DORA vs. NIS2: Şirketiniz Hangisine Uymak Zorunda? Detaylı Karşılaştırma Rehberi
Avrupa Birliği, dijital altyapıların güvenliğini artırmak ve siber tehditlere karşı topyekün bir direnç oluşturmak amacıyla iki devasa siber güvenlik düzenlemesini hayata geçirmiştir: DORA (Digital Operational Resilience Act - Dijital Operasyonel Dayanıklılık Yasası) ve NIS2 (Network and Information Security Directive - Ağ ve Bilgi Güvenliği Direktifi).
Her iki düzenleme de şirketlerin siber güvenlik ve iş sürekliliği standartlarını kökten değiştirmeyi hedeflerken, kapsam, yaptırım ve uygulanacak sektörler açısından önemli farklılıklar içermektedir. Bu rehberde, resmi AB direktifleri ve yönetmeliklerine dayanarak DORA ile NIS2 arasındaki farkları, çakışma noktalarını ve şirketinizin hangi yasal düzenlemeye tabi olduğunu nasıl belirleyeceğinizi analiz edeceğiz.
1. Resmi Takvim ve Yasal Yürürlük Tarihleri
Her iki düzenleme de benzer zaman dilimlerinde yürürlüğe girmiş olsa da, yasal statüleri ve uygulama takvimleri farklıdır:
- NIS2 Direktifi (Directive (EU) 2022/2555): 16 Ocak 2023 tarihinde yürürlüğe girmiştir. Üye ülkelerin bu direktifi kendi ulusal yasalarına aktarması (transposition) için son tarih 17 Ekim 2024 olarak belirlenmiştir.
- DORA Tüzüğü (Regulation (EU) 2022/2554): Bir "tüzük" (regulation) olması sebebiyle doğrudan uygulanabilir yasal bir metindir ve üye ülkelerin ulusal yasaya aktarmasını gerektirmez. DORA, 17 Ocak 2025 tarihi itibarıyla tüm AB genelinde uygulanmaya başlanmıştır.
2. Kapsam Analizi: Kim Hangi Düzenlemeye Tabi?
Düzenlemelerin kapsamı, aralarındaki en belirgin farkı oluşturmaktadır:
A. NIS2 Kapsamı: Geniş ve Sektörel
NIS2, AB ekonomisi ve toplumu için kritik öneme sahip 18 sektörü hedefler. İşletmeler büyüklüklerine ve önem derecelerine göre "Kritik Sektörler" (Essential) ve "Önemli Sektörler" (Important) olarak ikiye ayrılır.
- Kritik Sektörler: Enerji, Ulaşım, Sağlık, Su, Bankacılık, Finansal Piyasa Altyapıları, Dijital Altyapı (Bulut sağlayıcılar, veri merkezleri), Kamu Yönetimi ve Uzay.
- Önemli Sektörler: Posta ve Kurye Hizmetleri, Atık Yönetimi, Kimyasalların Üretimi ve Dağıtımı, Gıda Üretimi ve Dağıtımı, İmalat Sanayi, Dijital Sağlayıcılar (Sosyal ağlar, e-ticaret siteleri) ve Araştırma Kuruluşları.
- Ölçek Kuralı: Genel kural olarak, orta ve büyük ölçekli tüm şirketler (50 veya daha fazla çalışanı olan ve/veya yıllık cirosu 10 milyon Euro'yu aşan işletmeler) NIS2 kapsamındadır.
B. DORA Kapsamı: Dikey ve Finans Odaklı
DORA, finans sektörünün dijital dayanıklılığını güvence altına almayı hedefler ve doğrudan finansal ekosistemi hedef alır.
- Finansal Kuruluşlar: Bankalar, kredi kuruluşları, ödeme kuruluşları, elektronik para kuruluşları, yatırım firmaları, kripto varlık hizmet sağlayıcıları (CASP'lar), sigorta şirketleri ve derecelendirme kuruluşları.
- Üçüncü Taraf ICT Sağlayıcıları (Kritik Hizmet Sağlayıcılar): Finansal kuruluşlara bulut bilişim, veri analitiği, yazılım ve veri merkezi hizmeti sunan teknoloji şirketleri de (finans dışı olsalar bile) doğrudan DORA kapsamına alınmıştır.
3. Lex Specialis İlkesi: DORA ve NIS2 Arasındaki İlişki
Hem NIS2 hem de DORA finansal kurumları ilgilendirdiği için aralarında bir çakışma söz konusudur. Bu çakışma, NIS2 Direktifi'nin 4. Maddesinde açıkça belirtilen Lex Specialis (Özel Kanun) ilkesiyle çözülmüştür.
Lex Specialis Kuralı: Eğer belirli bir sektör için NIS2'nin gereksinimlerine eşdeğer veya ondan daha katı kurallar içeren sektörel bir AB tüzüğü varsa, o tüzük (yani DORA) NIS2'nin önüne geçer.
Buna göre:
- Bir finansal kuruluş veya bu kuruluşa hizmet veren bir ICT sağlayıcısıysanız, siber güvenlik uyumluluğunda NIS2 kuralları değil, doğrudan DORA kuralları geçerlidir.
- Ancak finans dışı bir kritik sektördeyseniz (örn. enerji, sağlık veya lojistik), NIS2 kurallarına uymak zorundasınız.
4. Temel Gereksinimlerin Karşılaştırması
DORA ve NIS2 benzer siber güvenlik pratiklerini talep etse de, DORA'nın finansal işlemlere yönelik çok daha spesifik ve katı operasyonel dayanıklılık kuralları vardır.
| Gereksinim Alanı | NIS2 (Ağ ve Bilgi Güvenliği) | DORA (Dijital Operasyonel Dayanıklılık) | | :--- | :--- | :--- | | Odak Noktası | Genel siber güvenlik, ağ güvenliği ve bilgi sistemlerinin korunması. | Finansal sistemin siber saldırılar ve BT kesintileri karşısında ayakta kalabilmesi (dayanıklılık). | | Yönetim Sorumluluğu | Yönetim kurulu siber güvenlik önlemlerini onaylamalıdır. İhlallerde kişisel idari sorumluluk vardır. | Yönetim kurulu tüm BT risklerinden doğrudan ve kişisel olarak sorumludur; BT risk yönetimi eğitimleri almaları zorunludur. | | Olay Raporlama | Önemli siber olaylar 24 saat içinde erken uyarı, 72 saat içinde ise detaylı raporla ulusal CSIRT'e bildirilmelidir. | Kritik BT olayları ulusal denetleyici makama (örn. BDDK/SPK muadili AB kurumları) anlık olarak ve çok sıkı şablonlarla raporlanır. | | Sızma Testleri | Düzenli güvenlik testleri istenir ancak zorunlu sızma testi (penetration test) metodolojisi katı kurallara bağlı değildir. | Gelişmiş Tehdit İstihbaratı Odaklı Sızma Testleri (TLPT - Threat Led Penetration Testing) en az 3 yılda bir zorunludur. | | Tedarik Zinciri Riski | Tedarikçilerin siber güvenlik duruşunun izlenmesi istenir. | Kritik ICT tedarikçileriyle yapılan sözleşmelerde yasal olarak bulunması gereken maddeler (SLA, çıkış stratejileri) DORA Madde 30 ile dikte edilmiştir. |
5. Şirketler İçin Uyum Yol Haritası
Şirketlerin yasal uyum süreçlerinde hata yapmaması için şu 3 adımı izlemesi önerilir:
- Sektör ve Ölçek Analizi Yapın: Şirketinizin çalışan sayısını, yıllık cirosunu ve faaliyet gösterdiği sektörü belirleyin. Finans sektöründeyseniz veya bu sektöre bulut/yazılım hizmeti sağlıyorsanız DORA yol haritası hazırlayın; diğer kritik sektörlerdeyseniz ulusal NIS2 düzenlemelerini takip edin.
- Boşluk Analizi (Gap Analysis) Gerçekleştirin: Mevcut bilgi güvenliği süreçlerinizi ISO 27001 veya NIST standartlarıyla karşılaştırın. DORA ve NIS2'nin talep ettiği olay raporlama şablonlarına ne kadar hazır olduğunuzu test edin.
- Yönetim Kurulunu Eğitin: Her iki yasada da siber güvenlikten kaynaklanan ihlallerde yönetim kurullarına kişisel para cezaları ve faaliyetten men edilmeye kadar giden ağır yaptırımlar getirilmiştir. Bu nedenle yönetimi süreçlere erken dahil edin.
6. Sıkça Sorulan Sorular (FAQ)
Soru 1: Şirketimiz hem finansal hizmetler sunuyor hem de kritik altyapı işletiyorsa hangi düzenlemeye uymalıyız?
Cevap: NIS2 Direktifi Madde 4'te belirtilen Lex Specialis ilkesi gereğince, sektöre özel daha katı veya eşdeğer bir tüzük (DORA) mevcutsa, o tüzük önceliklidir. Bu nedenle finansal kuruluşlar ve onların kritik teknoloji ortakları doğrudan DORA tüzüğüne tabidir.
Soru 2: NIS2 direktifinin resmi son uyum tarihi nedir?
Cevap: NIS2, 16 Ocak 2023'te yürürlüğe girmiş olup, AB üye ülkelerinin bu direktifi ulusal hukuklarına entegre etmesi (aktarımı) için son tarih 17 Ekim 2024 olarak belirlenmiştir. Bu tarihten itibaren ulusal denetimler başlamıştır.
Soru 3: DORA kapsamındaki sızma testleri (TLPT) her finans kuruluşuna zorunlu mudur?
Cevap: Hayır. DORA Madde 26 kapsamında Tehdit İstihbaratı Odaklı Sızma Testleri (TLPT) sadece denetleyici otoriteler tarafından "sistemik veya kritik önemde" olduğu belirlenen büyük ölçekli ve finansal istikrarı etkileyebilecek kuruluşlar için zorunludur.
Sonuç
NIS2 ve DORA, Avrupa Birliği pazarında iş yapmak isteyen tüm şirketler için siber güvenliği bir "BT departmanı sorunu" olmaktan çıkarıp doğrudan bir "yönetim kurulu ve yasal uyum sorumluluğu" haline getirmiştir. Lex Specialis ilkesi uyarınca finansal ekosistemin DORA'ya, diğer tüm kritik altyapıların ise NIS2'ye göre hizalanması, operasyonel iş sürekliliğinin korunması açısından bu geçiş sürecindeki en önemli adımdır.
tuncstudio
EU Compliance Team
Providing clear and actionable EU compliance guides for small and medium enterprises.