Yeni mevzuata hazırlanmak için iki yılları olmasına rağmen, bugün yapılan bir araştırma, Birleşik Krallık’taki finansal hizmet kuruluşlarının önemli bir azınlığının, Avrupa Birliği’nin (AB’nin) Dijital Operasyonel Dayanıklılık Yasası’na uymak için son tarih olan 17 Ocak 2025’i kaçıracağını ortaya çıkardı ( DORA).
Orange Cyberdefense tarafından yaptırılan Censuswide anketine göre, İngiliz finansal hizmet kuruluşlarının %43’ü hala DORA’yı araştırdıklarını ve en az üç ay daha uyumlu olmayacaklarını söylüyor, bu da onları düzenleyici cezalara maruz kalma riskiyle karşı karşıya bırakıyor.
Orange adına ankete katılan 200 Birleşik Krallık bilgi güvenliği yetkilisi ve siber karar verici, ezici bir çoğunlukla DORA’nın faydalı olacağına ve AB ile daha geniş ekosistem genelinde genel dayanıklılığı önemli ölçüde artıracağına inanıyordu.
Ancak ankete katılanların çoğu DORA mevzuatından ziyade kendi kuruluşlarıyla ilgili olan çok sayıda sorunu belirtmesi nedeniyle uyumun önündeki engeller devam ediyor. Orange, bu sorunların daha geniş organizasyonda önceliklendirme eksikliğini (%28), uyumlu hale gelmenin kısa bir zaman çizelgesini (%25), belirli beceri ve bilgi eksikliğini (%24) ve tedarik zincirleri ve yönetim süreçlerinde görünürlük eksikliğini içerdiğini tespit etti. üçüncü taraf ortaklar (%23). Bunların üstesinden gelmek için %97’si dışarıdan destek almayı düşündüklerini söyledi.
Yaklaşık %84’ü kendilerine uyumlu hale gelmeleri için yeterli veya gereğinden fazla bütçe verildiğini söyledi ve Rubrik Zero Labs tarafından bugün yapılan paralel bir araştırma, Birleşik Krallık’taki mali hizmet kuruluşlarının yaklaşık %47’sinin uyumluluk önlemlerine 1 milyon Euro’nun (842.000 £) üzerinde harcama yaptığını bildirdi.
DORA, devrimsel gereksinimler yoluyla hiçbir şeyi zorunlu kılmaz. Bunların çoğu, kapsamlı siber risk değerlendirmelerine, entegre olay raporlamaya, siber dayanıklılık testlerine ve çerçeveler arası yönetişime yatırım yapılarak çözülebilir.
Richard Lindsay, Turuncu Siber Savunma
“AB’deki düzenleyici ortam, birbiriyle örtüşen birçok standart ve yasanın şu anda yürürlükte olması nedeniyle oldukça sıkışık. Gidilecek çok şey var ve misilleme tehdidi somut hale geldiğinde işletmelerin uyumluluk gerekliliklerine giderek daha reaktif bir yaklaşım sergilediğini görüyoruz,” dedi Orange Cyberdefense’in baş danışmanlık danışmanı Richard Lindsay.
“Ancak, kurallara uymamanın ciddi sonuçları olabilir; küresel yıllık cironun %2’sine varan para cezaları ve bireysel üst düzey liderlik için 1 milyon Euro’yu aşan para cezaları potansiyeli.
“Tehdit ortamı hiç bu kadar değişken olmamıştı. Finansal hizmetler sektörü kötü aktörler için cazip bir hedeftir ve ihlal olasılığı hiç bu kadar yüksek olmamıştı. İşletmeler, gerekli değişiklikleri uygulayarak istenmeyen cezalardan ve olumsuz tanıtımlardan kaçınabilir ve en önemlisi dijital tehditlere karşı dayanıklılık geliştirebilir,” diye ekledi Lindsay.
“DORA, devrim niteliğindeki gereklilikler yoluyla hiçbir şeyi zorunlu kılmıyor. Bunların çoğu, kapsamlı siber risk değerlendirmelerine, entegre olay raporlamaya, siber dayanıklılık testlerine ve çerçeveler arası yönetişime yatırım yapılarak çözülebilir. Ancak siber güvenlikte her zaman olduğu gibi zaman işliyor.”
Orange ayrıca, DORA’nın resmi olarak tanıtılmasının, AB’nin Ekim 2024’te Ağ ve Bilgi Sistemleri Direktifi 2’yi (NIS2) yürürlüğe koymasından sadece üç ay sonra gerçekleştiği göz önüne alındığında, daha geniş siber uyumluluk taleplerini ve her iki düzenleme grubundaki örtüşen gereksinimleri ele alma ihtiyacının ortaya çıkabileceğini belirtti. Uyumun sağlanmasında gecikmeler beklenmesine rağmen yanıt verenlerin çoğunluğunun neden DORA hakkında olumlu hissettiğini açıklayın.
DORA nedir?
DORA, özünde finansal hizmet kuruluşlarında siber güvenliği güçlendirmeyi ve Avrupa genelinde sektör direncini artırmayı hedefliyor. Bankalar, sigorta şirketleri ve üçüncü taraf teknoloji tedarikçileri gibi 20 farklı türde finansal kuruluş için geçerli olan operasyonel esneklik kurallarını uyumlu hale getiriyor.
Brüksel’e göre, finansal hizmetler sektörünün BT’ye ve teknoloji ekosistemine olan bağımlılığı, onu siber kesintilere karşı son derece savunmasız hale getirdiğinden DORA gibi düzenlemeler gerekli hale geldi ve bu, düzgün yönetilmediği takdirde daha geniş ekonomiye yayılabilir.
DORA, BT risk yönetimi çerçeveleri, üçüncü taraf risk izleme ve tedarikçilerin gözetimi, operasyonel dayanıklılık testleri, siber olay raporlama ve bilgi ve istihbarat paylaşımı gibi bir dizi alanı yönetir.
Sonatype’ın çözüm mimarisinden sorumlu başkan yardımcısı Mitun Zavery şunları söyledi: “GDPR bize bir şey öğrettiyse o da son dakika uyumluluk çabalarının baş ağrısına ve yarım yamalak önlemlere yol açtığıydı. Pek çok AB kanunu gibi, kanunun Avrupa finans kurumlarının ötesine ve yazılım tedarik zincirlerinin derinliklerine yayılması nedeniyle Birleşik Krallık şirketleri de kapsama dahil edilebilir.
“Bu, Avrupalı müşterileri düzenlemenin kapsamına giren Birleşik Krallık’taki işletmeler için büyük bir sorun. Uyumsuzluğa verilen sert mali cezalar, AB finans kurumlarının ortaklarına ‘Eğer uyumlu değilseniz, uyumlu olan birine ihtiyacımız var’ demeleri için yeterli motivasyondur.
Şunları ekledi: “Birleşik Krallık’taki kuruluşlar, DORA’yı bir yük olmaktan ziyade, otomasyondan yararlanarak, yazılım tedarik zincirlerini güçlendirerek ve risk azaltma ve güvenlik açığı yönetimine proaktif bir yaklaşım benimseyerek sistem ve süreçleri kolaylaştırmak için bir fırsat olarak görmelidir. DORA, GDPR’ye benzer hale gelirse, bu standardın biçimleri Birleşik Krallık’ta benimsendikçe uyumluluğa öncelik verilmesi kapıları açacaktır.”