Nicea
New member
Geçen Cuma, finans sektöründe yeni bir Avrupa düzenlemesi olan DORA yürürlüğe girdi. Kısaltma, Almanca'da “Dijital Operasyonel Dayanıklılık Yasası” anlamına gelir: Dijital operasyonel dayanıklılığa ilişkin yönetmelik. Tam olarak neyle ilgili? Peki şirketlerin bunları uygularken nelere dikkat etmesi gerekiyor?
DORA, Avrupa'daki toplam 20 tür finans şirketinin BT altyapısının dayanıklılığını düzenlemektedir. Ayrıca finans şirketlerinin BT tedarikçilerine de hitap edilmektedir. Bu tedarikçiler yalnızca hiper ölçekleyiciler olarak adlandırılan tanınmış büyük ABD teknoloji platformlarından değil, aynı zamanda binlerce başka şirketten de oluşuyor. Toplamda, Avrupa'da yaklaşık 22.000 finans şirketi ve yaklaşık 15.000 üçüncü taraf BT hizmet sağlayıcısı yeni düzenlemeyle düzenlenecek. Almanya'ya ilişkin rakamların tahmin edilmesi gerekiyor çünkü Alman finans düzenleyicisi şu ana kadar bunlardan yalnızca bazılarını yayınladı: 3.600 finans şirketi ve yaklaşık 3.750 üçüncü taraf BT hizmet sağlayıcısı.
DORA: Mali düzenleyiciler tarafından izleme artık BT hizmet sağlayıcıları için bir yenilik
Mali düzenleyiciler tarafından izleme, BT hizmet sağlayıcıları için bir yeniliktir. Teknik, organizasyonel ve yasal zorluklara ek olarak, BT hizmet sağlayıcılarının zihinsel zorluğu da kabul etmesi ve kanalize etmesi gerekiyor.
Pek çok finansal şirket, daha önce DORA ile karşılaştırılabilir bir şekilde ulusal düzeyde düzenlenmediğinden, ilk kez DORA aracılığıyla finansal düzenleyiciler tarafından bağlayıcı ve kapsamlı bir kontrol deneyimi yaşayacak. DORA'nın ilk taslağının Eylül 2020'de yayınlandığını ve Ocak 2023'ten bu yana yürürlükte olduğunu vurgulamak önemlidir. Bu, tüm alıcıların uzun süredir ne beklemeleri gerektiğini bildiği anlamına gelir.
Bununla birlikte, Mayıs 2016'da yürürlüğe giren ve Mayıs 2018'den bu yana uygulanan GDPR'ye (Genel Veri Koruma Yönetmeliği) benzer şekilde, DORA'nın da önümüzdeki birkaç ay içinde uygulamada çok fazla ilerleme kaydetmesi bekleniyor.
Alman mali denetim otoritesi BaFin, bu yıl herhangi bir DORA denetimi gerçekleştirmeyeceğini açıkladı. Bu, aktörlerin yasaya uyum sağlamak için hala zaman tamponuna sahip olduğu anlamına geliyor. Bu kullanılmalıdır.
Dijital Operasyonel Dayanıklılık Yasası: Düzenlemeye karşı Direktif
Yeni düzenleme, AB'nin siber güvenlik stratejisinin bir parçası olarak BT'ye ilişkin ilk dikey düzenlemeyi temsil ediyor. Dikey, bir yasanın ekonominin tek bir sektörüne uygulanması anlamına gelir. AB'nin NIS2 Direktifi (Ağ Bilgi Güvenliği Direktifi Versiyon 2) düzenleyici çerçeveyi oluşturur. NIS2 yatay bir etkiye sahiptir çünkü kritik sistemlerin operatörleri de dahil olmak üzere birçok ekonomik sektöre hitap etmektedir.
DORA: Mali düzenleyiciler tarafından izleme artık BT hizmet sağlayıcıları için bir yenilikVolker Schlichting/imago
Almanya örneği aynı zamanda yönetmelik yoluyla düzenlemenin direktife göre avantajını da göstermektedir: DORA gibi bir Avrupa düzenlemesi tüm üye devletlerde doğrudan uygulanır; ulusal uygulamaya gerek yoktur. Bunun aksine, NIS2 gibi bir Avrupa direktifinin ulusal düzeyde uygulanması gerekmektedir.
Trafik ışığı hükümetindeki kesinti nedeniyle, NIS2 artık verilen son tarih olan Ekim 2024 ortası içinde uygulanamayacak ve yeni bir hükümet tarafından uygulanması gerekiyor. Bilgili çevreler, NIS2 ile ilgili ulusal mevzuatın en erken 2025'in üçüncü çeyreğinde çıkmasını bekliyor. Alman ekonomisine yönelik bu uygulama belirsizliğine ek olarak, Almanya aynı zamanda AB ihlal davalarına da konu olmuştur.
“Dijital operasyonel esneklik” ne anlama geliyor?
Mevcut Avrupa düzenlemeleri ve ulusal düzenlemeler her şeyden önce bilgi güvenliğini gerektirmektedir. Bu aynı zamanda BT güvenliğini ve siber güvenliği de birleştirir. Odak noktası bir olayın önlenmesidir. Dayanıklılık ise olayın meydana gelmesinden sonraki aşamayı da kapsamaktadır. Bu nedenle dayanıklılık, yalnızca güvenliği düzenlemekten daha gerçekçidir çünkü tüm olaylar önlenemez. Bunun yerine, bir olay meydana gelse bile, bir finans şirketinin sunduğu hizmetleri en azından azaltılmış bir ölçüde sunmaya devam edebilmesi gerekir. Bir olay nedeniyle bir hizmet sunulamıyorsa, finans şirketinin mümkün olan en kısa sürede teslimatı yapabilmek için elinden gelen her şeyi yapması gerekir.
DORA'nın içeriği nedir?
DORA dokuz bölümden oluşur; finansal şirketler ve üçüncü taraf hizmet sağlayıcılar için yalnızca dört bölüm önemlidir. Bunlar risk yönetimini, olay yönetimini, dijital dayanıklılık testini ve üçüncü taraf risk yönetimini düzenler. Gerçek yasal metne ek olarak DORA, uygulama ve devredilen 13 yasal düzenlemeyle daha detaylandırılmıştır. DORA'nın toplam sayfa sayısı, geçen yılın yazında yaratımının zirvesindeyken 1003 sayfaydı. Şu ana kadar 13 ek belgeden yalnızca beşi sonuçlandırıldığı için 682 sayfa mevcut. Daha önce de belirtildiği gibi DORA yalnızca BT'ye yöneliktir. Örneğin, kredi risklerinin yönetimi veya bir denetim firmasıyla sözleşmeye dayalı ilişki DORA'nın kapsamı dışındadır.
Risk yönetimi, BT altyapısına yönelik risklerin uygun ve etkili bir şekilde ele alınmasına yönelik rotayı belirler, yani özellikle kuruluşa yeterli finansal, insani, teknik ve organizasyonel kaynaklar sağlar. Olay yönetimi de tamamen yeni bir denetim gerekliliği değildir. Ancak DORA, olası olayların sınıflandırılmasına, rapor türlerine, bunların içeriklerine ve son raporlama tarihlerine ilişkin spesifikasyonlarla gereklilikleri çok ayrıntılı bir şekilde formüle etmektedir.
Düzenlemenin ilk iki ana maddesinin aksine, testler yeni bir gerekliliği temsil etmektedir. Her ne kadar kredi kuruluşları gibi bazı finansal şirket türleri için güvenliği penetrasyon testleri kullanarak test etme konusunda genel bir yükümlülük mevcut olsa da, DORA ilk olarak çok büyük finans kuruluşlarını sözde tehdit odaklı penetrasyon testlerini gerçekleştirmeye zorunlu kılmaktadır. Tüm finans şirketlerine yönelik diğer test yöntemleri önemli ölçüde genişletildi, böylece penetrasyon testleri yalnızca tek bir test türünü temsil ediyor.
BaFin, finans şirketlerinin siber saldırıların kurbanı olma riskinin çok yüksek olduğunu düşünüyor.Boris Roessler/dpa
Düzenleyici düzenlemelerin son ana odağı üçüncü taraf riskinin yönetimiyle ilgilidir. Burada, Avrupa bankacılık düzenleme kurumu, mali altyapının uzman BT hizmet sağlayıcılarına dış kaynak olarak sağlanması yönündeki güçlü eğilimi takdir etmektedir. Çekirdek, tüm sözleşmeye dayalı ilişkilerin bir kaydıdır. Ancak denetim makamı yalnızca başlangıçtaki sözleşme ilişkilerine ilişkin genel bir bakışa sahip olmayı değil, aynı zamanda tüm alt sözleşme ilişkilerine de genel bir bakış elde etmek istiyor. Bu, sözleşme kaydının oluşturulmasını karmaşık bir mesele haline getirir. Bu önlemle Avrupa mali düzenleyicisi aynı zamanda Avrupa'daki yoğunlaşma riskinin bir resmini elde etmeyi umuyor. Nüfusa hizmet sağlamak açısından önemli olan birçok finansal şirket, BT'lerini tek bir üçüncü taraf BT hizmet sağlayıcısıyla çalıştırırsa ve bu sağlayıcı bir olay nedeniyle başarısız olursa, bu, Avrupa nüfusunun büyük bir kısmı üzerinde kritik bir etkiye sahip olabilir.
DORA çoğu şirket tarafından pozitif bir yasa olarak görülüyor
Aşırı düzenleme ve bürokrasinin azaltılması, haklı olarak mevcut tartışmalarda baskın moda sözcüklerdir. Ancak DORA'da işler farklıdır. İlgililerin çoğunluğu tarafından olumlu ve gerekli bir yasa olarak görülüyor. Avrupa düzeyindeki bu uyumlaştırmanın en az üç avantajı vardır: Birincisi, tüm piyasa katılımcıları için karşılaştırılabilir bir rekabet alanı, bir “eşit oyun alanı” yaratılır. İkinci olarak, çok uluslu finans şirketlerinin birden fazla ülkede yalnızca bir gereksinimler kataloğunu yerine getirmesi gerektiğinden büyük avantajlar sağlayan ulusal düzenlemeler kaldırılacaktır.
Üçüncüsü, ilerleyen dijitalleşme ve siberuzaydaki tehdit durumunun eş zamanlı olarak artması nedeniyle, tüm aktörler güvenliğin daha da arttırılması gerektiğinin bilincindedir. Son olarak, Avrupa Genel Veri Koruma Yönetmeliği'nde (GDPR) olduğu gibi aynı etki beklenebilir: dünya DORA'yı örnek alacak. İlk ülkeler olan Büyük Britanya ve Singapur şimdiden yasama organlarında DORA'yı taklit etmeye başlıyor.
Bu açıdan bugün Avrupa, Avrupa finans sektörü ve dolayısıyla Avrupalı tüketiciler için güzel bir gün.
Herhangi bir geri bildiriminiz var mı? Bize yazın! brifing@Haberler
DORA, Avrupa'daki toplam 20 tür finans şirketinin BT altyapısının dayanıklılığını düzenlemektedir. Ayrıca finans şirketlerinin BT tedarikçilerine de hitap edilmektedir. Bu tedarikçiler yalnızca hiper ölçekleyiciler olarak adlandırılan tanınmış büyük ABD teknoloji platformlarından değil, aynı zamanda binlerce başka şirketten de oluşuyor. Toplamda, Avrupa'da yaklaşık 22.000 finans şirketi ve yaklaşık 15.000 üçüncü taraf BT hizmet sağlayıcısı yeni düzenlemeyle düzenlenecek. Almanya'ya ilişkin rakamların tahmin edilmesi gerekiyor çünkü Alman finans düzenleyicisi şu ana kadar bunlardan yalnızca bazılarını yayınladı: 3.600 finans şirketi ve yaklaşık 3.750 üçüncü taraf BT hizmet sağlayıcısı.
DORA: Mali düzenleyiciler tarafından izleme artık BT hizmet sağlayıcıları için bir yenilik
Mali düzenleyiciler tarafından izleme, BT hizmet sağlayıcıları için bir yeniliktir. Teknik, organizasyonel ve yasal zorluklara ek olarak, BT hizmet sağlayıcılarının zihinsel zorluğu da kabul etmesi ve kanalize etmesi gerekiyor.
Pek çok finansal şirket, daha önce DORA ile karşılaştırılabilir bir şekilde ulusal düzeyde düzenlenmediğinden, ilk kez DORA aracılığıyla finansal düzenleyiciler tarafından bağlayıcı ve kapsamlı bir kontrol deneyimi yaşayacak. DORA'nın ilk taslağının Eylül 2020'de yayınlandığını ve Ocak 2023'ten bu yana yürürlükte olduğunu vurgulamak önemlidir. Bu, tüm alıcıların uzun süredir ne beklemeleri gerektiğini bildiği anlamına gelir.
Bununla birlikte, Mayıs 2016'da yürürlüğe giren ve Mayıs 2018'den bu yana uygulanan GDPR'ye (Genel Veri Koruma Yönetmeliği) benzer şekilde, DORA'nın da önümüzdeki birkaç ay içinde uygulamada çok fazla ilerleme kaydetmesi bekleniyor.
Alman mali denetim otoritesi BaFin, bu yıl herhangi bir DORA denetimi gerçekleştirmeyeceğini açıkladı. Bu, aktörlerin yasaya uyum sağlamak için hala zaman tamponuna sahip olduğu anlamına geliyor. Bu kullanılmalıdır.
Dijital Operasyonel Dayanıklılık Yasası: Düzenlemeye karşı Direktif
Yeni düzenleme, AB'nin siber güvenlik stratejisinin bir parçası olarak BT'ye ilişkin ilk dikey düzenlemeyi temsil ediyor. Dikey, bir yasanın ekonominin tek bir sektörüne uygulanması anlamına gelir. AB'nin NIS2 Direktifi (Ağ Bilgi Güvenliği Direktifi Versiyon 2) düzenleyici çerçeveyi oluşturur. NIS2 yatay bir etkiye sahiptir çünkü kritik sistemlerin operatörleri de dahil olmak üzere birçok ekonomik sektöre hitap etmektedir.
DORA: Mali düzenleyiciler tarafından izleme artık BT hizmet sağlayıcıları için bir yenilikVolker Schlichting/imago
Almanya örneği aynı zamanda yönetmelik yoluyla düzenlemenin direktife göre avantajını da göstermektedir: DORA gibi bir Avrupa düzenlemesi tüm üye devletlerde doğrudan uygulanır; ulusal uygulamaya gerek yoktur. Bunun aksine, NIS2 gibi bir Avrupa direktifinin ulusal düzeyde uygulanması gerekmektedir.
Trafik ışığı hükümetindeki kesinti nedeniyle, NIS2 artık verilen son tarih olan Ekim 2024 ortası içinde uygulanamayacak ve yeni bir hükümet tarafından uygulanması gerekiyor. Bilgili çevreler, NIS2 ile ilgili ulusal mevzuatın en erken 2025'in üçüncü çeyreğinde çıkmasını bekliyor. Alman ekonomisine yönelik bu uygulama belirsizliğine ek olarak, Almanya aynı zamanda AB ihlal davalarına da konu olmuştur.
“Dijital operasyonel esneklik” ne anlama geliyor?
Mevcut Avrupa düzenlemeleri ve ulusal düzenlemeler her şeyden önce bilgi güvenliğini gerektirmektedir. Bu aynı zamanda BT güvenliğini ve siber güvenliği de birleştirir. Odak noktası bir olayın önlenmesidir. Dayanıklılık ise olayın meydana gelmesinden sonraki aşamayı da kapsamaktadır. Bu nedenle dayanıklılık, yalnızca güvenliği düzenlemekten daha gerçekçidir çünkü tüm olaylar önlenemez. Bunun yerine, bir olay meydana gelse bile, bir finans şirketinin sunduğu hizmetleri en azından azaltılmış bir ölçüde sunmaya devam edebilmesi gerekir. Bir olay nedeniyle bir hizmet sunulamıyorsa, finans şirketinin mümkün olan en kısa sürede teslimatı yapabilmek için elinden gelen her şeyi yapması gerekir.
DORA'nın içeriği nedir?
DORA dokuz bölümden oluşur; finansal şirketler ve üçüncü taraf hizmet sağlayıcılar için yalnızca dört bölüm önemlidir. Bunlar risk yönetimini, olay yönetimini, dijital dayanıklılık testini ve üçüncü taraf risk yönetimini düzenler. Gerçek yasal metne ek olarak DORA, uygulama ve devredilen 13 yasal düzenlemeyle daha detaylandırılmıştır. DORA'nın toplam sayfa sayısı, geçen yılın yazında yaratımının zirvesindeyken 1003 sayfaydı. Şu ana kadar 13 ek belgeden yalnızca beşi sonuçlandırıldığı için 682 sayfa mevcut. Daha önce de belirtildiği gibi DORA yalnızca BT'ye yöneliktir. Örneğin, kredi risklerinin yönetimi veya bir denetim firmasıyla sözleşmeye dayalı ilişki DORA'nın kapsamı dışındadır.
Risk yönetimi, BT altyapısına yönelik risklerin uygun ve etkili bir şekilde ele alınmasına yönelik rotayı belirler, yani özellikle kuruluşa yeterli finansal, insani, teknik ve organizasyonel kaynaklar sağlar. Olay yönetimi de tamamen yeni bir denetim gerekliliği değildir. Ancak DORA, olası olayların sınıflandırılmasına, rapor türlerine, bunların içeriklerine ve son raporlama tarihlerine ilişkin spesifikasyonlarla gereklilikleri çok ayrıntılı bir şekilde formüle etmektedir.
Düzenlemenin ilk iki ana maddesinin aksine, testler yeni bir gerekliliği temsil etmektedir. Her ne kadar kredi kuruluşları gibi bazı finansal şirket türleri için güvenliği penetrasyon testleri kullanarak test etme konusunda genel bir yükümlülük mevcut olsa da, DORA ilk olarak çok büyük finans kuruluşlarını sözde tehdit odaklı penetrasyon testlerini gerçekleştirmeye zorunlu kılmaktadır. Tüm finans şirketlerine yönelik diğer test yöntemleri önemli ölçüde genişletildi, böylece penetrasyon testleri yalnızca tek bir test türünü temsil ediyor.
BaFin, finans şirketlerinin siber saldırıların kurbanı olma riskinin çok yüksek olduğunu düşünüyor.Boris Roessler/dpa
Düzenleyici düzenlemelerin son ana odağı üçüncü taraf riskinin yönetimiyle ilgilidir. Burada, Avrupa bankacılık düzenleme kurumu, mali altyapının uzman BT hizmet sağlayıcılarına dış kaynak olarak sağlanması yönündeki güçlü eğilimi takdir etmektedir. Çekirdek, tüm sözleşmeye dayalı ilişkilerin bir kaydıdır. Ancak denetim makamı yalnızca başlangıçtaki sözleşme ilişkilerine ilişkin genel bir bakışa sahip olmayı değil, aynı zamanda tüm alt sözleşme ilişkilerine de genel bir bakış elde etmek istiyor. Bu, sözleşme kaydının oluşturulmasını karmaşık bir mesele haline getirir. Bu önlemle Avrupa mali düzenleyicisi aynı zamanda Avrupa'daki yoğunlaşma riskinin bir resmini elde etmeyi umuyor. Nüfusa hizmet sağlamak açısından önemli olan birçok finansal şirket, BT'lerini tek bir üçüncü taraf BT hizmet sağlayıcısıyla çalıştırırsa ve bu sağlayıcı bir olay nedeniyle başarısız olursa, bu, Avrupa nüfusunun büyük bir kısmı üzerinde kritik bir etkiye sahip olabilir.
DORA çoğu şirket tarafından pozitif bir yasa olarak görülüyor
Aşırı düzenleme ve bürokrasinin azaltılması, haklı olarak mevcut tartışmalarda baskın moda sözcüklerdir. Ancak DORA'da işler farklıdır. İlgililerin çoğunluğu tarafından olumlu ve gerekli bir yasa olarak görülüyor. Avrupa düzeyindeki bu uyumlaştırmanın en az üç avantajı vardır: Birincisi, tüm piyasa katılımcıları için karşılaştırılabilir bir rekabet alanı, bir “eşit oyun alanı” yaratılır. İkinci olarak, çok uluslu finans şirketlerinin birden fazla ülkede yalnızca bir gereksinimler kataloğunu yerine getirmesi gerektiğinden büyük avantajlar sağlayan ulusal düzenlemeler kaldırılacaktır.
Üçüncüsü, ilerleyen dijitalleşme ve siberuzaydaki tehdit durumunun eş zamanlı olarak artması nedeniyle, tüm aktörler güvenliğin daha da arttırılması gerektiğinin bilincindedir. Son olarak, Avrupa Genel Veri Koruma Yönetmeliği'nde (GDPR) olduğu gibi aynı etki beklenebilir: dünya DORA'yı örnek alacak. İlk ülkeler olan Büyük Britanya ve Singapur şimdiden yasama organlarında DORA'yı taklit etmeye başlıyor.
Bu açıdan bugün Avrupa, Avrupa finans sektörü ve dolayısıyla Avrupalı tüketiciler için güzel bir gün.
Herhangi bir geri bildiriminiz var mı? Bize yazın! brifing@Haberler