2025 yılı ocak ayından itibaren yürürlüğe girecek olan The Digital Operational Resilience Act (DORA), AB’nin siber güvenlik stratejisinin önemli bir parçası olarak, birlik genelindeki finansal kuruluşların bilgi ve teknoloji dayanıklılığını artırmayı hedefliyor. 

Aslında, 2020 yılında AB Komisyonu tarafından sunulan bu yasa taslağı, AB Konseyi tarafından kabul edilmişti. Ve önümüzdeki aylarda DORA'nın nihai şeklini alması ve 2025 Ocak ayından itibaren yürürlüğe girmesi bekleniyor. Bu düzenlemenin, sadece geleneksel finansal kuruluşların değil, aynı zamanda kripto sektöründeki aktörlerin iş modelleri ve mevcut süreçlerini de etkileyecek olması, konuyu bizim açımızdan önemli kılıyor. 

Yasa taslağında, yasa kapsamına giren kripto sektörü aktörlerinin Markets in Crypto-assets Regulation (MiCAR)’da tanımlandığı ifade ediliyor. MiCAR’ya baktığımızda ise bu aktörlerin, madde 3(1)(15)’de tanımlandığını görüyoruz: “Kripto Varlık Hizmet Sağlayıcısı” kavramı “meslek veya iş alanı profesyonel olarak müşterilere bir veya daha fazla kripto varlık hizmeti sağlamak olan ve kripto varlık hizmetleri sağlamasına izin verilen bir tüzel kişi veya diğer kuruluş”.

DORA'daki Temel Yükümlülükler

Aslında, DORA 2025'te yürürlüğe girecek tek önemli teknoloji risk odaklı mevzuat değil. İki hafta önce Hamburg’da konuşmacı olarak katıldığım kongrede, Ekim 2024'te yürürlüğe girmesi beklenen NIS2'ye uyuma ilişkin panellere büyük ilgi dikkatimi çekmişti. 

NIS2 düzenlemesi de, Avrupa'daki firmalar açısından dijital güvenlik gereksinimlerini belirliyor ve yalnızca finansal sektöre odaklanan DORA'nın aksine daha geniş bir etki alanı var. Bir diğer fark ise, NIS2 her üye devletin kendi ulusal yasalarına entegre etmesi gereken bir direktif iken, DORA her üye ülke için doğrudan uygulanacak bir yasa konumunda. 

AB, dijital araçlara olan bağımlılığının artması ile birlikte, iş dünyası açısından BT odaklı risklerin yönetilmesinde asgari standartların belirleme gayretinde. Sanırım, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi tarafından çıkarılan “Bilgi ve İletişim Güvenliği Rehberi” ve bu rehbere uymakla yükümlü kılınan sektörlere baktığımızda, ülkemizde de AB’dekine paralel bir çabanın olduğunu görüyoruz. Peki DORA neler getiriyor? Bu düzenleme kapsamında temel yükümlülükler aşağıdaki gibidir:

• Bilgi ve iletişim teknolojileri risk yönetim yapılarını kurmak ve işletmek: Finansal kuruluşların BT risklerini yönetmek için gerekli sistemleri kurmaları ve işletmeleri gerekecek.
  
  
• Etkin bir olay müdahale süreci ve planları oluşturmak: BT olaylarına karşı hızlı ve etkin müdahale edebilmek için gerekli planların oluşturulması zorunlu olacak.
  
  
• Düzenli güvenlik testleri yapmak: Belirli aralıklarla yapılması gereken güvenlik testleri ile sistemlerin dayanıklılığı artırılacak.
  
  
• Üçüncü taraf risklerini tanımlamak ve izlemek: Finansal kuruluşların, tedarikçileri ve diğer üçüncü taraflara ilişkin riskleri de, etkin bir şekilde tanımlamaları ve izlemeleri gerekecek.
  
  
• Tehdit istihbaratı paylaşımı: Finansal kuruluşlar, BT risklerine karşı iş birliğini artırmak amacıyla aralarında tehdit istihbaratı paylaşımı yapabilecekler.

Bu yükümlülükler sadece finansal kuruluşları değil, bu kuruluşlara BT sistemleri ve güvenliklerine yönelik hizmetler sunan üçüncü taraf hizmet sağlayıcılarını da kapsadığını belirtmeliyim. Bu durum, üçüncü taraf risk yönetimi konusunda da olumlu gelişmelere yol açacak gibi. 

Türkiye Kripto Sektörü Nasıl Etkilenecek?

DORA, bir AB düzenlemesi olmasına karşın, etkisi Avrupa Birliği sınırlarının ötesine geçiyor. Eğer AB'de ofiniz varsa veya AB'deki finansal bir kuruluşa hizmet sunuyorsanız, bu düzenleme kapsamındasınız demektir. 

Örneğin, Türkiye merkezli olup Türkiye merkezli bir bankaya hizmet veriyorsunuz, ilgili bankanın AB ülkelerinde faaliyet göstermeye başlaması durumunda, DORA sizi de etkileyecektir. Bu konuyu tabii ki hukuk uzmanları daha doğru değerlendirecektir. DORA'nın devreye girmesiyle, Türkiye'deki kripto ekosistemi aktörlerinin, güvenlik ve operasyonel dayanıklılıklarını artırmaları buna uyumlu hale gelmeleri gerekecektir. Ayrıca daha önceki yazılarımda da sıklıkla dile getirdiğim gibi, dijital güven modern iş dünyası açısından önemli bir rekabet avantajı sağlıyor. DORA hükümlerine uyum kripto varlık hizmet sağlayıcıları açısından bir güven ve güvenilirlik işareti olacaktır.

Bu nedenle Türkiye’deki firmaların DORA’ya uyumları, AB firmaları ile daha fazla iş birliğinin yolunu açacaktır. DORA’ya uyum için ilk olarak atılması gereken anahtar adımları aşağıdaki gibi düşünebiliriz:

• Düzenli siber güvenlik testlerinin yapılması,
  
  
• Kurumsal risk yönetim yapılarının kurulması ve BT risklerinin de bu kapsamda değerlendirilmesi,
  
  
• DORA'nın gereksinimlerini anlamak için Avrupa'daki ortaklarla yakın işbirliklerinin geliştirilmesi.

Sonuç olarak DORA, AB sınırlarını aşarak ülkemizdeki kripto sektörünü de etkileyerek, operasyonel dayanıklılığını ve güvenliğini artırmaya yönelik çabaları teşvik edecek gibi. Bu açıdan önümüzdeki dönemde DORA’ya uyum, kripto sektörü açısından önemli bir gündem maddesi olacağa benziyor.