2026'da bulut-yerel bankacılık DORA denetim aşamasındadır. Tüzük (AB) 2022/2554 ⧉ 17 Ocak 2025'ten bu yana yürürlüktedir. Madde 28-44 kapsamındaki kritik üçüncü taraf sağlayıcı (CTPP) tanımlama rejimi 2025-2026 boyunca açılmıştır; AWS, Microsoft (Azure), Google (GCP) ve Salesforce tanımlama perimetresinin içinde veya yakınındadır. Avrupa Denetim Otoriteleri (EBA, EIOPA, ESMA), Bilgi Sicili ⧉ üzerine nihai RTS ve ITS'leri 2024'te yayımladı. ECB Banking Supervision ekibinin 2026-28 denetim öncelikleri ⧉ belgesinde bulut kesintisi hazırlığı ve tehdit-odaklı sızma testi konularında açık programları vardır. Kurumsal soru, bulut stratejisinin DORA ile uyumlu olup olmayacağı değil — bu mesele kapanmıştır — kurumun platform mühendisliği primitiflerinin, sınavdan bir hafta önce derlenen PDF'lerde değil, dağıtım boru hattının hızında kanıt üretip üretmediğidir.
Yönetici Özeti / Temel Çıkarımlar
- DORA bulut dayanıklılığı 17 Ocak 2025'ten bu yana aktif yaptırımdadır. Madde 6, 8, 18, 26 ve 28-44 tamamen yürürlüktedir. İlk sınav dalgasından denetim bulguları 2025 4. çeyrekte ulaştı. "Hazırlık" çerçevelemesi iki döngü gerideki bir bakış açısıdır.
- CTPP tanımlama rejimi açılmaktadır. AWS, Microsoft, Google, Salesforce — içinde veya yakınında. Tanımlama, ESA'lara bilgi talepleri, yerinde denetimler ve denetim önerileri dahil doğrudan gözetim hakları verir.
- Platform mühendisliği teslimattır. Kubernetes asfaltlanmış yollar (EKS / AKS / GKE / OpenShift), Backstage tarzı geliştirici portalı, GitOps (ArgoCD veya Flux), kabulde Open Policy Agent, uçtan uca OpenTelemetry. Beş adlandırılmış primitif; eksik olan her şey bir bulgudur.
- Egemen bulut mühendisliktir, markalama değildir. AWS European Sovereign Cloud, Microsoft EU Data Boundary, Bleu (Capgemini + Orange + Microsoft), Thales / S3NS, Oracle EU Sovereign Cloud — her biri belirli bir Schrems II + DORA Madde 28 boyutunu ele alır; hiçbiri anahtar-teslim bir cevap değildir.
- Test edilmiş çıkış kanıtı gereklidir. EBA/GL/2019/02 paragraf 81 ve 113-117. Üç aylık masaüstü tatbikat yetersizdir; denetçiler her kritik veya önemli işlev için yıllık uçtan uca çıkış uygulama testi bekler.
- CIF envanterinden RTO / RPO. Kademe 1: 2sa / 15dk. Kademe 2: 4sa / 1sa. Kademe 3: 24sa / 4sa. İş etki analizinden türetilir, platform ekibi kapasitesinden değil.
DORA Bulut Dayanıklılığı Neden Denetim Aşamasında #
2026'da "hazırlık" çerçevelemesinin yanlış olmasının üç nedeni.
Birincisi, takvim. DORA Aralık 2022'de yayımlandı. 24 aylık uygulama dönemi 17 Ocak 2025'te kapandı. ESA'ların nihai RTS ve ITS'leri — CTPP tanımlaması için kullanılan Bilgi Sicili üzerine ITS dahil — 2024 boyunca yayımlandı. İlk denetim sınav dalgası 2025 boyunca yürütüldü; Madde 6 BİT risk yönetimi çerçevesi tamlığı ve Madde 8 sicil mutabakatı üzerine bulgular, 2025 4. çeyrekte birden fazla 1. kademe kurumda ortaya çıktı.
İkincisi, CTPP tanımlama rejimi. Madde 31, kritik üçüncü taraf sağlayıcı olarak tanımlanma kriterlerini belirler: arıza durumunda sistemik etki, sağlanan hizmetlerin kritikliği, hizmetlerin ölçeği ve karmaşıklığı, ikame edilebilirlik. ESA'lar sicili tutar ve tanımlama kararlarını yayımlar. AWS, Microsoft (Azure), Google (GCP) ve Salesforce, üye devlete göre finansal hizmetler pazar payına bağlı olarak tanımlama perimetresinin içinde veya yakınındadır. Tanımlama, baş gözetmene (her sağlayıcı için tahsis edilen ESA'lardan biri) doğrudan gözetim yetkisi verir: Madde 37 kapsamında bilgi talepleri, Madde 38 kapsamında yerinde denetimler, Madde 35 kapsamında öneriler ve Madde 41 kapsamında kamuya açıklama rejimi. Bu CTPP'ler üzerinden denetlenen bankalar, bu tanımlanmış bağımlılığı nasıl yönettiklerine ilişkin karşılık gelen denetim beklentilerine tabidir.
Üçüncüsü, ECB'nin 2026-28 denetim öncelikleri. Öncelikler belgesi, bulut-yerel bankacılığı doğrudan etkileyen iki açık programı adlandırıyor: büyük bulut hizmeti kesintisine hazırlık (modellenmiş denetim senaryoları, kurumun tanımlanmış bir CTPP'nin sürekli kesintisini soğurma yeteneğini test eder) ve TIBER-EU uyumlu TLPT (her TIBER-EU egzersizi, artık genel bulutta barındırılan hizmetleri de içeren kurumun kritik ve önemli işlevlerini kapsar). 2026 sınav dalgası her ikisinde de bulgular üretecek.
2026'nın çerçevelemesi "DORA geliyor" değil; "DORA sınav bulguları kurumunuzun posta kutusuna ulaşıyor ve 2024-2025 boyunca aldığınız platform mühendisliği kararları denetçinin bu bulgularda incelediği şeydir."
2026 Endeks Mimarisi #
| Endeks Katmanı | "Hazır" Nasıl Görünür | Hazırlık Metriği | Arıza Modu |
|---|---|---|---|
| Platform olgunluğu | İş yüklerinin >%80'i, kod-olarak-politika kabulü, GitOps dağıtımı, otomatik DR testi ile asfaltlanmış yol Kubernetes platformunda (EKS / AKS / GKE / OpenShift) | Asfaltlanmış yol platformundaki CIF'lerin yüzdesi; gölge-dağıtım sayısı; platforma yeni hizmet eklemenin ortalama süresi | Tutarsız kontrollere sahip gölge platformlar; Madde 8 sicil mutabakatına görünmez asfaltlanmamış altyapıda çalışan CIF'ler |
| Madde 8 sicil bütünlüğü | Bilgi Sicili, platformun üçüncü taraf API tüketimi + bulut malzeme listesi ile otomatik olarak mutabık kalır; kritiklik sınıflandırması kurumun CIF envanteri ile tutarlıdır | Platform telemetrisi ile mutabık kalınan sicil giriş yüzdesi; sahipsiz giriş sayısı; CTPP perimetre bütünlük kontrolü | ESA'lar, kurumun Madde 8 kapsamında açıklamadığı tanımlanmış bir CTPP bağımlılığını tespit eder; bireysel bulgu ve CTPP perimetre sonucu |
| Bulut yoğunlaşması | Kritik işlevler bulut sağlayıcılarına VE alt-bulut bölgelerine VE hizmetlere VE ikame edilebilirlik değerlendirmesine eşleştirilir; CIF'ler arası korelasyonlu maruziyet nicelleştirilir | CIF başına yoğunlaşma puanı; tanımlanmış bir CTPP bölgesini paylaşan CIF'ler arasında korelasyonlu maruziyet | Tek bir AWS us-east-1 IAM kesintisi, kurumun bağımsız olarak kaynaklandırdığını sandığı dört CIF'i devre dışı bırakır |
| Test edilmiş çıkış yeteneği | Tanımlanmış bir CTPP'ye bağımlı her CIF için yıllık uçtan uca çıkış uygulama testi; belgelenen RTO / RPO, BIA türevli hedefleri karşılar; veri taşınabilirliği yolu test edilmiş | CIF başına test geçiş oranı; ortalama çıkış uygulama süresi vs RTO hedefi; veri taşınabilirliği yolu gecikmesi | Yalnızca PDF olarak var olan çıkış planı; masaüstü 4sa RTO söyler, gerçek test ilk denemede 48sa gösterir |
| Gözlemlenebilirlik + olay raporlama | Hizmetler arasında uçtan uca OpenTelemetry izleri; olay yönetimi platformuna bağlanmış otomatik Madde 18 4 saat sınıflandırma yardımcısı | OTel izleri tarafından kapsanan CIF trafiğinin yüzdesi; olay tespitinden Madde 18 sınıflandırma kararına ortalama süre | Kritiklik belirlemesi triyaj toplantısı gerektirdiği için 4 saatlik pencerenin dışında sınıflandırılan büyük olay; Madde 18 bulgusu |
| TLPT entegrasyonu | TLPT kapsamı CIF envanterinden türetilir ve sürekli yenilenir; bulgular kod-olarak-politika platformuna geri besler; kapanan bulgular denetime hazır kanıt paketleri üretir | TLPT bulgularının kapanma oranı; bulgudan politika güncellemesine döngü süresi | TLPT, kurumun platform mühendisliği ekibinin iki sürüm döngüsünden daha kısa sürede düzeltemediği bir güvenlik açığı keşfeder |
Takip Edilecek Güncel Sinyaller #
| Sinyal | Bankalar İçin Anlamı | Kaynak |
|---|---|---|
| DORA 17 Oca 2025'ten bu yana aktif yaptırımda | İlk dalga denetim bulguları 2025 4. çeyrekte ulaştı; ikinci dalga bulguları 2026 2. yarısı boyunca bekleniyor | EUR-Lex ⧉ |
| CTPP tanımlaması 2025-2026 boyunca açılıyor | AWS, Microsoft, Google, Salesforce perimetrenin içinde veya yakınında; tanımlama ESA'lara doğrudan gözetim hakları verir | EBA ⧉ |
| ECB 2026-28 denetim öncelikleri bulut kesintisini açıkça adlandırıyor | Modellenmiş denetim senaryoları, sürekli tanımlanmış-CTPP kesintisini soğurma yeteneğini test eder | ECB Banking Supervision ⧉ |
| TIBER-EU, DORA Madde 26 ile uyumlu | TLPT kapsamı, bulutta barındırılan hizmetler dahil kritik / önemli işlevleri kapsar | ECB TIBER-EU ⧉ |
| EBA dış kaynak kullanımı kılavuzları (EBA/GL/2019/02), DORA Madde 28 ile birbirine kenetlenir | Asli mevcudiyet (¶64), ikame edilebilirlik değerlendirmesi (¶81), çıkış stratejisi (¶113-117) — denetçilerin gerçekten test ettiği paragraflar | EBA ⧉ |
| AB Bulut Hizmetleri Şeması (EUCS) taslağı ilerliyor | AB Siber Güvenlik Yasası kapsamındaki gelecekteki egemen-bulut sertifikasyon şeması; ENISA tarafından yayımlanan taslak | ENISA EUCS ⧉ |
Platform Mühendisliği: Beş Adlandırılmış Primitif #
2026'da bulut-yerel olgunluk, denetim kanıtını dağıtım boru hattının hızında üretmek için birbirine kenetlenen beş mühendislik primitifine indirgenir. Birinin eksikliği, beklemede olan bir bulgudur.
1. Kubernetes Tabanlı Asfaltlanmış Yollar #
Her CIF yönetilen bir Kubernetes platformunda çalışır — tanımlanmış bir CTPP'de EKS, AKS, GKE veya OpenShift ya da satıcı tarafından yönetilen bir alternatif. Platform ekibi, kontrollü sapma ile tek bir altın küme deseni işletir: belgelenmiş bir temel görüntüden düğümler; takım başına ad alanı izolasyonu; pod-güvenlik-standartları-kısıtlanmış profil; ağ politikaları; hizmetler arası kimlik doğrulama ve gözlemlenebilirlik için hizmet ağı enjeksiyonu (Istio veya Linkerd). Yeni hizmetler, Madde 8 sicil girişini bir dağıtım yapıtı olarak üreten şablonlu bir dahil etme iş akışı aracılığıyla asfaltlanmış yola katılır.
2. Backstage Tarzı Geliştirici Portalı #
Merkezi bir geliştirici portalı — Spotify'ın açık kaynaklı Backstage ⧉ referans uygulamadır, çeşitli kurumsal alternatifleri vardır — neyin nerede çalıştığı için kayıt sistemi sağlar. Katalog her hizmeti, sahibini, bağımlılığını, kritiklik sınıflandırmasını, çalıştırma kılavuzunu, nöbet rotasyonunu listeler. Portal, Madde 8 sicili ile birbirine kenetlenir: her katalog girişi bir sicil girişine eşlenir; sicil referansları olmayan girişler CI arızasını tetikler; katalog mevcudiyeti olmayan sicil girişleri denetçiyi önceleyen uyarıları tetikler.
3. ArgoCD veya Flux Üzerinden GitOps Dağıtımı #
Üretim dağıtımı bir GitOps denetleyicisi aracılığıyla yürür — 2026'da ArgoCD veya Flux üretim standardıdır — bu, Git-versiyonlu bildirimsel durumu çalışan kümeyle uzlaştırır. Manuel kubectl apply devre dışıdır; üretime tek yol birleştirilmiş bir çekme isteğidir. Git deposu denetim günlüğüdür; "X hizmetinin Y tarihindeki yapılandırmasını gösterin" diyen denetçiler bir ekran görüntüsü değil, bir Git etiketi alır.
4. Kabulde Open Policy Agent #
Open Policy Agent (OPA), platform politikasını uygulayan küme kabul zincirinde yer alır: pod-güvenlik profili uyumluluğu, görüntü kaynak garantisi, kaynak limitleri, ağ-politikası mevcudiyeti, kritiklik-kademe-uygun çoğaltma, egemen-bulut kısıtlamaları altında alt-bölge yerleşimi. Politikalar Git-versiyonlu ve hizmet yapılandırmalarıyla birlikte değişiklik-yönetimlidir. Reddedilen dağıtımlar, değişiklik-yönetimi kanıt paketini besleyen incelenebilir gerekçeler üretir.
5. Uçtan Uca OpenTelemetry #
Her hizmet OpenTelemetry izleri, metrikleri ve günlükleri yayar. Platform ekibi merkezi bir gözlemlenebilirlik boru hattı işletir — tipik olarak izler için Tempo veya Jaeger, metrikler için Prometheus, günlükler için Loki veya OpenSearch — bu, uçtan uca CIF sağlığını, bağımlılık eşlemesini ve olay-sınıflandırma girdilerini ortaya çıkarır. 4 saatlik Madde 18 sınıflandırma penceresi tespitle başlar; OTel boru hattı, tespitten sınıflandırmaya giden yolu bir triyaj toplantısına değil, sorgulanabilir bir aramaya kısaltır.
Markalama Değil, Mühendislik Olarak Egemen Bulut #
2026'da egemen-bulut stratejisi, dört belirli Schrems II + DORA + EBA dış kaynak sorusuna cevap vermelidir:
- Veri nerede işleniyor ve saklanıyor? AB üye devleti konumu; yüksek-kritiklik akışları için alt-bölge; yazılı veri ikamet taahhütleri.
- Verilere kimin yasal erişimi var? Yalnızca yerel-çalışan operasyonları; Yabancı-hükümet erişim talepleri yerel-mahkeme sürecine tabi; yasal-erişim taleplerine test edilmiş yanıt.
- İkame edilebilirlik profili nedir? EBA/GL/2019/02 ¶81 ikame edilebilirlik değerlendirmesi; test edilmiş çıkış-uygulaması; alternatif sağlayıcı belirlenmiş ve sözleşmeli (veya neden uygulanabilir olmadığı belgelenmiş).
- Teknik egemenlik modeli nedir? Müşteri-kontrollü anahtarlar; kriptografik ayrım; egemen yönetim düzlemi; denetlenebilir tedarik zinciri.
Bu soruları ele alan 2026 satıcı seçenekleri:
- AWS European Sovereign Cloud (2023'te duyuruldu, GA 2026 2. yarısı bekleniyor): AB-mukimi AWS yan kuruluşu tarafından işletilen fiziksel bölge; AB-mukimi operasyonlar ve destek; KMS-XKS deseni aracılığıyla müşteri-kontrollü anahtarlar. 2026'da DORA Madde 28 sözleşmesel içerik uyumu beklemede.
- Microsoft EU Data Boundary (GA 2024) + Bleu (Capgemini + Orange + Microsoft, yalnızca Fransa): Data Boundary AB müşteri verilerini AB bölgelerinde tutar; Bleu, Fransız operasyonel kontrolü altında Microsoft Azure yığınını çalıştıran SecNumCloud uyumlu Fransız egemen buludur.
- Google Cloud egemen ortaklıkları: Fransa'da Thales / S3NS (Bleu eşdeğeri); Almanya'da T-Systems.
- Oracle EU Sovereign Cloud (GA 2023): AB-mukimi operasyonlarla çift-bölge deseni (Frankfurt + Madrid); temiz Schrems II uyumlu.
- Gaia-X uyumlu sağlayıcılar (OVHcloud, Scaleway, Stackit, Aruba Cloud, IONOS): Gaia-X etiketlemesine sahip yerli-AB sağlayıcıları; hiperölçekleyicilerden daha küçük ölçek ve ekosistem ancak Foreign Intelligence Surveillance Act maruziyeti yok.
Stratejik karar nadiren ikilidir. 1. kademe bankalar tipik olarak iş yüklerinin büyük kısmı için hiperölçekleyici-ile-Data-Boundary yapılandırması, belirlenmiş yüksek-hassasiyet akışları için bir egemen-bulut seçeneği (örn. AB-mukim kişisel verileri işleyen AML / yaptırım vaka-yönetimi sistemleri) ve DORA Madde 28 kapsamında yıllık test edilen bir acil durum-ikame yolu çalıştırır.
Test Edilmiş Çıkış Uygulaması #
EBA/GL/2019/02 ⧉ paragraf 113-117 çıkış-stratejisi hükümleridir. Metin neyin gerekli olduğu konusunda açıktır: "Kurumlar ve ödeme kurumları, ticari faaliyetlerine gereksiz aksaklık olmadan dış kaynak düzenlemelerinden çıkabileceklerini sağlamalıdır… Çıkış stratejileri ayrıca dış kaynak düzenlemelerinin düzenli incelemelerinin bir parçası olarak belgelenmeli ve test edilmelidir."
2026'da denetim beklentisi, tanımlanmış bir CTPP'ye bağımlı her CIF için yıllık uçtan uca çıkış uygulama testidir. Masaüstü tatbikatları ve belge incelemeleri yetersizdir. Test şunları üretmelidir:
- Geri-yükleme süresi ölçümü: BIA türevli RTO hedefine karşı, çıkışın ilanından alternatif sağlayıcıda iş yükünün geri yüklenmesine kadar gerçek geçen süre.
- Veri taşınabilirliği kanıtı: birincilden test edilmiş veri dışa aktarımı, mutabakat kanıtıyla hedef sağlayıcının içe aktarma yoluna karşı doğrulanmış.
- İşlevsel eşdeğerlik: alternatif sağlayıcıda eşdeğer SLO'larla çalışan test edilmiş iş yükü.
- Maliyet kanıtı: kurumun acil durum planlamasındaki geri-yükleme-maliyeti varsayımına karşı belgelenmiş çıkış-uygulama maliyeti.
Bir CIF için ilk uçtan uca çıkış testi denemesi tipik olarak belgelenen RTO ile gerçek RTO arasında 5-10× boşluk ortaya çıkarır. Bu boşluğu kapatmak ay alan bir mühendislik çalışmasıdır. Bunu kendi yıllık test döngüleri sırasında değil de bir denetim incelemesi sırasında keşfeden bankalar, önleyebilecekleri bir 3. çeyrek bulgu döngüsüyle karşılaşır.
CIF Envanterinden RTO / RPO Hedefleri #
Her kritik veya önemli işlev, kurumun iş etki analizinden türetilen bir kademe sınıflandırmasına eşlenir. Kademe, platform mühendisliği ekibinin sunmayı taahhüt ettiği RTO ve RPO hedeflerini yönlendirir.
| Kademe | Örnekler | RTO | RPO |
|---|---|---|---|
| Kademe 1 (görev-kritik) | RTGS bağlantısı (CHAPS / T2 / Fedwire), perakende ödeme yetkilendirmesi, dijital kanallar için müşteri kimlik doğrulaması | 2 saat | 15 dakika |
| Kademe 2 (kritik) | AML / yaptırım taraması, dolandırıcılık-tespit boru hatları, ATM yetkilendirmesi, toplu ödeme işleme | 4 saat | 1 saat |
| Kademe 3 (önemli) | Raporlama ve düzenleyici sunum, müşteriye yönelik bilgi tabanları, dahili işbirliği platformları | 24 saat | 4 saat |
| Kademe 4 (kritik-olmayan) | Dahili İK sistemleri, pazarlama araçları, müşteriye-yönelik-olmayan raporlama | 72 saat | 24 saat |
Bu rakamlar gösterge niteliğindedir — kurumun BIA'sı kendi rakamlarını üretir. Platform mühendisliği teslimatı, BIA türevli hedefleri karşılamak için regresyon-testli bir yetenektir, hizmet başına otomatik DR testi ile kanıtlanır ve CTPP'ye bağımlı CIF'ler için yıllık çıkış uygulama testi ile doğrulanır.
Bunun Banka Türüne Göre Anlamı #
Küresel Sistemik Önemde Bankalar #
Zor problem, iş kolları arasında ölçektir: binlerce hizmet, yüzlerce CIF, ürünler, yargı bölgeleri ve dayanıklılık profilleri arasında birden fazla tanımlanmış-CTPP maruziyeti. Yatırım, iş-kolu başına özel inşaat olmadan Madde 8 sicil mutabakatını, CTPP yoğunlaşma haritasını ve CIF-bazında çıkış-uygulama yeteneğini üreten merkezi platform mühendisliği yeteneğidir — Kubernetes asfaltlanmış yollar, Backstage portalı, GitOps, OPA, OTel.
Evrensel ve Orta Ölçekli Bankalar #
Platform mühendisliği yatırımı bu kademede haklıdır ancak kapsam kısıtlıdır: en yüksek-kritiklikteki iki veya üç CIF'i seçin, onların etrafında asfaltlanmış-yol desenini inşa edin, eski mülkün orta vade için mevcut kontrollerle devam etmesini kabul edin. Denetim konumlandırması, platform genişliğinden daha önemlidir — DORA Madde 8 sicil bütünlüğünü ve ilk üç CIF için test edilmiş çıkışı kanıtlayabilmek, denetçinin birincil endişelerini karşılar.
Bölgesel ve Daha Küçük Bankalar #
Dahili inşa yerine satıcı seçimi. Kubernetes-yerel mimarisi belgelenen, Madde 8 sicil entegrasyonu yerleşik olan ve DORA Madde 28 sözleşmesel içerik taahhütleri açık olan bir bankacılık-platform satıcısı seçin. Dahili mühendislik yeteneği yapılandırma, izleme ve olay müdahalesi etrafındadır — platform inşası değil.
Bankalara Hizmet Veren Fintech'ler, PSP'ler ve SaaS Sağlayıcıları #
2026'da AB bankalarına satış yapan satıcılar için ürün sorusu, platformun bankanın uyum işlevinin ihtiyaç duyduğu Madde 8 sicil girişlerini ve DORA Madde 28 sözleşmesel içeriği üretip üretmediğidir. Yapılandırılmış çıktıları olan satıcılar kurumsal anlaşmaları kazanır; PDF şablonları olan satıcılar yapılandırılmış JSON'lu rakiplere kaybeder.
Sonuç #
DORA bulut dayanıklılığı denetim aşamasındadır. 2024-2025 boyunca alınan platform mühendisliği kararları, 2026 denetim döngüsünün incelediği şeydir. 2026-2028'de ECB ve EBA'ya inandırıcı görünen kurumlar, Backstage tarzı portallar ve Open Policy Agent kabulü altında GitOps dağıtımı ile uçtan uca OpenTelemetry altında Kubernetes asfaltlanmış yollar çalıştıranlardır — Madde 8 sicil kanıtını bir dağıtım yapıtı olarak ve test edilmiş çıkış-uygulama kanıtını yıllık bir döngü olarak üretirler, bir denetim talebi yanıtı olarak değil.
Bu yatırımları yapmayan kurumlar, ikinci tur ulaşmadan önce ikinci hat uyum ekiplerinin ilk tur denetim bulgularını soğurup soğuramayacağını keşfedecek.
Platformu, herhangi bir operasyonel programı ölçer gibi ölçün: asfaltlanmış-yol kapsamı, sicil mutabakat oranı, CTPP yoğunlaşma puanı, RTO hedefine karşı test edilmiş çıkış süresi, Madde 18 sınıflandırma ortalama süresi, TLPT kapanma oranı. Boru hattının hızında kanıt; yalnızca denetçi istediğinde belge paketleri.
Sıkça Sorulan Sorular #
DORA bulut dayanıklılığı 2026'da hâlâ hazırlık aşamasında mı?
Hayır. DORA 17 Ocak 2025'ten bu yana aktif yaptırımdadır. Madde 28-44 kapsamındaki CTPP tanımlama rejimi 2025-2026 boyunca açılmaktadır. Madde 6 BİT risk-yönetimi ve Madde 8 sicil bütünlüğü üzerine ECB sınav bulguları, 2025 4. çeyrekte birden fazla 1. kademe kurumda ortaya çıktı. 2026 denetim sorusu, düzenleyici hazırlık değil, kurum-özel sınav kanıtıdır.
Hangi bulut sağlayıcıları CTPP olarak tanımlanmıştır?
ESA'lar tanımlama kararlarını web sitelerinde yayınlar. 2026'da perimetrenin içinde veya yakınında olan kurumlar AWS, Microsoft (Azure), Google (GCP), Salesforce ve üye devlete göre finansal hizmetler pazar payına bağlı olarak az sayıda başka kurumu içerir. Bu sağlayıcılar üzerinden denetlenen bankalar, bu bağımlılığı nasıl yönettiklerine ilişkin karşılık gelen denetim beklentileriyle karşı karşıyadır.
Egemen bulut, DORA Madde 28 sözleşmesel içerik ihtiyacını ortadan kaldırır mı?
Hayır. Egemen bulut, Schrems II + veri-ikamet boyutunu ele alır; DORA Madde 28 sözleşmesel içeriği, verilerin nerede bulunduğundan bağımsız olarak uygulanan ayrı bir yükümlülüktür. Egemen-bulut sağlayıcısının sözleşmesi, Madde 28 uyarınca veri erişilebilirliğini, güvenliğini, ikametini, denetim haklarını, çıkış stratejilerini ve sürekliliği yine de kapsamalıdır.
DORA bulut dayanıklılığını gösteren mühendislik teslimatı nedir?
Birbirine kenetlenen beş platform mühendisliği primitifi: Kubernetes asfaltlanmış yollar (politika-kontrollü sapma ile yönetilen küme), Backstage tarzı geliştirici portalı (Madde 8 sicili ile uzlaşan katalog), GitOps dağıtımı (ArgoCD veya Flux), kabulde Open Policy Agent, uçtan uca OpenTelemetry. Sınav zamanında değil, boru hattının hızında kanıt.
Çıkış uygulaması ne sıklıkta test edilmelidir?
Tanımlanmış bir CTPP'ye bağımlı CIF başına yıllık uçtan uca çıkış uygulama testi. Masaüstü tatbikatları ve belge incelemeleri yetersizdir. Test, BIA türevli RTO ve RPO hedeflerine karşı ölçülen geri-yükleme süresi, veri taşınabilirliği kanıtı, işlevsel eşdeğerlik ve maliyet kanıtı üretmelidir.
Kaynaklar #
- Avrupa Birliği, (2022). Tüzük (AB) 2022/2554 — Dijital Operasyonel Dayanıklılık Yasası (DORA) ⧉.
- Avrupa Bankacılık Otoritesi, (2019). EBA/GL/2019/02 — Dış kaynak düzenlemeleri kılavuzu ⧉.
- Avrupa Bankacılık Otoritesi, (2026). Dijital Operasyonel Dayanıklılık Yasası ⧉.
- Avrupa Denetim Otoriteleri, (2024). DORA Kapsamında Bilgi Sicili Üzerine ITS Nihai Raporu ⧉.
- ECB Banking Supervision, (2025). Denetim öncelikleri 2026-28 ⧉.
- Avrupa Merkez Bankası, (2024). TIBER-EU çerçevesi ⧉.
- ENISA, (2024). Bulut Hizmetleri için AB Siber Güvenlik Şeması (EUCS) ⧉.
- Spotify, (2020-2024). Backstage geliştirici portalı ⧉.
- Cloud Native Computing Foundation, (2018). Open Policy Agent (OPA) ⧉.
- Cloud Native Computing Foundation, (2019). OpenTelemetry ⧉.
Son inceleme .
Son inceleme .