DORA Nedir?

Digital Operational Resilience Act (DORA), 17 Ocak 2025'te yürürlüğe girerek finans sektörü teknoloji altyapısının son on yılın en kapsamlı düzenleyici değişikliğini getirdi. Bu AB düzenlemesi, finans sektörü genelinde ICT risk yönetimi için birleşik bir çerçeve oluşturuyor.

DORA kritik bir boşluğu kapatıyor: Önceki düzenlemeler sermaye yeterliliği ve finansal istikrara odaklanırken, dijital altyapıya artan bağımlılığı yeterince ele almıyordu. 2024'te finansal kuruluşların %65'inin ransomware saldırısına maruz kalması ve veri ihlallerinin ortalama 5.9 milyon dolar maliyete ulaşması, bu düzenlemenin zamanlamasının ne kadar kritik olduğunu gösteriyor.

Sophos State of Ransomware in Financial Services 2024IBM Cost of a Data Breach Report 2024 - Financial Industry

Rakamlarla DORA

Düzenlemenin kapsamı oldukça geniş ve neredeyse tüm AB finans ekosistemini kapsıyor:

22.000+
Kapsam Dahilinde

Etkilenen finansal kuruluş ve ICT sağlayıcı

PwC DORA Analizi
20
Kuruluş Türü

Bankalardan kripto sağlayıcılara farklı kategoriler

ESMA DORA
4 saat
İlk Bildirim

Büyük olaylar için yetkililere bildirim süresi

EUR-Lex DORA Düzenlemesi
%2
Maksimum Ceza

Uyumsuzluk için küresel yıllık ciro üzerinden

EUR-Lex DORA Düzenlemesi
DORA Kime Uygulanıyor?

DORA; bankalar, sigorta şirketleri, yatırım firmaları, ödeme kuruluşları, kripto varlık hizmet sağlayıcıları, işlem platformları ve bunların kritik ICT üçüncü taraf hizmet sağlayıcılarını kapsar. EIOPA'ya göre bu, daha önce kapsamlı ICT güvenlik düzenlemesine tabi olmayan kuruluşları da içerir.

EIOPA - Dijital Operasyonel Dayanıklılık Yasası (DORA)

DORA'nın Beş Temel Alanı

DORA, finansal kuruluşların uyum sağlaması gereken beş temel alan belirler:

ICT Risk Yönetimi

ICT risklerini belirleme, koruma, tespit etme, müdahale etme ve kurtarma için kapsamlı çerçeve. Yönetim kurulu nihai sorumluluğu taşır.

Olay Raporlama

Büyük ICT olaylarının standart sınıflandırması ve raporlaması. İlk bildirim 4 saat, ara rapor 72 saat, final rapor 1 ay içinde.

Dayanıklılık Testleri

Zafiyet değerlendirmeleri ve önemli kuruluşlar için 3 yılda bir tehdit odaklı penetrasyon testi (TLPT) dahil düzenli testler.

Üçüncü Taraf Riski

ICT sağlayıcılarının yönetimi ve denetimi. 30 Nisan 2025'e kadar ESA'lara sunulacak Bilgi Kaydı (RoI) tutulması zorunlu.

Olay Raporlama Süreci

DORA'nın olay raporlama gereksinimleri operasyonel açıdan en zorlu yönlerden biri. Süreler NIS2 direktifiyle uyumlu:

1

Tespit (T+0)

Olay izleme sistemleri tarafından tespit edilir. Sınıflandırma süreci hemen başlar.

2

İlk Bildirim (4-24 saat)

Sınıflandırmadan sonra 4 saat veya tespittten sonra 24 saat içinde—hangisi önce gelirse—ilk rapor.

3

Ara Rapor (72 saat)

Olayın kapsamı, etki değerlendirmesi ve başlangıç düzeltme adımlarını içeren detaylı rapor.

4

Final Rapor (1 ay)

Kök neden, toplam etki ve uygulanan önleyici tedbirleri içeren kapsamlı analiz.

Uyumsuzluk Cezaları

Finansal kuruluşlar, küresel yıllık cironun %2'sine veya 10 milyon Euro'ya kadar (hangisi yüksekse) para cezasıyla karşılaşabilir. Kritik üçüncü taraf sağlayıcılar, uyumsuzluğun her günü için ortalama günlük küresel cironun %1'ine kadar—altı aya kadar—cezalandırılabilir. Üst düzey yöneticiler bireysel olarak 1 milyon Euro'ya kadar ceza alabilir. Yetkililer ayrıca ihlalleri kamuoyuna açıklayabilir ve ciddi itibar hasarına yol açabilir.

Edge Mimarisinin Rolü

Edge güvenlik altyapısı DORA uyumunda kritik bir rol oynar. İlk savunma hattı olarak edge platformlar; trafik yönetimi, güvenlik uygulaması ve erişilebilirliği yönetir—bunların tümü DORA gereksinimlerinin doğrudan ele aldığı alanlardır.

İyi tasarlanmış bir edge katmanı, operasyonel dayanıklılığın temelini oluşturan görünürlük, kontrol ve dayanıklılık yeteneklerini sağlar. Kritik olarak, DORA'nın agresif olay raporlama sürelerini karşılamak için gerekli gerçek zamanlı izleme ve loglama imkanı sunar.

DORA Gereksinimleri ve Edge Yetenekleri

DORA GereksinimiEdge YeteneğiUygulama
Anormal aktiviteleri tespit (Md. 10)WAF + Gerçek Zamanlı AnalitikTrafik analizi, tehdit tespiti, davranışsal izleme
Hizmet sürekliliğini sağlama (Md. 11)Load Balancer + GTMYüksek erişilebilirlik, otomatik failover, coğrafi yedeklilik
Erişim kontrol mekanizmaları (Md. 9)Access Gateway (AGS)MFA, SSO, koşullu erişim, oturum yönetimi
Olay tespiti ve loglama (Md. 17)Merkezi LoglamaGerçek zamanlı uyarılar, denetim izleri, SIEM entegrasyonu
Dayanıklılık testleri (Md. 24-27)Sağlık İzlemeOtomatik sağlık kontrolleri, sentetik izleme, failover testleri

Üçüncü Taraf Risk Yönetimi

DORA, ICT üçüncü taraf riskinin yönetilmesine önemli bir vurgu yapar. 30 Nisan 2025'e kadar, finansal kuruluşlar tüm ICT hizmet sağlayıcı ilişkilerini belgeleyen Bilgi Kaydı'nı (RoI) Avrupa Denetleyici Otoritelerine sunmalıdır.

ESA'lar halihazırda doğrudan denetime tabi Kritik ICT Üçüncü Taraf Sağlayıcılarını (CTPP) belirlemiştir. Edge güvenlik sağlayıcıları seçerken şunları sağlayabileceklerinden emin olun: erişilebilirlik taahhütleri içeren detaylı SLA'lar, güvenlik sertifikaları (ISO 27001, SOC 2), olay bildirim prosedürleri, denetim hakları ve çıkış stratejisi hükümleri.

Sektör Bağlamı

PwC araştırmasına göre, finansal firmaların %70'i DORA gereksinimlerini zamanında karşılama konusunda endişe duyuyor. Sektör tahminlerine göre uyum maliyetleri sektör genelinde yıllık ortalama 181 milyar dolara ulaşabilir. Yatırım önemli ancak gerekçeli: ENISA raporlarına göre finans sektörü, gözlemlenen siber olayların %9'unu oluşturarak en çok hedef alınan üçüncü sektör konumunda.

Uygulama İçin En İyi Pratikler

Avrupa Bankacılık Otoritesi rehberliği ve sektör deneyimine dayalı öneriler:

01

Varlık Envanteri ile Başlayın

Tüm ICT varlıklarını, kritikliklerini ve bağımlılıklarını belgeleyin. DORA, iş fonksiyonlarını destekleyen ICT yapısının tam olarak anlaşılmasını gerektirir.

02

İzlemeyi Merkezileştirin

Tüm trafik akışlarında birleşik görünürlük, 4 saatlik raporlama sürelerini karşılamak için esastır. Güvenlik ve teslimatı birleştiren entegre platformları değerlendirin.

03

Mümkün Olduğunca Otomatikleştirin

Manuel süreçler DORA'nın sürelerini karşılayamaz. Olay tespiti, sınıflandırma ve ilk bildirim iş akışlarını otomatikleştirin.

04

Yanıtınızı Test Edin

Olay senaryoları için masa başı tatbikatları yapın. Ekibinizin gerekli süreler içinde sınıflandırma, raporlama ve müdahale yapabildiğini doğrulayın.

05

Her Şeyi Belgeleyin

DORA, uyumun kanıtlanmasını gerektirir. Düzenleyici denetimlere hazır kapsamlı loglar, politikalar ve test kayıtları tutun.

Sıkça Sorulan Sorular

Evet, AB finansal kuruluşlarına kritik ICT hizmetleri sağlıyorlarsa. DORA, AB dışı Kritik Üçüncü Taraf Sağlayıcıların düzenleyici denetime girmek için AB'de yan kuruluş kurmasını gerektirebilir.

DORA finansal hizmetlere özel bir düzenlemeyken, NIS2 daha geniş kapsamlıdır. DORA'nın olay raporlama süreleri NIS2 ile uyumludur. Finansal kuruluşlar öncelikle DORA'yı izler, ancak bazı faaliyetler için NIS2 yükümlülükleri de olabilir.

TLPT, önemli finansal kuruluşlar için 3 yılda bir zorunlu olan gelişmiş red team testidir. Güncel tehdit istihbaratına dayalı gerçekçi saldırı senaryolarını simüle eder ve standart penetrasyon testinin ötesine geçer.

Finansal kuruluşlar, tüm ICT üçüncü taraf ilişkilerini belgeleyen Bilgi Kaydı'nı yetkili makamlara sunmak için hazır olmalıdır. ESA'lar bu kayıtları 30 Nisan 2025'e kadar toplamayı bekliyor.

DORA'ya Hazır Altyapı

TR7'nin birleşik platformu, DORA uyumu için gerekli görünürlük, kontrol ve dayanıklılık yeteneklerini sağlar. WAF, erişim yönetimi, yüksek erişilebilirlik ve kapsamlı loglama—merkezi izleme ile tek platformda.

Finansal Hizmetler Çözümlerini İnceleyin