Dijital Operasyonel Dayanıklılık Yasası (DORA) Nedir? 

Dijital Operasyonel Dayanıklılık Kanunu (Yönetmelik (AB) 2022/2554), AB finansal düzenlemesinde önemli bir sorunu çözüyor. DORA'dan önce, finansal kuruluşlar operasyonel riskin ana kategorilerini genellikle sermaye tahsisi ile yönetiyorlardı, ancak operasyonel dayanıklılığın tüm bileşenlerini yönetmiyorlardı. DORA'dan sonra, aynı zamanda ICT ile ilgili olaylara karşı koruma, tespit, sınırlama, kurtarma ve onarım yetenekleri konusunda kuralları takip etmek zorundadırlar. DORA açıkça ICT risklerine atıfta bulunur ve ICT risk yönetimi, olay bildirimi, operasyonel dayanıklılık testi ve ICT üçüncü taraf risk izlemesi konusunda kurallar belirler. Bu Yönetmelik, ICT olaylarının ve operasyonel dayanıklılığın eksikliğinin, geleneksel risk kategorileri için "yeterli" sermaye olsa bile, finansal sistemin sağlamlığını tehlikeye sokma olasılığı olduğunu kabul eder. 

Madde 1'e göre, Konu:

1. Dijital operasyonel dayanıklılığın ortak seviyesine ulaşmak amacıyla, bu Yönetmelik, finansal kuruluşların iş süreçlerini destekleyen ağ ve bilgi sistemlerinin güvenliği konusunda ortak kurallar belirler ve bu kurallar şunları içerir:

(a) finansal kuruluşlara ilişkin olarak uygulanabilir gereklilikler:

(i) bilgi ve iletişim teknolojileri (ICT) risk yönetimi;

(ii) büyük ICT ile ilgili olayların bildirimi ve yetkili makamlara önemli siber tehditleri gönüllü olarak bildirme;

(iii) Madde 2(1) (a) ila (d) fıkralarına atıfta bulunan finansal kuruluşlar tarafından yetkili makamlara büyük operasyonel veya güvenlik ödeme ile ilgili olayların bildirimi;

(iv) dijital operasyonel dayanıklılık testi;

(v) siber tehditler ve zayıflıklarla ilgili bilgi ve istihbarat paylaşımı;

(vi) ICT üçüncü taraf riskinin sağlıklı yönetimi için tedbirler;

(b) ICT üçüncü taraf hizmet sağlayıcıları ile finansal kuruluşlar arasında yapılan sözleşmelere ilişkin gereksinimler;

(c) finansal kuruluşlara hizmet verirken kritik ICT üçüncü taraf hizmet sağlayıcılarının Denetim Çerçevesinin kurulması ve uygulanması için kurallar;

(d) bu yönetmelik kapsamındaki tüm konularla ilgili olarak yetkili makamlar arasındaki işbirliği ve denetim ve uygulama kuralları.

Dijital Operasyonel Dayanıklılık Kanunu (DORA), Avrupa Birliği Resmî Gazetesi'nde Yönetmelik (AB) 2022/2554 olarak yayınlandı.

Tam adı: Makalenin tam adı, "Avrupa Parlamentosu ve Konseyi'nin 14 Aralık 2022 tarihli 2022/2554 sayılı Dijital Operasyonel Dayanıklılık Kanunu ve (AB) No 1060/2009, (AB) No 648/2012, (AB) No 600/2014, (AB) No 909/2014 ve (AB) 2016/1011 Yönetmelikleri üzerinde değişiklik yapılmasına dair Yönetmelik (EEA önemi taşıyan metin ile)" olarak geçmektedir.

Son Başvuru Tarihi:

Bu Yönetmelik, Avrupa Birliği Resmi Gazetesi'nde yayımlanma tarihini takip eden yirminci gününde yürürlüğe girecek. 17 Ocak 2025 tarihinden itibaren geçerli olacaktır.

Unutmayın, Dijital Operasyonel Dayanıklılık Kanunu (DORA), bir Direktif değil, bir Yönetmelik olduğundan, tüm AB Üye Devletleri'nde tamamen bağlayıcı ve doğrudan uygulanabilir.

Makale 58'de 17 Ocak 2026 tarihine kadar Avrupa Komisyonu'nun denetim yapması ve Dijital Operasyonel Dayanıklılık açısından denetimciler ve denetim firmaları için güçlendirilmiş gereksinimlerin uygunluğuna ilişkin bir rapor sunması gerektiği konusu bizi şaşırttı. Dijital Operasyonel Dayanıklılık Kanunu (DORA), Avrupa Parlamentosu ve Konseyi tarafından kabul edilirse, Dijital Operasyonel Dayanıklılık açısından denetimciler ve denetim firmalarını kapsayacak şekilde bu Yönetmeliği veya 2006/43/EC Direktifinde değişiklikler yapılması yoluyla güçlendirmeyi düşünüyorsa yapılacak bir yasa önerisi ile birlikte, Avrupa Parlamentosu ve Konseyi'ne bir rapor sunması gereken bir durumdur.

28 Kasım 2022 - Konsey, Dijital Operasyonel Dayanıklılık Kanunu'nu kabul etti.

Artan siber saldırı riskleri göz önüne alındığında, AB, bankalar, sigorta şirketleri ve yatırım firmaları gibi finansal kuruluşların IT güvenliğini güçlendirmektedir. Konsey, finansal sektörün Avrupa'da ciddi bir operasyonel kesintiye dayanıklı kalabilmesini sağlayacak Dijital Operasyonel Dayanıklılık Kanunu'nu (DORA) kabul etti.

DORA, finansal kuruluşlara ICT (Bilgi İletişim Teknolojileri) ile ilgili hizmetler sunan kritik üçüncü taraflara uygulanır. DORA, dijital operasyonel dayanıklılık konusunda düzenleyici bir çerçeve oluşturur, bu çerçevede tüm firmaların ICT ile ilgili kesinti ve tehdit türlerine dayanabileceklerinden, yanıt verebileceklerinden ve kurtarabileceklerinden emin olmaları gerekmektedir.

Artık DORA teklifi resmi olarak kabul edildiğine göre, ulusal uygulamaya yönelik gereksinimler her AB üye devletinde yasa haline gelecektir. Aynı zamanda, Avrupa Bankacılık Otoritesi (ABO), Avrupa Menkul Kıymetler ve Borsaları Otoritesi (AMB), ve Avrupa Sigorta ve İşyeri Emeklilik Otoritesi (ASEA), bankacılık, sigortacılık ve varlık yönetimine kadar tüm finansal hizmet kurumları için teknik standartlar geliştireceklerdir. İlgili ulusal yetkili makamlar uygunluk denetimi rolünü üstlenecek ve gerekirse düzenlemeyi uygulayacaktır.

Dijital Operasyonel Dayanıklılık Kanunu (DORA), öncelikle farklı Yönetmelikler ve Direktiflerde ayrı ayrı ele alınan ICT risk gereksinimlerini birleştirme ve güncelleme amacını taşır. Bu birlik yasal düzenlemeleri, finansal riskin ana kategorilerini (örneğin kredi riski, piyasa riski, karşı taraf kredi riski ve likidite riski, piyasa davranış riski gibi) kapsamış olsa da kanunlaştırma dönemlerinde operasyonel dayanıklılığın tüm bileşenlerini kapsamlı bir şekilde ele alamadılar.

Bu birlik yasal düzenlemelerinde daha fazla geliştirilen operasyonel risk gereksinimleri, genellikle riski ele alma konusunda geleneksel niceliksel bir yaklaşımı (yani ICT risklerini kapsayacak sermaye gereksinimlerini belirleme) tercih etti, hedeflenen nitel gereksinimleri içermek yerine, ICT ile ilgili olaylara karşı koruma, tespit, sınırlama, kurtarma ve onarım yeteneklerini artırmayı amaçlayan gereksinimlerle, bildirim ve dijital test yeteneklerini belirlemek. Bu direktifler ve yönetmelikler, aslında temel olan, finansal denetim, piyasa bütünlüğü veya davranış konularındaki kuralları kapsamak amacıyla tasarlanmıştır, 

Dijital Operasyonel Dayanıklılık Kanunu (DORA), ICT riskleriyle ilgili kuralları bir araya getiriyor ve güncelliyor. Finansal risklere dijital bir bakış açısı benimsemek için ilk kez tüm dijital riski ele alan tutarlı tek bir yasal düzenleme içinde bir araya getirilecek. Bu girişim, bu yasal düzenlemelerin bazılarında, kullanılan terimlere ilişkin olarak, bazılarında da tutarsızlıkları gidermeye yönelik bazı yasal düzenlemelerde eksiklikleri giderir ve ICT riskine yönelik hedeflenmiş kurallar aracılığıyla ICT risk yönetimi yeteneklerini, raporlama ve dijital test yeteneklerini güvence altına alır.

Finansal kuruluşlar, ICT riskini ele alırken aynı yaklaşımı ve aynı prensip tabanlı kuralları takip etmelidir. Tutarlılık, özellikle ICT sistemlerinin, platformlarının ve altyapılarının aşırı kullanıldığı dönemlerde, artan dijital riskleri içerdiğinden finansal sistemdeki güveni artırmaya katkıda bulunur. Temel bir siber hijyenin korunması, ICT kesintilerinin etkisini ve maliyetlerini en aza indirerek ekonomiye ağır maliyetler yüklemekten de kaçınmalıdır.

Bir yönetmeliğin kullanımı, düzenleyici karmaşıklığı azaltmaya yardımcı olur, denetim yakınsamasını teşvik eder, hukuki belirsizliği artırır ve aynı zamanda özellikle sınır ötesinde faaliyet gösteren finansal kuruluşlar için uygunluk maliyetlerini sınırlamaya ve rekabet bozulmalarını azaltmaya katkıda bulunur. Finansal sektörün dijital operasyonel dayanıklılığı için ortak bir çerçeve oluşturmak için bir Yönetmelik seçimi, Birlik finans sektörü tarafından ICT risk yönetiminin tüm bileşenlerinin tutarlı ve uyumlu bir şekilde uygulanmasını garanti etmek için en uygun yol olarak görünmektedir.

Finansal sektörle Birlik yatay siber güvenlik çerçevesi arasında güçlü bir ilişkinin sürdürülmesi, Üye Devletler tarafından hâlihazırda benimsenmiş olan siber güvenlik stratejileriyle tutarlılığın sağlanması ve mali denetleyicilerin diğer sektörleri etkileyen siber olaylardan haberdar olmasına olanak sağlaması hayati önem taşımaktadır.

Ayrıca, AB'nin Elektronik Kritik Altyapı (ECI) Direktifi ile tutarlılık sağlamak önemlidir; bu direktif şu anda kritik altyapıları, siber olmayan tehditlere karşı korumayı ve dayanıklılığı artırmayı amaçlayan bir inceleme sürecinden geçmektedir ve finansal sektör için olası etkileri olabilir.

Avrupa Konseyi, Düzenleme - Konsey Başkanlığı ve Avrupa Parlamentosu politik anlaşmaya vardı:

Konsey başkanlığı ve Avrupa Parlamentosu, kritik kuruluşların dayanıklılığına ilişkin direktif konusunda politik bir anlaşmaya vardı. Şimdi tam hukuki metinde geçici anlaşmayı sonlandırmak için teknik düzeyde çalışmalar devam edecek. Bu anlaşma, resmi kabul sürecinden geçmeden önce Konsey ve Avrupa Parlamentosu tarafından onaylanmaya tabidir.

Bu direktif, kritik kuruluşların savunmasızlıklarını azaltmayı ve fiziksel dayanıklılıklarını artırmayı amaçlamaktadır. Bu kuruluşlar, AB vatandaşlarının geçim kaynaklarına ve iç pazarın düzgün işleyişine bağlı hayati hizmetler sunan kuruluşlardır. Bu kuruluşlar, doğal felaketler, terörist tehditler, sağlık acil durumlar veya hibrit saldırılara karşı hazırlıklı olabilmeli, korunabilmeli, yanıt verebilmeli ve onlardan kurtulabilmelidir.

Bugün anlaşılan metin, enerji, ulaşım, sağlık, içme suyu, atık su ve uzay gibi birçok sektördeki kritik kuruluşları kapsar. Merkezi kamu yönetimleri ayrıca taslak direktifin bazı hükümlerini kapsayacaktır.

Üye devletler, kritik kuruluşların dayanıklılığını artırmak için ulusal bir stratejiye sahip olmalı, en az her dört yılda bir risk değerlendirmesi yapmalı ve hayati hizmetlerin sağlanmasını sağlayan kritik kuruluşları belirlemelidir. Kritik kuruluşlar, hayati hizmetlerin sağlanmasını önemli ölçüde bozabilecek ilgili riskleri belirlemelidir, bu risklere karşı dayanıklılıklarını sağlamak için uygun önlemler almalı ve kesintiye uğrayan olayları yetkili makamlara bildirmelidir.

Bu direktif önerisi aynı zamanda özellikle Avrupa Birliği için önemli olan kritik kuruluşların tanımlanmasına yönelik kuralları da belirler. Bir kritik kuruluş, altı veya daha fazla üye devlete önemli bir hizmet sunuyorsa, bu durumda Komisyon, üye devletler tarafından bir danışma görevi düzenlemesi veya ilgili üye devletin onayı ile direktife ilişkin yükümlülüklere uyum sağlamak için girişilen önlemleri değerlendirmesi talep edilebilir.

Dijital Operasyonel Dayanıklılık Yasası (DORA)

Bu yasa, dijital finansın yenilik ve rekabet açısından potansiyelini daha da desteklemeyi ve güvenliğini artırmayı amaçlayan önlemler paketinin bir parçasıdır. Bu, Avrupa'yı dijital çağa uygun hale getirme ve insanlar için çalışan bir geleceğe sahip ekonomi inşa etme, Komisyon öncelikleriyle uyumludur.

Dijital finans paketi, AB finans sektörü için dijital finans stratejisi olan yeni bir stratejiyi içermektedir. Bu stratejinin amacı, AB'nin dijital devrimi benimsemesini ve yenilikçi Avrupa firmalarını öncü olarak sürmesini sağlamak, dijital finansın avantajlarını tüketicilere ve işletmelere sunmaktır.

Bu önerinin yanı sıra, paket ayrıca kripto varlık pazarlarına ilişkin bir düzenleme önerisi, dağıtılmış defter teknolojisi (DLT) piyasa altyapısına ilişkin bir pilot rejim düzenlemesi önerisi ve belirli ilgili AB finans hizmetleri kurallarını açıklamak veya değiştirmek amacıyla bir direktif önerisi içermektedir.

Finans sektöründeki dijitalleşme ve operasyonel dayanıklılık, aynı madalyonun iki yüzüdür. Dijital, veya Bilgi ve İletişim Teknolojileri (ICT), fırsatlar kadar riskler de doğurur. Bu risklerin özellikle stresli dönemlerde iyi anlaşılması ve yönetilmesi gerekmektedir.

Bu nedenle, politika yapıcıları ve denetçiler, ICT'ye olan bağlılıktan kaynaklanan riskleri gidermeye daha fazla odaklanmışlardır. Özellikle standartların belirlenmesi ve düzenleyici veya denetleyici, çalışmaların koordinasyonu yoluyla firmaların dayanıklılığını artırmaya çalışmışlardır. Bu çalışma hem uluslararası hem de Avrupa düzeyinde, endüstri genelinde hem de finansal hizmetler gibi belirli sektörler için yürütülmüştür.

Bununla birlikte, ICT riskleri, AB finansal sisteminin operasyonel dayanıklılığı, performansı ve istikrarı için hala bir zorluk teşkil etmektedir. 2008 finansal krizi sonrası yapılan reformlar, AB finansal sektörünün finansal dayanıklılığını öncelikli olarak güçlendirmiş olup, sadece bazı alanlarda dolaylı olarak ICT risklerini ele almıştır, daha geniş bir operasyonel riskleri ele alma önlemlerinin bir parçası olarak.

AB finansal hizmetler mevzuatındaki kriz sonrası değişiklikler, finansal hizmetlerle ilişkilendirilen finansal risklerin büyük bir kısmını düzenleyen Tek Kural Kitabı'nı (Single Rulebook) oluşturarak bu risklerle daha etkin bir şekilde başa çıkmıştır. Ancak bunlar dijital operasyonel dayanıklılığı tam anlamıyla ele almamıştır.

Sonuç olarak, bu önlemler etkinliklerini sınırlayan bir dizi özelliğe sahiptir. Örneğin, genellikle minimum uyum direktifleri veya prensip tabanlı düzenlemeler olarak tasarlanmışlardı ve Tek Pazar’da (Single Market) farklı yaklaşımlar için önemli bir alan bırakmışlardır. Ayrıca, operasyonel risk kapsamı bağlamında ICT risklerine sınırlı veya eksik bir odaklanma olmuştur.

Son olarak, bu önlemler sektörel finansal hizmetler mevzuatı arasında farklılık göstermektedir. Dolayısıyla, Birlik düzeyindeki müdahale, Avrupa finansal kuruluşlarının ICT vukuatlarının etkilerine dayanabilen, yanıt verebilen ve iyileşebilen bir şekilde operasyonel riskleri yönetmeleri için gerekeni tam olarak karşılamamıştır. Ayrıca, finansal denetçilere, bu ICT risklerinin gerçekleşmesinden kaynaklanan finansal istikrarsızlığı önleme görevlerini yerine getirmeleri için en uygun araçları sağlamamıştır.

AB düzeyinde dijital operasyonel dayanıklılık konusunda ayrıntılı ve kapsamlı kuralların eksikliği, ulusal düzenleyici girişimlerin (örneğin dijital operasyonel dayanıklılık testleri) ve denetim yaklaşımlarının (örneğin ICT üçüncü taraf bağımlılıklarını ele alma) çoğalmasına yol açmıştır.

Ancak, üye devlet düzeyinde yapılan bu eylemler, ICT risklerinin sınır ötesi doğasının verdiği sınırlı bir etkiye sahiptir. Dahası, koordinesiz ulusal girişimler, çakışmalar, tutarsızlıklar, tekrarlayan gereksinimler, yüksek idari ve uyum maliyetleri, özellikle sınır ötesi finansal kuruluşlar için, veya ICT risklerinin tespit edilmemesi ve dolayısıyla ele alınmamasına yol açmıştır. Bu durum, tek pazarı parçalamakta, AB finansal sektörünün istikrarını ve bütünlüğünü zayıflatmakta ve tüketicilerin ve yatırımcıların korunmasını tehlikeye atmaktadır.

Bu nedenle, AB finansal kuruluşları için ayrıntılı ve kapsamlı bir dijital operasyonel dayanıklılık çerçevesi oluşturmak gereklidir. Bu çerçeve, Tek Kural Kitabı'nın dijital risk yönetimi boyutunu derinleştirecektir.

Özellikle, finansal kuruluşların ICT risk yönetimini geliştirecek ve basitleştirecek, ICT sistemlerinin kapsamlı testini sağlayacak, finansal kuruluşların karşılaştığı siber riskler ve ICT ile ilgili olaylar konusunda denetimcilerin farkındalığını artıracak ve finansal denetçilerin ICT üçüncü taraf hizmet sağlayıcılarına bağımlılığından kaynaklanan riskleri denetlemelerine olanak tanıyacaktır. Bu öneri, finansal kuruluşlar için idari yükleri azaltmaya yardımcı olacak tutarlı bir olay bildirme mekanizması oluşturacak ve denetim etkinliğini artıracaktır.

Dijital Operasyonel Dayanıklılık Yasası (DORA)

DORA'nın düzenleme teklifi, Avrupa Birliği İşleyişine Dair Antlaşma'nın (TFEU) 114. Maddesi'ne dayanmaktadır. Bu teklif, finansal hizmetler alanında uygulanan kuralları ICT risk yönetimi, raporlama, test ve ICT üçüncü taraf riski alanında uyumlu hale getirerek finansal hizmetler iç piyasasının kurulmasını ve işleyişini iyileştirirken engelleri kaldırır.

Bu alandaki mevcut farklılıklar hem yasal hem de denetim düzeylerinde, hem ulusal hem de AB düzeylerinde, çapraz sınır faaliyetlerde bulunan finansal kuruluşların kuruluş ve hizmet sunma özgürlüklerini engelleyebilecek farklı veya örtüşmeyen düzenleyici gereksinimlere veya denetim beklentilerine maruz kalmalarına neden olan engeller olarak finansal hizmetler iç piyasasına zarar vermektedir.

Farklı kurallar aynı türdeki finansal kuruluşlar arasındaki rekabeti de bozmaktadır. Ayrıca, uyum eksikliği bulunan, kısmi veya sınırlı alanlarda, ulusal düzeyde yürürlükte olan veya kabul edilmekte ve uygulanmakta olan farklı ulusal kuralların veya yaklaşımların geliştirilmesi, finansal hizmetler için iç piyasa özgürlüklerini engelleyici bir etken olarak hareket edebilir. Bu durum, özellikle dijital operasyonel test çerçeveleri ve kritik ICT üçüncü taraf hizmet sağlayıcılarının denetimi konusunda geçerlidir.