top of page
pexels-pavel-danilyuk-8112201.jpg

DORA: Tam Uygulama Döneminde Lex Specialis’in Hukuki Analizi ve Yönetim Kurulu Sorumluluğu

  • Yazarın fotoğrafı: Sarıkaya HUKUK BÜROSU
    Sarıkaya HUKUK BÜROSU
  • 6 gün önce
  • 5 dakikada okunur

Avrupa Birliği’nin (AB) finansal sektörünün dijital sistemlerindeki operasyonel dayanıklılığı güçlendirmeyi hedefleyen temel düzenlemesi olan Dijital Operasyonel Dayanıklılık Yasası (DORA) (Regulation (EU) 2022/2554), 17 Ocak 2025 tarihinden bu yana tam olarak uygulanmaktadır. Bu tarih, AB merkezli kurumlar için olduğu kadar, Türkiye’deki finansal kuruluşlar ve onlara hizmet veren Bilgi ve İletişim Teknolojileri (BİT) sağlayıcıları için de uyumun sağlanıp, sürekli denetlenebilir olduğunun kanıtlanması gereken yeni bir dönemin başlangıcını işaret etmiştir.


ree

DORA, küresel finansal sistemdeki artan BİT risklerine karşı tek ve yeknesak bir hukuki çerçeve sağlamayı amaçlar. Türkiye, AB üyesi olmasa dahi, finansal ekosistemimiz bu zincirin bir parçasıdır. Uluslararası ticari ve finansal süreklilik açısından, "Zincir en zayıf halkası kadar güçlüdür.". Türkiye’deki bir sağlayıcının ya da iştirakin operasyonel kesintisi, AB’deki finansal zincirde sistemik risk yaratabileceği için, DORA'ya uyum, artık devam eden bir hukuki zorunluluktur.



DORA’nın 5 Temel Sütunu: Uygulama Dönemi Hukuki Yükümlülükleri

DORA’nın temel gereklilikleri, daha önce sermaye yeterliliği ile kapatılmaya çalışılan operasyonel risk açığını kapatmak üzere beş ana hukuki sütun üzerine inşa edilmiştir.



1-) BİT Risk Yönetimi ve Yönetişim (ICT Risk Management and Governance)

DORA, Yönetim Organı’nın (yönetim kurulu) nihai sorumluluğunu ve hesap verebilirliğini merkeze koyar. Kuruluşlar, tüm BİT risklerini yönetmek için sağlam, kapsamlı ve iyi belgelendirilmiş bir BİT risk yönetim çerçevesine sahip olmalıdır. Yönetim kurulu üyeleri, bu çerçeveyi tespit etmek, onaylamak, denetlemek ve uygulamaktan sorumludur. Aksi takdirde, yöneticiler kişisel olarak sorumlu tutulabilir.


Hukuken, bu çerçevenin sürekli izlenmesi ve yılda en az bir kez gözden geçirilmesi gerekmektedir. Bu bağlamda, Active Directory (AD) yönetimi ve izlenmesi, kullanıcı kimlik ve erişim yönetimini (IAM) sağladığı için, tüm iş kritik hizmetler için temel teşkil eden bu yapının güvenliği DORA’nın görev alanına sıkı sıkıya girmektedir. Kuruluşlar, AD konfigürasyonunun tam görünürlüğe sahip olduğunu, kontrol edilebildiğini ve bir arıza durumunda kurtarılabileceğini kanıtlamak zorundadır.



2-) BİT İle İlgili Olay Yönetimi, Sınıflandırma ve Raporlama (Incident Reporting)

DORA, BİT olaylarının tespit, yönetim, sınıflandırma ve standartlaştırılmış raporlama süreçlerini zorunlu kılar. Önemli BİT olayları, belirlenen zaman dilimleri içinde yetkili makamlara (initial, intermediate, final) raporlanmalıdır. Olay sınıflandırma kriterleri ve raporlama için zaman limitleri, 17 Ocak 2025’ten itibaren uygulanmaya başlayan RTS/ITS (Düzenleyici Teknik Standartlar/Uygulama Teknik Standartları) ile detaylandırılmıştır.


Hukuki Yükümlülük: Madde 17 uyarınca, finansal kuruluşlar, önemli BİT olaylarının müşterilerin finansal çıkarları üzerinde bir etkisi olması durumunda, müşterileri olay ve alınan önlemler hakkında gecikmeksizin bilgilendirmelidir. Olay müdahale süreçlerinin otomatikleştirilmesi, olayların etkilerini azaltmak için atılması gereken kritik bir hukuki adımdır.



3-) Dijital Operasyonel Dayanıklılık Testleri (Resilience Testing)

DORA, kuruluşların güvenlik açıklarını belirlemek için sağlam ve kapsamlı bir test programı oluşturmasını, uygulamasını ve düzenli olarak gözden geçirmesini şart koşar. DORA uyumu, başarılı testlerin gerçekleştiğine dair kanıt gerektirir.


  • Tehdit Odaklı Sızma Testi (TLPT): Belirli eşiğin üzerindeki kuruluşlar, kritik işlevleri destekleyen BİT sistemlerini kapsayacak şekilde en az üç yılda bir TLPT gerçekleştirmek zorundadır. Bu testin, test edilen kuruluşun dışında bir kuruluş tarafından yürütülmesi ve düzenleyici otorite tarafından onaylanması şarttır (Madde 27).

  • Hukuki Uyum: TLPT’nin kalitatif, kontrollü ve güvenli bir şekilde yürütülmesine ilişkin TIBER-EU çerçevesi, DORA’nın RTS’lerine uyumlu olacak şekilde 11 Şubat 2025’te güncellenmiştir. Kağıt üzerinde yapılan testler DORA uyumu için yeterli değildir; gerçek zamanlı tatbikatlar ve simülasyonlar zorunludur.



4-) BİT Üçüncü Taraf Riskinin Yönetimi (Third-Party Risk Management)

BİT üçüncü taraf riski, finansal kuruluşların BİT risk yönetim çerçevesinin ayrılmaz bir parçasıdır. DORA, mevcut dış kaynak kullanım kılavuzlarının ötesine geçerek BİT hizmet sözleşmelerine yasal zorunluluklar (Madde 30) getirmiştir.


  • Bilgi Kaydı (RoI): Kuruluşlar, BİT üçüncü taraf sözleşmelerine ilişkin güncel bir RoI tutmak zorundadır. Bu kayıt, entity, alt konsolide ve konsolide seviyelerde mevcut olmalıdır. RoI’ler, Baş Denetçiler tarafından Kritik BİT Üçüncü Taraf Sağlayıcılarının (CTPP) belirlenmesi için ana bilgi kaynağı olarak kullanıldığından, kayıtların 30 Nisan 2025’e kadar yetkili otoritelere sunulması gerekmiştir.

  • Madde 30’un Hukuki Ağır Yükü: Sözleşmelerin, veri konumu bildirimi, alt yüklenici kullanım koşulları, denetim hakları ve çıkış stratejileri gibi zorunlu hükümleri yazılı olarak içermesi hukuken şarttır.



5-) Bilgi ve İstihbarat Paylaşımı (Information Sharing)

DORA, siber tehditler, güvenlik açıkları ve göstergeler hakkındaki bilgilerin, finansal kuruluşlar arasında gönüllü olarak paylaşılmasını teşvik eder. Bu paylaşım, sektör genelinde kolektif dayanıklılığı artırmayı amaçlar. Paylaşılan bilgilerin, AB Genel Veri Koruma Tüzüğü (GDPR) gibi ilgili kılavuzlara uyumlu olması ve kişisel olarak tanımlanabilir bilgileri (PII) koruması gerekmektedir.



6-) Türk Hukuku Perspektifinden Ek Yükümlülükler ve Lex Specialis

Türkiye’deki finansal kuruluşlar, BDDK’nın 5411 sayılı Kanun kapsamındaki yönetmelikleriyle (örn. Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Yönetmeliği) zaten güçlü BİT risk yönetimi ve dış hizmet alımı denetimlerine sahiptir. Türkiye’de BDDK düzenlemeleri kapsamında dış hizmet denetimlerinin (örneğin uluslararası standartlara uygun 3. taraf güvence raporları ile) halihazırda yapılıyor olması bir avantajdır.


Ancak, DORA’nın getirdiği bazı kritik ek hukuki yükümlülükler ve farklar bulunmaktadır:


  1. DORA’nın Lex Specialis Niteliği: DORA, finansal kuruluşlar için AB’nin genel siber güvenlik çerçevesi olan NIS 2 Direktifi’ne göre özel yasa (lex specialis) kabul edilmektedir. Bu, DORA’nın kapsadığı konular (BİT risk yönetimi, olay raporlama ve testler) için NIS 2 hükümlerinin finansal kuruluşlara uygulanmayacağı anlamına gelir.

  2. Sözleşmesel Detaycılık ve Kapsam: DORA Madde 30, BİT hizmeti sözleşmelerinde (sadece dış kaynak kullanımı değil) zorunlu hükümlerin yazılı olarak bulunmasını şart koşar. Bu zorunluluklar, Türkiye’deki mevcut sözleşmelerin köklü bir hukuki revizyonunu gerektirmiştir.

  3. Para Cezaları ve Yönetici Sorumluluğu: DORA, ihlal durumlarında cironun yüzde 2'sine kadar ulaşabilen (global yıllık ciro) sert parasal yaptırımlar öngörmektedir. Bu yaptırımlar, Yönetim Organı üyelerine de bireysel sorumluluk getirme potansiyeline sahiptir.

  4. Bulut Bilişim Uyum Açığı: Kaynaklar, Türk mevzuatının Bulut Bilişim kullanımı konusunda hala AB'deki kadar geniş ve esnek bir yaklaşıma sahip olmaması nedeniyle zorluk yaşandığını işaret etmektedir.



7-) Kritik Üçüncü Taraf BİT Sağlayıcıları (CTPP) Üzerindeki AB Denetiminin Türkiye’ye Etkisi

DORA'nın en kritik ve Türkiye'deki BİT sağlayıcılarını doğrudan ilgilendiren hukuki mekanizması, Kritik BİT Üçüncü Taraf Sağlayıcıları (CTPP) üzerindeki AB düzeyinde gözetim çerçevesidir. Avrupa Denetim Otoriteleri (ESA'lar), DORA'da belirtilen kriterlere göre CTPP'leri belirlemiş ve 18 Kasım 2025 tarihinde listeyi yayımlamıştır.


  • CTPP Ataması Gerçekleşti: LSEG Data and Risk Limited gibi büyük sağlayıcılar CTPP olarak belirlenmiştir. Bu belirleme, DORA gözetim çerçevesinin hayata geçtiğini göstermektedir.

  • Hukuki Yükümlülük: AB dışında yerleşik CTPP'lerin, AB'deki denetim ve yaptırımın etkinliğini sağlamak için, atama tarihinden itibaren 12 ay içinde (yani Kasım 2026'ya kadar) AB içinde bir yan kuruluş (subsidiary) kurması hukuken şart koşulmuştur.

  • Türkiye'deki Etkisi: Türkiye’de yerleşik bir BİT hizmet sağlayıcısı CTPP olarak atanırsa, bu AB’de şirket kurma hukuki yükümlülüğü ile karşı karşıya kalacaktır. Bu yan kuruluş, Baş Denetçi'nin (Lead Overseer) doğrudan düzenleyici gözetimine tabi tutulacak; soruşturma, yerinde ve uzaktan denetim yapma yetkilerine maruz kalacaktır. CTPP’ler, uyumsuzluk durumunda günlük ortalama küresel cironun yüzde 1’ine kadar varan idari cezalarla karşı karşıya kalabilir.



8-) Uyum Süreci ve Avukatın Kritik Rolü (Kasım 2025)

DORA’nın tam uygulama tarihi geçtiği için, finans kuruluşlarının ve hukuk profesyonellerinin önceliği artık süreklilik, denetim hazırlığı ve sözleşmesel düzeltmelerin kalıcılığını kanıtlamak olmalıdır.


Acil Hukuki Adımlar:

  1. Sözleşmesel Dayanıklılığın Kanıtlanması: Kritik/önemli işlevleri destekleyen tüm BİT sözleşmelerinin, DORA Madde 30'a uyumlu hale getirildiğine dair DORA Eklerinin (Addendum) mevcut olması ve geçerliliğini koruması zorunludur. Örneğin, LSEG, müşterilerinin DORA yükümlülüklerine uyum sağlamasına destek olmak için LSEG Operational Resilience Annex’leri hazırlamıştır.

  2. Yönetim Kurulu Hesap Verebilirliği Belgelemesi: Yönetim Organının, BİT risk yönetim çerçevesini denetleme sorumluluğunu yerine getirdiğine dair (toplantı tutanakları, risk onayı) belgesel kanıtların sürekli oluşturulması hayati önem taşır. Yönetim, siber olayların hafta sonları ve tatillerde daha sık meydana geldiğini göz önünde bulundurarak, kesintilere karşı hazırlıklı olduğunu kanıtlamalıdır.

  3. Kapsamlı Siber Dayanıklılık Testi: Üç yıllık TLPT döngüsüne başlanmış olmalı ve bu testlerin DORA gerekliliklerine uygun olarak (harici, onaylı kuruluşlarca) yapıldığına dair kanıtlar muhafaza edilmelidir.

  4. RoI Kayıtlarının Güncelliği: Finansal kuruluşlar, BİT hizmet sağlayıcılarına ilişkin RoI kayıtlarını konsolide seviyelerde güncel tutmaya devam etmelidir.



9-) Avukatların Üstleneceği Kritik Danışmanlık Rolleri:

Avukatlar, DORA uyumunun hukuki dönüşümünü yönetmek zorundadır:


  •  Sözleşmesel Güvence Müzakeresi: Madde 30(3) uyarınca, finansal kuruluşlar adına "sınırsız" denetim ve teftiş haklarının sözleşmelere dahil edilmesi. BİT sağlayıcıları adına ise, bu haklar yerine "alternatif güvence seviyeleri" (örneğin SOC/ISAE raporları) sunulması konusunda müzakerelerin yürütülmesi.

  • Yönetici Sorumluluğu Danışmanlığı: Yönetim kurulu üyelerinin, BİT risk yönetim çerçevesinin eksik uygulanmasından kaynaklanabilecek yüksek kişisel hukuki sorumluluk (1 milyon Euro’ya kadar) riski hakkında bilgilendirilmesi.

  • Yaptırım Risk Yönetimi: CTPP atamalarının ardından ortaya çıkan yargı yetkisi ve günlük para cezaları riskine (günlük cironun %1’i) karşı, Türkiye’deki BİT sağlayıcılarının AB’deki yan kuruluş kurma (subsidiary) süreçlerine hukuki destek verilmesi.



Sonuç ve Kapanış

DORA, finansal kuruluşların dijital operasyonel dayanıklılığını, denetim ve hukuk yoluyla güvence altına alan bir düzenlemedir. Ocak 2025’ten itibaren tam olarak uygulanmasıyla, DORA artık bir hedef olmaktan çıkmış, günlük operasyonel ve hukuki risk yönetiminin ayrılmaz bir parçası haline gelmiştir. Yüksek parasal yaptırımlar ve yönetim kuruluna yüklenen bireysel sorumluluk riski, uyumsuzluğun bedelinin sadece teknik olmaktan çıkıp, doğrudan hukuki ve finansal bir risk haline geldiğini göstermektedir.

 
 
 

Yorumlar

5 üzerinden 0 yıldız
Henüz hiç puanlama yok
Puanlama ekleyin
bottom of page