Avrupa Birliği (AB) Aralık 2022’de Dijital Operasyonel Dayanıklılık Yasası’nı (DODY) resmi gazetesinde yayınladı. Bu yasanın amacı, AB üye ülkelerindeki finansal hizmet sağlayıcıları için daha önce kabul edilen operasyonel esneklik düzenlemesine bilgi ve iletişim teknolojisi (BİT) gerekliliklerini eklemektir. AB’de faaliyet gösteren mali hizmet kuruluşlarının ve AB mali hizmet firmalarına hizmet sağlayan kuruluşların, 17 Ocak 2025’ten önce DODY gerekliliklerine uyması bekleniyor.
2023 yılının sonuna geldiğimizde belki de söylenecek ilk şey, DODY’nin Ocak 2025’e kadar hayata geçirilmesine yönelik çalışmaların kararlılıkla devam ettiğidir. DODY, Avrupa Denetleyici Otoriteleri’nin (ADO) uygulama düzenlemelerini iki aşamada geliştirmesini gerektirmektedir. İlk aşama, risk yönetimi ve basitleştirilmiş risk yönetimine ilişkin düzenlemeleri içerir. “Büyük olay” sınıflandırması ve firmalar tarafından sürdürülecek dış kaynak hizmetlerinin kaydı da dahil olmak üzere dış kaynak kullanımı, 2024’ün başlarında Komisyon’a sunulma yolundadır. İkinci aşama, büyük olay raporlama şablonunu içerir. Tehdit yaklaşımlı sızma testi ve dış kaynak sağlayıcı risklerinin yönetilmesiyle ilgili çalışmaların yıl ortasında sunulabilmesi için önümüzdeki haftalarda halkın katılımının başlaması bekleniyor.
DODY gerçekten ilginç bir düzenleme olarak Avrupa Birliği’nde faaliyetlerini sürdüren finansal sektör kurumlarının hayatının ortasında belirmiş durumda. Aslında yönetmelik içeriği, toplumun ve ekonominin dijitalleşme hızını yakalamayı hedefliyor. Riskleri yönetirken dijitalleşmenin faydalarının da elde edilmesini kolaylaştıracak tedbirleri hayata geçirmemiz önemli olacak. Ancak finans sektöründeki dijital operasyonel esnekliğini ele alacak bir çerçeve tasarlamaya ve uygulamaya çalışırken karşılaştığımız zorlukları bir anlığına düşünelim.
Yönetmeliğe uyum konusunda yaşanacak zorluklar aşağıdakileri içermektedir:
- Sektörler arası uyum niteliği: Dijital operasyonel dayanıklılığın sektörler arası bir olgu olarak ele alınması gerekmektedir; geleneksel sektör temelli yaklaşımlar işe yaramayacaktır.
- Kapsama alınması gereken geniş bir olay alanı: BT, siber riskler ve tehditler, her şekil ve büyüklükteki bireysel firmalarda, firma grupları arasında ve aralarında yüksek düzeyde bağlantı bulunan sistem çapındaki olaylardan ortaya çıkar ve kristalleşir. Bu da yaklaşımımızın eylem kapsamının geniş olması gerektiği anlamına geliyor.
- Dinamik bağlam: Risk ve tehdit ortamı hızla değişiyor ve şekilleniyor; böylece ortaya çıkan bir sonraki tehdidin şekline ayak uydurmak için her zaman bir yarış var.
- Özellikle hizmetlerin bulut sağlayıcılara ve genel olarak büyük teknolojiye ne ölçüde dış kaynaklardan sağlandığı ve tedarikçilere devredildiğinin farkındalığında olunması gerekiyor
- Bağlamın derinlemesine teknik ve maddi olmayan doğası, yalnızca konuyu ele almak için önemli düzeyde uzmanlık kullanma ihtiyacı olduğu anlamına gelmez, aynı zamanda teknik perspektifleri politikaya, uygulamaya ve stratejiye aktarabilmemiz ve çevirebilmemiz gerektiği anlamına gelir.
DODY’nin dikkate değer yanı, bu çok yönlü zorluklara yönelik gelişmiş, entegre, kapsamlı ve pragmatik bir yaklaşım sağlayan düzenleyici bir yaklaşım sunmasıdır. Öncelikle DODY, tamamen sektörler arası ve geniş kapsamlı bir düzenlemedir. Bu, büyüklüğü, karmaşıklığı ve iş modeli ne olursa olsun her finans firmasına uygulanabilecek tek ve geniş kapsamlı bir düzenleme çerçevesi sunma yönündeki önemli tutkuyu temsil ediyor.
İkinci olarak DODY, dijital operasyonel dayanıklılık sorununun çok yönlü ve birbirine bağlı doğasını kapsamayı amaçlamaktadır. Firmaların kendi operasyonel risklerine, dayanıklılıklarına ve toparlanmalarına nasıl yaklaşmaları gerektiğine ilişkin gereklilikleri ortaya koymanın yanı sıra, üçüncü taraf hizmet sağlayıcılarla ilişkilerinin yönetimine nasıl yaklaşmaları gerektiğine ilişkin gereklilikleri de ortaya koyuyor. Dijitalleşmenin, değişimden yararlanma aracı olarak eşi benzeri görülmemiş ölçüde dış kaynak kullanımına ve taşeronlaşmaya dayanan bir olgu olduğu göz önüne alındığında, bu çok önemli bir husustur. Bunun ötesinde, finans şirketlerinin, BT olaylarını meydana geldikçe tespit etmek, değerlendirmek ve düzenleyici kurumlara raporlamak ve yetkili makamların bunları ADO’ya ve birbirlerine rapor etmek için yerinde çerçevelere sahip olması gerekiyor.
DODY’nın üçüncü önemli özelliği, finansal firmalara ve finansal sisteme bilgi teknolojileri hizmetleri sağlayan bulut hizmet sağlayıcıları da dahil olmak üzere üçüncü taraf hizmetleri için bir gözetim rejimi oluşturmasıdır. DODY, büyük teknoloji şirketlerinin çoğu da dahil olmak üzere bu tür üçüncü tarafların denetime tabi şirketler olacağı anlamına gelmez. Daha ziyade, finansal sistemdeki giderek daha önemli ve entegre rolleri göz önüne alındığında, düzenleyicilerin, finansal sistem gözetimlerinin bir parçası olarak, elbette denetim hakkı da dahil olmak üzere, bu tür sağlayıcıları gözetim altına almaları gerektiği anlamına gelir. Düzenleyiciler daha sonra gözetim değerlendirmelerini ve sonuçlarını, finansal firmaların dayanıklılığı ve bu konuda iyileştirme ihtiyacı etrafında karar alma süreçlerine dahil etmelidir. Bu, söylediğim gibi, sofistike ve incelikli ama yine de oldukça etkili olması muhtemel bir yaklaşım.
Dördüncü ve son olarak, DODY haklı olarak maddi bir aciliyet derecesi inşa etti. Bunu açıklamak oldukça basit; ancak uygulanması hâlâ oldukça zorlu. ADO’ya ve ulusal yetkili otoritelere, yeni çerçevenin önemli ayrıntılarını sağlayacak olan “Seviye 2 Düzenleyici Teknik Standart (DTS)” düzenlemelerini geliştirmeleri için daha da kısa bir zaman çizelgesi verdi. Elbette düzenlemenin uygulanacağı kişiler için bu, hazırlıklı olma ihtiyacının acil olduğu anlamına geliyor. Yeni rejimin, mevzuatın kabul edilmesinden yalnızca iki yıl sonra, 2025’in başında yürürlüğe girmesi gerekiyor. Düzenlemelerin düzenleyiciler tarafından birçoğu için yalnızca 12 ay, diğerleri için ise 18 ay içinde sunulması gerekiyor. Bu, ADO tarafından önerilen ilk düzenlemelerin önümüzdeki birkaç hafta içinde onay için Komisyon’a gideceği anlamına geliyor.
DODY, AB Dijital Finans Paketinin (DFP) en son eklentisi olarak yayımlanmıştır. DODY’ye duyulan ihtiyaç, finans sektörünün BİT’lere ve dijital formdaki bilgiye olan bağımlılığından kaynaklanıyor ve bu bağımlılık, pandemi sonrası dönemde daha da artmaya devam ediyor. DODY, sağlam ve dayanıklı operasyonları desteklerken finansal hizmetler sektöründe hizmetlerin daha fazla dijitalleşmesini teşvik etmek için tasarlanmıştır. DODY, AB finansal hizmetler düzenleyici kurumları tarafından oluşturulan operasyonel dayanıklılık gerekliliklerini, olaylara müdahaleyi iyileştirmede önemli bir gelişme olan dijital BİT gözetimini de içerecek şekilde genişletiyor. Kuruluşların hassas verileri koruma ve iş kesintilerinden kurtulma yeteneğini geliştirmek için tasarlanan AB ve ABD düzenlemelerinin istikrarlı akışının en sonuncusu olan DODY, önceki hazırlık standartlarını değiştirmek yerine genişletiyor.
DODY’nın etkisi, finansal hizmetler firmalarının operasyonel dayanıklılık, siber ve dış kaynak risk yönetimi uygulamalarının kritik fonksiyonlarının dayanıklılığını nasıl etkilediğini tam olarak anlamaya ve tamamen yeni operasyonel dayanıklılık yetenekleri geliştirmeye itecek bir “oyun değiştirici” olacak gibi görünüyor.
Finansal kurumlar uyumluluk çalışmalarını tamamlayabilmeleri için nispeten sıkı bir 12 aylık uygulama dönemiyle karşı karşıya kalacaklar. Uygulama dönemi, resmi gazetenin yayımlanmasından sonra başlamış olarak kabul edildi. 2024’ün dördüncü çeyreği itibarıyla, ilgili finansal hizmetler denetçilerinin, firmaların, ADO tarafından ikincil kural oluşturma yoluyla bu gerekliliklerin nasıl detaylandırıldığı da dahil olmak üzere, DODY’nın tüm yeni gerekliliklerine tam olarak uymasını bekleyecekleri anlamına geliyor.
DODY konusunda ilerleyen aşamalarda yapılan müzakerelerle mevzuatın son şekli netlik kazanıyor. AB merkezli firmaların, yakında uygulamak zorunda kalacakları gereklilikleri daha iyi anlayabilmek için görüşmelerin durumunu dikkate almaları gerekiyor. DODY uyumu için 24 aylık bir uygulama süresi tanındı, ancak önemli teknik standartların sonuçlandırılması daha uzun sürecek ve firmalara, karşılaşacakları yeni gerekliliklere uyum sağlamak için hazırlanmak için daha az zaman kalacak.
Firmalar siyasi sürecin sonuçlanmasını beklemeyi göze alamazlar, ancak başarılı uygulamanın neleri gerektirdiğini şimdiden düşünmelidirler.
DODY, AB’deki finansal kurumlar için siber/BİT risk yönetimi, olay raporlama, dayanıklılık testi ve üçüncü taraf dış kaynak kullanımı gerekliliklerini belirlemiş oldu. Ek olarak, finans sektörü denetçilerinin kritik BİT ve dış kaynak hizmet sağlayıcılarını denetlemesine olanak tanıyacak.
Avrupa’nın Dijital Çağa Uygunluk programının bir parçası olarak DODY, AB’de yukarıda belirtilen sektörlere yönelik düzenlemeleri uyumlu hale getirerek Avrupa’nın dijital dönüşümüne katkıda bulunmayı hedefliyor. Avrupa Parlamentosu (AP) ve Avrupa Konseyi, DODY’nin uyum süreçleri müzakerelerde de (“Trilogues”) görüşüldüğü gibi ek dokümanlar ile desteklenecektir.
DODY kimleri etkiler?
DODY, AB Parlamentosu tarafından onaylanan bir AB yönetmeliğidir. Üçüncü taraf hizmet sağlayıcılar (ÜTHS) da dahil olmak üzere AB üye devletlerinde faaliyet gösteren finansal hizmet kuruluşlarını etkiliyor. ABD firmalarının, AB üye ülkelerinde doğrudan veya üçüncü taraf hizmet sağlayıcısı olarak finansal hizmetler sağlaması durumunda bu yasaya uyması gerekmektedir.
BİT olay/risk yönetimi
ADO aksaklıkları zamanında ve kısa bir şekilde bildirmek için önemlilik eşiklerini daha da belirlemek amacıyla DTS’ler geliştirecek. Firmalardan önemli siber tehditleri gönüllü olarak bildirmeleri istenebilirken, Konsey bunun zorunlu olmasını istiyor. Sonuç muhtemelen, bu yıl sonuçlanması nedeniyle yasama müzakereleri devam eden, gözden geçirilen NISD’deki gerekliliklerle uyumlu olacaktır.
Firmaların BİT varlıklarını tanımlaması, sınıflandırması ve belgelemesi gerekmektedir. Firmalar hangi BİT varlıklarına sahip olduklarını öğrendikten sonra DODY, bu BİT varlıklarıyla ilgili potansiyel riskleri belirlemek için firmalardan beklentiler belirler. Daha sonra firmaların bu risklere karşı koruma sağlamaları ve olağandışı BİT sistemi davranışını tespit edecek araçlara sahip olmaları bekleniyor. Firmaların herhangi bir olağandışı veya beklenmedik sistem davranışı tespit etmesi durumunda DODY, bu tür olaylara yanıt verilmesi ve gerektiğinde bu tür olaylardan sonra iyileşme sağlanması için beklentiler sağlar.
DODY Seviye-1 Düzenlemesi ve Seviye-2 DTS’nin birlikte okunması gerektiğine dikkat etmek önemlidir çünkü DTS, Seviye-1 gerekliliklerini tekrarlamamakta, aksine bunlara eklemeler yapmaktadır.
Operasyonel dayanıklılık testi ve tehdit odaklı sızma testi
DODY, operasyonel dayanıklılık testlerine ilişkin net beklentiler belirliyor. Firmaların BİT risk yönetimi çerçevelerinin bir parçası olarak sağlam ve kapsamlı bir dijital operasyonel dayanıklılık testi programı oluşturmaları bekleniyor.
BİT olay raporlaması
DODY, Bölüm III’te BİT ile ilgili olay yönetimini kapsamakta olup, önemli BİT ile ilgili olayların raporlanmasını ve önemli siber tehditlerin gönüllü olarak raporlanmasını uyumlu hale getirmeyi amaçlamaktadır.
Düzenleme, özünde, firmaların BİT olaylarını tespit etmek, yönetmek ve kök nedenlerini belirlemek de dahil olmak üzere bildirmek için bir BİT olay yönetimi süreci uygulamasını beklemektedir. DODY’nin BİT olay yönetimi gereksinimlerinin etkisi farklılık gösterecektir. Düzenlemeye tabi birçok mali kuruluşun halihazırda çok sayıda olay raporlama zorunluluğu vardır; bu durumda DODY, tek bir yükümlülük altında bir olayı raporlamak zorunda kalarak yükü azaltacaktır. Halihazırda sınırlı olay raporlaması olan firmalar için DODY’nin etkisi olacak ancak aynı zamanda BİT olay raporlama olgunluğunu da artıracaktır. Bu olayların yetkili makamlar tarafından ilgili sektör ADO’larına raporlanması, BİT olaylarının doğası hakkında AB çapında daha iyi bir anlayış elde etmek için AB çapında daha fazla olay analizi yapılmasına olanak sağlayacaktır.
BİT dış kaynak risk yönetimi
Her ikisi de, kritik veya önemli işlevleri desteklemek için üçüncü taraf sağlayıcıları kullanan firmalar için DODY’nin önerdiği gereksinimlerin çoğunu karşılar. Avrupa Parlamentosu ayrıca üçüncü ülke üçüncü taraf sağlayıcılarının bir AB Üye Devletinin kanunlarına tabi olmasını sağlamak gibi ek gereklilikler eklemek istiyor. Bunlar firmalar için yeni gereksinimlerdir ve hem haritalama hem de sözleşme hükümlerinin müzakere edilmesi açısından önemli çalışmalar gerektirecektir.
Üçüncü Taraf Gözetim Rejimi
DODY Bölüm V kapsamında kurulan ÜTHS’lere yönelik yeni gözetim rejimine dönüyoruz. Bu elbette yeni Dijital Operasyonel Dayanıklılık çerçevesinin son derece önemli bir yönüdür ve bu tür ÜTHS’lerin finansal sistemin işleyişinde oynamaya başladığı büyük rolü yansıtmaktadır.
Yeni gözetim rejimi kapsamına girecek ÜTHS’leri belirlemeye yönelik bu çalışma, daha önce tartıştığım firmaların dış kaynak kullanımı bilgilerine ilişkin kayıtlarından yararlanacaktır. ÜTHS belirlendiğinde, ADO’lar Ortak İnceleme Ekipleri aracılığıyla gözetim rolünü üstlenecek.
Dört DTS ve bir uygulama teknik standardından oluşan ilk parti, 11 Eylül’de sona erecek şekilde üç aydır değerlendirme aşamasındadır. Bu arada, yeni Ortak İnceleme Ekipleri’nin tasarlanması ve kurulması da dahil olmak üzere, yeni Üçüncü Taraf Gözetim Rejimi’ne yönelik çalışma düzenlemelerinin hayata geçirilmesi bağlamında, ADO’lar ve Ulusal Yetkili Otoriteler arasında tartışmalar sürüyor.
Tüm yasal gereksinimler göz önünde bulundurulduğunda, şüphesiz ki 2024 yılı finansal sektörde DODY uyum çalışmaları ile siber dayanıklılığın güçlendirildiği bir dönem olacak.
HBR-Onur KOURUCU