DORA Uyumunun İcra Edilmesi: Dijital Operasyonel Dayanıklılık Ekseninde Avukatların Kritik Danışmanlık Rolleri

Dijital Operasyonel Dayanıklılık Yasası (DORA) (Regulation (EU) 2022/2554), 17 Ocak 2025 tarihinde tam olarak uygulanmaya başlamıştır. Bu tarih itibarıyla, finans sektöründeki aktörler için hazırlık dönemi sona ermiş, yasal yükümlülüklerin sürekliliğini kanıtlama ve denetimlere hazırlık aşaması başlamıştır.

DORA’nın getirdiği en önemli değişim, siber riskleri Yönetim Kurulu seviyesine taşımış olmasıdır. Bu yeni paradigmada, uyumun sağlanması, yalnızca teknik ekiplerin değil, aynı zamanda kişisel sorumluluk ve yaptırım riskini yönetmek zorunda olan hukuk profesyonellerinin de merkezinde yer almaktadır. DORA’nın ihlali, kuruluşlar için küresel cironun %2’sine kadar mali cezalarla, bireysel yöneticiler için ise 1 milyon Euro’ya kadar para cezalarıyla sonuçlanabilmektedir.

Hukuk ekiplerinin, bu yeni operasyonel dayanıklılık çağında üstleneceği kritik danışmanlık rolleri şunlardır:

1-) Yönetim Kurulu Hesap Verebilirliği ve Kişisel Sorumluluk Danışmanlığı

DORA, tüm BİT risklerinin etkili ve ihtiyatlı bir şekilde yönetilmesi yükümlülüğünü doğrudan yönetim organına (yönetim kurulu) atamaktadır.

• Yönetim Organını Koruma: Avukatlar, Yönetim Kurulunun, DORA’nın temel gerekliliklerini (Madde 6) karşılayan sağlam, kapsamlı ve belgelendirilmiş bir BİT risk yönetim çerçevesini tespit ettiğini, onayladığını ve denetlediğini gösteren belgesel kanıtların (toplantı tutanakları vb.) düzenli olarak oluşturulmasını sağlamalıdır.

• Kişisel Sorumluluk Yönetimi: Yöneticiler, DORA'ya uyumsuzluk durumunda kişisel olarak sorumlu tutulabileceği için, hukuk ekipleri; siber olaylar sonrası (özellikle tatil ve hafta sonlarında daha sık gerçekleşen fidye yazılımı saldırıları sonrasında) ortaya çıkabilecek bireysel para cezası riskine karşı (1.000.000 Euro’ya kadar) danışmanlık sağlamalıdır.

• Risk İştahı Tanımı: Kuruluşun iş hedefleriyle uyumlu olarak, BİT riskine ve genel risk iştahına yönelik tolerans seviyelerinin tanımlanması ve belgelenmesi konusunda rehberlik edilmelidir.

2-) Sözleşmesel Dayanıklılığın Sağlanması (Lex Contractus)

DORA’nın Madde 30'u, BİT hizmet sözleşmelerinde yer alması gereken emredici hukuki hükümleri (zorunlu kılınan 9 unsur) detaylandırdığından, mevcut sözleşmelerin hızla revize edilmesi hukuk profesyonellerinin temel görevidir.

• Sözleşme Revizyonu ve Ekler (Addendum): Finansal kuruluşlar ve BİT sağlayıcıları arasındaki tüm mevcut BİT hizmet sözleşmelerinin (sadece dış kaynak kullanımı değil) Madde 30'a uyumlu hale getirilmesi için DORA Eklerinin (Addendum) hazırlanması ve müzakeresi gereklidir. Örneğin, LSEG gibi sağlayıcılar, müşterilerin DORA yükümlülüklerine uyum sağlamasına destek olmak için LSEG Operational Resilience Annex’leri hazırlamıştır.

• Denetim Haklarının Güvencesi: Kritik veya önemli işlevleri destekleyen hizmetlere ilişkin sözleşmelerde (Madde 30(3)), finansal kuruluşun ve/veya düzenleyici otoritenin "sınırsız" denetim ve teftiş haklarının sözleşmeye dahil edildiğinden emin olunmalıdır. Avukatlar, BİT sağlayıcılarının sunduğu denetim yerine geçebilecek "alternatif güvence seviyelerinin" (örneğin SOC/ISAE raporları) hukuki kabul edilebilirliğini değerlendirmelidir.

• Veri Haritalama: Kritik verilerin nerede bulunduğunu ve satıcı ilişkileri ile alt yüklenici zincirini (subcontracting) aydınlatmaya yardımcı olacak veri haritaları oluşturulması sürecine hukuki destek verilmesi ve Madde 30(2)(b)’ye uygun olarak veri işleme konumlarının sözleşmede belirtilmesi.

3-) Üçüncü Taraf Gözetimi (CTPP) ve Yargı Yetkisi Yönetimi

DORA, Kritik BİT Üçüncü Taraf Sağlayıcıları (CTPP) üzerindeki AB gözetimini doğrudan yürüttüğü için, hukuk ekipleri yargı yetkisi ve uluslararası uyum konularına odaklanmalıdır.

• Yabancı Tedarikçi Uyumu: AB dışında yerleşik CTPP’lerin, atama tarihinden itibaren 12 ay içinde AB içinde bir yan kuruluş (subsidiary) kurma yasal zorunluluğu hakkında Türkiye merkezli BİT sağlayıcılarına danışmanlık yapılması. Bu, yargı yetkisinin genişlemesi anlamına gelir.

• Yaptırım Risk Analizi: Kritik BİT sağlayıcılarının, uyumsuzluk durumunda günlük ortalama küresel cironun yüzde 1’ine kadar varan idari cezalarla karşı karşıya kalma potansiyeline karşı hukuki risk analizlerinin yürütülmesi.

4-) Olay Yönetimi ve Raporlama Stratejisinin Hukuki Çerçevesi

DORA, olay yönetimini, raporlama zaman çizelgelerini ve iletişim süreçlerini standartlaştırmıştır. Hukuk ekipleri, bu süreçlerin yasal zorunluluklara uyumunu sağlamalıdır.

• Sorumlu İfşa (Responsible Disclosure): Büyük BİT olaylarının veya güvenlik açıklarının, DORA’nın Madde 14'ü uyarınca, şirket içinde ve dışında bilmesi gereken taraflara “sorumlu bir şekilde ifşa edilmesini” öngören net bir iletişim planının geliştirilmesi.

• Standartlaştırılmış Raporlama: Yetkili makamlara sunulması gereken Başlangıç, Orta ve Nihai aşama raporlarının, belirlenen katı zaman çizelgelerine (örneğin, 4 saat veya iş günü sonu) uygun olduğunun denetlenmesi. Hukuk, incident response rollerinin ve sorumluluklarının belirlenmesinde de aktif rol almalıdır.

5-) Dijital Dayanıklılık Testlerinde Hukuki Denetim

Avukatlar, zorunlu test programlarının DORA gerekliliklerini karşıladığından emin olmalıdır.

• TLPT Sözleşmeleri: En az üç yılda bir yapılması gereken Tehdit Odaklı Sızma Testlerinin (TLPT), Madde 27 uyarınca, ilgili düzenleyici otorite tarafından onaylanmış harici bir kuruluş tarafından yürütülmesini ve BİT sağlayıcılarının teste katılım yükümlülüğünü sözleşmelerde güvence altına almalıdır.

• Kanıt Zorunluluğu: DORA uyumu, başarılı testlerin gerçekleştiğine dair yasal kanıt gerektirdiğinden, hukuk ekipleri test sonuçlarının belgelendirilmesi ve bulunan güvenlik açıklarının yasal olarak giderildiğinin kayıt altına alınmasını sağlamalıdır.