Finans Sektöründe Siber Güvenliğin Güçlendirilmesi: EU Digital Operational Resilience Act (DORA)
Avrupa Birliği Dijital Operasyonel Dayanıklılık Yasası, gerçekten ilginç bir düzenleme olarak Avrupa Birliği’ne faaliyetlerini sürdüren finans sektörü kurumlarının hayatının ortasında belirmiş durumda…
Finans Sektöründe AB Düzenlemeleri
Aralık 2022'de Avrupa Birliği Dijital Operasyonel Dayanıklılık Yasasını — EU Digital Operational Resilience Act (DORA) AB Resmi Gazetesinde yayınladı. Bu düzenlemenin amacı, AB üye ülkelerindeki finansal hizmet sağlayıcıları için daha önce kabul edilen operasyonel esneklik düzenlemesine bilişim ve iletişim teknolojileri gereksinimlerini belirlemek ve Avrupa Birliği genelinde yaşanan dijital reformu desteklemektir.
Bu yasal düzenleme ile, AB’de finansa sektöründe faaliyet gösteren kuruluşlarının ve AB finans sektörü firmalarına hizmet sağlayan kuruluşların, 17 Ocak 2025'ten önce yönetmelik gereksinimlerine uyması beklenmektedir.2023 yılının sonuna geldiğimizde belki de söylenecek ilk şey, Avrupa Birliği Dijital Operasyonel Dayanıklılık Yasası’nın Ocak 2025'e kadar hayata geçirilmesine yönelik çalışmaların kararlılıkla devam ettiğidir.
Yasa, Avrupa Birliği Denetleyici Otoriteleri — European Supervisory Authorities (ESA’lar)’ın uygulama düzenlemelerini iki aşamada geliştirmesini gerektirmektedir. İlk aşama, risk yönetimi ve basitleştirilmiş risk yönetimine ilişkin düzenlemeleri içerir; “siber olay” sınıflandırması; ve firmalar tarafından sürdürülecek üçüncü taraf kaynak hizmetlerinin kaydı da dahil olmak üzere üçüncü taraf kaynak kullanımı yaklaşımının son hali, 2024'ün ilk çeyreğinde AB Komisyonuna sunulacaktır. Siber olay raporlama şablonunu, siber tehdit yaklaşımlı sızma testleri, üçüncü taraf kaynak sağlayıcı risklerinin yönetilmesi gibi başlıkları içeren ikinci aşama değerlendirmelerinin yıl ortasında sunulması ve genel değerlendirmeye açılması süreci devam etmektedir.
Avrupa Birliği Dijital Operasyonel Dayanıklılık Yasası, gerçekten ilginç bir düzenleme olarak Avrupa Birliği’ne faaliyetlerini sürdüren finans sektörü kurumlarının hayatının ortasında belirmiş durumda. Aslında yönetmelik içeriği değerlendirilecek olursa, düzenleme Avrupa ekonomik koşullarında hizmet ve faaliyet veren kurumların, toplumun ve ekonominin dijitalleşmesi hızını yakalamayı hedefliyor. Siber risklerin yönetilirken dijitalleşmenin faydalarından da dijitalleşmenin faydalarının da elde edilmesini kolaylaştıracak tedbirleri hayata geçirmemiz önemli olacak. Ancak finans sektöründeki dijital operasyonel esnekliğini ele alacak bir çerçeve tasarlamaya ve uygulamaya çalışırken karşılaştığımız zorlukları bir anlığına düşünelim.
Yönetmeliğe uyum konusunda yaşanacak zorluklar aşağıdakileri içermektedir:
- Sektörler arası uyum niteliği: Dijital operasyonel esnekliğin sektörler arası bir olgu olarak ele alınması gerekmektedir; geleneksel sektör temelli yaklaşımlar işe yaramayacaktır.
- Kapsama alınması gereken geniş bir olay alanı: BT ve siber riskler ve tehditler, her şekil ve büyüklükteki bireysel firmalarda, firma grupları arasında ve aralarında yüksek düzeyde bağlantı bulunan sistem çapındaki olaylardan ortaya çıkar ve kristalleşir. Bu da yaklaşımımızın eylem kapsamının geniş olması gerektiği anlamına geliyor.
- Dinamik bağlam: Risk ve tehdit ortamı hızla değişiyor ve şekilleniyor; böylece ortaya çıkan bir sonraki tehdidin şekline ayak uydurmak için her zaman bir yarış ortaya koyuluyor.
- Özellikle hizmetlerin bulut sağlayıcılara ve genel olarak dijital dönüşüm ve reforma ne ölçüde üçüncü taraf kaynak sağlandığı ve iş yükünün tedarikçilere devredildiğinin farkındalığında olunması,
- Bağlamın derinlemesine teknik ve maddi olmayan doğası, yalnızca konuyu ele almak için önemli düzeyde uzmanlık kullanma ihtiyacı olduğu anlamına gelmez, aynı zamanda teknik perspektifleri politikaya, uygulamaya ve stratejiye aktarabilmemiz “çevirebilmemiz” gerektiği anlamına gelir.
Avrupa Birliği Dijital Operasyonel Dayanıklılık Yasası’nın dikkate değer yanı, bu çok yönlü zorluklara yönelik gelişmiş, entegre, kapsamlı ve pragmatik bir yaklaşım sağlayan düzenleyici bir yaklaşım sunmasıdır. Öncelikle düzenleme, tamamen sektörler arası ve geniş kapsamlı bir düzenleme olma niteliği taşıdığından finans sektörü ve hizmet sağlayıcı teknoloji/hizmet firmaları arasında bir yasal köprü olacaktır. Bu fikir ile, büyüklüğü, karmaşıklığı ve iş modeli ne olursa olsun başta bankalar olmak üzere finans sektöründeki her bir firma için uygulanabilecek tek ve geniş kapsamlı bir düzenleme çerçevesi sunma yönündeki AB vizyonunu temsil ediyor.
İkinci olarak, dijital operasyonel dayanıklılık sorununun çok yönlü ve birbirine bağlı doğasını kapsamayı amaçlamaktadır. Firmaların kendi operasyonel risklerine, dayanıklılıklarına ve iyileştirme süreçlerine nasıl yaklaşmaları gerektiğine ilişkin gereklilikleri ortaya koymanın yanı sıra, üçüncü taraf hizmet sağlayıcılarla ilişkilerinin yönetimine nasıl yaklaşmaları gerektiğine ilişkin gereklilikleri de çok önemli bir şekilde yerine getiriyor. Dijitalleşmenin, değişimden yararlanma aracı olarak eşi benzeri görülmemiş ölçüde üçüncü taraf kaynak kullanımına ve taşeronlaşmaya dayanan bir olgu olduğu göz önüne alındığında, yalnızca Avrupa’da değil yaygınlaşan bir model ile yeknesak bir dijital olgunluğun sağlanması daha da kıymet kazanmaktadır. Bunun ötesinde, finans şirketlerinin, BT olaylarını meydana geldikçe tespit etmek, değerlendirmek ve düzenleyici kurumlara raporlamak ve yetkili makamların bunları Avrupa Denetleyici Otoritelerine ve birbirlerine rapor etmek için yerinde çerçevelere sahip olmasını gerektirir.
Avrupa Birliği Dijital Operasyonel Dayanıklılık Yasası ‘nın üçüncü önemli özelliği, ilk olarak, finans firmalarına ve finans sektörüne bilgi teknolojileri hizmetleri sağlayan bulut hizmet sağlayıcıları da dahil olmak üzere üçüncü taraf hizmetleri için bir gözetim rejimi oluşturmasıdır. Yönetmelik, büyük teknoloji şirketlerinin çoğu da dahil olmak üzere bu tür üçüncü taraf firmaların denetime tabi olacağı anlamına gelmez.
Daha ziyade, finansal sistemdeki giderek daha önemli ve entegre rolleri göz önüne alındığında, düzenleyicilerin, finansal sistem gözetimlerinin bir parçası olarak, elbette denetim hakkı da dahil olmak üzere, bu tür sağlayıcıları gözetim altına almaları gerektiği anlamına gelir. Düzenleyiciler daha sonra gözetim değerlendirmelerini ve sonuçlarını, finansal firmaların dayanıklılığı ve bu konuda iyileştirme ihtiyacı etrafında karar alma süreçlerine dahil etmelidir. Bu, söylediğim gibi, sofistike ve incelikli ama yine de oldukça etkili olması muhtemel bir yaklaşım.
Dördüncü ve son olarak, Avrupa Birliği Dijital Operasyonel Dayanıklılık Yasası haklı olarak maddi bir aciliyet derecesi inşa etmektedir. Hızla ilerleyen dijital devrim sürecinde Avrupa Denetleyici Otoritelerine ve Ulusal Yetkili Otoritelere, yeni çerçevenin önemli ayrıntılarını sağlayacak olan “Seviye 2- Düzenleyici Teknik Standart — Regulatory Technical Standard (RTS)” ek düzenlemelerinin geliştirmeleri için daha da kısa bir zaman çizelgesi verilmiş durumdadır. Ve elbette düzenlemeye uyumlu olması beklenen bütün finans sektörü şirketleri ve üçüncü taraf hizmet firmaları bu hızla ilerleyen dijital reform yolculuğuna hazırlıklı olmalıdır.
Yeni rejimin, mevzuatın kabul edilmesinden yalnızca iki yıl sonra, 2025'in başında yürürlüğe girmesi beklenmekte ve bu da bize uyum çalışmaları için bir yıllık bir periyodu efektif bir şekilde kullanmamız gereksinimini hatırlatmaktadır. Avrupa Birliği Dijital Operasyonel Dayanıklılık Yasası Düzenleyici Teknik Standartlarının yasal otoriteler tarafından uyum süresi 12 ay, kalan teknik standart uyum süreci için ise 18 ay olarak belirlenmiş oluyor.
Avrupa Birliği Dijital Operasyonel Dayanıklılık Yasası, AB Dijital Finans Paketinin-EU Digital Finance Package (DFP) en son eklentisi olarak yayımlanmıştır. Yönetmeliğe duyulan ihtiyaç, finans sektörünün bilişim teknolojilerine ve dijital formdaki bilgiye olan bağımlılığından kaynaklanıyor ve bu bağımlılık, pandemi sonrası dönemde daha da artmaya devam etmektedir. Avrupa Birliği Dijital Operasyonel Dayanıklılık Yasası, sağlam ve dayanıklı operasyonları desteklerken finans sektöründe kaynak kullanımı ile sağlanan hizmetlerin daha fazla dijitalleşmesini teşvik etmek için tasarlanmıştır.
AB finans sektörü yasal otoriteler tarafından oluşturulan operasyonel esneklik gerekliliklerini, siber olaylara müdahale yöntemlerinin iyileştirilmesi hususunda önemli bir gelişme olan dijital teknolojilerin gözetimini de içerecek şekilde genişletilmektedir. Başta bankalar olmak üzere finans kurumlarının müşteri sırrı ve hassas nitelikli verileri koruma ve iş kesintilerinden kurtulma yeteneğini geliştirmek için tasarlanan AB ve ABD düzenlemelerinin istikrarlı akışının en sonuncusu olan Avrupa Birliği Dijital Operasyonel Dayanıklılık Yasası, en belirgin niteliği ile bir güncelleme yasası olmaktan, önceki hazırlık standartlarını değiştirmek yerine dijital uyum alanını genişletmektedir.
Avrupa Birliği Dijital Operasyonel Dayanıklılık Yasası’nın etkisi, finans kurumlarının operasyonel dayanıklılık, siber tehdit ve üçüncü taraf kaynak risk yönetimi uygulamalarının kritik fonksiyonlarının dayanıklılığını nasıl etkilediğini tam olarak anlamaya ve tamamen yeni operasyonel dayanıklılık yetenekleri geliştirmeye itecek bir “oyun değiştirici” olacak gibi görünüyor.
Finans kurumlarının uyumluluk çalışmalarını tamamlayabilmeleri için nispeten sıkı bir 12 aylık uygulama dönemiyle karşı karşıya kalacakları kaçınılmaz. Uygulama dönemi, Resmi Gazete’nin yayımlanmasından sonra başlamış olarak kabul edilse bile, 2024'ün 4. çeyreği itibarıyla, ilgili Finansal Hizmetler denetim firmaların, Avrupa Denetleyici Otoriteleri- European Supervisory Authorities (ESA’lar) tarafından ikincil düzenleme oluşturma yoluyla bu gerekliliklerin nasıl detaylandırıldığı da dahil olmak üzere, yönetmeliğin tüm yeni gerekliliklerine tam olarak uymasını bekleyecekleri anlamına geliyor.
Avrupa Birliği Dijital Operasyonel Dayanıklılık Yasası konusunda ilerleyen aşamalarda yapılan müzakerelerle mevzuatın son şekli netlik kazanmış oldu. AB merkezli finans kurumlarının, yakında uygulamak zorunda kalacakları gereklilikleri daha iyi anlayabilmek için görüşmelerin durumunu dikkate almaları gerekiyor. Kurumlar yasal bürokrasinin işleyişi ve karar sürecin sonuçlanmasını beklememelidirler. Yönetmeliğe uyum için elimizde kalan 12 aylık süre içinde AB otoriteleri tarafından servis edilecek ek düzenlemeler uyum sürecinde çalışmalara dahil edilmelidir. Aksi takdirde finans kurumları belirlenen uyum takviminin gerisinde kalabilirler.
AB’deki finans kurumları için siber risk yönetimi, olay raporlama, dayanıklılık testi ve üçüncü taraf kaynak kullanımı gerekliliklerini belirlenmiş olması Avrupa’da faaliyet gösteren ve merkezi Türkiye’de olan finans kurumları için de ilerleyen süreçte yerel yasalara etki edecek yeni teknoloji ve uyum gereksinimleri oluşturacaktır. Ek olarak, yönetmelik finans sektörü denetçilerinin kritik teknoloji ve altyapılarının belirlenmesi, gereken iş sürekliliği çalışmalarının belirlenen yasal gereksinimlere uygun olarak sağlanmaları ve üçüncü taraf kaynak hizmet sağlayıcılarının uyum gereksinimlerini sağlaması gibi yepyeni kontrol alanlarında faaliyet göstermesine olanak tanıyacaktır.
Kısacası, Avrupa’nın Dijital Çağa Uygunluk programının bir parçası olarak Avrupa Birliği Dijital Operasyonel Dayanıklılık Yasası, AB’de finans sektörüne yönelik düzenlemeleri uyumlu hale getirerek Avrupa’nın dijital dönüşümüne katkıda bulunmayı hedeflemektedir. Avrupa Parlamentosu (AP) ve Avrupa Konseyi, yönetmeliğin uyum süreçleri müzakerelerde de (“Trilogues”) görüşüldüğü gibi ek dokümanlar ile desteklenecektir.
Avrupa Birliği Dijital Operasyonel Dayanıklılık Yasası Kimleri Etkiler?
Avrupa Birliği Dijital Operasyonel Dayanıklılık Yasası, AB Parlamentosu tarafından onaylanan bir AB yönetmeliği niteliğinde olması koşulu ile, üçüncü taraf hizmet sağlayıcılar da dahil olmak üzere AB üye devletlerinde faaliyet gösteren finans hizmet kuruluşlarının tümünü etkilemektedir. Avrupa dışında merkezi olan ve AB üye ülkelerinde doğrudan veya üçüncü taraf hizmet sağlayıcısı olarak finansal hizmetler sağlayan her kurum bu yasaya doğrudan uymak zorundadır.
Avrupa Birliği Dijital Operasyonel Dayanıklılık Yasası’nın temel bileşenleri nedir?
Avrupa Birliği Konseyi, Avrupa Birliği Dijital Operasyonel Dayanıklılık Yasası konusunda nerede uyumlu olduğu ve nerede farklılaştığına ilişkin olarak:
Bilgi ve iletişim teknolojileri risk yönetimi gereklilikleri: Dijital teknoloji ve altyapıların risk yönetimi ve yönetişimine ilişkin yasal gereksinimler yönetmelikte açıkça ifade edilmiştir. Bilişim teknolojileri risk yönetimine ilişkin kuralların çoğu Düzenleyici Teknik Standartlar (RTS) oluşturmak üzere Avrupa Denetleyici Otoritelerine devredilmektedir. Siber olayları kayıtlarını yıllık olarak açıklanması hususunda yasal beklenti mevcut düzenlemelerden farklılık göstermektedir. AB otoritesi, finansal kurumların ciddi iş sürekliliği vakalarına maruz kalma durumlarına ilişkin iş etkisi analizleri yapmalarını talep etmektedir.
Bilişim ve iletişim teknolojileri — Siber risk yönetimi
AB otoritesi, iş sürekliliği konusunda yaşanacak her türlü aksaklıkların zamanında ve açık bir şekilde bildirilmesi için kritiklik eşiklerini daha da netleştirmek amacıyla Düzenleyici Teknik Standartlar ek yönetmelik yayınlanması sürecini sürdürecektir. Finans kurumlarının önemli siber tehditleri gönüllü olarak bildirmeleri beklenirken, AB otoriteleri bunun zorunlu olmasını talep etmektedir. Sonuç olarak muhtemelen, yasal sürecin bu yıl sonuçlanması nedeniyle yasama müzakereleri devam eden, gözden geçirilen düzenlemelerdeki gerekliliklerle uyumlu olacaktır.
Avrupa Birliği Dijital Operasyonel Dayanıklılık Yasası, bilişim ve iletişim teknoloji risk yönetimi alanında yirmi yıllık bir çalışmaya dayanmaktadır. Pek çok finansal kurum son yıllarda yaşanan dijital dönüşüm adımları kapsamında bu yönetmeliğin gerekliliklerinin çoğuna, mevcut standartlar ve yönergelerden ötürü aşinadır.
Firmaların kritik teknoloji ve altyapı varlıklarının tanımlaması, sınıflandırması ve gerekli ise risk değerlendirme süreçlerine dahil edilmesi gerekmektedir. Bu sayede ortak bir yaklaşımla Avrupa başta olmak üzere Avrupa’da faaliyet gösteren tüm kurumlar için, finans sektöründe mevcut ve potansiyel risklere karşı koruma sağlamaları ve olağandışı siber tehdit oluşumlarını tespit edebilmeleri ve bu amaca hizmet edecek araçlara sahip olmaları beklenmektedir. Finans kurumlarının herhangi bir olağandışı veya beklenmedik sistem davranışı tespit etmesi durumunda yönetmelik, bu tür siber olaylara yanıt verilmesi ve gerektiğinde bu tür olaylardan sonra iyileştirme sağlanması için yasal beklentiler yönetmelikte açıkça ifade edilmiştir.
Bilişim ve iletişim teknolojileri ve siber olay raporlaması
Avrupa Birliği Dijital Operasyonel Dayanıklılık Yasası, bilişim teknolojileri ve siber olay yönetimini kapsamakta olup, kritik bilişim ve iletişim teknolojileri ile ilgili olayların raporlanmasını ve kritik siber tehditlerin gönüllü olarak raporlanmasını uyumlu hale getirmeyi amaçlamaktadır.
Düzenleme, özünde, finans kurumlarının bilişim ve iletişim teknolojileri olaylarını tespit etmek, yönetmek ve kök nedenlerini belirlemek de dahil olmak üzere bildirmek için bir olay yönetimi süreci uygulamasını beklemektedir Avrupa Birliği Dijital Operasyonel Dayanıklılık Yasası’nın bilişim ve iletişim teknolojileri olay yönetimi gereksinimlerinin etkisi eski düzenlemelere göre farklılık gösterecektir. Yeni düzenlemeye tabi birçok finans kuruluşunun halihazırda çok sayıda olay raporlama zorunluluğu vardır; bu durumda Avrupa Birliği Dijital Operasyonel Dayanıklılık Yasası, tek bir yükümlülük altında bir olayı raporlamak zorunda kalarak yükü azaltacaktır. Halihazırda sınırlı olay raporlaması süreci işleten kurumlar için düzenlemenin ilk etkisi bilişim ve iletişim teknolojileri olay raporlama olgunluğunu da artırmak olacaktır. Bu siber olayların yetkili makamlar tarafından ilgili sektör AB otoritelerine raporlanması, bilişim ve iletişim teknolojileri olaylarının doğası hakkında AB çapında daha iyi bir anlayış elde etmek için AB çapında daha fazla olay analizi yapılmasına olanak sağlayacaktır.
Bilişim ve iletişim teknolojileri üçüncü taraf kaynak risk yönetimi
Kritik veya önemli işlevleri desteklemek için üçüncü taraf hizmet sağlayıcı firmalardan ürün/hizmet kullanımı gerçekleştiren başta bankalar olmak üzere tüm finans kurumları için Avrupa Birliği Dijital Operasyonel Dayanıklılık Yasası’nın önerdiği tüm risk yönetimi gereksinimlerini karşılaması beklenmektedir. Ayrıca düzenleme ile, Avrupa dışındaki ülkelerden, Avrupa’da faaliyet gösteren finans kurumlarına hizmet sağlayan üçüncü taraf hizmet sağlayıcı firmaların, AB Üye Devletinin kanunlarına tabi olmasını sağlamak gibi ek gereklilikler gündeme gelmektedir. Bunlar Avrupa dışındaki ülkelerden, Avrupa’da faaliyet gösteren finans kurumlarına hizmet sağlayan üçüncü taraf hizmet sağlayıcı firmalar için yeni gereksinimler olduğundan, hem planlama, hem de sözleşme hükümlerinin müzakere edilmesi açısından önemli çalışmalar gerektirecektir.
Üçüncü taraf ‘Gözetim Rejimi’
Avrupa Birliği Dijital Operasyonel Dayanıklılık Yasası Bölüm V kapsamında kurulan kritik üçüncü taraf sağlayıcılara yönelik yeni gözetim rejimi Kasım ayında yeni bir güncelleme ile AB otoriteleri tarafından resmi internet siteleri üzerinden duyuruldu. Bu elbette Avrupa’nın yeni Dijital Operasyonel Dayanıklılık çerçevesinin son derece önemli bir yönü olarak tüm üçüncü taraf hizmet sağlayıcı firmaların küresel finansal sistemin işleyişinde oynamaya başladığı büyük rolü yansıtmaktadır.
Yeni gözetim rejimi kapsamına girecek üçüncü taraf hizmet sağlayıcı firmaları belirlemeye yönelik bu çalışma, daha önce tartışılan üçüncü taraf kaynak kullanımı ilkelerine ilişkin kayıtlarından yararlanılarak düzenlenmektedir. Kritik üçüncü taraf hizmet sağlayıcı firmalar belirlendiğinde, AB Otoritesi Ortak İnceleme Ekipleri tarafından gözetim rolü üstlenilecektir.
Dört Düzenleyici Teknik Standart (RTS) ve bir Uygulama Teknik Standardı (ITS) oluşan ilk parti ek düzenleme, değerlendirme aşamasındadır. Buna paralel olarak, yeni Ortak İnceleme Ekiplerinin tasarlanması ve kurulması da dahil olmak üzere, yeni Üçüncü Taraf Gözetim Rejimine (Third Party Oversight Regime) yönelik çalışma düzenlemelerinin hayata geçirilmesi bağlamında AB Otoriteleri ve Ulusal Yetkili Otoriteler (National Competent Authorities) arasında tartışmalar sürdürülmektedir.
Avrupa dijital reformu sürecinde hayatımıza giren yasal gereksinimler göz önünde bulundurulduğunda, şüphesiz ki 2024 yılı finansal sektörde Avrupa Birliği Dijital Operasyonel Dayanıklılık Yasası uyum çalışmaları ile siber dayanıklılığın güçlendirildiği bir dönem olacaktır.
Onur Korucu
