Düzenleyici Teknik Standartlar (RTS), Avrupa Parlamentosu ve Konseyi tarafından dijital operasyonel direnç yönetimi düzenlemesi (DORA) kapsamında oluşturulmuş bir düzenleyici bir kılavuzdur. Bu kılavuz, Bilgi ve İletişim Teknolojileri (ICT) alanında risk yönetimi araçları, yöntemleri, süreçleri ve politikalarını entegre etmeyi amaçlar.
Bu taslak, 14 Aralık 2022 tarihli ve 2022/2554 sayılı Avrupa Parlamentosu ve Konseyi’nin DORA uyarınca oluşturulmuştur. Avrupa Denetim Otoriteleri (ESAs), finans sektöründeki kuruluşların ICT risk yönetimi araçlarını, yöntemlerini, süreçlerini ve politikalarını uyumlu hale getirmek amacıyla bu düzenleyici teknik standartlar (RTS) taslağını hazırlamıştır.
Bu düzenleyici standartlar hem büyük hem de küçük ölçekli işletmeler için önemlidir. ICT alanındaki risk yönetimi uygulamalarını daha spesifik olarak aşağıdaki gibi inceleyebiliriz.
Genel Değerlendirme
Haziran-Eylül 2023 arasında düzenlenen kamuoyu danışma sürecinde 120 geri bildirim alınmış ve bunlar detaylı şekilde değerlendirilmiştir. Gelen yorumlar doğrultusunda RTS taslağında bazı değişiklikler yapılmıştır.
Bu değişiklikler, orantılılık ilkesi ve risk bazlı yaklaşımlar, ağ güvenliği, şifreleme, erişim kontrolü ve iş sürekliliği konularında netleştirmeler içermektedir. Ayrıca, bulut bilişim ile ilgili özel gereksinimlerin tartışmalı olması sebebiyle, teknolojiye özgü gereksinimlerden kaçınılmış ve genel ICT varlıkları ve hizmet sağlayıcılarına yönelik gereksinimler belirlenmiştir.
RTS taslağına yapılan başlıca değişiklikler şunlardır:
Orantılılık ve Risk Bazlı Yaklaşım: Geri bildirimler doğrultusunda, genel düzen gereksinimlerinden yönetişim ve bilgi güvenliği farkındalığı maddeleri kaldırılmış, ağ güvenliği, şifreleme, erişim kontrolü ve iş sürekliliği konularında netleştirmeler yapılmıştır.
Bulut Bilişim: Bulut bilişim ile ilgili spesifik gereksinimler tartışmalı bulunmuş ve teknolojiye tarafsız kalınarak bu gereksinimlerden kaçınılmıştır. Bunun yerine, ICT üçüncü parti hizmet sağlayıcılarının sağladığı hizmetler genel olarak ele alınmıştır.
Geri Bildirimlerin Değerlendirilmesi: Kamuoyu geri bildirimleri değerlendirilmiş ve uygun görülen değişiklikler RTS taslağına yansıtılmıştır.
Düzenleyici Teknik Standartların Genel Prensipleri
RTS taslağı, ICT güvenliği politikaları, prosedürler, protokoller ve araçlar gibi genel unsurları kapsayan çok sayıda bölümü içermektedir. Bu unsurlar, finansal kuruluşların ICT risklerini etkili bir şekilde yönetmelerini sağlamayı amaçlamaktadır. RTS, teknolojiye tarafsız bir yaklaşımı benimseyerek, finansal kuruluşlara risk yönetim önlemlerini seçme ve uygulama esnekliği tanımaktadır. Ayrıca, küçük ölçekli finansal kuruluşlar için basitleştirilmiş bir yol haritası sunularak, bu kuruluşların kaynak ve yeteneklerinin sınırlı olduğu göz önünde bulundurulmuştur.
ICT Risk Yönetimi ve İş Sürekliliği Yönetimi
RTS taslağı, ICT varlık yönetimi, şifreleme ve kriptografi, ICT operasyon güvenliği, ağ güvenliği, proje ve değişim yönetimi gibi spesifik konularda ayrıntılı düzenlemeler içermektedir. Bu düzenlemeler, finansal kuruluşların ICT risklerini yönetmelerine ve dijital operasyonel dirençlerini artırmalarına yardımcı olmayı amaçlamaktadır. İş sürekliliği yönetimi konusunda ise, iş sürekliliği planlarının yıllık olarak test edilmesi ve bu testlerin sonuçlarının yönetim kuruluna raporlanması gerekmektedir.
RTS taslağı, finansal sektörün dijital operasyonel direnç seviyesini artırmayı amaçlayan kapsamlı ve detaylı düzenlemeler sunmaktadır. Kamuoyu geri bildirimleri doğrultusunda yapılan değişiklikler, taslağın daha uygulanabilir ve esnek olmasını sağlamıştır. RTS taslağı, finansal kuruluşların ICT risklerini etkili bir şekilde yönetmelerine ve dijital operasyonel dirençlerini artırmalarına yardımcı olmayı hedeflemektedir. Bu konuda daha detaylı bilgi için info@cfecert.co.uk adresinden bize ulaşabilirsiniz.
