DORA

DORA uyumluluğu Türkiye’deki ICT tedarikçilerini nasıl etkiler?

Türkiye merkezli ICT tedarikçileri için DORA hazırlığı, dayanıklılık, olay bildirimi, alt tedarikçi riski ve kanıt yönetimi rehberi.

Yayınlandı2026-04-14Güncellendi2026-04-25Okuma süresi3 dk okuma
Kişisel yetkinlikler
CISSPCISMPMPChief Information Security Officer
Çerçeve uzmanlık alanları
ISO 27001ISO 27701SOC 2 readinessDORAKVKK/GDPRAI GovernanceVendor Risk
AB finans müşterilerine hizmet veren ICT tedarikçileri için DORA uyum hazırlığı haritası
AB finans müşterilerine hizmet veren ICT tedarikçileri için DORA uyum hazırlığı haritası

DORA, AB finans ekosisteminde teknoloji riskinin daha disiplinli yönetilmesini hedefler. Türkiye merkezli bir ICT tedarikçisi doğrudan finansal kuruluş olmayabilir, fakat AB finans müşterilerine hizmet veriyorsa sözleşme, satın alma, güvenlik anketi, olay bildirimi ve kanıt talepleri üzerinden DORA beklentileriyle karşılaşabilir.

Yönetim için kısa özet

ICT tedarikçileri için DORA hazırlığı sadece hukuki yorum çalışması değildir. Müşteriye karşı hizmet sürekliliğini, olay yönetimini, kritik tedarikçileri, dayanıklılık testlerini ve kanıt sahipliğini gösterebilen bir güven programıdır.

İlk güvenli adım bir DORA kanıt haritası oluşturmaktır. Bu harita müşteri gören hizmetleri, kritik sistemleri, alt tedarikçileri, operasyonel bağımlılıkları, olay iletişimini ve test sonuçlarını birbirine bağlamalıdır. Satış ve müşteri güven ekipleri için kullanışlı, güvenlik ve hukuk ekipleri için izlenebilir olmalıdır.

Bu yazı genel bilgilendirme amaçlıdır, hukuki danışmanlık değildir.

Kimler için geçerli?

Bu rehber, AB finans kuruluşlarına veya onların hizmet zincirine SaaS, bulut, yönetilen güvenlik, altyapı, veri platformu, destek veya operasyon hizmeti veren teknoloji şirketleri için uygundur.

Türkiye, Kanada, Birleşik Krallık veya ABD merkezli olmak tek başına beklentiyi ortadan kaldırmaz. Pratik soru şudur: AB’de düzenlemeye tabi bir müşteri sizden ICT riski, dayanıklılık, olay bildirimi ve alt tedarikçi kanıtı isteyecek mi?

Müşteriler ne sorabilir?

Finans müşterileri kritik hizmetleri, iş sürekliliği ve felaket kurtarma planlarını, olay bildirim hızını, dayanıklılık testlerini, alt tedarikçi yönetimini ve kontrol sahipliğini sorabilir.

Bu talepler güvenlik anketi, satın alma incelemesi, sözleşme maddesi, denetim desteği veya yenileme kontrolü olarak gelebilir. Her talebe sıfırdan cevap vermek yerine tekrar kullanılabilir bir kanıt paketi oluşturmak daha güvenlidir.

Pratik hazırlık kontrol listesi

  1. AB finans müşterilerine hizmet veren ürün, ortam ve destek süreçlerini belirleyin.
  2. Kritik sistemleri, veri akışlarını, bölgeleri, alt tedarikçileri ve operasyonel bağımlılıkları çıkarın.
  3. Sahipleri, aksiyon durumunu ve yönetim raporlamasını içeren ICT risk kayıt defteri oluşturun.
  4. Olay önem seviyelerini, müşteri bildirim akışını, eskalasyon kişilerini ve karar yetkisini yazılı hale getirin.
  5. İş sürekliliği ve felaket kurtarma planlarını güncel tutun, test edin ve hizmet taahhütleriyle ilişkilendirin.
  6. Dayanıklılık testlerini, masa başı tatbikatları, yedek dönüş testlerini ve öğrenilen dersleri takip edin.
  7. Kritik alt tedarikçileri güvenlik, süreklilik, lokasyon, erişim ve olay iletişimi açısından gözden geçirin.
  8. Politika, prosedür, test kaydı ve sahipleri gösteren müşteri hazır kanıt indeksi oluşturun.

Yaygın hatalar

İlk hata, DORA’yı sadece doküman talebi gibi görmektir. Müşteriler yalnızca politika görmek istemez. Politikanın sahibi, güncelliği, testi ve gerçek hizmetlerle bağlantısı olup olmadığını görmek ister.

İkinci hata, alt tedarikçileri dışarıda bırakmaktır. Bulut sağlayıcısı, izleme aracı, müşteri destek sistemi, kimlik sağlayıcı veya veri işleyen bir alt tedarikçi dayanıklılık hikayesinin parçası olabilir.

Üçüncü hata, güvenlik, hukuk ve müşteri güven yanıtlarını ayrı yürütmektir. DORA talepleri teknik, sözleşmesel, operasyonel ve yönetişim konularını birlikte içerebilir.

İlk ne yapılmalı?

Bir sayfalık hizmet ve kanıt haritası ile başlayın. Müşteri gören hizmetleri, kritik sistemleri, ana alt tedarikçileri, olay kişilerini, süreklilik planlarını, test kayıtlarını ve açık boşlukları listeleyin. Sonra bu haritayı en güçlü müşteri anketi veya sözleşme talebiyle karşılaştırın.

İlgili başlangıç noktaları: DORA Uyum Hazırlığı, Tedarikçi Risk Yönetimi, ISO 27001 ve Sanal CISO.

Resmi kaynaklar

DORA için temel resmi metin Regulation (EU) 2022/2554 sayılı düzenlemedir. EIOPA da DORA hakkında resmi bir genel bakış sunar. Şirket özelindeki yükümlülükler için yetkin hukuk ve uyum danışmanlarıyla değerlendirme yapılmalıdır.

Sık sorulan sorular

Bu içerik hukuki danışmanlık yerine geçer mi?

Hayır. Bu yazı genel bilgilendirme amaçlıdır ve şirket özelinde hukuk, uyum veya denetim danışmanlığının yerine geçmez.

ICT tedarikçileri ilk ne hazırlamalı?

Müşteri gören hizmetleri, kritik sistemleri, alt tedarikçileri, olay kişilerini, test kayıtlarını ve açık boşlukları gösteren bir hizmet ve kanıt haritası hazırlanmalıdır.

Kaynaklar

İlgili kaynaklar

frameworkDORA Uyum HazırlığıframeworkTedarikçi Risk YönetimiframeworkSanal CISO

Bu içerik eğitim amaçlıdır. Hukuki görüş, resmi denetim sonucu veya uyumluluk garantisi değildir.

Sonraki adım

DORA beklentilerine hazırlanıyor musunuz?

ICT tedarikçi riski, olay bildirimi, yönetişim ve kanıt boşluklarını denetim döngüsü başlamadan haritalayın.

DORA hazırlığını konuşalım DORA kontrol listesini aç