DORA (Digital Operational Resilience Act), Avrupa finans kurumları için dijital operasyonel dayanıklılık konusunda uyumlu ve kapsamlı bir rehberlik sunmayı amaçlayan Avrupa düzeyindeki ilk mevzuattır. 2008 sonrası mali hizmetler düzenleme reformunun büyük ölçüde sektörün mali dayanıklılığını güçlendirmeye odaklanması üzerine Avrupa Komisyonu, Dora’nın temel amacını siber tehditleri önceden tespit ederek önlemek ve bu tehditlerin kurumun kritik işlevlerine ve finans sektörüne oluşturacağı etkileri en aza indirmek olarak belirlemiştir. Böylece, finans sektöründeki aktörler, BİT (bilgi ve iletişim teknolojisi) operasyonlarını güçlendirmek ve güvenlik seviyesini artırmak için gerekli önlemleri alarak daha dayanıklı ve güvenilir bir dijital altyapı oluşturabilirler.
Yönetmelik 16 Ocak 2023 tarihinde yürürlüğe girmiş olup, 17 Ocak 2025 tarihinden itibaren geçerli olacaktır.
Dijital Operasyonel Dayanıklılık Yasası (Yönetmelik (AB) 2022/2554), AB finansal mevzuatındaki önemli bir sorunu çözmektedir. DORA’ dan önce, finansal kurumlar operasyonel riskin ana kategorilerini esas olarak sermaye tahsisi ile yönetiyorlardı, ancak operasyonel esnekliğin tüm bileşenlerini yönetmiyorlardı.
DORA’ dan sonra, BİT ile ilgili olaylara karşı koruma, tespit, sınırlama, kurtarma ve onarım yetenekleri için de kurallara uymaları gerekmektedir. DORA açıkça BİT riskine atıfta bulunmakta ve BİT risk yönetimi, olay raporlama, operasyonel dayanıklılık testi ve BİT üçüncü taraf risk izleme ile ilgili kuralları belirlemektedir. Bu Yönetmelik, geleneksel risk kategorileri için “yeterli” sermaye olsa bile, BİT olaylarının ve operasyonel dayanıklılık eksikliğinin tüm finansal sistemin sağlamlığını tehlikeye atma olasılığı olduğunu kabul etmektedir.
DORA’ nın yeni ve karmaşık bir mevzuat olması nedeniyle, genel olarak içerik yapısı aşağıdaki gibidir;
Kapsam
BİT (bilgi ve iletişim teknolojisi) Risk Yönetimi ve İç Yönetişim Düzenlemeleri
BİT ile İlgili Olaylar: Yönetim, Sınıflandırma ve Raporlama
Dijital Operasyonel Dayanıklılık Testi
BİT Üçüncü Taraf Risklerinin Yönetimi ve Sözleşmeye Bağlı Düzenlemeler
Kritik BİT Üçüncü Taraf Hizmet Sağlayıcıları ve Gözetim Çerçevesi
Bilgi paylaşımı düzenlemeleri, denetimi ve yaptırımı
Denetim ve Uygulama
Diğer düzenleyici gerekliliklerle bağlantı
Sonraki adımlar
Pratik hususlar
DORA (Digital Operational Resilience Act) bir devlet kurumu değildir. Bankaların, borsaların ve diğer finansal piyasa altyapılarının uyması gereken operasyonel esneklikle ilgili önlemler için standartlar belirlemeyi amaçlayan bir girişimdir.
Finansal kuruluşlar için DORA’ nın temel gereklilikleri nelerdir?
Prensip olarak, DORA yönetmeliğinde formüle edilen BİT risk yönetimi gibi gerekliliklerin çoğu, EBA Kılavuzları, MaRisk veya BAIT gibi mevcut finans sektörü düzenlemelerinden zaten bilinmektedir. Ancak bazı durumlarda, BİT hizmet sağlayıcılarının izlenmesi ve denetlenmesi veya BİT sistemlerinin denetlenmesi gibi bunun ötesine de geçmektedir. Aşağıdaki hususlara dikkat edilmelidir:
BİT ile ilgili olayların raporlanması
Dijital operasyonel esneklik testi
BİT üçüncü taraf riskinin yönetimi
Bilgi paylaşım düzenlemeleri
DORA Yönetmeliği Kimleri İçin Uygun?
Dijital Operasyonel Dayanıklılık Yasası, finans şirketlerinin BİT (bilgi ve iletişim teknolojisi) ile ilgili risklere karşı korunmak için önlemler almasını gerektirmektedir. Bunu başarmak için DORA gereklilikleri, bulut sağlayıcıları gibi üçüncü tarafları da kapsamaktadır. DORA’ dan etkilenen finans sektörleri şunlardır:
Kredi kuruluşları
Ödeme kuruluşları
Elektronik para kuruluşları
Yatırım firmaları
Kripto varlık hizmet sağlayıcıları
Alternatif yatırım fonları
Sigorta yöneticileri
Kapsanan kuruluşlara hizmet veren kritik BİT üçüncü taraf sağlayıcıları
DORA’ ya uyum yolculuğunuzda, önceden hazırlıklı olmanızı sağlamak ve bu konuda daha fazla bilgi almak için info@cfecert.co.uk adresinden bize ulaşabilirsiniz.
