Avrupa Birliği’nin Digital Operational Resilience Act (DORA) düzenlemesi, 16 Ocak 2023’te yayımlandı ve iki yıllık hazırlık süresinin ardından 17 Ocak 2025 itibarıyla tüm AB üye devletlerinde doğrudan uygulanmaya başladı. Bankalar, sigorta şirketleri, yatırım kuruluşları ve kritik BT hizmet sağlayıcıları; sigortalama süreçlerinden varlık yönetimine kadar geniş bir yelpazede dijital operasyonel dayanıklılık gereksinimlerini karşılamak zorunda.
Bu gereksinimlerin kâğıt üzerinde kalmayıp kurumun damarlarına işlemesi için tek yol: DORA eğitimi. Bu yazıda DORA eğitiminin yasal dayanağını, kimler için zorunlu olduğunu, içeriğinin neleri kapsaması gerektiğini ve nasıl bir eğitim programı tasarlanması gerektiğini ele alıyoruz.
İçindekiler
- DORA Eğitiminin Yasal Dayanağı: Hangi Madde Ne Diyor?
- DORA Eğitimi Kimler İçin Zorunlu?
- Etkili Bir DORA Eğitim Programı Neyi Kapsamalı?
- DORA Eğitiminde Sık Yapılan Hatalar
- DORA Eğitimini ISO 27001 Bilinciyle Entegre Etmek
- Kurumsal DORA Eğitimi için Secure Fors
1. DORA Eğitiminin Yasal Dayanağı: Hangi Madde Ne Diyor?
DORA eğitimini “iyi niyet uygulaması” olmaktan çıkarıp yasal zorunluluk haline getiren maddeler aşağıda özetlenmektedir:
Madde 5 – Yönetim Kurulu
Üst yönetimin ICT risklerini anlaması ve bu alanda düzenli eğitim alması açıkça öngörülüyor. Yönetim kurulu üyeleri muaf değil.
Madde 13 – Öğrenme & Gelişim
ICT güvenlik eğitimlerinin tüm ilgili personele zorunlu tutulmasını, farkındalık programlarının ise düzenli aralıklarla yenilenmesini şart koşuyor.
Madde 17 – Olay Yönetimi
Çalışanların ICT olaylarını tanımlayıp sınıflandırabilmesi için yetkinlik kazanması gerekiyor. Bu, sahaya yönelik pratik eğitimi zorunlu kılıyor.
Madde 26 – TLPT Tatbikatları
Tehdit odaklı sızma testlerinden önce ilgili ekiplerin TLPT kapsamı, rolleri ve süreci hakkında bilinçlendirilmesi tatbikat etkinliğini doğrudan etkiliyor.
Önemli Not: DORA, 2023/2554 sayılı AB Tüzüğü olarak doğrudan uygulanır. Üye devletlerin iç hukukuna aktarım gerektirmez. Bu, yaptırım yetkisinin ulusal otoritelerden (örn. Almanya’da BaFin, Fransa’da ACPR) doğrudan kullanılabileceği anlamına gelir.
2. DORA Eğitimi Kimler İçin Zorunlu?
DORA kapsamındaki 21 finansal kuruluş türü şunları içeriyor: bankalar, yatırım firmaları, ödeme kuruluşları, e-para kuruluşları, sigorta ve reasürans şirketleri, emeklilik fonları, kredi derecelendirme kuruluşları ve kritik üçüncü taraf BT hizmet sağlayıcıları (CTPP). Bu kuruluşlarda kim eğitim almalı?
| Hedef Kitle | Eğitim Düzeyi | Dayandığı DORA Maddesi |
|---|---|---|
| Yönetim Kurulu & C-Suite | Stratejik farkındalık, risk iştahı, yönetim sorumluluğu | Md. 5 |
| IT / Güvenlik Ekipleri | Teknik dayanıklılık, olay yanıt prosedürleri, test süreçleri | Md. 13, 17, 26 |
| Uyum & Risk Departmanı | Düzenleyici yükümlülükler, raporlama çerçevesi, denetim hazırlığı | Md. 5, 19, 28 |
| Tedarikçi Yönetimi (TPRM) | CTPP değerlendirme kriterleri, sözleşme gereksinimleri, çıkış stratejileri | Md. 28–30 |
| Tüm Personel | Temel farkındalık: siber hijyen, sosyal mühendislik, olay bildirimi | Md. 13 |
3. Etkili Bir DORA Eğitim Programı Neyi Kapsamalı?
DORA uyum eğitimini “tek seferlik bir sunum”dan ayıran unsur, yapılandırılmış bir müfredat ve ölçülebilir yetkinlik hedefleri içermesidir. Kapsamlı bir program beş ana modülden oluşur:
DORA’ya Genel Bakış ve Kapsam
Tüzüğün amacı, uygulanma kapsamı, takvimi ve ulusal denetim otoriteleriyle ilişkisi. Finansal kurumların DORA ile ISO 27001/NIST arasındaki farkı anlaması bu modülle başlar.
ICT Risk Yönetim Çerçevesi
Madde 6–16 kapsamında ICT risk iştahı, koruma, tespit, müdahale ve kurtarma süreçleri. Politika ve prosedürlerin kuruma nasıl entegre edileceğinin uygulamalı işlenmesi.
ICT Olay Yönetimi ve Raporlama
Olay sınıflandırma kriterleri (Madde 18), düzenleyici otoriteye raporlama takvimi (ilk bildirim 4 saat, son rapor 1 ay), RTS/ITS standartları. Senaryo bazlı alıştırmalar.
Dijital Operasyonel Dayanıklılık Testi (DORA Madde 24–27)
Temel testler ile gelişmiş TLPT (Threat-Led Penetration Testing) arasındaki fark, test sonuçlarının nasıl belgeleneceği ve denetçilere sunulacağı. İç denetim ve bağımsız test tasarımı.
Üçüncü Taraf BT Risk Yönetimi (TPRM)
Kritik üçüncü taraf hizmet sağlayıcıların (CTPP) belirlenmesi, sözleşme zorunlulukları (Madde 28–30), sub-outsourcing zincirleri ve çıkış stratejileri. AB Denetim Çerçevesi ve ESA CTPP sicili.
4. DORA Eğitiminde Sık Yapılan Hatalar
Kurumların DORA eğitim süreçlerinde tekrarladığı başlıca hatalar şunlar:
✕ Tek seferlik eğitim
DORA, yıllık yenileme değil sürekli güncelleme öngörür. Düzenleyici RTS/ITS değişikliklerinin eğitime yansıtılması zorunludur.
✕ Yönetimi dışlamak
Madde 5, üst yönetimi açıkça muhatap alır. Eğitimi yalnızca IT ekiplerine vermek denetçi gözünde ciddi bir eksiklik olarak değerlendirilir.
✕ Jenerik içerik kullanmak
Genel siber güvenlik kurslarını “DORA eğitimi” olarak sunmak yeterli değil. İçeriğin tüzük maddelerine ve sektöre özgü senaryolara dayanması gerekir.
✕ Kanıt kaydı tutmamak
Denetçiler eğitim tamamlama kayıtlarını, test sonuçlarını ve katılım listelerini ister. Belgelenmemiş eğitim yapılmamış eğitimdir.
5. DORA Eğitimini ISO 27001 Bilinciyle Entegre Etmek
ISO 27001 sertifikasına sahip kurumlar için iyi haber şu: DORA ile ISO 27001 arasında önemli örtüşmeler bulunuyor. ISO 27001:2022 kontrol A.6.3 (Güvenlik farkındalığı, eğitim ve öğretim) ile Ek A.5.37 doğrudan DORA Madde 13 gereksinimlerini destekler.
ISO 27001 ↔ DORA Eğitim Eşleştirmesi
ISO 27001 A.6.3
Farkındalık & Eğitim Programı
DORA Madde 13
ICT Güvenlik Eğitim Zorunluluğu
ISO 27001 A.5.29
İş Sürekliliği Planlaması
DORA Madde 11–12
İş Sürekliliği & Kriz Yönetimi
Sonuç: DORA Uyumu Bir “IT Projesi” Değil, Kurumsal Dönüşümdür
DORA, yalnızca bir teknik uyum belgesi değil; finansal kurumların ICT riskini kurum kültürünün bir parçası haline getirmesini talep eden kapsamlı bir düzenleyici çerçevedir. Bu dönüşümün temeli bilinçli insandır. Teknoloji yatırımları ve politika güncellemeleri, eğitimle desteklenmediğinde kâğıt üzerinde kalmaya mahkûmdur.
DORA eğitim programınızı bugün planlamak, yalnızca bir uyum onay kutusunu işaretlemek değil — kurumunuzun operasyonel dayanıklılığına gerçek anlamda yatırım yapmaktır.
Etiketler
