Fintech Girişimleri İçin DORA Uyum Rehberi ve 10 Adımlı Kontrol Listesi
Finansal teknoloji (Fintech) sektörü, yapısı gereği hız, esneklik ve bulut tabanlı üçüncü taraf entegrasyonlarına (API'ler, bankacılık servis sağlayıcıları vb.) aşırı bağımlılık üzerine kuruludur. Ancak Avrupa Birliği'nin Dijital Operasyonel Dayanıklılık Yasası (DORA - Regulation (EU) 2022/2554), 17 Ocak 2025 tarihi itibarıyla yürürlüğe girerek bu hızlı büyüme modeline çok ciddi siber güvenlik ve operasyonel dayanıklılık kuralları getirmiştir.
Ödeme kuruluşları, elektronik para kuruluşları (EMI), kripto varlık hizmet sağlayıcıları (CASP) ve yeni nesil dijital bankalar (neobanklar) artık sadece finansal regülasyonlara değil, aynı zamanda siber güvenlik altyapılarına yönelik bu ağır standartlara da uyum sağlamak zorundadır. Bu rehberde, fintech girişimlerinin DORA'ya uyum sürecinde atması gereken adımları resmi tüzük maddelerine dayanarak 10 maddelik bir kontrol listesiyle sunuyoruz.
DORA Uyumunun Fintech'ler İçin Önemi
DORA, geleneksel bankalarla aynı kuralları büyük ölçüde fintech girişimlerine de uygulamaktadır. Fintech'lerin en büyük zaafiyeti, operasyonlarını yürütürken üçüncü taraf teknoloji (ICT) sağlayıcılarına bağımlı olmalarıdır. DORA, bu bağımlılığın yarattığı riskleri yönetmeyi ve tek bir bulut sağlayıcısının (AWS, GCP vb.) çökmesi durumunda tüm finansal sistemin felç olmasını engellemeyi amaçlar.
10 Adımda Fintech DORA Uyum Kontrol Listesi
Adım 1: Yönetim Kurulu Sorumluluğunun Belirlenmesi (Madde 5)
Fintech yönetim kurulları, BT (Bilgi Teknolojileri) risk yönetiminden doğrudan sorumludur. Yönetim kurulu üyelerinin siber güvenlik risklerini anlayabilmesi ve onay süreçlerini yönetebilmesi için resmi BT risk yönetimi eğitimleri alması yasal bir zorunluluktur.
- Aksiyon: Yönetim kuruluna yönelik sertifikalı siber güvenlik eğitimleri düzenleyin ve BT bütçe yetkilendirme süreçlerini uyumlu hale getirin.
Adım 2: BİT Risk Yönetimi Çerçevesinin Oluşturulması (Madde 6)
Fintech'lerin büyüklüğüne ve risk profiline orantılı, yazılı bir BİT (Bilgi ve İletişim Teknolojileri) Risk Yönetimi Çerçevesi kurulmalıdır. Bu çerçeve; siber güvenlik politikalarını, veri koruma prosedürlerini ve iş sürekliliği planlarını içermelidir.
- Aksiyon: ISO 27001 veya NIST standartlarına uygun bir BT risk yönetimi politikası hazırlayın.
Adım 3: BİT Varlıklarının Envanteri ve Sınıflandırılması (Madde 8)
Sistemde kullanılan tüm yazılımlar, API'ler, sunucular ve veri akışları envanter haline getirilmelidir. Kritik finansal işlemleri (ödeme geçidi, kullanıcı kimlik doğrulaması vb.) destekleyen sistemler "Kritik Varlık" olarak işaretlenmelidir.
- Aksiyon: Yılda en az bir kez güncellenen detaylı bir BT varlık envanteri oluşturun.
Adım 4: Anomali İzleme ve Tespit Sistemlerinin Kurulması (Madde 9)
Sistemlerde meydana gelen sıra dışı hareketlerin, olası siber saldırıların ve kesintilerin anında tespit edilebilmesi için sürekli izleme altyapısı bulunmalıdır.
- Aksiyon: SIEM (Security Information and Event Management) ve SOC (Security Operations Center) entegrasyonlarını tamamlayarak log izleme süreçlerini otomatikleştirin.
Adım 5: BT Olayı Raporlama Sürecinin Entegrasyonu (Madde 17-20)
DORA, kritik BT olaylarının ulusal denetleyici kurumlara ve müşterilere anlık olarak bildirilmesini zorunlu kılar.
- Aksiyon: Siber olayların tespiti, sınıflandırılması ve resmi kurumlara raporlanması için 3 aşamalı (Erken uyarı, ara rapor, nihai rapor) bir acil durum raporlama akışı tasarlayın.
Adım 6: Temel Operasyonel Dayanıklılık Testleri (Madde 24)
Tüm fintech'ler, sistemlerinin kararlılığını ölçmek için yılda en az bir kez güvenlik testleri gerçekleştirmelidir.
- Aksiyon: Yılda bir kez bağımsız dış denetim firmalarına zafiyet taraması (vulnerability assessment) ve ağ sızma testleri (penetration testing) yaptırın.
Adım 7: Tehdit İstihbaratı Odaklı Sızma Testleri - TLPT (Madde 26)
Büyük ölçekli ödeme kuruluşları ve sistemik etkiye sahip fintech'ler, en az 3 yılda bir TLPT (Threat-Led Penetration Testing / Kırmızı Takım Testi) yaptırmak zorundadır. Bu testler gerçek siber saldırı senaryolarını taklit eder.
- Aksiyon: Şirketinizin TLPT zorunluluğu kapsamına girip girmediğini belirlemek için hacim ve işlem sayısı analizlerinizi yapın.
Adım 8: Üçüncü Taraf (Tedarikçi) Risk Yönetimi (Madde 28)
Fintech'in API sağladığı bankalar, bulut servisleri ve KYC (Know Your Customer) doğrulama araçları gibi tüm dış tedarikçilerin siber güvenlik duruşları denetlenmelidir.
- Aksiyon: Tüm aktif teknoloji sağlayıcılarının DORA uyumluluğunu gösteren siber güvenlik sertifikalarını (SOC2, ISO 27001) talep edin ve risk puanlaması yapın.
Adım 9: Tedarikçi Sözleşmelerinde Yasal Uyum (Madde 30)
Kritik hizmet alınan tedarikçilerle yapılan sözleşmelerde DORA'nın zorunlu kıldığı maddelerin (SLA taahhütleri, veri saklama yerleri, felaket kurtarma senaryoları ve çıkış stratejileri) yer alması gerekir.
- Aksiyon: Mevcut AWS, Azure veya özel veri merkezi sözleşmelerinizi revize ederek DORA Madde 30'a uygun ek protokoller (Addendum) ekleyin.
Adım 10: Bilgi Paylaşımı Anlaşmaları (Madde 45)
Fintech'lerin siber tehdit istihbaratlarını kendi aralarında ve finansal toplulukla paylaşması teşvik edilmektedir.
- Aksiyon: Finansal siber istihbarat paylaşım platformlarına (örn. FS-ISAC) üye olun ve sektörel siber tehdit bilgi alışverişi süreçlerine katılın.
Sıkça Sorulan Sorular (FAQ)
Soru 1: Küçük ölçekli veya yeni kurulmuş fintech girişimleri DORA kapsamı dışında mıdır?
Cevap: Hayır. DORA tüzüğü kapsamındaki finansal kuruluşlar arasında herhangi bir ölçek istisnası bulunmamaktadır. Ancak tüzük, mikro işletmeler (10 kişiden az çalışan ve 2 milyon €'dan az ciro) için basitleştirilmiş bir BT Risk Yönetim Çerçevesi (Madde 16) sunarak orantılılık ilkesini gözetmektedir.
Soru 2: Kritik teknoloji (ICT) tedarikçilerimiz DORA uyumlu değilse ne olur?
Cevap: DORA Madde 28 uyarınca finansal kuruluşlar, siber güvenlik standartlarına uymayan veya denetim yetkisini kabul etmeyen tedarikçilerle çalışamazlar. Gerekirse bu sözleşmelerin yasal olarak sonlandırılması (çıkış stratejisi tetiklenerek) zorunludur.
Soru 3: DORA kapsamında siber olay raporlama süresi nedir?
Cevap: DORA Madde 19 uyarınca, kritik bir BT olayı meydana geldiğinde finansal kuruluşlar en geç ilgili iş gününün sonuna kadar (veya olayın tespitinden sonraki 4 saat içinde) ilk bildirimi yapmalıdır. 24 saat içinde ara rapor ve bir hafta içinde nihai rapor gönderilmelidir.
Sonuç ve Fintech Yöneticilerine Tavsiyeler
Fintech girişimleri için DORA uyumu, sadece bir denetim kontrol listesinden ibaret değildir; doğrudan AB pazarında var olabilme şartıdır. Özellikle üçüncü taraf risklerini yönetmek (Madde 28 ve 30) ve olay raporlama süreçlerini otomatikleştirmek, bulut ekosistemini kullanan girişimler için en karmaşık aşamalardır. Bu nedenle fintech'lerin uyum süreçlerini son ana bırakmadan, teknik ve hukuki danışmanlarla koordineli bir şekilde yürütmesi kritik önem taşımaktadır.
tuncstudio
EU Compliance Team
Providing clear and actionable EU compliance guides for small and medium enterprises.