BT RİSK YÖNETİMİ ARAÇLARI, YÖNTEMLERİ, SÜREÇLERİ VE POLİTİKALARININ DAHA FAZLA UYUMLAŞTIRILMASI

    2.1 Bölüm 1 BT GÜVENLİK POLİTİKALARI, PROTOKOLLERİ, PROTOKOLLERİ VE ARAÇLARI

    Section 1

  • Madde 2 BT güvenlik politikalarının, prosedürlerinin, protokollerinin ve araçlarının genel unsurları
  • Section 2

  • Madde 3 BT risk yönetimi
  • Section 3 ICT ASSET MANAGEMENT

  • Madde 4 BT varlık yönetimi politikası
  • Madde 5 BT varlık yönetimi prosedürü
  • Section 4 ENCRYPTION AND CRYPTOGRAPHY

  • Madde 6 Şifreleme ve kriptografik kontroller
  • Madde 7 Kriptografik anahtar yönetimi
  • Section 5 BİT OPERASYONLARI GÜVENLİĞİ

  • Madde 8 BT operasyonlarına yönelik politikalar ve prosedürler
  • Madde 9 Kapasite ve performans yönetimi
  • Madde 10 Zafiyet ve yama yönetimi
  • Madde 11 Veri ve sistem güvenliği
  • Madde 12 Loglama
  • Section 6 AĞ GÜVENLİĞİ

  • Madde 13 Ağ güvenliği yönetimi
  • Madde 14 Güvenli bilgi transferi
  • Section 7 BT PROJE VE DEĞİŞİKLİK YÖNETİMİ

  • Madde 15 BT Proje Yönetimi
  • Madde 16 Bİ sistemlerinin edinimi, geliştirilmesi ve bakımı
  • Madde 17 BT değişiklik yönetimi
  • Section 8

  • Madde 18 Fiziksel ve çevresel güvenlik
  • 2.2 Bölüm 2 İNSAN KAYNAKLARI POLİTİKASI VE ERİŞİM KONTROLÜ

  • Madde 19 İnsan kaynakları politikası
  • Madde 20 Kimlik yönetimi
  • Madde 21 Erişim kontrolü
  • 2.3 Bölüm 3 BT İLE İLGİLİ OLAYLARIN TESPİTİ VE MÜDAHALE

  • Madde 22 BT ile ilgili olay yönetimi politikası
  • Madde 23 BİT ile ilgili olayların tespiti ve müdahalesi için anormal faaliyetlerin tespiti ve kriterleri
  • 2.4 Bölüm 4 BT İŞ SÜREKLİLİĞİ YÖNETİMİ

  • Madde 24 BT iş sürekliliği politikasının bileşenleri
  • Madde 25 BT iş sürekliliği planlarının test edilmesi
  • Madde 26 BT müdahale ve kurtarma planları
  • 2.5 Bölüm 5 BT RİSK YÖNETİMİ ÇERÇEVE İNCELEMESİ RAPORU

  • Madde 27 BT risk yönetimi çerçevesinin gözden geçirilmesine ilişkin raporun formatı ve içeriği
  • 3. BAŞLIK 3 YÖNETMELİK'İN 16(1) MADDESİNDE BELİRTİLEN FİNANSAL KURUMLAR İÇİN BASİTLEŞTİRİLMİŞ BİT RİSK YÖNETİMİ ÇERÇEVESİ

    3.1. Bölüm 1 BASİTLEŞTİRİLMİŞ BİT RİSK YÖNETİMİ ÇERÇEVESİ

  • Madde 28 Yönetişim ve organizasyon
  • Madde 29 Bilgi güvenliği politikası ve tedbirleri
  • Madde 30 Bilgi varlıklarının ve BT varlıklarının sınıflandırılması
  • Madde 31 BT risk yönetimi
  • Madde 32 Fiziksel ve çevresel güvenlik
  • 3.2 Bölüm 2 BT RİSKİNİN ETKİSİNİ EN AZA İNDİRMEK İÇİN DİĞER SİSTEM, PROTOKOL VE ARAÇ UNSURLARI

  • Madde 33 Erişim kontrolü
  • Madde 34 BT operasyonlarının güvenliği
  • Madde 35 Veri, sistem ve ağ güvenliği
  • Madde 36 BT güvenlik testi
  • Madde 37 BT sistemlerinin edinimi, geliştirilmesi ve bakımı
  • Madde 38 BT proje ve değişiklik yönetimi
  • 3.3 Bölüm 3 BT İŞ SÜREKLİLİĞİ YÖNETİMİ

  • Madde 39 BT iş sürekliliği politikasının bileşenleri
  • Madde 40 BT iş sürekliliği planlarının test edilmesi
  • 3.4 Bölüm 4 BASİTLEŞTİRİLMİŞ BİLİŞİM RİSK YÖNETİMİ ÇERÇEVESİNİN İNCELENMESİNE İLİŞKİN RAPOR

  • Madde 41 Basitleştirilmiş BİT risk yönetimi çerçevesinin gözden geçirilmesine ilişkin raporun biçimi ve içeriği
  • 4. BAŞLIK 4 NİHAİ HÜKÜMLER

  • Madde 42 Yürürlüğe giriş
    “Bu Tüzük, Avrupa Birliği Resmî Gazetesinde yayımlanmasını takip eden yirminci gün yürürlüğe girer. Bu Tüzük bütünüyle bağlayıcıdır ve tüm Üye Devletlerde doğrudan uygulanabilir.”
  • Finans Şirketleri Ne Yapmalı?

    Avrupa Birliği ülkelerinde ofisi bulunan ya da AB ülkelerine hizmet veren Türk Finans şirketlerinin BT kapsamında DORA’ya uyumluluk için çalışmalarını 17 Ocak 2025 tarihine kadar tamamlamaları gerekmektedir. DORA maddelerinin ISO 27001 standardı ile benzerliği göz önünde bulundurularak; ISO 27001 BGYS işletilmiyorsa çalışmalar yapılırken DORA’nın isterlerinin de karşılanarak yapılması, ISO 27001 BGYS işletiliyorsa, mevcut çalışmaların gözden geçirilerek DORA’nın isterleri ile karşılaştırılması ve eksik noktaların tamamlanması gerekecektir. Şirket bünyesinde ISO 27001’in mevcut olması DORA süreçlerini kolaylaştırmakla birlikte, ISO 27001’den bağımsız olarak da çalışmalar yürütülebilir.

    Barikat Olarak Nasıl Yardımcı Olabiliriz?

    Barikat Siber Güvenlik olarak, finans sektöründe faaliyet gösteren kuruluşların Dijital Operasyonel Dayanıklılık Yasası (DORA)'na uyum süreçlerinde yanındayız. Kuruluşunuzun DORA kapsamındaki mevcut çalışmalarının gözden geçirilmesi ve yasanın isterlerine uyum sağlanması amacıyla gerekli çalışmaların yürütülmesi konusunda destek oluyoruz. Ayrıca, siber güvenlik ve tedarikçi risk yönetimi gibi kritik süreçlerin olgunluğunu artırarak operasyonel dayanıklılığınızı güçlendiriyoruz.

    Barikat olarak, DORA uyumluluk çalışmalarında süreçlerinizi iyileştirmek için deneyimli kadromuzla yanınızdayız. Mevcut süreçlerinizi gözden geçirmek ve DORA ile ilgili daha detaylı bilgi almak için bizimle iletişime geçin.

    Kaynak: https://www.eiopa.europa.eu/digital-operational-resilience-act-dora_en


    Bizimle İletişime Geçin
    Sosyal Medyada Paylaş