Siber saldırılara karşı DORA yasası geliyor
AB’de siber saldırılara karşı dijital altyapı güvenliğini sağlamak amacıyla 2025 yılında “DORA” adlı bir yasa yürürlüğe girecek. AB’de şubesi bulunan Türk bankalarını da ilgilendiren DORA’ya uyum sağlamayanları ise para cezaları ve lisans iptali gibi ağır cezalar bekliyor.
Pandemi ile birlikte hayatımız dijitalleşti ama siber saldırıları da çok sık duyar olduk. Fidye yazılım saldırıları, veri ihlalleri ve bilişim teknolojileri ke- sintileri gibi riskler ile her an karşı karşıyayız. İşte bütün bu tehditler ile birlikte güvenlik ve ödeme standartları da her zamankinden daha fazla önem kazandı. Çünkü siber saldırılar, veri kaybına, operasyonel kesintilere ve ulusal güvenlik riskine yol açıyor.
Tabii bu konuda kurumlar ve devletler de boş durmuyor. Geçtiğimiz günlerde bir araya geldiğimiz EY Türkiye Siber Güvenlik Hizmetleri Lideri ve Danışmanlık Bölümü Şirket Ortağı Ateş Sünbül, dijital operasyonel dayanıklılığını artırmak ve tehditlere karşı daha etkili koruma sağlamak için bazı yasa hazırlıklarından bahsetti. 'Dijital Operasyonel Dayanıklılık Yasası' veya kısa adıyla 'DORA' da bu düzenlemelerden biri. Avrupa Parlamentosu tarafından 10 Kasım 2022 tarihinde onaylanan DORA, 2025 yılında AB'de yürürlüğe girecek.
DORA, şirketlerin dijital olarak herhangi bir saldırıya uğradığında veya bir felaket anında iş sürekliliğini ve kalıcılığını sağlamasını öngörüyor. Dijital dayanıklılığı sağlamayı amaçlayan yasa; yönetişim ve organizasyon yapısından risk yönetimine, raporlamadan bilgi paylaşımı ve dayanıklılık testine kadar detaylı teknik standartları kapsayacak. Sünbül, bu kapsamda, Avrupa denetim otoritelerinin, finansal kurumlar üzerindeki denetimlerini güçlendireceğini ve daha etkili kontroller uygulayabileceğini belirtiyor.
Türk Bankalarını da İlgilendiriyor
DORA, henüz sıcak bir konu olsa da Türk bankalarını da yakından ilgilendiriyor. Konunun Bankacılık Düzenleme ve Denetleme Kurumu'nun (BDDK) gündeminde olduğunu anlatan Sünbül, "Avrupa'da şubesi veya ofisi olan finansal kuruluşlar da bu yasaya uymakla mükellef. Bankaların da bu yasa çerçevesinde belli uyumluluk adımlarını işletmesi gerekiyor" diyor.
Ancak bununla ilgili yol haritası henüz belli değil. Şu anda herhangi bir siber saldırı halinde sadece BDDK'ya bildirmek zorunda olan Türk bankalarının, DORA ile birlikte yurt dışındaki otoritelere de bilgi vermesi gerekecek. Bilgi paylaşımının 'hangi detayda ve ne şekilde yapılacağına' ilişkin ise şu an gri bir alan söz konusu.
Sünbül, BDDK'nın bu süreçle ilgili boşlukları dolduracak şekilde bir talimat yayınlaması gerektiğini vurguluyor. Üstelik, Sünbül'ün anlattığına bakılırsa, DORA kapsamında gerekli önlemleri almayan ve uyumluluk testini geçemeyen bankaları, milyonlarca dolarlık cezalardan başlayarak lisans iptaline kadar uzayacak bir süreç bekliyor.
