Avrupa Birliği’nin Digital Operational Resilience Act (DORA) düzenlemesi, 16 Ocak 2023’te yayımlandı ve iki yıllık hazırlık süresinin ardından 17 Ocak 2025 itibarıyla tüm AB üye devletlerinde doğrudan uygulanmaya başladı. Bankalar, sigorta şirketleri, yatırım kuruluşları ve kritik BT hizmet sağlayıcıları; sigortalama süreçlerinden varlık ynetimine kadar geniş bir yelpazede dijital operasyonel dayanıklılık gereksinimlerini karşılamak zorunda.
Bu gereksinimlerin kâğıt üzerinde kalmayıp kurumun damarlarına işlemesi için tek yol: DORA eğitimi. Bu yazıda DORA eğitiminin yasal dayanağını, kimler için zorunlu olduğunu, içeriğinin neleri kapsaması gerektiğini ve nasıl bir eğitim programı tasarlanması gerektiğini ele alıyoruz.
İçindekiler
- DORA Trainingnin Yasal Dayanağı: Hangi Madde Ne Diyor?
- DORA Training Who Is It For Mandatory?
- Etkili Bir DORA Eğitim Programı Neyi Kapsamalı?
- DORA Trainingnde Sık Yapılan Hatalar
- DORA Trainingni ISO 27001 Bilinciyle Entegre Etmek
- Company DORA Training için Secure Fors
1. DORA Trainingnin Yasal Dayanağı: Hangi Madde Ne Diyor?
DORA eğitimini “iyi niyet uygulaması” olmaktan çıkarıp yasal zorunluluk haline getiren maddeler aşağıda zetlenmektedir:
Madde 5 – Ynetim Kurulu
Üst ynetimin ICT risklerini anlaması ve bu alanda düzenli eğitim alması açıkça ngrülüyor. Ynetim kurulu üyeleri muaf değil.
Madde 13 – Öğrenme & Gelişim
ICT security eğitimlerinin tüm ilgili personele zorunlu tutulmasını, farkındalık programlarının ise düzenli aralıklarla yenilenmesini şart koşuyor.
Madde 17 – Olay Ynetimi
Çalışanların ICT olaylarını tanımlayıp sınıflandırabilmesi için yetkinlik kazanması gerekiyor. Bu, sahaya ynelik pratik eğitimi zorunlu kılıyor.
Madde 26 – TLPT Tatbikatları
Tehdit odaklı sızma testlerinden nce ilgili ekiplerin TLPT kapsamı, rolleri ve süreci hakkında bilinçlendirilmesi tatbikat etkinliğini doğrudan etkiliyor.
Önemli Not: DORA, 2023/2554 sayılı AB Tüzüğü olarak doğrudan uygulanır. Üye devletlerin iç hukukuna aktarım gerektirmez. Bu, yaptırım yetkisinin ulusal otoritelerden (rn. Almanya’da BaFin, Fransa’da ACPR) doğrudan kullanılabileceği anlamına gelir.
2. DORA Training Who Is It For Mandatory?
DORA kapsamındaki 21 finansal kuruluş türü şunları içeriyor: bankalar, yatırım firmaları, deme kuruluşları, e-para kuruluşları, sigorta ve reasürans şirketleri, emeklilik fonları, kredi derecelendirme kuruluşları ve kritik üçüncü taraf BT hizmet sağlayıcıları (CTPP). Bu kuruluşlarda kim eğitim almalı?
| Hedef Kitle | Eğitim Düzeyi | Dayandığı DORA Maddesi |
|---|---|---|
| Ynetim Kurulu & C-Suite | Stratejik farkındalık, risk iştahı, ynetim sorumluluğu | Md. 5 |
| IT / Güvenlik Ekipleri | Teknik dayanıklılık, olay yanıt prosedürleri, test süreçleri | Md. 13, 17, 26 |
| Uyum & Risk Departmanı | Düzenleyici yükümlülükler, raporlama çerçevesi, denetim hazırlığı | Md. 5, 19, 28 |
| Tedarikçi Ynetimi (TPRM) | CTPP değerlendirme kriterleri, szleşme gereksinimleri, çıkış stratejileri | Md. 28–30 |
| Tüm Personel | Temel farkındalık: siber hijyen, sosyal mühendislik, olay bildirimi | Md. 13 |
3. Etkili Bir DORA Eğitim Programı Neyi Kapsamalı?
DORA uyum eğitimini “tek seferlik bir sunum”dan ayıran unsur, yapılandırılmış bir müfredat ve lçülebilir yetkinlik hedefleri içermesidir. Kapsamlı bir program beş ana modülden oluşur:
DORA’ya Genel Bakış ve Kapsam
Tüzüğün amacı, uygulanma kapsamı, takvimi ve ulusal denetim otoriteleriyle ilişkisi. Finansal kurumların DORA ile ISO 27001/NIST arasındaki farkı anlaması bu modülle başlar.
ICT Risk Ynetim Çerçevesi
Madde 6–16 kapsamında ICT risk iştahı, koruma, tespit, müdahale ve kurtarma süreçleri. Politika ve prosedürlerin kuruma nasıl entegre edileceğinin uygulamalı işlenmesi.
ICT Olay Ynetimi ve Raporlama
Olay sınıflandırma kriterleri (Madde 18), düzenleyici otoriteye raporlama takvimi (ilk bildirim 4 saat, son rapor 1 ay), RTS/ITS standartları. Senaryo bazlı alıştırmalar.
Dijital Operasyonel Dayanıklılık Testi (DORA Madde 24–27)
Temel testler ile gelişmiş TLPT (Threat-Led Penetration Testing) arasındaki fark, test sonuçlarının nasıl belgeleneceği ve denetçilere sunulacağı. İç denetim ve bağımsız test tasarımı.
Üçüncü Taraf BT Risk Ynetimi (TPRM)
Kritik üçüncü taraf hizmet sağlayıcıların (CTPP) belirlenmesi, szleşme zorunlulukları (Madde 28–30), sub-outsourcing zincirleri ve çıkış stratejileri. AB Denetim Çerçevesi ve ESA CTPP sicili.
4. DORA Trainingnde Sık Yapılan Hatalar
Kurumların DORA eğitim süreçlerinde tekrarladığı başlıca hatalar şunlar:
✕ Tek seferlik eğitim
DORA, yıllık yenileme değil sürekli güncelleme ngrür. Düzenleyici RTS/ITS değişikliklerinin eğitime yansıtılması zorunludur.
✕ Ynetimi dışlamak
Madde 5, üst ynetimi açıkça muhatap alır. Eğitimi yalnızca IT ekiplerine vermek denetçi gzünde ciddi bir eksiklik olarak değerlendirilir.
✕ Jenerik içerik kullanmak
Genel siber security kurslarını “DORA eğitimi” olarak sunmak yeterli değil. İçeriğin tüzük maddelerine ve sektre zgü senaryolara dayanması gerekir.
✕ Kanıt kaydı tutmamak
Denetçiler eğitim tamamlama kayıtlarını, test sonuçlarını ve katılım listelerini ister. Belgelenmemiş eğitim yapılmamış eğitimdir.
5. DORA Trainingni ISO 27001 Bilinciyle Entegre Etmek
ISO 27001 sertifikasına sahip kurumlar için iyi haber şu: DORA ile ISO 27001 arasında nemli rtüşmeler bulunuyor. ISO 27001:2022 kontrol A.6.3 (Güvenlik farkındalığı, eğitim ve ğretim) ile Ek A.5.37 doğrudan DORA Madde 13 gereksinimlerini destekler.
ISO 27001 ↔ DORA Eğitim Eşleştirmesi
ISO 27001 A.6.3
Farkındalık & Eğitim Programı
DORA Madde 13
ICT Güvenlik Eğitim Zorunluluğu
ISO 27001 A.5.29
İş Sürekliliği Planlaması
DORA Madde 11–12
İş Sürekliliği & Kriz Ynetimi
Sonuç: DORA Uyumu Bir “IT Projesi” Değil, Company Dnüşümdür
DORA, yalnızca bir teknik uyum belgesi değil; finansal kurumların ICT riskini kurum kültürünün bir parçası haline getirmesini talep eden kapsamlı bir düzenleyici çerçevedir. Bu dnüşümün temeli bilinçli insandır. Teknoloji yatırımları ve politika güncellemeleri, eğitimle desteklenmediğinde kâğıt üzerinde kalmaya mahkûmdur.
DORA eğitim programınızı bugün planlamak, yalnızca bir uyum onay kutusunu işaretlemek değil — kurumunuzun operasyonel dayanıklılığına gerçek anlamda yatırım yapmaktır.
Etiketler
