AB Finansal Hizmetler Sektörü Aktörleri için Dijital Operasyonel Dayanıklılık Yasası Yürürlüğe Girdi
Giriş
Covid-19 pandemisi ve son dönemde yaşanan teknolojik gelişmeler tüm sektörlerin dijital dönüşümünü önemli ölçüde hızlandırdı. Ancak özellikle finans sektöründeki hızlı değişim (mobil bankacılık, e-ticaret, temassız ödemeler vb.) müşteriler için hayatı son derece kolaylaştırmakla birlikte bazı riskleri de beraberinde getirdi. Bu gelişmelerin bir sonucu olarak, 24 Eylül 2020 tarihinde Avrupa Komisyonu ("Komisyon") (i) bir dijital finans stratejisi, (ii) bir perakende ödemeler stratejisi ve (iii) kripto varlıklar ve dijital operasyonel dayanıklılığa ilişkin mevzuat önerilerini içeren yeni bir dijital finans paketini kabul etmişti. Söz konusu paket, Avrupa'nın finans sektöründeki rekabet gücünü ve yenilikçiliğini artırmayı, tüketicilere ve işletmelere finansal hizmetler ve modern ödeme çözümleri konusunda daha fazla seçenek sunmayı ve tüketicinin korunmasını ve finansal istikrarı sağlamayı amaçlamaktaydı. Bu dijital finans paketinin bir parçası olarak Komisyon, Dijital Operasyonel Dayanıklılık Yasası'nın ("DORA") ilk taslağını yayınladı. Yaklaşık 2 yıl sonra ise DORA, 27 Aralık 2022 tarihinde Avrupa Birliği Resmî Gazetesi'nde yayımlandı.[1] Düzenleme 16 Ocak 2023 tarihinde yürürlüğe girmiş olup 17 Ocak 2025 tarihinden itibaren uygulanmaya başlayacaktır.
Dijital Operasyonel Dayanıklılık Yasası Nedir?
Finans sektörü dijital süreçlere, sistemlere ve yazılımlara büyük ölçüde bağımlı hale geldiğinden, bilgi ve iletişim teknolojisi (BİT) sistemlerine yönelik kesinti ve tehditlerle ilişkili riskler de önemli ölçüde artmıştır. Bu nedenle Komisyon'un stratejisi, DORA' yı kabul ederek, Avrupa'daki finans sektörünün BİT ile ilgili olaylara karşı dirençli kalmasını sağlamaktır. Bu kapsamda DORA, ilgili sektörde operasyonel dayanıklılığı teşvik etmek, geliştirmek ve sağlamak için finansal kuruluşlara yönelik düzenlemeler ve bir dizi yükümlülük içermektedir. DORA ayrıca, finansal kuruluşlara BİT ile ilgili hizmetler sağlayan ve bulut platformları, veri analitiği ve denetim hizmetleri gibi kritik pozisyonlarda faaliyet gösterdikleri kabul edilen belirli BİT hizmet sağlayıcıları için de özel yükümlülükler belirlemektedir.
DORA madde 2 uyarınca düzenleme, kredi ve ödeme kuruluşları, hesap bilgisi hizmet sağlayıcıları, elektronik para kuruluşları, yatırım firmaları, kripto varlık hizmet sağlayıcıları, alternatif yatırım fonlarının yöneticileri, veri raporlama hizmet sağlayıcıları, sigorta ve reasürans teşebbüsleri, sigorta aracıları, reasürans aracıları ve tali sigorta aracıları, kredi derecelendirme kuruluşları, kitle fonlaması hizmet sağlayıcıları gibi finansal kuruluşların yanı sıra BİT üçüncü taraf hizmet sağlayıcıları için de uygulama alanı bulacaktır. Ancak kapsam bakımından bazı muafiyetler de belirlenmiştir. Görüleceği üzere, finans sektörü için geçerli olacak BİT risk yönetimi gerekliliklerine ilişkin tutarlılığı ve yeknesaklığı sağlamak için DORA’nın uygulama alanı ve kapsamı oldukça çeşitlidir.
DORA’nın Temel Gereklilikleri
DORA temel olarak, çeşitli AB yasal düzenlemelerinde ayrı ayrı ele alınan operasyonel risk gerekliliklerinin bir parçası olarak BİT risk gerekliliklerini birleştirmeyi ve geliştirmeyi amaçlamaktadır. Siber güvenlik alanındaki diğer AB mevzuatlarından farklı olarak DORA, önceki yasal düzenlemelerin birtakım boşluklarını doldurmakta veya tutarsızlıkları gidermekte ve BİT risk yönetimi yetkinlikleri, raporlama, operasyonel dayanıklılık testi ve BİT üçüncü taraf risk denetimi ile ilgili öngörülen bir dizi kural aracılığıyla BİT riskine açıkça dikkat çekmektedir.
DORA, en üst düzeyde bir ortak dijital operasyonel dayanıklılık seviyesine ulaşmak için (i) finansal kuruluşlar için uygulanacak gereklilikleri; (ii) BİT üçüncü taraf hizmet sağlayıcıları ve finansal kuruluşlar arasında yapılan sözleşmelere ilişkin gereklilikleri; (iii) kritik BİT üçüncü taraf hizmet sağlayıcıları için gözetim çerçevesinin oluşturulması ve yürütülmesine ilişkin kuralları ve (iv) yetkili makamlar arasında işbirliğine ve DORA kapsamındaki tüm konularla ilgili olarak yetkili makamlar tarafından denetim ve uygulamaya ilişkin kuralları belirlemektedir.
DORA, finansal kuruluşların (i) BİT risk yönetimi; (ii) BİT ile ilgili olay raporlama ve bildirim; (iii) operasyonel veya güvenlik ödemesiyle ilgili olay raporlama; (iv) dijital operasyonel dayanıklılık testi; (v) bilgi ve istihbarat paylaşımı ve (vi) BİT üçüncü taraf risk yönetimi temellerine dayanarak operasyonların her seviyesinde dijital dayanıklılığın temin edilmesini hedeflemektedir.
Finansal kuruluşlar, büyüklüklerini ve genel risk profillerini, ayrıca faaliyetlerinin ve operasyonlarının niteliğini, ölçeğini ve karmaşıklığını göz önünde bulundurarak kuralları orantılılık ilkesine uygun şekilde uygulayacaktır.
Yönetişim ve BİT Risk Yönetimi
DORA, yönetim organının nihai sorumluluğu ve hesap verebilirliğine dayalı olarak tüm BİT risklerinin etkili ve tedbirli bir şekilde yönetilmesini sağlama yükümlülüğü ile BİT risk yönetimine ilişkin mevcut sorumlulukları genişletmektedir. Bu doğrultuda DORA madde 6/1 uyarınca, finansal kuruluşlar genel risk yönetim sistemlerinin bir parçası olarak kapsamlı ve belgeye dayalı bir BİT risk yönetim çerçevesine sahip olmalıdır. İlgili kurumun yönetim organı bu risk yönetim çerçevesine ilişkin gerekli düzenlemeleri tespit etmek, onaylamak, denetlemek ve uygulamaktan sorumludur. Bu sorumluluğun amaçları doğrultusunda, çeşitli politikalar, prosedürler, stratejiler, protokoller ve araçlar uygulamaya konulmalı; BİT ile ilgili tüm işlevler için roller net bir şekilde belirlenmeli; iletişim ve koordinasyon için uygun yönetişim sistemi oluşturulmalı ve yeterli güvenilirlik, kapasite ve dayanıklılık sağlamak için bunların uygulanması periyodik olarak gözden geçirilmelidir. Tüm bu hususlar, kurumların BİT riskini hızlı ve verimli bir şekilde ele almalarına, BİT sistemlerini korumalarına ve BİT riskinin etkisini en aza indirmelerine, olumsuz olayların etkilerinden kurtulmalarına ve yedekleme ve diğer kurtarma prosedürlerine sahip olmalarına ve böylece yüksek düzeyde dijital operasyonel dayanıklılık sağlamalarına yardımcı olacaktır.
Söz konusu çerçeve finansal kuruluşlar için aynı zamanda, üçüncü taraf hizmetlerine ilişkin riskleri değerlendirme, BİT üçüncü taraf hizmet sağlayıcılarına bağımlı olan tüm süreçleri belirleme ve belgelendirme ile söz konusu taraflarla yapılan anlaşmaları gözden geçirme gibi yükümlülükler de öngörmektedir.
DORA'nın risk yönetimi çerçevesine ilişkin 5 ila 15. maddeleri, küçük ve birbirine bağlı olmayan yatırım firmalarına, diğer AB kanunları kapsamında muaf tutulan bazı ödeme ve elektronik para kuruluşlarına ve mesleki emeklilik provizyonu için küçük kuruluşlara uygulanmaz. Ancak, Madde 16, bu tür kurumlar için basitleştirilmiş bir BİT risk yönetimi çerçevesi öngörerek onlar için de kurallar ve yükümlülükler belirlemektedir.
Dijital Operasyonel Dayanıklılık Testi
Yukarıda belirtilen risk yönetimi çerçevesinin ayrılmaz bir parçası olarak finansal kuruluşlar, güvenlik açıkları, eksiklikleri ve boşlukları belirlemek için bir dijital operasyonel dayanıklılık test programı oluşturmalı, bu programı uygulamalı ve gözden geçirmelidir. Böylelikle, BİT ile ilgili olayların çözümüne yönelik düzeltici önlemler derhal uygulamaya koyularak bu tarz risklere karşı hazırlıklı olunmalıdır. Bunun yanı sıra DORA uyarınca, finansal kuruluşların kritik işlevlerini destekleyen tüm BİT sistemlerinin ve uygulamalarının da periyodik olarak test edilmesi gereklidir. Belirli bazı kuruluşların ise, Sızma/Penetrasyon Testi (Threat Led Penetration Testing) aracılığıyla “ileri düzey” testlere tabi tutulduğu belirtilir.
BİT ile İlgili Olayların Raporlanması, Sınıflandırılması ve Yönetimi
Ayrıca, DORA'nın 3. bölümünde belirtilen gerekliliklere göre, finansal kuruluşlar BİT ile ilişkili olayları ve siber tehditleri tespit etmek, yönetmek ve bildirmek için belirli kurallara ve kriterlere uyarak BİT ile ilgili bir olay yönetim süreci oluşturmalı ve uygulamalıdır. Bu yönetim süreci, BİT ile ilgili önemli olayların ve siber tehditlerin kaydedilmesine ve olayların ve tehditlerin izlenmesi yoluyla bunların meydana gelmesinin önlenmesine hizmet edecektir.
Öte yandan, önemli olarak değerlendirilen BİT ile ilişkili bir olayın yetkili makamlara bildirilmesi ise bir zorunluluk olarak öngörülmüştür. Önemli nitelikte bir BİT vakasının müşterilerin finansal çıkarları üzerinde bir etkisi olması durumunda, finansal kuruluşlar müşterileri olay ve olumsuz etkiyi azaltmak için alınan önlemler hakkında da bilgilendirmelidir. BİT ilişkili olayların sınıflandırılmasına dair kriterler, aksaklıkları bildirmek için önem eşikleri ve olay raporlamasına ilişkin zaman sınırları gelecekteki düzenleyici teknik standartlarda (RTS) belirlenecektir.[2]
BİT Üçüncü Taraf Riskinin Yönetimi
BİT üçüncü taraf riski, finansal kuruluşların yukarıda belirtilen BİT risk yönetimi çerçevesinin ayrılmaz bir parçası niteliğindedir. Bu kapsamda finansal kuruluşların, BİT üçüncü taraf hizmet sağlayıcılar tarafından sağlanan BİT hizmetlerinin kullanımına ilişkin tüm sözleşmesel düzenlemelere ilişkin kayıt tutması ve güncellemesi gerektiği düzenlenmiştir. Ayrıca, bu tür sözleşmelerde yer alması gereken belirli unsurlar ve hükümler de belirlenmiştir. Tam hizmet tanımları, bildirim süreleri, hizmet sağlayıcıların raporlama yükümlülükleri, izleme hakkı ve çıkış stratejileri bu hükümlere örnek olarak verilebilir.
DORA ayrıca, AB dışında yerleşik TPP'lerinin (üçüncü taraf sağlayıcılar) AB Üye Devletinin yasalarına tabi olmasını sağlamak gibi ek bazı gereklilikler de öngörmektedir.
Kritik BİT Üçüncü Taraf Hizmet Sağlayıcılarının Gözetim Çerçevesi
Avrupa Parlamentosu ve Konseyi (toplu olarak ‘Avrupa Denetim Otoriteleri’ veya ‘ESA’lar olarak bilinir. Avrupa Bankacılık Otoritesi, Avrupa Menkul Kıymetler ve Piyasalar Otoritesi ve Avrupa Sigorta ve Mesleki Emeklilik Otoritesi gibi.), DORA’da öngörülen kriterlere dayalı bir değerlendirmenin ardından finansal kuruluşlar için kritik durumdaki BİT üçüncü taraf hizmet sağlayıcılarını belirleyecektir. Finansal hizmetlerin sağlanmasının istikrarı, sürekliliği veya kalitesi üzerindeki sistemik etki ve finansal kuruluşların kritik işlevlerle ilgili olarak sağlanan hizmetlere olan bağımlılığı, söz konusu belirleme sırasında dikkate alınacak kriterlerden bazılarıdır. Belirlenen kritik BİT üçüncü taraf hizmet sağlayıcıları, ESA'lar tarafından atanan bir baş denetmenin doğrudan düzenleyici gözetimine tabi olacaktır. Bu baş denetmen, her bir kritik hizmet sağlayıcının, finansal kuruluşlar için oluşturabileceği BİT ile ilgili risklerini yönetmek için kapsamlı, sağlam ve etkili kurallara, prosedürlere ve mekanizmalara sahip olup olmadığını inceleyecektir. Bulut hizmeti sağlayıcılarının büyük olasılıkla bu gözetimin kapsamına gireceği değerlendirilmektedir.
Bir BİT sağlayıcısı kritik bir üçüncü taraf sağlayıcı olarak belirlenmemiş olsa bile, bu sağlayıcıların finansal kuruluşlarla sözleşme yapan BİT sağlayıcılarının mevcut sözleşme hükümlerini ve eklerini DORA'nın emredici hükümlerini gözeterek gözden geçirmesi ve herhangi bir güncellemenin gerekli olup olmadığını belirlemesi gerekecektir.
Sonuç
DORA, yeni kuralların 17 Ocak 2025 tarihinde yürürlüğe gireceği iki yıllık bir uygulamaya koyma dönemi içermektedir. DORA'nın bir Direktif niteliğinde olmadığı ve bu nedenle tüm AB Üye Devletlerinde doğrudan uygulanabilir ve bağlayıcı olduğu unutulmamalıdır. Bu süreçte, ESA'ların 17 Temmuz 2024 tarihine kadar DORA kapsamında belirlenen çeşitli gerekliliklere ilişkin taslak bir RTS'yi Komisyon'a sunmaları gerekmektedir.
Uygulamaya geçiş süresi oldukça uzun görünse de DORA kurallarına tabi olan finansal kuruluşlar ve BİT hizmet sağlayıcıları ivedilikle bir açık değerlendirmesi yapmalı ve DORA’ya uyum sağlamak için bir yol haritası hazırlamalıdır. Şirketlerin tüm kademeleri arasındaki koordinasyon ve uyumun sağlanması büyük çaba gerektireceğinden, dijital dayanıklılığın önceliklendirilmesi gelecekteki yol haritalarında ve gündemlerinde kilit bir unsur olmalıdır.
- Finansal sektör için dijital operasyonel dayanıklılığa ilişkin ve (AT) 1060/2009, (AB) 648/2012, (AB) 600/2014, (AB) 909/2014 ve (AB) 2016/1011 sayılı Tüzükleri tadil eden 14 Aralık 2022 tarihli ve (AB) 2022/2554 sayılı Avrupa Parlamentosu ve Konsey Tüzüğü, (https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=OJ:L:2022:333:FULL, Erişim Tarihi: 30.01.2023).
- BİT risk yönetimi, BİT ile ilgili önemli olay raporlaması, testler ve BİT üçüncü taraf riskinin sağlıklı bir şekilde izlenmesine yönelik temel gerekliliklerle ilgili olarak düzenleyici teknik standartlar geliştirilecektir. Komisyon ve ESA'lar bu standartların ve gerekliliklerin tüm finansal kuruluşlar tarafından büyüklükleri ve genel risk profilleri ile hizmetlerinin, faaliyetlerinin ve operasyonlarının ölçeği ve karmaşıklığı ile orantılı bir şekilde uygulanabilmesini sağlayacaktır. RTS'ler, finansal kuruluşların DORA kapsamında tabi olacakları tüm yükümlülükleri anlayabilmeleri için önemli bir kaynak olacaktır.
Bu makalenin tüm hakları saklıdır. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın bu makale kullanılamaz, çoğaltılamaz, kopyalanamaz, yayımlanamaz, dağıtılamaz veya başka bir suretle yayılamaz. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın oluşturulan içerikler takip edilmekte olup, hak ihlalinin tespiti halinde yasal yollara başvurulacaktır.
Diğer İçerikler
Tüm zamanların ilk “Yapay Zekâ Yasası” olarak nitelendirilen ve özellikle ChatGPT, Bard ve Midjourney gibi araçları doğrudan etkileyen kural ve düzenlemeler içeren yasa Avrupa Parlamentosu tarafından 14 Haziran 2023 tarihinde gerçekleşen nihai oylamada oyçokluğuyla kabul edildi. Böylece Avrupa Parlamentosu...
Avrupa Birliği Adalet Divanı ("Adalet Divanı"), Case-300/21 sayılı ve 4 Mayıs 2023 tarihli kararında[i], GDPR'ın 82. maddesinde düzenlenen Avrupa Birliği Genel Veri Koruma Tüzüğü'nün ("GDPR") ihlaline ilişkin tazminat hakkını değerlendirdi. Adalet Divanı, GDPR'ın tek başına ihlal edilmesinin manevi zararın tazminini...
ChatGPT, OpenAI tarafından geliştirilen büyük dil modelidir. İnsan diline yakın seviyede metin üretmek için derin öğrenme teknikleri ve yapay sinir ağlarına dayanan bir yapay zeka sistemidir. Uzun metinler hazırlayıp sohbet havasında sorulan soruları cevaplayabilen ChatGPT kimi hallerde verdiği cevaplardaki...
6698 sayılı Kişisel Verileri Koruma Kanunu (“KVKK”) ile kişisel veri, veri sorumlusu, veri işleyen ve ilgili kişi gibi birçok kavrama ilişkin tanımlar getirilir. Bu kavramların anlaşılması ve yorumlanması bakımından ikincil mevzuat, Kişisel Verileri Koruma Kurumu rehberleri ile Kişisel Verileri Koruma Kurulu...
Akıllı saatler özellikle son on yılda hayatımızı değiştirdi. Kol saati olarak paketlenen bu giyilebilir bilgisayarlar, en temel özelliklerinden olan zamanı göstermenin yanında gelen çağrıların cevaplanmasını, mesajlara dönüş yapabilmeyi ve sosyal medya bildirimlerine saniyeler içinde göz atmayı sağlar...
Kişisel Verileri Koruma Kurumu (“Kurum”), 16.06.2022 tarihinde Sadakat Programlarının Kişisel Verilerin Korunması Mevzuatı Kapsamında İncelenmesine İlişkin Rehber Taslağı’nı (“Rehber Taslağı”) yayınladı. Rehber Taslağı henüz bağlayıcı değildir. 16.07.2022’ye kadar kamuoyu tarafından iletilmiş görüşlerin...
Almanya Federal Kartel Ofisi (“Bundeskartellamt”) Meta’yı (eski adıyla Facebook) daha önce kullanıcıların kişisel verilerini toplamak ve işlemek suretiyle sosyal ağ pazarındaki hâkim durumunu kötüye kullandığı gerekçesiyle sorumlu tutmuş, Meta ve bağlı şirketlerine tedbir uygulayarak söz konusu davranışlardan...
Günlük hayatın önemli bir parçası olan bankalar yürüttükleri faaliyetler gereği, yoğun olarak kişisel veri işleme faaliyetleri gerçekleştirmektedir. Bu kapsamda, Kişisel Verileri Koruma Kurumu, Türkiye Bankalar Birliği iş birliğinde, Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulama Rehberi...
Avrupa Birliği (“AB”) Üye Devletleri’nde toplu davalara ilişkin usul kuralları yeknesak değildir. Avrupa Parlamentosu tüketici haklarını iyileştirmek ve bu alanda Üye Devlet uygulamalarını yakınlaştırmak için, Toplu Tazminat Direktifi'ni (“Direktif”) kabul etmiştir. Direktif’in etkisiyle, veri koruma da...
Şubat 2020'de Avrupa Komisyonu (“Komisyon”), dijital dönüşüm ve politikasına ilişkin daha geniş bir girişimin parçası olarak “Avrupa Veri Stratejisi”ni yayımladı. Kendisini veri ekonomisinde lider rolünde tanımlayan Avrupa Birliği (“AB”), bu tebliğ ile Avrupa'nın küresel rekabet gücünü ve veri egemenliğini...
Amacı Sosyal Güvenlik Kurumu’nca (“SGK”) görev ve yetkileri kapsamında elde edilen verilerin işlenmesinde uyulacak usul ve esasları belirlemek olan Sosyal Güvenlik Kurumu Nezdindeki Verilerin Korunmasına ve İşlenmesine İlişkin Yönetmelik (“Yönetmelik”) 19.02.2022 tarihli ve...
Çin Halk Cumhuriyeti Kişisel Verilerin Korunması Kanunu (“ÇKVK”) 20 Ağustos 2021 tarihinde 13. Ulusal Halk Kongresi Daimî Komitesi 30. Toplantısı’nda kabul edilmiş olup; ÇKVK Madde 74 uyarınca, 1 Kasım 2021 tarihinde yürürlüğe girmiştir...
Günümüzde, verinin bazı şirketler için en değerli malvarlığı unsurlarından ve en önemli kaynaklardan biri haline geldiği konusunda şüphe yoktur. Nitekim büyük ölçekte veri toplama, işleme ve analiz etme yetisi iş dünyasının...
