“Sadece ICT riskinin doğduğu alan değil, paydaşlardan hizmet alınan şirketlerin hissedarlarına kadar geniş bir değerlendirme ve raporlama sorumluluğu getirilen DORA ile Komisyonun NSA diye adlandırdığı yerel düzenleyici kurumların (National Supervisory Authority) yetki alanlarına getirilen diğer bir müdahale olarak değerlendirebiliriz.”
-Dr. Zeynep Stefan
16 Ocak 2023’te yürürlüğe giren DORA’nın (Digital Operational Resilience Act – Dijital Operasyonel Rezilyans Yasası) ilk raporlarına az kaldı. Bu uzun çalışmanın ilk meyvelerini 17 Ocak 2025 tarihinde görüyor olacağız.
Aslında uzun zamandır bekliyorduk DORA’yı, nedeni ise Avrupa Komisyonu (Komisyon) özellikle pandemiden sonra ticari kurumların bazı özelliklerinin kendi inisiyatiflerine bırakılamayacağını görmesi. Yakın zamandaki AMLA (Anti Money Laundering Authority – Kara Para Aklamayla Mücadele Otoritesi) ve CSRD (Corporate Sustainabilty Reporting Directive – Kurumsal Sürdürülebilirlik Raporlaması Yönetmeliği) hamleleri ile birlikte değerlendireceğimiz DORA’da ise finansal kurumların bu sefer bilgi teknolojileri analiz ediliyor ve Avrupa Birliği, bağlı ülkelerde faaliyetlerini yürüten şirketlerin operasyonel sağlamlıklarından emin olmak istiyor.
Spesifik risk grupları üzerinde minimum faaliyet özelliklerini belirleyen Komisyon’nun DORA ile hedefi ile finansal kurumların bütçelerindeki ağırlığını arttırmaya devam eden ICT yani bilgi ve iletişim teknolojileri riskleri ile siber riskler. Solvency II ve Basel III ile finansal risklerin yönetimini oldukça kontrol altına alan Komisyon, finansal olmayan risklerin en büyük parçası olan operasyonel riskler için de kapsamlı bir değerlendirme çerçevesini Avrupa Birliği bünyesinde faaliyetlerini yürütmek isteyen finansal kurumlara sunmuş oldu.
Sadece ICT riskinin doğduğu alan değil, paydaşlardan hizmet alınan şirketlerin hissedarlarına kadar geniş bir değerlendirme ve raporlama sorumluluğu getirilen DORA ile Komisyonun NSA diye adlandırdığı yerel düzenleyici kurumların (National Supervisory Authority) yetki alanlarına getirilen diğer bir müdahale olarak değerlendirebiliriz.
Komisyon’nun DORA oluşturulurken yaptığı kabul, bence oldukça haklı olarak, bilgi teknolojileri yönetiminde iş birliği faaliyetlerinin diğer sektörlerden daha fazla olmasına rağmen zincirleme sorumluluk ilkesinin finansal piyasalarda net bir şekilde kabul edilmemiş olması. Sırf bu eksiklikten dolayı ICT içerisine “orkestrasyon” riskinin eklenmesi gerektiğini düşünüyorum. Yakın zamanda bankalar ve ödeme şirketlerinin faaliyet etkinliğini değerlendiren bir çalışmada bankalar tarafından gerçekleştirildiğinde 5 milyon Euro’ya mal olacak bir operasyonun elektronik para kuruluşları tarafından 350 bin Euro’ya gerçekleştirilebildiğini ortaya koymuştu. İşte orkestrasyonun pozitif etkisi. Bu harika resmin negatif tarafı ise orkestrasyonla birlikte “contingency risk” yani yayılma riskinin de katlanarak artıyor olması. Yani işin içine “orkestrasyon” ve “contingency” girdiği zaman iki artı ikinin bir anda yedi olduğuna şahitlik edebiliyoruz.
DORA’nın bu korelasyonları nasıl ortaya çıkaracağını hep birlikte göreceğiz. Ancak özellikle Avrupa Birliği içerisindeki ülkelerin yönetişim ve regülasyon yapılarındaki farklılıkların DORA ve CSRD’yi takip eden benzer düzenlemeleri beraberinde getireceğini, bazı şeylerin ülkelerin düzenleyici kurumlarına bile bırakılamayacak kadar önemli bulunduğunu bize bir kere daha hatırlattı.
Benzer diğer düzenlemelere kıyasla oldukça uzun bir “gap analiz süreci” ve hazırlık faaliyeti içermesine rağmen Avrupa Komisyonu’nun, Ocak 2023’te yayınlanan düzenleme sonrasında ilgili faaliyetleri Ocak 2025’te başlatacak olması şirketlere, bu tür regülatif faaliyetlerin geleneksel döngüsü olan kabul-uygulama-kontrol (consider-implement-verify) faaliyetleri için yeterli hazırlık sürecini vermemekte. Komisyon’un iş analizlerini eksik gerçekleştirmesi gibi bir ihtimal olmadığına göre acele etmesinin nedeninin Avrupa Birliği içerisinde, özellikle siber risk alanında artan baskı ve tek bir zayıf halka sayesinde birçok finansal kurumun domino taşları gibi birbirine değerek yıkılacağına dair duyulan endişe olduğunu söyleyebiliriz. Finansal kurumların harcadığı zaman ve süreçte görevlendirdiği insan kaynaklarının ortaya koyduğu analizin iki senenin sonunda Avrupa Komisyonu tarafından yetersiz bulunması da oldukça sık görülmesi beklenen diğer bir istenmeyen durum.
Nasıl AMLA ve CSRD, Avrupa Birliği bünyesinde olmamamıza rağmen Komisyon tarafından onaylanır onaylanmaz ülkemizin düzenleyici kurumlarının da radarına girdiyse, DORA’nın da çoktan incelenmeye başlandığını biliyoruz. BDDK tarafından bankalara getirilen Tebliğ, DORA’ya kıyasla oldukça detaylı olmakla birlikte, ICT risklerinin daha holistik bir çerçevede değerlendirilmesi ve bu bakış açısının kontrol faaliyetlerine de yansıtılması DORA ile ülkemize gelebilecek etkilerin başında yer almakta. DORA’nın teknik detaylarını incelemeye devam edeceğiz. Daha değerlendirilecek çok nokta var!