Avrupa Birliği, finans sektöründe ağ ve bilgi sistemlerinin güvenliğini uyumlu hale getirmek amacıyla DORA yönetmeliğini Eylül 2020’de oluşturdu. Bu yönetmelik, dijital iş esnekliğine ilişkin tek bir dizi gereklilik içermektedir ve kapsamı; kredi kuruluşları, sigorta şirketleri, kredi derecelendirme kuruluşları ve üçüncü taraf BİT hizmet sağlayıcıları gibi geniş bir yelpazeyi kapsamaktadır. Yönetmelik, tüm üye ülkelerde 17 Ocak 2025’te yürürlüğe girecektir.
DORA’ya dayalı gereksinimler beş temel sütuna ayrılmıştır. Her sütun için önerilen çözümler özet olarak şu şekildedir:
1-BT Risk Yönetimi:
Bu temel sütun, BİT risklerinin kapsamlı bir şekilde tanımlanmasını, değerlendirilmesini ve azaltılmasını zorunlu kılarak kuruluşların sağlam iç yönetişim ve kontrol çerçeveleri oluşturmasını zorunlu kılar.
2-BT Olay Yönetimi:
Siber olayların ve operasyonel kesintilerin hızlı ve etkili bir şekilde yönetilmesi bu sütunun temelini oluşturur. Kuruluşlar, önemli siber olayları tespit edip yönetmek ve bunları usulüne uygun olarak bildirmek için tutarlı bir süreç geliştirmek zorundadır.
3- Üçüncü Taraf Risk Yönetimi:
Günümüzün birbirine bağlı finansal ekosisteminde üçüncü taraf hizmet sağlayıcılar kritik bir rol oynamaktadır. Bu sütun, bu dış ortaklıklardan kaynaklanan riskleri özenle yönetmenin önemini vurgulamaktadır. Kuruluşların kapsamlı değerlendirmeler yapmasını ve üçüncü taraflarla sağlam sözleşme ilişkileri geliştirmesini gerektirir.
4-Holistik Yaklaşım:
Kuruluşlar, DORA’nın rehberliğiyle standartlara entegre olurken uyumlu ve esnek bir yapı kurabilir. Bu yaklaşım, kapsamlı risk yönetimini ve yenilikçi çözümleri teşvik ederek sürekli gelişime kapı açar. Bilgi paylaşımı ve iş birliği, kuruluşların dijital dayanıklılıklarını güçlendirir.
5-Dijital Operasyonel Dayanıklılık:
Kuruluşların dijital dayanıklılıklarını test etmek ve zayıf noktalarını belirlemek için tatbikatlar, siber tatbikatlar ve simülasyonlar gerçekleştirmesini gerektirir. Bu, zayıf noktaların ortaya çıkarılması ve bunlara yönelik eylem planlarının oluşturulması için önemlidir.
DORA, finans ve BT sektöründe devrim niteliğinde bir gelişmedir ve kuruluşları dijital alanda operasyonel dayanıklılıklarını artırmaya teşvik eder. CFECERT olarak DORA’nın karmaşıklıklarını aşmak isteyen kuruluşlara Belgelendirme ve Eğitim konularında daha fazla bilgi sunuyoruz. Bize info@cfecert.co.uk adresinden ulaşabilirsiniz.
