Avrupa Birliği’nin (AB’nin) Dijital Operasyonel Dayanıklılık Yasası veya DORA, finansal hizmetlerde bulutun geleceği açısından önemli bir kilometre taşıdır. Bulut teknolojisinin modern bankacılık hizmetlerinin sunulmasında oynadığı hayati rolü kabul ediyor. Aynı zamanda DORA, bir hizmet kesintisinin yalnızca bireysel bir bankanın müşterileri için değil, tüm ekonomi için yaratabileceği felaket riskinin altını çiziyor.
AB bu noktada ikinci planda kalmamalı; devasa GDPR cezaları bir emsal oluşturdu ve teknoloji firmaları dikkatli olmalı. NetApp olarak, henüz tamamlanmayan ancak büyüyen bir tedarikçi listesiyle bunun boyutunu anlıyoruz.
2025’ten itibaren sayısız kuruluş, hatalı olmaları halinde ağır cezalara maruz kalma riskiyle karşı karşıya kalacak. Cezaların BİT sağlayıcılarını da kapsayacak şekilde genişletilmesi nedeniyle işletmelerin bunu artık düşünmeye başlaması gerekiyor. Uyumsuzluk için önerilen cezalar, dünya çapındaki ortalama günlük cironun %1’inin periyodik olarak ödenmesini içermektedir.
Peki DORA nedir? Bu bir işletme için ne anlama geliyor ve yürürlüğe girdiğinde yakalanmaktan nasıl kaçınabilirler?
DORA’yı Anlamak
Basitçe söylemek gerekirse DORA, finansal hizmetlerde BİT risk yönetimini ele almayı ve AB çapında halihazırda yürürlükte olan mevcut BİT risk yönetimi düzenlemeleriyle uyumlu çalışmayı amaçlamaktadır.
DORA, risklerin yönetilmesi ve azaltılması için evrensel temeller oluşturmayı ve bir çerçeve sağlamayı amaçlamaktadır. Bunu, hâlihazırda yürürlükte olan çeşitli düzenlemeler arasında ortaya çıkabilecek boşlukları, tekrarları ve her türlü çatışmayı ortadan kaldırarak gerçekleştirecektir.
DORA, ortak bir kurallar dizisi üreterek, finansal hizmetlerin çevresinde veya çevresinde faaliyet gösteren kuruluşların hayatını kolaylaştırmalıdır. Başarılı olması halinde uyum, AB’nin mali sisteminin dayanıklılığını güçlendirecek ve her kurumu aynı standartlarda tutacaktır.
Ancak şu ana kadar AB’deki finansal kurumlara yönelik risk yönetimi düzenlemeleri öncelikle firmaların operasyonel riskleri karşılamak için yeterli kaynaklara ve sermayeye sahip olmalarını sağlamaya odaklanıyordu. AB düzenleyicilerinin güvenlik riski yönetimi ve BİT ile ilgili yönergeler yayınlamak gibi bazı proaktif adımlarına rağmen, bunlar tüm finansal hizmet şirketlerine eşit şekilde uygulanmadı. Bu durum, düzenleyicilerin genellikle kesin, üzerinde anlaşmaya varılan teknik standartlar yerine genel ilkelere güvenmelerine yol açmıştır.
Dahası, mevzuattaki boşluklar nedeniyle, bireysel AB ülkelerinin kendi gerekliliklerini belirlediklerine bile tanık olduk. Düzenleyici açıdan bakıldığında bu ideal olmasa da, yeterince dikkate alınmamış veya yamalanmış düzenlemeler, finansal hizmetler sektöründeki kuruluşların bu alanda güvenle ilerlemesini zorlaştırmıştır.
DORA’ya hazırlanıyoruz
DORA’nın kapsamı AB’deki tüm finansal kurumları etkilemektedir. Özellikle, finansal düzenlemelerin kapsamı dışında bırakılanları da (yani finansal hizmet kuruluşlarını destekleyen üçüncü taraf BİT hizmeti veya sistem sağlayıcılarının yanı sıra yönetim çözümleri ve bulut sağlayıcıları) da kapsar.
Orantılı olarak uygulanacak beş temel sütuna ayrılabilir; 1) BİT risk yönetimi, 2) BİT ile ilgili olay raporlama, 3) dijital operasyon dayanıklılık testi, 4) BİT üçüncü taraf riski ve 5) bilgi paylaşımı.
Bu ilk bakışta göz korkutucu görünse de, küçük kuruluşların büyük finansal kuruluşlarla aynı standartlara tabi tutulmayacağını belirtmek önemlidir. Bilgi paylaşımı da teşvik edilir ancak zorunlu değildir. Bu aslında sadece sektör için değil, tedarikçiler için de önemli bir değişim adımıdır.
Sonuç? Finans firmaları, 2025’te DORA’nın yürürlüğe girmesine hazırlanırken bir dizi yeni zorluk ve riskle karşı karşıya.
Bu ne anlama gelir?
Bu beş sütun esasen iki temel alanı kapsıyor: dayanıklılık ve bulut.
DORA, siber dayanıklılık için saldırı tehdidini en aza indirmek istiyor ve kuruluşlara hizmet kullanılabilirliğini ve raporlamayı nasıl sağlayabileceklerini soruyor. Bir diğer önemli husus ise iyileşmeyi nasıl sağlayabilecekleridir. Finansal kuruluşları belirsizlik içinde bırakan fidye yazılımı gibi siber saldırıların sayısının giderek arttığını görüyoruz.
DORA’nın dayanıklılığına entegre bir yaklaşım, hem düzenleyicilerle hem de emsallerle bilgi paylaşımı olacaktır. Bu, ne kadar çok bilgi paylaşırsak farkındalığı o kadar artırabileceğimiz ve olası ve ortaya çıkan tehditlere karşı koruma sağlayabileceğimiz önermesine dayanmaktadır. Bu durum sektör için tanıdık ve rahatsız edici olacaktır. Finansal kuruluşlar, düzenleyici kurumlarla bilgi paylaşmaya alışkın olduğundan daha fazla, rakiplerle ise daha az alışkındır.
İkinci temel alan ise sektörün bulut yoğunlaşma riskidir. Düzenleyicilerin bulutu finansal hizmetler için etkili bir platform olarak kabul etmesi nedeniyle bu özellikle ilgi çekicidir. Bunu yalnızca insanların müşteri verilerini buluta koymaktan korktuğu zamanlarla karşılaştırmak gerekir; bugün düzenleyiciler artık bulut teknolojilerinin kalıcı olduğunu kabul ediyor.
Belki de en önemlisi DORA, bulut sağlayıcılarıyla kesinti riskini en aza indirecek kontroller oluşturmayı amaçlıyor. Buna karşılık umut, bir ülkenin ekonomisine herhangi bir etkinin önlenmesidir.
Kuruluşlar buna nasıl doğru yaklaşabilir?
DORA, Avrupa Parlamentosu tarafından onaylandı ve kuruluşların mevzuatın 2025’te yürürlüğe girmesine bir yıldan biraz fazla zaman kaldı. Bu nedenle kuruluşların bu zamanı etkili bir şekilde kullanmaları ve Dijital Dayanıklılık Çerçevelerini olgunlaştırmaya odaklanmaları gerekiyor. Bunu yapabilmek için gerekli yıllık değerlendirmeleri, testleri ve raporları gerçekleştirmeye hazır olduklarından emin olmak için yeteneklerini ve süreçlerini geliştirmelidirler.
DORA, bu alanda “lexspecis” haline gelecek; bu, NIS veya ESA yönergeleri gibi örtüşen düzenlemelere göre öncelikli olacağı anlamına geliyor. Şirketler için bu, bu düzenleme yürürlüğe girmeden önce süreçlerde herhangi bir boşluk oluşmasını önlemek için DORA’yı ana referans noktası olarak kullanmaları gerektiği anlamına geliyor. Bundan sonra dayanıklılık ve uyumluluğu sağlamaya yönelik en iyi uygulama, DORA’yı kurumsal olduğu kadar teknik bir zorluk olarak görmek arasında bir denge kurmak olacaktır.
Bu, DORA’nın hem kültürel hem de prosedürsel olduğu anlamına gelir. Bilgi paylaşımına ve farklı ekiplerin paylaşımına bağlıdır. DORA yalnızca bir BİT sorunu olamaz çünkü ekiplerin bilgileri iyi bir şekilde derlemek ve paylaşmak için dahil olması gerekir. Bunu yapmak hem iç hem de dış iletişimlerini geliştirecektir. Ekipler arasında daha iyi işbirliği ve istişare, DORA’nın başarılı navigasyonunu destekleyeceği için bu zorunludur. Risk, güvenlik ve BT ekiplerinin hep birlikte birlikte çalışması gerekecektir. Aslında gerekli düzeyde iç işbirliğine ulaşmak, potansiyel olarak dış raporlamadan daha büyük bir zorluk olabilir.
İç yönetim uygulamalarının mükemmelleştirilmesine yönelik yatırım da yardımcı olabilir. Bu cephede olgunluğu daha düşük olan kuruluşların, DORA uyumluluğuna ulaşma yeteneği ve kapasitesini kazanmak için daha fazla kaynak ve para yatırımı yapması gerekecektir. Şimdilik odak noktamız bu sorunu bir an önce ele almaktır. Firmalar önleyici bir kültür tutumunu benimsemezlerse, reaktif bir yaklaşımın maliyetli olması muhtemeldir.
Steve Rackham, NetApp’te finansal hizmetlerden sorumlu baş teknoloji sorumlusudur (CTO)