Kurban Bayramı tatili Münih’te harika bir çalışma guru toplantısına denk geldi, ben de büyük bir zevkle katıldım. Avrupa’da 2024 biterken işler inanılmaz bir şekilde artıyor. Normalde Temmuz’un üçüncü haftasından itibaren kimseyi çalışırken bulamazken şu anda herkes 2025 yılının ilk aylarında hazırlayacakları raporlar için harıl harıl düşünüyorlar. Bu yaz birçok aile tatile bilgisayarları ile gidecek anlaşılan.
-Dr. Zeynep Stefan
Bu yoğun çalışmanın detaylarına girmeden önce 2016 yılından beri gözlemlediğim bir durumun artık çok net bir şekilde var olduğunu belirtmek isterim: Artık saflar belirginleşiyor. Yani Avrupa Birliği ayrışıyor. Bana göre oldukça pozitif. Ancak sizin görüşünüze göre işlerini gereksiz yere zorlaştırıyor da olabilirler.
İlk konu, sanırım 2022’de yazdığımda Türkiye’de ilk defa dile getirdiğim DORA (Digital Operational Resilince Act / Dijital Operasyonel Sağlamlık Kanunu). Yani kurumların dijital rezilyans/dayanıklılık özelliklerine önemli standartlar getiren yasa. 2022 yılında hazırlandı, 2023 Ocak ayında kabul edildi ve kapsama giren yüzbinlerce şirkete uyumluluk için iki senelik uzun bir zaman dilimi tanındı. Ancak bu süre hızla geçti. İlk raporlama Ocak 2025’te. Zorluğu ise şurada, yükümlünün şirket içerisinde bilgi teknolojileri alanında sivri sinek uçsa haberdar olması ve raporlaması gerekmekte. Bu bilgi ağını kurarken operasyonlarınızın detaylarını beş ana gruba ayırmalısınız. Öncelikle bilgi teknolojileriyle alakalı kapsamlı bir açık analizi yaptırmalı ve nerede kontrol yapınızı güçlendirmeniz gerektiğini tespit etmelisiniz. Sonrasında bilgi teknolojileri ile alakalı oluşturduğunuz kontrol yapısı ile bağlantılı hale getireceğiniz bir raporlama ağı kurmalısınız. Dijital alanda yürüttüğünüz operasyonlarınızın Avrupa Komisyonu tarafından belirlenen standartlara sürekli uygun olması için kendini güncel tutabilecek bir test altyapısını da ihtiyacınız olacak. Bitmedi. Bu yapıya bilgi teknolojileri alanında hizmet aldığınız kurumları da eklemelisiniz ve mutlaka onların yeterliliğinden de emin olmalısınız. Son aşamada ise bütün bu çalışmaların kâğıt üzerinde kalmaması için gerekli güncelleme ve paylaşım yapısını oluşturmalı ve sonrasında düzenleyici kurumun kapınızı çalmasını beklemelisiniz. Harika değil mi? ABD’nin ve Asya’nın teknoloji devleri şöyle düşünmekte: Buna ne gerek vardı? İşte tam bu alanda yukarıda bahsettiğim harika pozitif ayrışma devreye girmekte. Cevap ise çoktan hazır: Burası Avrupa Birliği, top koşturabilirsin ancak bizim kurallarımızla. Deregülasyona oldukça alışmış ve verinin nerden, ne şartlarla geldiği ile pek ilgilenmeyen şirketler için ise tepki halen aynı: Ne gerek vardı? Hatta konunun şu karara bile gelmesi olası: O zaman çıkalım Avrupa Birliği’nden!
DORA ile bitmedi tabi ki. Avrupa Birliği dijital dünyadaki sağlamlıkla ilgilenirken bunun ne olursa olsun değil, mutlaka sürdürülebilir bir yapı içerisinde hayata geçirilmesiyle de oldukça ilgili. Bu topraklarda yer alacaksanız mutlaka uzun vadeli oynamalısınız diyor. Çünkü bir süre sonra, birçok gelişmekte olan ve bazı gelişmiş ülkeler kaynaklarını tüketince Avrupa Birliği’nin temiz hava sahasına yönelmek isteyecekler. Şimdiden kendilerini veri ve doğal kaynaklar açısından kıtlıkların baş göstereceği bir dünyaya hazırlıyorlar bence. Buradaki kozları ise CSRD (Corporate Sustainability Reporting Directive / Kurumsal Sürdürülebilirlik Raporlamaları Direktifi). CSRD’nin de ilk raporlaması 2024 verileriyle 2025 yılının ilk aylarında. Tam bir kaos. CSRD her ne kadar kalitatif bir analiz gibi gözükse de çalıştığınız kurumun sürdürülebilirlik portresini oldukça doğru ve detaylı bir şekilde ortaya koymanızı beklemekte. Çünkü devamında sizi oluşturduğu taksonomi yapısına göre sınıflandıracak ve vergilendirecek. Zaten yeterince vergi ödüyoruz dediğinizi duyar gibiyim. Ancak cevapları hazır: “Kalite, bedel ister.” Eğer “Medeniyet, kokar.” demek istemiyorsanız CSRD’ye uyumlu hale gelmelisiniz. Aslında pozitif ayrışma derken sadece benim gibi kalitenin hakkının verilmesi gerektiğini düşünenlerin ayrışmasından bahsetmiyorum, hali hazırda zaten iyi olanların da ayrışmasından bahsediyorum. İyi yönetiliyorsanız hem DORA hem de CSRD sizin için harika bir geçit yapısı. Eğer, ne yazık ki benim de çalışmak zorunda kaldığım zihniyet gibi, günü kurtarıyorsanız sizin için deniz bitti. En azında Avrupa Birliği içerisinde bitti.
Münih’teki çalışma gurubuyla sadece DORA ve CSRD’den konuşmadık. Merkezi olmayan kontrol yapılarına sahip ticari devlerin -örneğin Amazon veya Alibaba vb- bu modellerini nasıl uyumlu hale getirebileceklerinden, bulut temelli finansal yapıların geleceğinden, ürün yapılarının nasıl sürdürülebilir ve hesap verebilir tutulacağından, Birleşik Krallıktaki CTP düzenlemesinden, yine Avrupa Birliği bünyesinde uygulanacak NIS 2’den, bütün bu düzenlemelerin kurumların ölçeklendirme ve maliyet yönetimlerine etkisinden ve son olarak bütün iş yükünün nasıl dengeleneceğinden (Load balancing) konuştuk. Size anlatacak oldukça fazla detay ve seri toplantılarla berraklaşan harika bir zihnim var. Her zaman söylediğim gibi: “İyi olan gerçekten hep kazansın!”