Giriş
Amerika Birleşik Devletleri’ndeki (ABD) bazıları da dâhil olmak üzere finansal hizmet kuruluşları ve teknoloji satıcıları, siber saldırılar, doğal afetler ve diğer kesintiler ile ilgili kurallarla karşı karşıyadır.
Avrupa Birliği’nin (AB) finans sektörünün omurgasını güçlendirmek için yaptığı son düzenleme 17 Ocak 2025 tarihinde, tam olarak yürürlüğe girecektir. AB’nin Dijital Operasyonel Dayanıklılık Yasası (Digital Operational Resilience Act-DORA[1]) 2022 yılında kabul edilmiş ve finans şirketlerinin uyması gereken kuralların ve düzenlemelerin yavaş yavaş uygulamaya konduğu görülmüştür. Kuruluşların, finans sektörünün bir bütün olarak siber saldırılar, doğal afetler ve diğer kesintiler karşısında bile operasyonel kalmasına yardımcı olacak belirli politikalar, uygulamalar ve iç kontroller uygulaması beklenmektedir.
Dijital Operasyonel Dayanıklılık Yasası, gerekli özeni göstermeyi, sözleşme yönetimini, olaylara tepki vermeyi ve süreklilik planlamasını vurgular. Sonuç olarak, kurallarına uymak bazı durumlarda kuruluşların tedarikçi sözleşmelerini, siber güvenlik protokollerini ve veri yönetim araçlarını yeniden değerlendirmelerini gerektirecektir.
Dijital Operasyonel Dayanıklılık Yasası doğrudan finans kuruluşlarını -bankalar, kredi kartı sağlayıcıları, sigorta şirketleri, aracı kurumlar, kitle fonlaması platformları, kripto para hizmetleri ve benzerleri [banks, credit card providers, insurance firms, broker-dealers, crowdfunding platforms, cryptocurrency services and the like]- hedef alsa da yalnızca finans sektöründekilerin dikkat etmesi gerekmemektedir. Anılan yasanın dijital dayanıklılık ve siber güvenliğe odaklanması ve üçüncü taraf yönetimine ilişkin hükümleri, bir dizi teknoloji firmasının finans dünyasına satış yapmaları veya finans dünyasıyla çalışmaları durumunda kendilerini Dijital Operasyonel Dayanıklılık Yasası sürecinden geçerken bulacağı anlamına gelmektedir. Bunlara bulut sağlayıcıları, bilgi ve iletişim teknolojisi dış kaynak kullanımı şirketleri, siber güvenlik şirketleri, veri merkezi operatörleri, yönetilen hizmet sağlayıcıları ve daha fazlası dâhil olabilir.
Şirketlerin Dijital Operasyonel Dayanıklılık Yasası düzenlemelerine tabi olmak için Avrupa Birliği’nde merkezlenmiş olmaları da gerekmez. Bu ülkelerde müşterileri olan veya AB’deki finans sektörü ile ilgili başka bir şekilde iş yapan herhangi bir finans kuruluşu buna uymalıdır.
Dijital Operasyonel Dayanıklılık Yasası’nın 6. maddesinin sekizinci fıkrası[2], her şirketin “dijital operasyonel dayanıklılık stratejisi”ni de içeren “sağlam, kapsamlı ve iyi belgelenmiş bir bilgi ve iletişim teknolojisi risk yönetimi çerçevesi”ne sahip olmasını [each company have a sound, comprehensive and well-documented information and communication technology risk management framework that includes a a digital operational resilience strategy] şart koşmaktadır.
1. Kuruluşları Dijital Operasyonel Dayanıklılık Yasası’na Karşı Korumak
1.1. Bilgi ve iletişim teknolojisi riskine ve genel risk iştahına yönelik toleransı tanımlamak [define tolerance for information and communication technology risk and overall risk appetite]
Her girişim risk içerir ki, kaçınılmazdır. İşletmeden işletmeye değişen şey, bir organizasyonun iş yapmanın bir parçası olarak kabul edilebilir gördüğü risk düzeyidir. Bu risk, birçok faktöre bağlı olarak değişebilir, en önemlisi risk kategorisidir. Dijital Operasyonel Dayanıklılık Yasası, özellikle bilgi ve iletişim teknolojisi ve kesinti riskleri işletmelerin operasyonları için, kabul edilebilir risk parametrelerini tanımlamalarını gerektirir. Şirketin risk yönetimi çerçevesinin diğer her yönü, tanımlanmış risk iştahıyla uyumlu olmalıdır. Başka bir deyişle, bir risk rahat aralığın ötesine geçerse, bununla nasıl başa çıkılacağına dair tanımlanmış bir plan olmalıdır.
1.2. Net bilgi güvenliği hedeflerini belirlemek [set clear information security objectives]
Bir sonraki adım, hem yukarıda tanımlanan risk iştahı hem de şirketin daha geniş iş hedefleri ve ihtiyaçlarıyla uyumlu veri güvenliği hedeflerini belirlemek ve belgelemektir. Hangi tür bilgilerin korunması en çok ihtiyaç duyulandır? Kötü niyetli aktörlerin peşine düşebileceği olası saldırı vektörleri nelerdir?
Bu adım, dijital ve üçüncü taraf risklerini azaltma konusunda başarı için temel çizgileri belirlemek ile ilgilidir. Bu nedenle, hedefler günlük operasyonlar için anlamlı ve ölçülebilir olmalıdır, böylece karşılanıp karşılanmadıklarını belirlemek kolaydır. Ve son olarak, şirketler yalnızca takip etmeye istekli oldukları hedefleri belirlemelidir; bir şirketin yerine getirebileceğinden veya getireceğinden daha fazlasına söz vermek, kaynakları israf etme veya güvenlik hedefleri ve beklentileriyle uyumsuzluk yaratma olasılığı yüksektir.
1.3. Olay tespiti, önlenmesi ve korunması için mekanizmaların ana hatlarını çizmek [outline mechanisms for incident detection, prevention and protection]
Hedefler belirlendikten sonra, kuruluşların saldırılar veya kesintiler ile başa çıkmak için kullanılacak belirli araçları ve süreçleri ana hatlarıyla belirtmesinin zamanı gelmiştir. Dijital Operasyonel Dayanıklılık Yasası ayrıca dayanıklılık stratejisinin işletmede mevcut bilgi ve iletişim teknolojisi mimarisini ve dijital ortamı güvence altına almaya yardımcı olacak araçları veya prosedürleri kullanmak için yapılması gereken değişiklikleri açıklaması gerektiğini şart koşar.
Ardından, bu planları uygulamaya koyma zamanı gelir. Tespit, önleme, koruma ve azaltma buradaki temel kategorilerdir ve her biri yeterince ele alınmalıdır. Güçlü siber güvenlik araçları bulmacanın önemli bir parçasıdır, ancak bu adımda üçüncü taraf satıcıların ve ortakların rolünü göz ardı etmemek önemlidir. Dijital Operasyonel Dayanıklılık Yasası özellikle üçüncü taraf riski ile ilgilenmektedir, bu nedenle satıcıların operasyonel dayanıklılığı, düzenleyici uyumu ve mevcut güvenlik duruşları konusunda gerekli özeni göstermek için bu kritik bir zamandır.
Birçok finansal kurum ve onları destekleyen satıcı, Ocak ayına kadar Dijital Operasyonel Dayanıklılık Yasası uyumunu karşılamaya yardımcı olmak için veri haritaları oluşturmaya odaklanmaktadır. Bu, satıcı verilerinin bulunabileceği farklı sistemlerden veri getirmeyi gerektiren üçüncü taraf risk yönetimi (third-party risk management) sistemlerinin bir işlevidir -sözleşme yönetimi, siber güvenlik ve müşteri hizmetleri sistemleri [contract management, cybersecurity and customer service systems] bunlardan birkaçıdır- ve birçok eski sistem bu yeteneği etkinleştirmek için güncellenmektedir. Şirketin ve satıcısının (ve alt yüklenicisinin) ilişkilerinin ayrıntılı bir haritası, kritik verilerin nerede olabileceğini aydınlatmaya yardımcı olacak ve aynı zamanda bir satıcıyla bir kesinti olması durumunda finansal kuruluşu tehdit edebilecek bağımlılıkları görünür hale getirecektir.
1.4. Güçlü sözleşme yönetimiyle beklentileri belirlemek ve uygulamak [set and enforce expectations with strong contract management]
Dijital Operasyonel Dayanıklılık Yasası, tedarikçiler ile yapılan tüm sözleşmelerin açıkça tanımlanmış rol ve sorumluluklara sahip olmasını, zorunlu dayanıklılık eğitimi türlerinin belirlenmesini ve alt yüklenicilere izin verilen hususların yazılı olmasını gerektirir. Bu maddeleri kapsamayan herhangi bir sözleşme, bir şirketi uyumsuzluk riskine sokabilir. Ve belki de en önemli kısım olan bir sözleşme ayrıntısı daha vardır: düzenleyici raporlama ve olay kurtarma söz konusu olduğunda önemli olacak tanımlanmış denetim hakları.
1.5. Herhangi bir olaydan sonra izlenecek bir iletişim planı geliştirmek [develop a communications plan to be followed after any incidents]
Tanımlanmış denetim hakları, bir şirketin tedarikçilerinin temel operasyonel ve güvenlik ayrıntılarına ilişkin kavrayış elde etmesini mümkün kılar ki; bu, Dijital Operasyonel Dayanıklılık Yasası düzenleyici otoritelerine veri bildirirken hesaba katılması gereken bir şeydir. Bu düzenleyici otoriteler bu tür sözleşme hükümlerini arayacaklardır ve bunlar olmadan bir tedarikçinin bir saldırı veya kesintiden sonra bir soruşturma için gereken bilgileri sağlayacağının garantisi yoktur. Aslında, çoğu kişi itibarını kurtarmak için bu kesinti hakkında mümkün olduğunca fazla bilgiyi gizlemeyi tercih eder. Gerekli verileri sağlama yeteneğinden yoksun olduğu bulunan tedarikçiler ya bilgilendirilmeli ya da hızla elden çıkarılmalıdır.
Dijital Operasyonel Dayanıklılık Yasası’nın 14. maddesini[3] takip eden net bir iletişim planı mevcut olmalıdır. Bu planlar, hem şirket içinde hem de dışında bilmesi gereken taraflara büyük bilgi ve iletişim teknolojisi ile ilgili olayların veya güvenlik açıklarının “sorumlu bir şekilde ifşa edilmesini” (responsible disclosure) belirtmelidir. Söz konusu 14. madde ayrıca, bu iletişim stratejisini uygulamaktan en az bir kişinin sorumlu olması ve bu tür konularda kamuya ve medyaya bakan kişi olarak görev yapması gerektiğini belirtir.
1.6. Dayanıklılık programını rutin olarak test etmek [routinely test the resiliency program]
Son olarak, dayanıklılık çerçevesinin dikkatlice test edilmesi gerekir. Dijital Operasyonel Dayanıklılık Yasası’nın 26. maddesi[4], şirketlerin en az üç yılda bir tehdit odaklı penetrasyon testi (threat-led penetration test) gerçekleştirmesini ve bu testin hayati işlevleri destekleyen bilgi ve iletişim teknolojisi sistemlerini kapsamasını gerektirir. Bu, sadece ev yapımı bir tehdit odaklı penetrasyon testi de olamaz; 27. madde[5] ise, Dijital Operasyonel Dayanıklılık Yasası uyumu için geçerli bir testi, test edilen kuruluşun dışında bir kuruluş tarafından yürütülen, gerekli uzmanlığı göstermiş ve ilgili düzenleyici otorite tarafından onaylanmış bir test olarak tanımlar.
2. Üçüncü taraf riskini yönetmek için yeni bir dünya
Dijital Operasyonel Dayanıklılık Yasası uyumu için son tarih (ki, Ocak 2025) hızla yaklaşırken, kabul edilebilir bir dayanıklılık stratejisi ve risk yönetimi çerçevesinin bu yönlerinin çoğu, hızla bir araya getirilebilecek şeyler değildir.
Finans sektöründe faaliyet gösteren veya bu sektörü destekleyen şirketler açısından yasal uyum için bugün temel oluşturmaya başlamak önemlidir. Muhtemelen teknik standartları ve olay raporlama zaman çizelgelerini test etmekle ilgili daha fazla Dijital Operasyonel Dayanıklılık Yasası kuralı Temmuz ayında yayınlanacaktır, ancak bu da gecikmeye değmez (bu tür kurallar yukarıdakilere ilave olacak ve bu nedenle işletmelerin üzerine inşa etmek için bu güçlü temele ihtiyaçları olacaktır).
[1] <https://www.eiopa.europa.eu/digital-operational-resilience-act-dora_en>
[2] <https://www.digital-operational-resilience-act.com/Article_6.html>
[3] <https://www.digital-operational-resilience-act.com/Article_14.html>
[4] <https://www.digital-operational-resilience-act.com/Article_26.html>
[5] <https://www.digital-operational-resilience-act.com/Article_27.html>
Yavuz Akbulak
1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan ‘Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
• Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
• Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
• Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte),
• Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve
• Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte)
başlıklı kitapları yayımlanmıştır.
• Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003),
• Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004)
ile
• Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II;
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021);
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021);
• Sosyal Bilimlerde Güncel Gelişmeler (2021);
• Ticari İşletme Hukuku Fasikülü (2022);
• Ticari Mevzuat Notları (2022);
• Bilimsel Araştırmalar (2022);
• Hukuki İncelemeler (2023);
• Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024);
• Hukuka Giriş (2024);
• İşletme, Pazarlama ve Hukuk Yazıları (2024),
• İnterdisipliner Çalışmalar (e-Kitap, 2025)
başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 3 bini aşkın Telif Makale ve Telif Yazı ile tamamı İngilizceden olmak üzere Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak ve çalışkanlık vazgeçilmez ilkeleridir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.