DORA Türkiye’deki Firmaları Nasıl Etkiliyor? DORA Kapsam, Yükümlülükler ve Uyum Adımları

AB’nin Dijital Operasyonel Dayanıklılık Tüzüğü (DORA), 17 Ocak 2025 itibarıyla tam anlamıyla yürürlüğe girdi. Avrupa’da faaliyet gsteren finansal kuruluşlar için bağlayıcı olan bu düzenleme, Türkiye’deki pek çok banka, fintech, sigorta şirketi ve BT hizmet sağlayıcısı için de doğrudan yükümlülükler doğuruyor.

Ancak “DORA nedir?” sorusunun yanıtı artık yaygın biçimde bilinir hâle geldi. Asıl yanıtlanması gereken soru şu: Türkiye’deki hangi firmalar, tam olarak ne yapmalı? Bu yazı, DORA’nın Türkiye boyutunu, beş temel yükümlülüğünü ve kurumların uyum sürecinde izleyebileceği adımları ele alıyor.

Mevcut İçerik DORA’nın teknik tanımı, kapsamı ve diğer standartlarla (ISO 27001, NIS2) karşılaştırması için Dijital Operasyonel Dayanıklılık Yasası (DORA) What Is It? başlıklı yazımıza bakabilirsiniz. Bu yazı oraya hâkim olduğunuzu varsayarak devam ediyor.

1. DORA Türkiye’deki Firmaları Nasıl Etkiliyor?

DORA bir AB tüzüğüdür; Türkiye AB üyesi olmadığından Türkiye merkezli kuruluşlara doğrudan uygulanmıyor. Ancak bu, Türk firmalarının DORA’yı grmezden gelebileceği anlamına gelmiyor. Etki üç farklı kanaldan geliyor:

AB’de Faaliyet Gsteren Türk Finansal Kuruluşları

Bir Türk bankasının, sigorta şirketinin veya deme kuruluşunun Almanya, Hollanda, İngiltere veya herhangi bir AB üyesi ülkede şubesi, iştiraki ya da temsilciliği varsa, o coğrafyada DORA’ya tam uyum zorunludur. AB’deki düzenleyici otoriteler (EBA, EIOPA, ESMA) denetimlerini sürdürüyor ve 2025 bir “geçiş yılı” olarak grünse de yaptırım mekanizmaları aktif.

AB Finansal Kuruluşlarına Hizmet Veren Türk BT Sağlayıcıları

Türkiye’den bir AB bankasına yazılım, bulut altyapısı, veri merkezi, siber security veya BT destek hizmeti sağlayan firma, DORA kapsamında “BİT üçüncü taraf hizmet sağlayıcısı” olarak değerlendirilebilir. Bu durumda hizmet verilen AB kurumunun szleşme gereklilikleri üzerinden DORA yükümlülükleri dolaylı olarak aktarılmaktadır.

BDDK Referans Etkisi

Türkiye’de faaliyet gsteren ve AB ile işlem yapmayan firmalar için DORA şu an yasal zorunluluk değil. Ancak BDDK’nın BT ve siber security düzenlemelerinin DORA ile rtüşen gerekliliklere giderek yaklaştığı izlenmektedir. DORA’yı erken uygulayan kurumlar, ilerleyen dnemde Türkiye iç mevzuatına uyum açısından da avantajlı konuma geliyor.

Kritik Nokta “Türkiye’den ynetiyoruz, AB’de şubemiz var” yaklaşımı DORA kapsamında yeterli değil. AB’deki şube veya iştirak, bulunduğu ülkenin düzenleyici otoritesine karşı sorumlu olup DORA denetimine tabidir. Merkezdeki uyumsuzluk, sahada doğrudan yaptırım riski yaratır.

2. Kapsama Giren Kurum ve Kuruluş Türleri

DORA, finansal hizmetler ekosisteminde oldukça geniş bir kapsam çiziyor. Aşağıdaki kurum ve kuruluş türleri doğrudan ya da dolaylı olarak bu kapsamda yer alıyor:

🏦
Bankalar ve Kredi Kuruluşları

AB’de lisans sahibi veya şube açmış tüm bankalar. Türk kamu ve zel bankaları AB şubeleri aracılığıyla kapsam altında.

💳
Ödeme ve E-Para Kuruluşları

AB pazarında hizmet veren deme hizmeti sağlayıcıları, elektronik para kuruluşları ve bunların altyapı ortakları.

📈
Investment Firms ve Fonlar

AB’de faaliyet gsteren yatırım şirketleri, alternatif yatırım fonu yneticileri, merkezi karşı taraflar.

🔒
Sigorta ve Reasürans Şirketleri

AB’de faaliyet gsteren sigorta kuruluşları ve aracıları. Türk sigorta gruplarının Avrupa operasyonları dahil.

Kripto Varlık Hizmet Sağlayıcıları

MiCA kapsamında lisanslanan kripto varlık hizmeti sunan tüm firmalar. Türkiye merkezli olsa da AB’de hizmet veriyorsa kapsam dahili.

☁️
Kritik BİT Üçüncü Taraflar

ESA’ların “kritik” olarak atadığı bulut sağlayıcıları, veri merkezi operatrleri, yazılım şirketleri. Kasım 2025’te ilk CTPP listesi yayımlandı.

Aşağıdaki tablo, farklı Türk firma profillerinin DORA kapsamındaki durumunu zetliyor:

Firma ProfiliDORA YükümlülüğüAçıklama
Türk bankası — AB şubesi varDoğrudanAB şubesi, bulunduğu ülke otoritesine karşı sorumlu
Türk fintech — yalnızca Türkiye’de faaliyetYok (şimdilik)BDDK düzenlemeleri geçerli; DORA referans niteliğinde
Türk yazılım firması — AB bankasına hizmet veriyorDolaylıMüşteri szleşmesi üzerinden DORA gereklilikleri aktarılır
Türk holding — AB’de sigorta iştirakiDoğrudanİştirak, DORA kapsamındaki finansal kuruluş sayılır
Türk BT altyapı sağlayıcısı — ESA tarafından kritik atandıDoğrudanKasım 2025 CTPP listesinde yer alıyorsa doğrudan denetim altında

3. DORA’nın 5 Temel Yükümlülük Alanı

DORA, uyum gerekliliklerini beş ana sütun üzerine inşa ediyor. Her sütun hem politika hem teknik hem de operasyonel adımlar içeriyor:

1
BİT Risk Ynetimi

Kuruluşlar, BİT risklerini tanımlayan, değerlendiren ve yneten kapsamlı bir çerçeve oluşturmak zorunda. Bu çerçeve; varlık inventory, risk iştahı tanımı, koruma ve tespit kontrolleri, iş sürekliliği planları ve ynetim kurulu düzeyinde sahiplenmeyi kapsamalı. ISO 27001’deki risk ynetimi yaklaşımıyla rtüşüyor ancak daha operasyonel dayanıklılık odaklı.

2
BİT Olay Ynetimi ve Raporlama

Önemli BİT olaylarının sınıflandırılması, ynetimi ve düzenleyici otoritelere bildirilmesi zorunlu. Ciddi olaylar için üç aşamalı bildirim süreci işliyor: ilk bildirim (4 saat içinde), ara rapor (72 saat içinde), nihai rapor (1 ay içinde). Bu gereklilik, Türkiye’deki 72 saatlik KVKK bildirim yükümlülüğüyle benzer ama daha katmanlı bir yapıya sahip.

3
Dijital Operasyonel Resilience Testing

Tüm kapsam altındaki kuruluşlar yılda en az bir kez temel BİT dayanıklılık testleri (zafiyet taraması, BCP tatbikatı) yapmak zorunda. Büyük ve kritik kuruluşlar için her üç yılda bir Tehdit Odaklı Penetrasyon Testi (TLPT) yükümlülüğü geliyor. TLPT, klasik sızma testinden daha kapsamlı: gerçek tehdit istihbaratına dayalı, tüm canlı sistem katmanlarını kapsayan ileri seviye bir test metodolojisi.

4
BİT Üçüncü Taraf Risk Ynetimi

Bu sütun, DORA’yı nceki düzenlemelerden en net biçimde ayıran alan. Finansal kuruluşlar; BİT tedarikçileriyle yaptıkları tüm szleşmelerin belirli zorunlu hükümleri içermesini sağlamak, critical supplierler için çıkış stratejisi geliştirmek ve tedarikçi performansını sürekli izlemek zorunda. “Tedarikçim uyuyorsa ben uymuş sayılırım” mantığı DORA’da kabul grmüyor: sorumluluk finansal kuruluşta kalıyor.

5
Bilgi ve İstihbarat Paylaşımı

DORA, finansal kuruluşları siber tehdit istihbaratını sektr genelinde paylaşmaya teşvik ediyor. Bu sütun diğerlerine kıyasla daha az zorlayıcı bir nitelik taşısa da tehdit istihbarat programlarının belgelenmesi bekleniyor.

TLPT Detayı — Türkiye Boyutu TLPT yükümlülüğü kapsamındaki testlerin yetkili test sağlayıcıları (TIBER-EU çerçevesi) tarafından gerçekleştirilmesi bekleniyor. Bu, çalıştığınız sızma testi firmasının DORA TLPT metodolojisine uygun bir yaklaşım benimsemesi gerektiği anlamına geliyor. Secure Fors sızma testi hizmetleri hakkında bilgi alabilirsiniz.

4. DORA ile ISO 27001 Arasındaki Fark

Bu soruyu alan her firma için net bir yanıt: ISO 27001 sahibi olmak DORA uyumunu otomatik sağlamıyor. Ancak ciddi bir başlangıç avantajı sunuyor. İşte kritik farklar:

KriterISO 27001DORA
Yasal bağlayıcılıkGnüllü standartAB düzeyinde bağlayıcı tüzük
KapsamTüm sektrlerYalnızca finansal sektr ve BİT tedarikçileri
Odak noktasıBilgi güvenliği ynetimiDijital operasyonel dayanıklılık (kesinti anında çalışabilirlik)
Üçüncü tarafGenel tedarikçi ynetimiZorunlu szleşme hükümleri, çıkış stratejisi, sürekli izleme
Test gereklilikleriİç denetim, ynetim gzden geçirmesiYıllık BİT dayanıklılık testleri + 3 yılda bir TLPT
Olay bildirimiZorunlu değil (KVKK ayrı)4 saat / 72 saat / 1 ay üç aşamalı zorunlu bildirim
DenetimBağımsız belgelendirme kuruluşuUlusal yetkili otoriteler + ESA’lar

ISO 27001’in sağladığı temel altyapı — risk ynetimi yaklaşımı, varlık inventory, iş sürekliliği politikaları — DORA uyumunu hızlandırır. Ancak üçüncü taraf risk ynetimi, TLPT ve düzenleyici raporlama gibi DORA’ya zgü gereklilikler için ek çalışma gerekmektedir.

5. Uyumsuzluk Yaptırımları

DORA, caydırıcı olmak üzere tasarlanmış bir yaptırım rejimi içeriyor. Kurumlar ve bireyler için farklı ceza eşikleri belirlenmiş durumda:

DORA Yaptırım Çerçevesi

Finansal Kuruluşlar için Cezalar

  • Yıllık küresel cironun %2’sine kadar idari para cezası
  • Günlük ortalama küresel cironun %1’ine kadar yaptırım (süregelen ihlaller için)
  • Üst yneticiler için bireysel olarak 1.000.000 Euro’ya kadar para cezası

Kritik BİT Üçüncü Taraf Sağlayıcıları için

  • Günlük küresel cironun %1’ine kadar yaptırım, azami 6 ay süreyle
  • Hizmet durdurma kararı dahil operasyonel yaptırımlar

Para cezalarının tesinde pratik riskler de var: müşteri kaybı, lisans askıya alma ihtimali ve AB pazarına erişimin kısıtlanması. 2025 yılının geçiş dnemi olarak tanımlandığı hatırlanmalı; düzenleyici otoriteler 2026’dan itibaren daha aktif denetim ve yaptırım süreçleri başlatmayı planlıyor.

6. Uyum Sürecinde Atılması Gereken Adımlar

DORA uyumu tek seferlik bir proje değil, sürekli ynetilmesi gereken bir çerçeve. Başlangıç için aşağıdaki adımlar pratik bir yol haritası sunuyor:

1
Kapsam belirleme: DORA sizi etkiliyor mu? AB’deki faaliyet noktalarınızı, müşteri portfyünüzü ve sunduğunuz hizmetlerin kritiklik düzeyini haritalandırın. Bu adım, yapılacak tüm çalışmaların kapsamını belirliyor. Kapsam dışıysanız bile BDDK uyum ve ileriye ynelik hazırlık açısından ilgili gereklilikleri takip etmek değerlidir.
2
Boşluk analizi (Gap Analysis) Mevcut BİT risk ynetimi, olay müdahale, test ve tedarikçi ynetim süreçlerinizi DORA’nın beş sütunuyla karşılaştırın. ISO 27001 belgeniz varsa bu adım daha hızlı ilerler; ancak zellikle 3. ve 4. sütunlarda neredeyse her kurumda eksikler çıkmaktadır. DORA eğitimimiz bu aşamaya hazırlıkta faydalı olabilir.
3
BİT Varlık Envanteri ve Risk Haritası Tüm BİT varlıklarını (yazılım, donanım, bulut servisleri, üçüncü taraf bağımlılıkları) kayıt altına alın. Kritik işlevleri destekleyen sistemleri nceliklendirin. Bu inventory hem risk ynetimi hem de tedarikçi izleme çalışmalarının temeli.
4
Tedarikçi Szleşmelerini Gzden Geçirin DORA, BİT tedarikçi szleşmelerinde zorunlu hükümler ngrüyor: hizmet düzeyi taahhütleri, denetim hakkı, olay bildirim yükümlülükleri, veri konumu, çıkış ve geçiş planları. Mevcut szleşmelerinizi bu kriterlere gre gzden geçirin ve gerekiyorsa yeniden müzakere edin.
5
Olay Ynetimi ve Bildirim Prosedürünü Oluşturun Önemli BİT olaylarının nasıl sınıflandırılacağını, kimin haberdar edileceğini ve düzenleyici otoritelere hangi sürelerde bildirim yapılacağını netleştirin. Bu prosedür sadece belge değil; tatbikatlarla test edilmeli.
6
Test Programını Yapılandırın Yıllık temel BİT testleri için bir program oluşturun. TLPT yükümlülüğü kapsamındaysanız metodoloji ve sağlayıcı seçimi için nceden hazırlık yapın. Sızma testi hizmetimiz, DORA test yükümlülüklerini karşılamak üzere uyarlanabilir.
7
Ynetim Kurulu Sahiplenmesini Sağlayın DORA, operasyonel dayanıklılıktan ynetim kurulunu sorumlu tutuyor. Bu, siber güvenliğin yalnızca IT departmanının meselesi olmaktan çıkıp governance gündemine girmesi anlamına geliyor. Yneticiler için düzenlenmiş DORA eğitimi, bu farkındalığı hızla oluşturuyor.
ISO 27001 Sahibiyseniz Mevcut BGYS belgeniz, DORA uyumunu doğrudan karşılamıyor; ancak yol haritanızı nemli lçüde kısaltıyor. Risk ynetimi metodolojiniz, varlık inventoryniz ve iç denetim altyapınız doğrudan kullanılabilir. ISO 27001 consulting hizmetimiz kapsamında DORA geçiş desteği de sunuyoruz.

7. Sık Sorulan Sorular

Türkiye’de yalnızca BDDK lisansıyla faaliyet gsteren bir banka DORA’ya uymak zorunda mı?

AB’de şube, iştirak veya temsilcilik olmaksızın yalnızca Türkiye’de faaliyet gsteriyorsa doğrudan bir DORA yükümlülüğü bulunmuyor. Bu bankaların tabi olduğu çerçeve BDDK düzenlemeleri olmaya devam ediyor. Ancak AB kurumlarıyla işlem, muhabir bankacılık ilişkisi veya AB pazarına açılma planı varsa ileride etki kapsamına girebilirler.

ISO 27001 sertifikamız var; DORA uyumu için ne kadar ek çalışma gerekiyor?

ISO 27001, zellikle risk ynetimi ve bilgi güvenliği politikaları açısından ciddi bir temel sağlıyor. Ancak DORA’ya zgü gereklilikler — üç aşamalı olay bildirimi, TLPT testi, zorunlu tedarikçi szleşme hükümleri ve ynetim kurulu düzeyinde BİT governancei — ek çalışma gerektiriyor. Deneyimlerimize gre ISO 27001 sahibi kurumlar için DORA gap analizi ve uyum çalışması belirgin biçimde daha kısa sürüyor.

TLPT testi yaptırmak zorunlu mu, hangi firmalara uygulanıyor?

TLPT yükümlülüğü orantılılık ilkesine gre belirleniyor: büyük ve sistemik açıdan nemli finansal kuruluşlar için zorunlu, daha küçük kurumlar için temel dayanıklılık testleri yeterli kabul ediliyor. Hangi eşiğin uygulanacağı ulusal yetkili otorite tarafından belirleniyor. Kapsam altındaki kurumlar üç yılda bir TLPT yaptırmak zorunda.

Türkiye’den bir AB bankasına yazılım hizmeti veriyoruz; ne yapmalıyız?

Bu durumda müşteri AB bankasının DORA kapsamındaki BİT tedarikçisi konumundasınız. Banka, sizinle yaptığı szleşmede DORA’nın ngrdüğü zorunlu hükümleri (denetim hakkı, olay bildirimi, SLA, veri konumu, çıkış planı) talep edecektir. ESA’lar tarafından “kritik” olarak atanmadığınız sürece doğrudan düzenleyici denetime tabi olmazsınız; ancak müşteri szleşmesindeki yükümlülükleri yerine getirmek zorundasınız.

2025 bir geçiş yılıysa 2026’da ne değişiyor?

2025 boyunca düzenleyici otoriteler mevcut çerçeveleri değerlendirdi ve boşlukları tespit etti. 2026’dan itibaren aktif denetim ve yaptırım süreçlerinin başlaması bekleniyor. Kasım 2025’te yayımlanan kritik BİT üçüncü taraf sağlayıcıları listesi, doğrudan gzetim faaliyetlerini başlattı. AB Komisyonu’nun Ocak 2026’da gerçekleştirdiği DORA gzden geçirme raporu da kapsamın genişleyebileceğine işaret ediyor.

Sosyal medyada paylaş
Facebook
Twitter
LinkedIn
Telegram