11 Mayıs 2022'de Avrupa Birliği (AB), yeni Dijital Operasyonel Dayanıklılık Yasası (DORA) konusunda geçici anlaşmaya vardı. İfadelere rağmen DORA'nın “geçici” hiçbir yanı yok. Aslına bakılırsa, finansal hizmetler ve bunların tedarik zincirlerine yönelik dünyanın en geniş kapsamlı siber güvenlik düzenlemelerinden biri çoğunlukla tamamlanmış bir anlaşmadır.
Bu Ekim ayında gerçekleşmesi beklenen resmi kabul öncesinde geriye kalanlar, öncelikle bir takım teknik değişiklikleri ve AB üye devletlerinin 24 resmi diline tercümeyi içeriyor.
DORA, AB'nin finansal kurumlara yönelik giderek artan sayıdaki siber saldırılara verdiği tepkiyi temsil ediyor. Esneklik gerekliliklerini uygulayarak ve tedarik zincirini düzenleyerek bankalar, sigorta şirketleri, yatırım firmaları ve daha fazlası gibi AB finans firmalarının güvenliğini güçlendirmek için tasarlandı. Ama bir yazımda belirttiğim gibi önceki sonrasıDORA'nın ilkeleri AB'nin ve finans sektörünün çok ötesine uzanıyor.
DORA'nın ağ ve bilgi sistemlerinin güvenliğine yönelik tek tip gereklilikleri, yalnızca finans sektöründeki işletmeleri değil aynı zamanda finans sektörüne bulut platformları ve veri analitiği gibi bilgi ve iletişim teknolojisiyle ilgili hizmetler sağlayan kritik üçüncü taraf sağlayıcıları da kapsar.
Aslında DORA'nın erişim alanı, temel olarak, Avrupa finans sektörünü destekleyen tedarik zinciri için kritik olduğu düşünülen bilgi ve iletişim teknolojisi (BİT) hizmetleri sunan tüm işletmeleri kapsar - söz konusu kuruluş veya hizmetin AB içinde yerleşik olup olmadığına bakılmaksızın. Aslında DORA'ya göre tedarik zincirinin karmaşıklığı veya AB varlığının olmayışı risk faktörleri olarak kabul ediliyor.
Yeni Düzenleyici Perspektiflerin Zorunlu Hale Getirilmesi
DORA, çok çeşitli küresel işletmelere yeni ve farklı düzeyde düzenleyici inceleme getirmesi açısından benzersizdir. DORA'nın gereksinimleri Manda - sadece tavsiyede bulunmakla kalmaz - hükümlerine uyulmasını da sağlar. Aynı derecede önemli olan, bu yeni düzeydeki düzenleyici incelemenin etkisinin, işletmenin bakış açısına bağlı olarak farklılık göstermesidir.
Öncelikle finansal risk ve istikrarı değerlendirmek için tasarlanmış düzenleyici bir ortama alışkın olan finans kuruluşları, artık BİT operasyonlarının yarattığı potansiyel riski de aynı ciddiyetle ele almak zorunda kalacak. Finansal kurumlar riskleri sermaye gereksinimleri şeklinde karşılamaya alışkındır. DORA, belirli davranış ve performansa dayalı gereksinimleri zorunlu kılarak farklı bir yaklaşım benimsiyor. Finansal kurumların bakış açısına göre, bu risk artışının, teknolojiyi nasıl tükettikleri ve bulut bilişim gibi yeni teknolojilere geçerek işlerini nasıl dönüştürdükleri gibi işlerinin birçok yönü üzerinde sonuçları vardır. Bu, genel risk yönetimi stratejilerini ve yeteneklerini, tedarik zinciri güvenliğini ve uygun BİT risk değerlendirmesi ve uyumluluğunu sağlamaya yönelik kurumsal personel ve politikaları içerir.
DORA aynı zamanda BİT kuruluşlarının düzenleyici bakış açısını da değiştiriyor. Şu ana kadar kişisel verilerle ilgili endişeler ve dijital egemenlik gibi siyasi hedeflere dayalı olarak, öncelikle veri gizliliği ve veri ihlali bildirimi gibi veriyle ilgili konularda düzenlemeler yapıldı. Avrupa'daki Genel Veri Koruma Yönetmeliği (GDPR) ve Amerika Birleşik Devletleri'ndeki daha yeni Kaliforniya Tüketici Gizliliği Yasası (CCPA) gibi çığır açan kurallar akla geliyor.
BİT kuruluşlarının güvenlikle ilgili başka düzenleme yükümlülükleri de olabilir veya bulundukları yere bağlı olarak kritik altyapı olarak sınıflandırılmış olabilir; Ağ ve Bilgi Güvenliği Direktifi (NIS) Avrupa'da, Siber Güvenlik Yasası 2018 Singapur'da veya sektöre özgü mevzuat Amerika Birleşik Devletleri'ndeki telekomünikasyon gibi uzmanlaşmış endüstriler için.
Artık, eğer BİT şirketleri AB'deki finans kurumlarına hizmet veriyorsa, onlar da büyük ihtimalle DORA'ya tabi olacak. Bu nedenle, önceki düzenleyici çerçevelerine ek olarak, kritik bir hizmet sunduğu belirlenen BİT sağlayıcıları birdenbire DORA kapsamında düzenlenecek ve sanki bir hale geliyormuş gibi hissedilecek. uzantıları Hizmet verdikleri AB finans kurumlarının. Nasıl bakılırsa bakılsın, bu hem finansal kurumlar hem de BİT sağlayıcıları için dramatik bir değişim.
Ama hepsi bu değil. DORA, AB'nin düzenleyici yapısının bakış açısını değiştiriyor. Finansal kurumların uyumluluğu konusunda uzman olan düzenleyicilerin artık kapsamlarını bulut sağlayıcıları, veri analitiği hizmetleri ve diğer finansal olmayan işletmeler gibi kritik hizmetler sunan BİT sağlayıcılarını da kapsayacak şekilde genişletmeleri gerekiyor. Karmaşık düzenleyici yapılara sahip ülkelerde, bu ilave finansal olmayan sektör türlerini düzenlemekle görevli diğer organlarla işbirliği yapılmasına da ihtiyaç duyulacaktır.
Zorlukları Karşılamak
DORA, AB finans kurumlarının kendi siber güvenlik ve risk yönetimi olgunluklarını değerlendirmelerini şart koşuyor. Tedarik zinciri risk performanslarını anlamak ve yönetmek bu çabanın merkezinde yer alacaktır.
Genel olarak finansal kurumlar, güvenlik ve finansal istikrarın belirlenmesine yönelik stres testlerinde ustadır. Bu tür testleri diğer kuruluşlara yaymak farklı bir zorluktur. Bu nedenle, AB'nin finans sektörü için, giderek daha karmaşık ve genişletilmiş bir tedarik zincirinde satıcıların, risk yönetiminin ve operasyonel yeteneklerin nasıl yönetileceği en büyük bulmacayı oluşturmaktadır.
Örneğin, bir finans kuruluşunun genel merkezi Avrupa'da olabilir ancak tüm destek faaliyetleri Hindistan merkezli işletmelere yaptırılabilir. Bu destek hizmetleri teknik olarak finansal kuruluşlar olmayabilir. Ancak DORA, finans kuruluşundan satıcının operasyonları açısından kritik olup olmadığını değerlendirmesini ve ilgili DORA gerekliliklerini bu ilişkiye uygulamasını isteyecektir.
AB merkezli olmayan işletmeler için temel soru yetki alanı ve pazara erişimdir. AB dışında faaliyet gösteren finansal kurumlar veya BİT sağlayıcıları etkilenmez. Ancak kuruluş herhangi bir şekilde AB finans sektörüne hizmet veren bir finans kurumu veya BİT hizmet sağlayıcısıysa, büyük olasılıkla doğrudan veya dolaylı olarak DORA'ya tabi olacaktır.
2024 için geri sayım
Nihai metinde bir değişiklik olmadığı sürece DORA, resmi olarak kabul edilmesinden 24 ay sonra yürürlüğe girecek. Gerçekçi olmak gerekirse, bu muhtemelen 2024'ün sonuna yakın bir tarih olacak. İyi haber şu ki bu, kuruluşlara uyumluluk için hazırlanmaları için bolca zaman sağlıyor. En önemlisi, tipik bir kurumsal bütçe döngüsüne dahil edilmesi çok uzun değildir.
Ancak bu son tarih size gizlice yaklaşmadan önce hazırlanmaya başlayın şimdi. İşte beş temel adım:
- 2024 yılına kadar olan zamanı akıllıca kullanın.
- Nerede olduğunuzu anlayın. Uyumluluk açıklarınızı arayın, bulun ve tanımlayın.
- Eksiklerinizi gidermek için neye ihtiyacınız olduğunu belirleyin.
- Üst düzey yönetimi eğitin ve destek alın.
- 24 aylık bütçe.
Zaman geçiyor.
