DORA Türkiye’deki Firmaları Nasıl Etkiliyor? DORA Kapsam, Yükümlülükler ve Uyum Adımları

AB’nin Dijital Operasyonel Dayanıklılık Tüzüğü (DORA), 17 Ocak 2025 itibarıyla tam anlamıyla yürürlüğe girdi. Avrupa’da faaliyet gösteren finansal kuruluşlar için bağlayıcı olan bu düzenleme, Türkiye’deki pek çok banka, fintech, sigorta şirketi ve BT hizmet sağlayıcısı için de doğrudan yükümlülükler doğuruyor.

Ancak “DORA nedir?” sorusunun yanıtı artık yaygın biçimde bilinir hâle geldi. Asıl yanıtlanması gereken soru şu: Türkiye’deki hangi firmalar, tam olarak ne yapmalı? Bu yazı, DORA’nın Türkiye boyutunu, beş temel yükümlülüğünü ve kurumların uyum sürecinde izleyebileceği adımları ele alıyor.

Mevcut İçerik DORA’nın teknik tanımı, kapsamı ve diğer standartlarla (ISO 27001, NIS2) karşılaştırması için Dijital Operasyonel Dayanıklılık Yasası (DORA) Nedir? başlıklı yazımıza bakabilirsiniz. Bu yazı oraya hâkim olduğunuzu varsayarak devam ediyor.

1. DORA Türkiye’deki Firmaları Nasıl Etkiliyor?

DORA bir AB tüzüğüdür; Türkiye AB üyesi olmadığından Türkiye merkezli kuruluşlara doğrudan uygulanmıyor. Ancak bu, Türk firmalarının DORA’yı görmezden gelebileceği anlamına gelmiyor. Etki üç farklı kanaldan geliyor:

AB’de Faaliyet Gösteren Türk Finansal Kuruluşları

Bir Türk bankasının, sigorta şirketinin veya ödeme kuruluşunun Almanya, Hollanda, İngiltere veya herhangi bir AB üyesi ülkede şubesi, iştiraki ya da temsilciliği varsa, o coğrafyada DORA’ya tam uyum zorunludur. AB’deki düzenleyici otoriteler (EBA, EIOPA, ESMA) denetimlerini sürdürüyor ve 2025 bir “geçiş yılı” olarak görünse de yaptırım mekanizmaları aktif.

AB Finansal Kuruluşlarına Hizmet Veren Türk BT Sağlayıcıları

Türkiye’den bir AB bankasına yazılım, bulut altyapısı, veri merkezi, siber güvenlik veya BT destek hizmeti sağlayan firma, DORA kapsamında “BİT üçüncü taraf hizmet sağlayıcısı” olarak değerlendirilebilir. Bu durumda hizmet verilen AB kurumunun sözleşme gereklilikleri üzerinden DORA yükümlülükleri dolaylı olarak aktarılmaktadır.

BDDK Referans Etkisi

Türkiye’de faaliyet gösteren ve AB ile işlem yapmayan firmalar için DORA şu an yasal zorunluluk değil. Ancak BDDK’nın BT ve siber güvenlik düzenlemelerinin DORA ile örtüşen gerekliliklere giderek yaklaştığı izlenmektedir. DORA’yı erken uygulayan kurumlar, ilerleyen dönemde Türkiye iç mevzuatına uyum açısından da avantajlı konuma geliyor.

Kritik Nokta “Türkiye’den yönetiyoruz, AB’de şubemiz var” yaklaşımı DORA kapsamında yeterli değil. AB’deki şube veya iştirak, bulunduğu ülkenin düzenleyici otoritesine karşı sorumlu olup DORA denetimine tabidir. Merkezdeki uyumsuzluk, sahada doğrudan yaptırım riski yaratır.

2. Kapsama Giren Kurum ve Kuruluş Türleri

DORA, finansal hizmetler ekosisteminde oldukça geniş bir kapsam çiziyor. Aşağıdaki kurum ve kuruluş türleri doğrudan ya da dolaylı olarak bu kapsamda yer alıyor:

🏦
Bankalar ve Kredi Kuruluşları

AB’de lisans sahibi veya şube açmış tüm bankalar. Türk kamu ve özel bankaları AB şubeleri aracılığıyla kapsam altında.

💳
Ödeme ve E-Para Kuruluşları

AB pazarında hizmet veren ödeme hizmeti sağlayıcıları, elektronik para kuruluşları ve bunların altyapı ortakları.

📈
Yatırım Firmaları ve Fonlar

AB’de faaliyet gösteren yatırım şirketleri, alternatif yatırım fonu yöneticileri, merkezi karşı taraflar.

🔒
Sigorta ve Reasürans Şirketleri

AB’de faaliyet gösteren sigorta kuruluşları ve aracıları. Türk sigorta gruplarının Avrupa operasyonları dahil.

Kripto Varlık Hizmet Sağlayıcıları

MiCA kapsamında lisanslanan kripto varlık hizmeti sunan tüm firmalar. Türkiye merkezli olsa da AB’de hizmet veriyorsa kapsam dahili.

☁️
Kritik BİT Üçüncü Taraflar

ESA’ların “kritik” olarak atadığı bulut sağlayıcıları, veri merkezi operatörleri, yazılım şirketleri. Kasım 2025’te ilk CTPP listesi yayımlandı.

Aşağıdaki tablo, farklı Türk firma profillerinin DORA kapsamındaki durumunu özetliyor:

Firma Profili DORA Yükümlülüğü Açıklama
Türk bankası — AB şubesi var Doğrudan AB şubesi, bulunduğu ülke otoritesine karşı sorumlu
Türk fintech — yalnızca Türkiye’de faaliyet Yok (şimdilik) BDDK düzenlemeleri geçerli; DORA referans niteliğinde
Türk yazılım firması — AB bankasına hizmet veriyor Dolaylı Müşteri sözleşmesi üzerinden DORA gereklilikleri aktarılır
Türk holding — AB’de sigorta iştiraki Doğrudan İştirak, DORA kapsamındaki finansal kuruluş sayılır
Türk BT altyapı sağlayıcısı — ESA tarafından kritik atandı Doğrudan Kasım 2025 CTPP listesinde yer alıyorsa doğrudan denetim altında

3. DORA’nın 5 Temel Yükümlülük Alanı

DORA, uyum gerekliliklerini beş ana sütun üzerine inşa ediyor. Her sütun hem politika hem teknik hem de operasyonel adımlar içeriyor:

1
BİT Risk Yönetimi

Kuruluşlar, BİT risklerini tanımlayan, değerlendiren ve yöneten kapsamlı bir çerçeve oluşturmak zorunda. Bu çerçeve; varlık envanteri, risk iştahı tanımı, koruma ve tespit kontrolleri, iş sürekliliği planları ve yönetim kurulu düzeyinde sahiplenmeyi kapsamalı. ISO 27001’deki risk yönetimi yaklaşımıyla örtüşüyor ancak daha operasyonel dayanıklılık odaklı.

2
BİT Olay Yönetimi ve Raporlama

Önemli BİT olaylarının sınıflandırılması, yönetimi ve düzenleyici otoritelere bildirilmesi zorunlu. Ciddi olaylar için üç aşamalı bildirim süreci işliyor: ilk bildirim (4 saat içinde), ara rapor (72 saat içinde), nihai rapor (1 ay içinde). Bu gereklilik, Türkiye’deki 72 saatlik KVKK bildirim yükümlülüğüyle benzer ama daha katmanlı bir yapıya sahip.

3
Dijital Operasyonel Dayanıklılık Testleri

Tüm kapsam altındaki kuruluşlar yılda en az bir kez temel BİT dayanıklılık testleri (zafiyet taraması, BCP tatbikatı) yapmak zorunda. Büyük ve kritik kuruluşlar için her üç yılda bir Tehdit Odaklı Penetrasyon Testi (TLPT) yükümlülüğü geliyor. TLPT, klasik sızma testinden daha kapsamlı: gerçek tehdit istihbaratına dayalı, tüm canlı sistem katmanlarını kapsayan ileri seviye bir test metodolojisi.

4
BİT Üçüncü Taraf Risk Yönetimi

Bu sütun, DORA’yı önceki düzenlemelerden en net biçimde ayıran alan. Finansal kuruluşlar; BİT tedarikçileriyle yaptıkları tüm sözleşmelerin belirli zorunlu hükümleri içermesini sağlamak, kritik tedarikçiler için çıkış stratejisi geliştirmek ve tedarikçi performansını sürekli izlemek zorunda. “Tedarikçim uyuyorsa ben uymuş sayılırım” mantığı DORA’da kabul görmüyor: sorumluluk finansal kuruluşta kalıyor.

5
Bilgi ve İstihbarat Paylaşımı

DORA, finansal kuruluşları siber tehdit istihbaratını sektör genelinde paylaşmaya teşvik ediyor. Bu sütun diğerlerine kıyasla daha az zorlayıcı bir nitelik taşısa da tehdit istihbarat programlarının belgelenmesi bekleniyor.

TLPT Detayı — Türkiye Boyutu TLPT yükümlülüğü kapsamındaki testlerin yetkili test sağlayıcıları (TIBER-EU çerçevesi) tarafından gerçekleştirilmesi bekleniyor. Bu, çalıştığınız sızma testi firmasının DORA TLPT metodolojisine uygun bir yaklaşım benimsemesi gerektiği anlamına geliyor. Secure Fors sızma testi hizmetleri hakkında bilgi alabilirsiniz.

4. DORA ile ISO 27001 Arasındaki Fark

Bu soruyu alan her firma için net bir yanıt: ISO 27001 sahibi olmak DORA uyumunu otomatik sağlamıyor. Ancak ciddi bir başlangıç avantajı sunuyor. İşte kritik farklar:

Kriter ISO 27001 DORA
Yasal bağlayıcılık Gönüllü standart AB düzeyinde bağlayıcı tüzük
Kapsam Tüm sektörler Yalnızca finansal sektör ve BİT tedarikçileri
Odak noktası Bilgi güvenliği yönetimi Dijital operasyonel dayanıklılık (kesinti anında çalışabilirlik)
Üçüncü taraf Genel tedarikçi yönetimi Zorunlu sözleşme hükümleri, çıkış stratejisi, sürekli izleme
Test gereklilikleri İç denetim, yönetim gözden geçirmesi Yıllık BİT dayanıklılık testleri + 3 yılda bir TLPT
Olay bildirimi Zorunlu değil (KVKK ayrı) 4 saat / 72 saat / 1 ay üç aşamalı zorunlu bildirim
Denetim Bağımsız belgelendirme kuruluşu Ulusal yetkili otoriteler + ESA’lar

ISO 27001’in sağladığı temel altyapı — risk yönetimi yaklaşımı, varlık envanteri, iş sürekliliği politikaları — DORA uyumunu hızlandırır. Ancak üçüncü taraf risk yönetimi, TLPT ve düzenleyici raporlama gibi DORA’ya özgü gereklilikler için ek çalışma gerekmektedir.

5. Uyumsuzluk Yaptırımları

DORA, caydırıcı olmak üzere tasarlanmış bir yaptırım rejimi içeriyor. Kurumlar ve bireyler için farklı ceza eşikleri belirlenmiş durumda:

DORA Yaptırım Çerçevesi

Finansal Kuruluşlar için Cezalar

  • Yıllık küresel cironun %2’sine kadar idari para cezası
  • Günlük ortalama küresel cironun %1’ine kadar yaptırım (süregelen ihlaller için)
  • Üst yöneticiler için bireysel olarak 1.000.000 Euro’ya kadar para cezası

Kritik BİT Üçüncü Taraf Sağlayıcıları için

  • Günlük küresel cironun %1’ine kadar yaptırım, azami 6 ay süreyle
  • Hizmet durdurma kararı dahil operasyonel yaptırımlar

Para cezalarının ötesinde pratik riskler de var: müşteri kaybı, lisans askıya alma ihtimali ve AB pazarına erişimin kısıtlanması. 2025 yılının geçiş dönemi olarak tanımlandığı hatırlanmalı; düzenleyici otoriteler 2026’dan itibaren daha aktif denetim ve yaptırım süreçleri başlatmayı planlıyor.

6. Uyum Sürecinde Atılması Gereken Adımlar

DORA uyumu tek seferlik bir proje değil, sürekli yönetilmesi gereken bir çerçeve. Başlangıç için aşağıdaki adımlar pratik bir yol haritası sunuyor:

1
Kapsam belirleme: DORA sizi etkiliyor mu? AB’deki faaliyet noktalarınızı, müşteri portföyünüzü ve sunduğunuz hizmetlerin kritiklik düzeyini haritalandırın. Bu adım, yapılacak tüm çalışmaların kapsamını belirliyor. Kapsam dışıysanız bile BDDK uyum ve ileriye yönelik hazırlık açısından ilgili gereklilikleri takip etmek değerlidir.
2
Boşluk analizi (Gap Analysis) Mevcut BİT risk yönetimi, olay müdahale, test ve tedarikçi yönetim süreçlerinizi DORA’nın beş sütunuyla karşılaştırın. ISO 27001 belgeniz varsa bu adım daha hızlı ilerler; ancak özellikle 3. ve 4. sütunlarda neredeyse her kurumda eksikler çıkmaktadır. DORA eğitimimiz bu aşamaya hazırlıkta faydalı olabilir.
3
BİT Varlık Envanteri ve Risk Haritası Tüm BİT varlıklarını (yazılım, donanım, bulut servisleri, üçüncü taraf bağımlılıkları) kayıt altına alın. Kritik işlevleri destekleyen sistemleri önceliklendirin. Bu envanter hem risk yönetimi hem de tedarikçi izleme çalışmalarının temeli.
4
Tedarikçi Sözleşmelerini Gözden Geçirin DORA, BİT tedarikçi sözleşmelerinde zorunlu hükümler öngörüyor: hizmet düzeyi taahhütleri, denetim hakkı, olay bildirim yükümlülükleri, veri konumu, çıkış ve geçiş planları. Mevcut sözleşmelerinizi bu kriterlere göre gözden geçirin ve gerekiyorsa yeniden müzakere edin.
5
Olay Yönetimi ve Bildirim Prosedürünü Oluşturun Önemli BİT olaylarının nasıl sınıflandırılacağını, kimin haberdar edileceğini ve düzenleyici otoritelere hangi sürelerde bildirim yapılacağını netleştirin. Bu prosedür sadece belge değil; tatbikatlarla test edilmeli.
6
Test Programını Yapılandırın Yıllık temel BİT testleri için bir program oluşturun. TLPT yükümlülüğü kapsamındaysanız metodoloji ve sağlayıcı seçimi için önceden hazırlık yapın. Sızma testi hizmetimiz, DORA test yükümlülüklerini karşılamak üzere uyarlanabilir.
7
Yönetim Kurulu Sahiplenmesini Sağlayın DORA, operasyonel dayanıklılıktan yönetim kurulunu sorumlu tutuyor. Bu, siber güvenliğin yalnızca IT departmanının meselesi olmaktan çıkıp yönetişim gündemine girmesi anlamına geliyor. Yöneticiler için düzenlenmiş DORA eğitimi, bu farkındalığı hızla oluşturuyor.
ISO 27001 Sahibiyseniz Mevcut BGYS belgeniz, DORA uyumunu doğrudan karşılamıyor; ancak yol haritanızı önemli ölçüde kısaltıyor. Risk yönetimi metodolojiniz, varlık envanteriniz ve iç denetim altyapınız doğrudan kullanılabilir. ISO 27001 danışmanlık hizmetimiz kapsamında DORA geçiş desteği de sunuyoruz.

7. Sık Sorulan Sorular

Türkiye’de yalnızca BDDK lisansıyla faaliyet gösteren bir banka DORA’ya uymak zorunda mı?

AB’de şube, iştirak veya temsilcilik olmaksızın yalnızca Türkiye’de faaliyet gösteriyorsa doğrudan bir DORA yükümlülüğü bulunmuyor. Bu bankaların tabi olduğu çerçeve BDDK düzenlemeleri olmaya devam ediyor. Ancak AB kurumlarıyla işlem, muhabir bankacılık ilişkisi veya AB pazarına açılma planı varsa ileride etki kapsamına girebilirler.

ISO 27001 sertifikamız var; DORA uyumu için ne kadar ek çalışma gerekiyor?

ISO 27001, özellikle risk yönetimi ve bilgi güvenliği politikaları açısından ciddi bir temel sağlıyor. Ancak DORA’ya özgü gereklilikler — üç aşamalı olay bildirimi, TLPT testi, zorunlu tedarikçi sözleşme hükümleri ve yönetim kurulu düzeyinde BİT yönetişimi — ek çalışma gerektiriyor. Deneyimlerimize göre ISO 27001 sahibi kurumlar için DORA gap analizi ve uyum çalışması belirgin biçimde daha kısa sürüyor.

TLPT testi yaptırmak zorunlu mu, hangi firmalara uygulanıyor?

TLPT yükümlülüğü orantılılık ilkesine göre belirleniyor: büyük ve sistemik açıdan önemli finansal kuruluşlar için zorunlu, daha küçük kurumlar için temel dayanıklılık testleri yeterli kabul ediliyor. Hangi eşiğin uygulanacağı ulusal yetkili otorite tarafından belirleniyor. Kapsam altındaki kurumlar üç yılda bir TLPT yaptırmak zorunda.

Türkiye’den bir AB bankasına yazılım hizmeti veriyoruz; ne yapmalıyız?

Bu durumda müşteri AB bankasının DORA kapsamındaki BİT tedarikçisi konumundasınız. Banka, sizinle yaptığı sözleşmede DORA’nın öngördüğü zorunlu hükümleri (denetim hakkı, olay bildirimi, SLA, veri konumu, çıkış planı) talep edecektir. ESA’lar tarafından “kritik” olarak atanmadığınız sürece doğrudan düzenleyici denetime tabi olmazsınız; ancak müşteri sözleşmesindeki yükümlülükleri yerine getirmek zorundasınız.

2025 bir geçiş yılıysa 2026’da ne değişiyor?

2025 boyunca düzenleyici otoriteler mevcut çerçeveleri değerlendirdi ve boşlukları tespit etti. 2026’dan itibaren aktif denetim ve yaptırım süreçlerinin başlaması bekleniyor. Kasım 2025’te yayımlanan kritik BİT üçüncü taraf sağlayıcıları listesi, doğrudan gözetim faaliyetlerini başlattı. AB Komisyonu’nun Ocak 2026’da gerçekleştirdiği DORA gözden geçirme raporu da kapsamın genişleyebileceğine işaret ediyor.

Sosyal medyada paylaş
Facebook
Twitter
LinkedIn
Telegram