Dora ne düzenler?
Dora, Bankalar, Sigortacılar, Yatırım Firmaları ve Ödeme Kurumları dahil olmak üzere AB’de faaliyet gösteren çok çeşitli finansal kuruluşların yanı sıra bulut ve veri sağlayıcıları gibi kritik üçüncü taraf hizmet sağlayıcılar için de geçerlidir. Esasen, finansal hizmetler için temel altyapı sağlayan herhangi bir kuruluşun, Dora’nın operasyonel esneklik standartlarının bir kısmına veya tamamına uyması gerekecektir.
Dora ne elde etmeyi amaçlıyor?
Dora’nın birincil amacı, firmaların bilgi ve iletişim teknolojisi (BİT) kesintilerini ele almak ve kurtarmak için iyi hazırlanmış olmalarını sağlayarak AB finans sektörünün dijital esnekliğini artırmaktır. Düzenleme, siber tehditlerin ve sistem başarısızlıklarının potansiyel etkisini azaltmaya odaklanan finansal kurumlar arasında siber güvenlik ve operasyonel risk yönetimi için bir çerçeve oluşturmaktadır.
Dora’nın güvenlik gereksinimleri nelerdir?
Dora, finansal kuruluşlar için çeşitli önemli siber güvenlik ve operasyonel esneklik gereksinimlerini zorunlu kılar:
- Risk Yönetimi Çerçevesi: Firmalar, BİT risklerini tanımlamak, değerlendirmek ve hafifletmek için kapsamlı risk yönetimi uygulamaları uygulamalıdır.
- Üçüncü taraf risk yönetimi: Finansal kuruluşlar, üçüncü taraf hizmet sağlayıcılarının, belirli sözleşme şartlarının uygulanması ve sürekli izleme ve durum tespiti yapmak da dahil olmak üzere Dora’nın güvenlik standartlarına uymasını sağlamalıdır.
- Dijital esneklik testi: Firmaların, 2025’in başlarında Avrupa Komisyonu tarafından kabul edilmesi beklenen TLPT için düzenleyici teknik standartlara (RTS) dayalı olarak en az 3 yılda bir tehdit liderliğindeki penetrasyon testlerine (TLPT) ek olarak stres testleri ve düzenli pentestler yapmaları gerekmektedir.
- Olay Raporlama: Dora, BİT ile ilgili büyük olayları belirli zaman dilimlerinde düzenleyicilere bildirmek için açık bir süreci zorunlu kılar.
- Bilgi Paylaşımı: Düzenleme gerektirmez, ancak kuruluşları finans sektöründeki kolektif siber güvenlik çabalarını desteklemek için siber tehdit istihbaratını paylaşmaya teşvik eder.
Kapsamlı bir finansal varlık uyumluluğu nasıl gösterir – ve uymazsa ne olur?
Kapsanan kuruluşlar, uygun risk yönetimi uygulamalarını, üçüncü taraf gözetimini ve esneklik testi uygulayarak Dora’nın güvenlik standartlarını karşıladıklarından emin olmalıdır. DORA düzenlemesine para cezaları veya cezai yaptırımlar dahil edilmese de, bireysel AB üyesi devletler ulusal yasalarında cezalar ve cezai yaptırımlar başlatabilir. Bunlar, bir işletmenin yıllık dünya çapında toplam gelirlerinin% 2’sine veya 1 milyon avroya kadar ve hatta kritik üçüncü taraf BİT sağlayıcıları için 5 milyona kadar daha dik cezaları içerebilir. Varlıklar ayrıca BİT risklerini yönetme, esnekliklerini test etme ve siber olaylara yanıt verme çabalarını özetleyen ayrıntılı raporlar sunmalıdır.
Bu gereksinimler ne zaman yürürlüğe girer?
Dora 16 Ocak 2023’te yürürlüğe girdi ve tam uyum tarihi 17 Ocak 2025’ti.
Bu yeni gereksinimlerin olası etkisi nedir?
Dora’nın uygulaması, finansal kuruluşların daha güçlü risk yönetimi çerçevelerini ve esneklik uygulamalarını benimsemelerini isteyerek AB finans sektörünün genel güvenlik duruşunu artıracaktır. Düzenleme ayrıca şeffaflığı artıracaktır, çünkü firmalar yetkili makamlara siber güvenlik önlemleri ve üçüncü taraf ilişkileri hakkında bilgi açıklamalıdır. Genel olarak, Dora, finansal kurumların ortaya çıkan siber tehditleri ele almaya daha hazır olmasını ve sonuçta tüketicileri ve finansal sistemi bir bütün olarak korumasını sağlamayı amaçlamaktadır.
Bu yeni gereksinimlere tabi olabiliriz – ne yapmalıyız?
17 Ocak 2025 son tarihi geçtikçe, finansal kuruluşlar Dora’nın gereksinimlerini karşıladıklarından emin olmak için mevcut siber güvenlik politikalarını ve uygulamalarını gözden geçirmelidir.
HackerOne, finansal hizmetler kuruluşlarının DORA uyumluluk gereksinimlerini karşılamasına yardımcı olmak için tasarlanmış kapsamlı bir güvenlik çözümleri sunmaktadır. Portföyümüz, bir hizmet (PTAAS) olarak Crest-Accredited Pentest, kod güvenlik denetimleri, hata ödül programları ve spot kontrolleri içerir. Bu entegre yaklaşım, Dora’nın 24 ve 25. Maddelerde belirtildiği gibi düzenli ve kapsamlı BİT risk değerlendirmesi ve yönetimi için yetkilerle uyumludur.
Daha fazla bilgi edinmek için hackerone ile iletişime geçin.