3. Taraf Risk Yönetimi, Finans ve Bankacılık, Yönetişim ve Risk Yönetimi
Uzmanlar, Tedarikçilerin Değerlendirilmesi ve Uyumlu Olmayan Şirketler İçin Sonraki Adımlara İlişkin Tavsiyelerini Paylaşıyor
Suparna Goswami (gsuparna), Rashmi Ramesh (raşmiramesh_) •
16 Ocak 2025
Avrupa Birliği’nin bankacılık sektörüne yönelik en kapsamlı dijital ve siber risk düzenlemeleri 17 Ocak’ta yürürlüğe girecek ancak AB finansal hizmet firmalarının yalnızca %20’si bu düzenlemeye uymaya hazır.
Ayrıca bakınız: Yapay Zeka, Bulut ve Siber Tehditler: Finans Sektörü Hayatta Kalma Rehberi
FS-ISAC’ın DORA çalışma grubu, yakın zamanda yapılan isimsiz bir anketten elde edilen bulgulara dayanarak, Dijital Operasyonel Dayanıklılık Yasası’na uyan şirketlerin çoğunun AB merkezli daha büyük finansal kuruluşlar olduğunu, ancak AB dışında yerleşik daha küçük şirketlerin geride kaldığını söyledi.
Yeni düzenleme, bankalar, yatırım firmaları ve kripto varlık hizmet sağlayıcıları da dahil olmak üzere finansal hizmet şirketlerinin bilgi ve iletişim teknolojisi risklerini yönetmesini, büyük olayları raporlamasını ve üçüncü taraf risk yönetimini geliştirmesini gerektiriyor. Operasyonel kesinti sırasında dayanıklılığı sağlamak için finansal kuruluşların BT güvenliğini güçlendirmeyi amaçlamaktadır.
Uyumsuzluk, şirketin yıllık cirosunun %2’sine varan cezalara, potansiyel operasyonel aksaklıklara, itibar kaybına ve olası düzenleyici incelemelere yol açabilir.
Üçüncü Taraf Risk Zorlukları
Düzenleyici uzmanlara göre, düşük uyumluluk oranları potansiyel olarak üçüncü taraf riskleri ve sıkı uygulama son tarihleri gibi zorluklardan kaynaklanıyor.
FS-ISAC’ın Üçüncü Taraf Risk Lideri David Jones, üçüncü taraf risklerini, özellikle yüzlerce üçüncü taraf sağlayıcıyı yöneten kurumlar için “en büyük uyumluluk zorluklarından biri” olarak tanımlıyor. Forrester’ın kıdemli analisti Madelein van der Hout, ICT hizmet sağlayıcılarının DORA’nın standartlarını karşılamasını sağlamanın, parçalanmış satıcı ekosistemleriyle uğraştıklarından dolayı özellikle zorlayıcı olduğunu söyledi.
Pek çok kurum, eskimiş BİT altyapılarının DORA’nın gerçek zamanlı izleme ve raporlama gereksinimlerini karşılayamadığını tespit etti. Van der Hout, Bilgi Güvenliği Medya Grubu’na, özellikle küçük firmaların kaynak sınırlamalarıyla karşı karşıya kaldıklarını, bunun da tam uyum için gerekli fon, personel ve teknolojinin tahsis edilmesini zorlaştırdığını söyledi.
DORA’nın 2022’de tanıtılmasına rağmen, çeşitli uyumluluk gereklilikleri ancak 2024’ün ortasında, son tarih olan 17 Ocak 2025’ten yalnızca aylar önce tamamlandı.
Uzmanlar ISMG’ye, bunun, finansal kurumların belirsiz ve açık uçlu tanımlara sahip olmaları nedeniyle çeşitli DORA gereklilikleri hakkında varsayımlarda bulunmak zorunda kaldıkları anlamına geldiğini söyledi.
Uyumluluğa Başlamak
Van der Hout ve Jones, kurumların DORA’ya uyması için hâlâ geç olmadığını söyledi.
Jones, ilk adımın uyumluluk boşluklarının nerede bulunduğunu değerlendirmek ve olay raporlama ve üçüncü taraf risk yönetimi gibi en kritik riskleri ele alma çabalarına öncelik vermek olduğunu söyledi. Yüzlerce üçüncü taraf sağlayıcıyı yöneten kurumların, sözleşmelerinin DORA’nın ayrıntılı gereksinimlerine uygun olmasını sağlaması gerekir; bu, yeniden müzakere ve güncelleme gerektirebilecek bir süreçtir.
Van der Hout, satıcı sözleşmelerinin risk paylaşımı, hizmet seviyeleri ve üçüncü taraf BİT sağlayıcılarının sürekli izlenmesine ilişkin hükümler de dahil olmak üzere tüm DORA gereklilikleriyle uyumlu olması gerektiğini söyledi. Uyumlu olmayan kurumların, boşlukların daha etkili bir şekilde kapatılmasına yardımcı olmak için düzenleyiciler ve emsallerle işbirliğine dayalı bir yaklaşım benimsemesini tavsiye ediyor.
Jones, yoruma açık olan DORA gerekliliklerinden uyumluluk sorunlarının ortaya çıkabileceğini, bu nedenle kurumların varsayımlarını ve uyumluluk önlemlerinin ardındaki mantığı belgelemeleri gerektiğini söyledi. Bu şeffaflık, proaktif risk yönetiminin sergilenmesine yardımcı olacak ve kurumları düzenleyici incelemeye hazırlayacak; aynı zamanda ulusal yetkili makamlarla işbirliği yapmak, belirsiz gereklilikler konusunda netlik sağlayabilir.
Van der Hout, DORA’ya uyumun tartışılamaz olduğunu ve düzenleyicilerin somut ilerleme beklediğini söyledi. “Ancak son tarihe kadar tam uyum mümkün değilse, gereklilikleri nasıl ve ne zaman karşılayacağınızı özetleyen sağlam bir uygulama planınızın olduğundan emin olun.”