DORA Madde 30: Dijital Dayanıklılığın Sözleşmesel Teminatı ve Lex Contractus Zorunluluğu

Dijital Operasyonel Dayanıklılık Yasası (DORA) (Regulation (EU) 2022/2554), 17 Ocak 2025 tarihinde tam olarak yürürlüğe girmiş durumdadır. Finansal ekosistem artık sadece uyuma hazırlanma aşamasını değil, sözleşmesel yükümlülüklerin uygulanabilirliğini kanıtlama ve denetimlere hazırlık aşamasını yaşamaktadır.

DORA’nın temel amacı, AB finansal sektörünün bilgi ve iletişim teknolojileri (BİT) risklerine karşı dirençli kalmasını sağlamaktır. Bu Tüzüğün en belirgin hukuki mekanizması ise, BİT üçüncü taraf risk yönetimini (DORA’nın 4. Sütunu) düzenleyen ve BİT hizmet sağlayıcılarıyla yapılan anlaşmalarda emredici ve zorunlu sözleşme hükümleri getiren Madde 30’dur.

Madde 30, BİT sözleşmelerindeki hak ve yükümlülükleri kılavuz (EBA Outsourcing Guidelines) olmaktan çıkarıp, doğrudan yasal zorunluluk (Lex Contractus) haline getirmiştir. Uyum sürecinin tamamlanmış olması nedeniyle, artık bu hükümlerdeki herhangi bir eksiklik, finansal kuruluşlar için ciddi yaptırım ve kişisel sorumluluk riskine yol açmaktadır.

1-) Madde 30: Sözleşme Yapısına Dair Temel Hukuki Zorunluluklar

DORA, hizmet sağlayıcı ilişkisini düzenlerken, sözleşmenin biçimine ve kapsamına dair net kurallar koyar:

• Tüm BİT Hizmetlerini Kapsar: Madde 30, yalnızca dış kaynak (outsourcing) olarak sınıflandırılan düzenlemeleri değil, finansal kuruluş ile BİT üçüncü taraf sağlayıcıları arasındaki tüm BİT hizmeti sözleşmelerini kapsar.

• Tek Yazılı Belge Zorunluluğu: BİT hizmet düzenlemeleri, harici politikalara atıfta bulunulmaksızın, taraflarca tek bir yazılı belgede (kağıt üzerinde veya indirilebilir, kalıcı ve erişilebilir bir formatta) belgelendirilmelidir. Bu gereklilik, BİT sağlayıcılarının sözleşme formatlarını ve mimarisini yeniden düzenlemesini zorunlu kılmıştır.

2-) Tüm BİT Sözleşmeleri İçin Zorunlu 9 Hüküm (Madde 30(2))

Madde 30(2), ister kritik ister kritik olmayan bir işlevi desteklesin, her BİT hizmet sözleşmesinde bulunması gereken 9 yasal gerekliliği tanımlar:

1. Hizmet ve Alt Yüklenicilik Kapsamı: Sağlanacak BİT hizmetlerinin net ve eksiksiz bir tanımı ve kritik/önemli işlevler için alt yükleniciliğe izin verilip verilmediği, izin verilirse uygulanacak koşulların belirtilmesi zorunludur.

2. Veri Konumu Şartı: Sözleşmeli hizmetlerin sağlanacağı, verilerin işleneceği bölgelerin/ülkelerin (depolama konumu dahil) sözleşmede belirtilmesi ve BİT sağlayıcısının bu konumları değiştirmeyi öngörürse finansal kuruluşu önceden bilgilendirme yükümlülüğü.

3. Veri İşleme ve Güvenlik: Verinin erişilebilirliği, bütünlüğü, orijinalliği ve gizliliğine (availability, authenticity, integrity, confidentiality) ilişkin hükümlerin bulunması.

4. Veriye Erişim ve Kurtarma Planı: BİT sağlayıcısının iflası, işlerinin durması veya sözleşmenin feshi durumunda, finansal kuruluşun işlediği verileri (kişisel veriler dahil) kurtarma yeteneğini sağlayacak hükümlerin olması.

5. Hizmet Seviyeleri (SLAs): Uygulama süreleri (uptime), yanıt ve düzeltme süreleri gibi uygun hizmet seviyelerinin net bir şekilde belirlenmesi.

6. Olaylarda Yardım Yükümlülüğü: BİT sağlayıcısının, hizmetle ilgili bir BİT olayı durumunda finansal kuruluşa ek maliyetsiz veya önceden anlaşılmış bir maliyetle yardım sağlama yükümlülüğü.

7. Düzenleyici İşbirliği: BİT sağlayıcısının, finansal kuruluşun yerel düzenleyicileriyle (Yetkili Otoriteler, Baş Denetçiler) işbirliği yapma yükümlülüğü.

8. Fesih Koşulları: Sözleşmede, fesih hakkının ve koşullarının açıkça yer alması.

9. Güvenlik Farkındalığı Eğitimi: BİT sağlayıcısının, finansal kuruluşun güvenlik farkındalık programlarına ve dijital operasyonel dayanıklılık eğitimlerine katılma zorunluluğu.

3-) Kritik İşlevler İçin Ek Yükümlülükler (Madde 30(3))

Eğer BİT hizmetleri, finansal kuruluşun kritik veya önemli bir işlevini destekliyorsa (yani kesintiye uğraması, finansal performansı veya hizmetlerin sürekliliğini maddi olarak bozacak işlevler), Madde 30(2) hükümlerine ek olarak daha ağır gereklilikler devreye girer:

• Unvanı Sınırsız Denetim ve Teftiş Hakları: Finansal kuruluşun ve/veya düzenleyici otoritenin (Baş Denetçi dahil) BİT sağlayıcısının tesislerinde ve operasyonlarında "sınırsız" teftiş ve denetim haklarına sahip olması zorunludur. Finansal kuruluşlar, tedarikçilerin operasyonel ve güvenlik ayrıntılarına ilişkin kavrayış elde etmek için bu tanımlanmış denetim haklarını kullanmalıdır.

• Alternatif Güvence Seviyeleri: Denetim hakları, BİT sağlayıcısının diğer müşterilerini etkileme potansiyeli varsa, Madde 30(3)(e)(ii) uyarınca "alternatif güvence seviyelerinin" (örneğin SOC/ISAE denetim raporlarının sunulması) kabul edilebileceğini belirtir.

• TLPT’ye Katılım Zorunluluğu: BİT sağlayıcısının, finansal kuruluşun düzenleyiciler tarafından onaylanmış Tehdit Odaklı Sızma Testlerine (TLPT) katılma yükümlülüğü vardır. Bu testler en az üç yılda bir yapılmalıdır.

4-) Kasım 2025 Hukuki Gündemi: Sürekli Uyum ve Avukatın Rolü

DORA'nın yürürlüğe girmesinden bu yana yaklaşık 10 ay geçmiş olması, Madde 30 uyumunun kağıt üzerinde kalmaması gerektiğini göstermektedir. Avukatlar ve hukuk profesyonelleri için mevcut odak noktaları şunlardır:

1. Sözleşme Revizyonunun Kanıtlanması (DORA Addendum): Finansal kuruluşlar, uyumun sağlanması için DORA Ekleri (DORA Addendum) kullanmış veya mevcut sözleşmeleri revize etmişlerdir. Örneğin LSEG, müşterilerinin DORA yükümlülüklerini desteklemek amacıyla LSEG Operasyonel Dayanıklılık Eki’ni (LSEG Operational Resilience Annex) hazırlamış ve müşterilerin portal üzerinden talep edebileceği bir sistem kurmuştur.

2. Kritik Üçüncü Taraflar (CTPP) Yönetimi: Avrupa Denetim Otoriteleri (ESA'lar) Kasım 2025'te Kritik BİT Üçüncü Taraf Sağlayıcıları (CTPP) listesini yayımlamış ve LSEG Data and Risk Limited gibi büyük sağlayıcılar CTPP olarak belirlenmiştir. Hukuk ekipleri, CTPP olarak belirlenen sağlayıcılarla yapılan sözleşmelerin, Baş Denetçi'nin (Lead Overseer) doğrudan gözetimine uyumlu olduğundan emin olmalıdır. AB dışında yerleşik CTPP'ler için AB'de yan kuruluş kurma yükümlülüğü de devam etmektedir.

3. Yönetim Organı Sorumluluğu: Yönetim organı, Madde 30 gerekliliklerinin denetimini ve uygulanmasını sağlamakla yükümlüdür. Uyumsuzluk, yöneticilere bireysel sorumluluk getirebilir. Hukuk profesyonelleri, Yönetim Kurulunun riskleri onayladığına ve denetlediğine dair belgesel kanıtların (toplantı tutanakları) düzenli olarak tutulmasını sağlamalıdır.

Sonuç

DORA Madde 30, BİT hizmet alımını sadece ticari bir düzenleme olmaktan çıkarmış, finansal sistemin operasyonel dayanıklılığının hukuki temelini oluşturmuştur. 17 Ocak 2025 tarihinin geçilmesiyle, artık tüm finansal kuruluşlar ve onlara hizmet veren sağlayıcılar için bu sözleşmesel zorunlulukların uygulanması, denetlenebilirliği ve sürekliliği hayati önem taşımaktadır. Sözleşmelerin güçlü bir şekilde yönetilmesi ve sürekli revizyonu, kurumların siber tehditlere karşı olan direncinin en somut hukuki kanıtıdır.