DORA (Digital Operational Resilience Act) 17 Ocak 2025 itibarıyla AB finansal kurumlar için yürürlüğe girdi; threat-led penetration testing (TLPT) ve scenario-based testing yükümlülükleri 22.000+ kuruluşu etkiliyor ve ihlallerde günlük gelirin yüzde 1’ine varan idari para cezaları uygulanabiliyor.
DORA 2026: Çerçevenin Stratejik Bağlamı
DORA (Regulation EU 2022/2554) AB finansal kurumlarının operasyonel direncini sertleştirmek için tasarlanan, beş temel sütundan oluşan bir AB tüzüğü: ICT risk management, ICT-related incident reporting, digital operational resilience testing, ICT third-party risk management, information sharing arrangements. Yasama süreci 16 Ocak 2023’te tamamlandı, iki yıllık geçiş süresinin ardından 17 Ocak 2025’te tam yürürlüğe girdi. Yetkili otorite ulusal seviyede (Türkiye-AB üye değil ama “third-country branch” senaryosu için takip ediliyor); AB seviyesinde EBA, ESMA, EIOPA (ESA’lar) ve ECB doğrudan denetleyici rolünde.
Kapsam geniş: bankalar, sigorta şirketleri, yatırım kuruluşları, ödeme servisleri (PSD2/PSD3), kripto varlık servis sağlayıcıları (MiCA), trade repositories, central securities depositories, central counterparties, ICT third-party servis sağlayıcıları. Yaklaşık 22.000 finansal entity + 15.000+ ICT third-party (CSP, SaaS, MSP) doğrudan etkileniyor. EBA Q1 2024 raporuna göre uyum hazırlığı henüz orta seviyede: TLPT için yalnızca yüzde 35 oranında olgunluk var.
DORA Testing Yükümlülüğü: Beş Test Tipi
Madde 24-26 dijital operasyonel direnç testing’i için beş ana test tipi tanımlıyor: vulnerability assessment, scenario-based testing, network security assessment, performance testing, end-to-end testing. Bunların üzerine “advanced testing” başlığı altında TLPT (Threat-Led Penetration Testing) önemli kuruluşlar için 3 yılda bir zorunlu.
| Test Tipi | Sıklık | Kapsam | Sorumlu | Compliance Kanıtı |
|---|---|---|---|---|
| Vulnerability assessment | Min. yıllık | Tüm ICT sistemleri | İç ekip + scanner | Scan report + remediation log |
| Scenario-based testing | Yıllık | Kritik fonksiyonlar | İç ekip | Test plan + post-mortem |
| Network security assessment | Yıllık | Network segmentation | Pentester (iç/dış) | Pentest report |
| Performance testing | Yıllık | Performans + kapasite | İç ekip | Load test sonuçları |
| TLPT (Advanced) | 3 yılda 1 | Critical functions + provider | Sertifikalı external pentester | TLPT report + ESA raporlama |
TLPT (Threat-Led Penetration Testing) Detayı
TLPT, EBA/ESMA/EIOPA tarafından koordine edilen, TIBER-EU framework’üne dayanan ileri seviye penetration testing. Kapsam “critical or important function” sınıfındaki tüm sistemler; eğer bu fonksiyonlar üçüncü taraf bir CSP/SaaS üzerinde çalışıyorsa, third-party de kapsama dahil. Testi gerçekleştirecek “TLPT provider” sertifikalı olmak zorunda (CREST, CHECK, OSCP, OSCE gibi kabul edilen sertifikalar). Test takvimi minimum 12 hafta, threat intelligence aşaması + scenario design + red team execution + purple team review + remediation aşamalarını içeriyor.
- Threat Intelligence: Kurum-spesifik threat actor profiling (devlet-sponsorlu, organize crime, hacktivist), TTP haritalama (MITRE ATT&CK)
- Scenario Design: 3-5 saldırı senaryosu, “critical function compromise” hedefli; ESA approval gerekli
- Red Team Execution: 8-12 hafta süren live penetration, production ortamı veya yüksek-fidelity stage
- Purple Team Review: Defenders ile birlikte detection capability assessment, blue team training
- Remediation: Bulguların 6 ay içinde kapatılması; tekrar testing ile doğrulama
İlgili konu: MITRE ATT&CK purple teaming pattern
ICT Third-Party Risk Management
DORA Bölüm V (Madde 28-44) third-party risk yönetimine ayrılmış. Tüm finansal kurumlar bir “ICT third-party register” tutmak zorunda; bu register’ı yıllık olarak yetkili otoriteye raporluyor. Critical ICT third-party service providers (CTPP) AB seviyesinde doğrudan denetime tabi tutuluyor: ECB, EBA, ESMA, EIOPA tarafından on-site inspection, penalty (günlük yüzde 1 ciro), ban gibi enstrümanlar uygulanabiliyor. 2025 Q2’de ilk CTPP listesi yayınlandı: AWS, Microsoft Azure, Google Cloud, SAP, Salesforce, Oracle gibi büyük CSP’ler ve major SaaS sağlayıcılar dahil.
Sözleşmesel yükümlülükler güçlendi: DORA Madde 30 minimum kontrat içeriği tanımlıyor (servis kapsamı, location, audit hakları, exit strategy, security & data protection). Finansal kurumlar mevcut CSP/SaaS sözleşmelerini 2025 boyunca renegotiate ediyor; AWS Financial Services Agreement, Azure Financial Services Amendment, GCP Financial Services Addendum DORA uyumlu sürümlerini 2024-2025’te yayınladı.
Incident Reporting Yükümlülüğü
DORA Madde 17-23 ICT-related incident reporting’i düzenliyor. Tüm “major ICT-related incidents” yetkili otoriteye raporlanmak zorunda: ilk bildirim 4 saat içinde (anlamlı olarak fark edildikten sonra), ara rapor 72 saat içinde, nihai rapor 1 ay içinde. Bu süre PSD2’nin (PSD3 geçişi 2026 başında) gereksiniminden daha sıkı. “Major” olma kriteri ESA RTS (Regulatory Technical Standards) ile tanımlandı: etkilenen müşteri sayısı, finansal etki, downtime süresi, etkilenen geographic alan, reputational impact.
| Aşama | Süre | İçerik | Yetkili Otorite |
|---|---|---|---|
| Initial notification | 4 saat içinde | İncident tipi, etki tahmini, root cause hipotezi | National Competent Authority |
| Intermediate report | 72 saat içinde | Etki güncellemesi, containment durumu, remediation | NCA + ESA |
| Final report | 1 ay içinde | Root cause, lessons learned, mitigation plan | NCA + ESA |
| Significant cyber threat | Önemli görüldüğü an | Threat description, potential impact | Voluntary, ESA encouraged |
Sektörel Etki ve Türk Kurumlar İçin Pozisyon
AB içi bankalar (Top 50) için DORA uyum maliyeti ortalama 5-25 milyon euro arasında değişiyor (McKinsey 2024 sektör analizi). Türk bankacılığı için DORA doğrudan uygulanmıyor ancak iki kanaldan dolaylı etki var: birinci, AB’de şubesi olan Türk bankaları branch için uyum sağlamak zorunda. İkinci, BDDK Bilgi Sistemleri Yönetmeliği güncellemeleri DORA prensiplerini model alıyor; 2025-2026 mevzuat güncellemelerinde TLPT benzeri yükümlülüklerin gelmesi muhtemel. EBA DORA portalı RTS ve ITS dokümanlarını yayınlıyor; ESMA DORA sayfası sermaye piyasası tarafını koordine ediyor.
Kurumsal DORA Uyumunda Karşılaşılan Tipik Sorunlar
Danışmanlık projelerinde gözlemlenen tipik darboğazlar:
- Critical function inventory eksik: “Hangi fonksiyon kritik?” sorusu belirsiz; business impact analysis çıkarılmadan TLPT scope tanımlanamıyor
- Third-party register güncellik: CSP/SaaS envanteri dağınık tutuluyor; otomatik discovery (Wiz, Lacework, CSPM) gerekiyor
- TLPT provider seçimi: Sertifikalı pentester bulmak ve takvimlemek 6-9 ay alıyor; süreç başlatılmıyor
- 4-saat incident reporting: SOC ekibi DORA-spesifik playbook eksik; incident triage’da regulatory tagging yapılmıyor
- Exit strategy yokluğu: Critical CSP’den çıkış planı dokümantasyonu yapılmamış; geriye dönüş ya da farklı CSP’ye taşınma senaryosu test edilmemiş
- Threat intelligence olgunluk: Kurum-spesifik threat profiling için iç istihbarat ekibi veya MSSP ortaklığı kurulmamış
Sonuç
DORA, 2026 itibarıyla AB finansal sektörünün operasyonel direnç çerçevesinin merkezinde. Yetki ihlal cezaları (günlük yüzde 1 ciro) ve doğrudan denetim (CTPP’ler için ECB/ESA) DORA’yı “yasaya uyum” ötesinde stratejik bir öncelik haline getiriyor. Türk finansal kurumlar için iki açıdan kritik: AB şubesi olanlar için doğrudan uyum, BDDK’nın mevzuat güncellemelerini şekillendirme açısından dolaylı önem. Pratik yol haritası: birinci, critical function inventory + business impact analysis çıkarılmalı. İkinci, ICT third-party register ve sözleşme renegotiation süreci başlatılmalı. Üçüncü, TLPT için sertifikalı provider seçilmeli ve 12-18 aylık test takvimi planlanmalı. Dördüncü, 4-saatlik incident reporting için SOC playbook + regulatory tagging süreci kurulmalı. 12-24 aylık bir uyum projesi ile kurum hem regülatif yükümlülüklere yetişiyor hem de ciddi bir siber direnç sıçraması yaşıyor. DORA yatırımı uzun vadeli olarak siber sigorta primlerini, regülasyon riskini ve operasyonel downtime’ı düşürüyor.
Sıkça Sorulan Sorular
DORA Türk finansal kurumları için uygulanıyor mu?
Türkiye AB üye olmadığı için DORA doğrudan uygulanmıyor. Ancak AB’de şubesi olan Türk bankaları branch operasyonu için uyum sağlamak zorunda. BDDK 2025-2026 güncellemelerinde DORA prensiplerini model alması bekleniyor; pratik etki dolaylı ancak güçlü.
TLPT (Threat-Led Penetration Testing) hangi sıklıkla yapılmak zorunda?
3 yılda bir minimum; kritik veya önemli fonksiyonların kapsamlı bir saldırı simülasyonu. Test minimum 12 hafta, ESA approval ile başlıyor, sertifikalı provider tarafından gerçekleştiriliyor. Bulgular 6 ay içinde remediate edilmeli ve tekrar test ile doğrulanmalı.
ICT third-party register’ı nasıl tutarız?
Yıllık olarak yetkili otoriteye raporlanan, tüm CSP/SaaS/MSP sağlayıcıları, sözleşme detaylarını, kapsam ve kritiklik sınıflandırmasını içeren bir register. Manuel sürdürmek zor; CSPM araçları (Wiz, Lacework, Orca), TPRM platformları (OneTrust, ProcessUnity) ile otomatize ediliyor.
4-saatlik incident reporting nasıl sağlanır?
SOC ekibinde DORA-spesifik playbook (regulatory tagging, business impact, customer impact estimation), incident management platformunda otomatik triage rule’ları, hukuki/regülasyon ekibi ile direkt iletişim kanalı. ServiceNow Security Operations, Splunk SOAR, Tines gibi araçlar otomatize ediyor.
DORA cezaları nelerdir?
İhlal başına günlük yıllık cironun yüzde 1’ine kadar idari para cezası, maksimum 6 ay süreyle. Critical Third-Party Provider’lar için bağımsız ceza yetkisi (ECB/ESA doğrudan). Yetkili otoriteye yanlış bilgi cezalandırılıyor; uyum eksikliği yöneticisel sorumluluk doğurabiliyor.
Ömer Önal
Mayıs 23, 2026DORA, 2026 itibarıyla AB finansal sektörünün operasyonel direnç çerçevesinin merkezinde. Türk bankalar için AB şubesi olanlar doğrudan uyum sağlamak zorunda; BDDK’nın mevzuat güncellemelerinde DORA prensiplerini model alması ise dolaylı ancak güçlü etki yaratıyor. 12-24 aylık uyum projesi ile critical function inventory, TLPT, ICT third-party register ve 4-saatlik incident reporting süreçleri kurulabiliyor.