Adotada em 16 de janeiro de 2023 e programada para entrar em vigor em 17 de janeiro de 2025, a Lei de Resiliência Operacional Digital (DORA) é uma nova regulamentação da UE criada para garantir que as organizações do setor financeiro sejam resilientes diante de interrupções menores ou catastróficas, como ataques cibernéticos. A estrutura regulatória exige que as organizações demonstrem que podem resistir, responder e se recuperar de todos os tipos de interrupções e ameaças relacionadas a dados, comunicação e tecnologia. As regras incluem recursos de proteção, detecção, contenção, recuperação e reparo.
A lei se aplica a mais de 20 tipos diferentes de entidades financeiras, como bancos, seguradoras e empresas de investimento, e a terceiros que interagem com elas. As regras também abrangem todos os prestadores de serviços terceirizados de tecnologias de informação e comunicação (TIC). Assim como o GDPR coordena a regulamentação da privacidade de dados, o DORA foi projetado para consolidar e atualizar a resiliência cibernética, o risco de TIC e a gestão de riscos cibernéticos nos serviços financeiros.
Os requisitos rigorosos e a abordagem estruturada do DORA ajudarão o setor financeiro a se fortalecer contra riscos digitais complexos e ameaças à segurança cibernética, garantindo um ambiente financeiro estável, resiliente e seguro em toda a UE. A integração desses requisitos à estrutura de sua organização a prepara para os desafios digitais atuais e cria uma base para se adaptar aos futuros avanços tecnológicos.
A gestão de riscos de TIC não é um conceito novo. No entanto, os mandatos abrangentes do DORA exigem que as entidades financeiras realizem revisões completas e extensas em suas práticas e estruturas atuais. No entanto, a lei não apenas exige revisões abrangentes das práticas de gestão de riscos de TIC, ela também intensifica a responsabilidade dos órgãos de gestão interna de uma instituição financeira, encarregados da função fundamental de elaborar e endossar a estratégia da empresa para a resiliência operacional digital. A estratégia também deve ser apoiada por tolerâncias a risco de interrupção de TIC claramente definidas, indicadores-chave de desempenho (KPIs) e métricas de risco que se alinham aos padrões de segurança de TIC aprimorados do DORA.
Após uma grave interrupção dos negócios, o DORA exige que as entidades financeiras realizem análises rigorosas do impacto nos negócios para:
Essa abordagem proativa garante que as entidades financeiras estejam preparadas para lidar com interrupções e sejam capazes de continuar as operações com o mínimo de impacto ou tempo de inatividade.
O DORA exige medidas de proteção de segurança cibernética, incluindo políticas relacionadas a:
As práticas recomendadas de resiliência cibernética abrangem essas medidas de proteção de segurança cibernética e muito mais para permitir que as organizações financeiras se preparem no caso de um incidente cibernético, minimizando o tempo de inatividade e o impacto de um ataque cibernético.
Enfatizando ainda mais a necessidade de transparência e responsabilidade, o DORA exige a criação de uma estratégia de comunicação robusta dentro de cada organização, incluindo a designação de uma pessoa específica responsável por gerenciar e relatar incidentes relacionados a TIC. Essas linhas claras de comunicação são essenciais para a elaboração de relatórios e respostas em tempo hábil, reduzindo o possível impacto de quaisquer problemas de TIC nas operações da entidade.
Além disso, é fundamental um profundo entendimento das interconexões entre os ativos, processos e sistemas de TIC de uma entidade. O DORA exige que as instituições financeiras e os provedores realizem um mapeamento abrangente desses componentes para identificar vulnerabilidades críticas e melhorar a resiliência operacional geral no caso de um incidente ou violação. A prática recomendada de desenvolver manuais de recuperação e exercícios esclarece o processo em todos os departamentos e se baseia no mapeamento das interconexões para aumentar a resiliência dos negócios.
Eles também devem se envolver com provedores de serviços de TIC "críticos" para garantir que eles também estejam se preparando para as mudanças e entendam suas funções no suporte às instituições financeiras no novo ambiente regulatório.
O DORA não se aplica apenas a bancos e instituições financeiras. Ele tem como alvo todo o setor financeiro da UE, incluindo fornecedores e vendedores essenciais, como gerentes de tecnologia e provedores de serviços de pagamento.
Os principais setores e entidades afetados pelas normas do DORA incluem:
O artigo 2(3) do DORA isenta determinadas entidades devido ao seu tamanho ou importância limitados, incluindo:
Os estados-membros também podem, a seu critério, isentar entidades nacionais específicas de crédito ou investimento.
O DORA é uma iniciativa regulatória altamente significativa e abrangente que estabelece uma estrutura precisa para lidar com a crescente complexidade e conectividade dos sistemas digitais no setor financeiro da UE. Ao definir um padrão unificado em todos os estados-membros, ele garante que todas as entidades do setor financeiro, incluindo bancos, seguradoras, empresas de investimento e provedores de serviços de pagamento, estejam adequadamente equipadas para gerenciar e reduzir os riscos associados aos seus sistemas e serviços de TIC.
Uma das principais áreas de foco do DORA é o aprimoramento das medidas de segurança cibernética. As instituições financeiras devem implementar políticas e controles robustos de segurança cibernética que previnam, detectem e respondam a uma ampla gama de ameaças cibernéticas, incluindo monitoramento e testes contínuos de suas defesas cibernéticas, bem como mecanismos rápidos de recuperação e resposta para minimizar os possíveis impactos de incidentes cibernéticos.
A proteção de dados também é altamente examinada no DORA, com seus regulamentos exigindo que as entidades financeiras estabeleçam estruturas abrangentes de governança de dados que garantam a integridade, a confidencialidade e a disponibilidade desses dados. Isso inclui a implementação de medidas de segurança de confiança zero para proteger dados confidenciais de clientes e financeiros contra acesso não autorizado, violações e perdas, reforçando, dessa forma, a confiança nas operações digitais do setor financeiro.
Assim como as plantas fornecem especificações exatas de construção e as partituras deixam pouco espaço para improvisação, o DORA é notavelmente prescritivo, contendo instruções específicas, critérios e modelos para conformidade. Essa abordagem focada em detalhes indica que os reguladores pretendem assumir um papel prático em sua supervisão e aplicação.
O DORA vai além da padronização das práticas de resiliência em todo o setor financeiro. Ele também garante que as instituições financeiras estejam consistentemente preparadas para lidar com os desafios que o cenário digital apresenta, protegendo, em última análise, a estabilidade do setor e o ambiente econômico mais amplo. Sua essência pode ser dividida em cinco pilares principais que abordam vários domínios ou aspectos da TIC e da segurança cibernética.
Os cinco principais "pilares da resiliência operacional" do DORA são:
Vamos observar com mais atenção cada pilar e como ele funciona.
Pilar 1: gestão de riscos de TIC:
A gestão de riscos de TIC no DORA envolve princípios e requisitos abrangentes que vão muito além dos padrões anteriores. Estabelece uma estrutura formal de gestão de riscos de TIC que exige avaliações regulares, identificação completa, estratégias de mitigação de riscos bem definidas e monitoramento contínuo. Diferentemente das práticas anteriores ao DORA, que variam em rigor e escopo, o DORA estabelece um padrão uniforme em toda a UE, garantindo que todas as entidades financeiras tenham uma abordagem consistente para gerenciar os riscos de TIC. Por exemplo, os bancos agora devem testar periodicamente suas defesas de segurança cibernética e atualizar as estratégias de atenuação de riscos com base em ameaças emergentes. Devem implementar medidas de proteção de segurança cibernética. Incluindo políticas de IAM (Gestão de Identidade e Acesso), detecção de anomalias, varredura de malware, resposta a ameaças, insights de dados, SIEM, SOAR e gerenciamento de patches. A maioria das instituições precisará rever seus acordos de governança, políticas, avaliação de riscos, controle e atividades de mapeamento para garantir que estejam alinhados com os requisitos específicos do DORA.
O DORA estabelece claramente que o órgão de administração de uma entidade é responsável pelo gerenciamento de TIC. Isso inclui membros do conselho, executivos e gerentes seniores. Eles devem estabelecer e implementar estratégias de gestão de riscos. O não cumprimento pode levar à responsabilização pessoal.
Pilar 2: Relatório de incidentes relacionados a TIC:
O DORA obriga as organizações a estabelecer um processo coeso para detectar, gerenciar e notificar devidamente os incidentes cibernéticos relevantes. Ele simplifica o relatório de incidentes relacionados à TIC, introduzindo requisitos de comunicação harmonizados. Em resumo, obriga as organizações a estabelecer um processo coeso para detectar, gerenciar e notificar devidamente os incidentes cibernéticos significativos. Isso garante que todas as instituições financeiras relatem incidentes de forma consistente, o que, por sua vez, facilita a coleta de dados e a supervisão regulatória. Mais amplo que o GDPR, ele abrange violações de dados e incidentes de TIC.
Embora os padrões de relatórios anteriores frequentemente variassem entre as jurisdições, levando a ineficiências e lacunas no conhecimento regulatório, no DORA, todas as entidades devem aderir a convenções padronizadas. Por exemplo, um provedor de serviços de pagamento que sofrer uma violação de dados deve agora seguir protocolos específicos para relatar o incidente aos órgãos reguladores, garantindo respostas oportunas e uniformes em todo o setor.
Pilar 3: Teste de resiliência operacional digital:
Em um avanço em relação aos requisitos anteriores, que muitas vezes careciam de especificidade ou de padrões uniformes, as instituições financeiras agora devem se envolver em testes de resiliência básicos e avançados. Esses testes incluem avaliações regulares de vulnerabilidade e testes de penetração projetados para identificar e solucionar possíveis pontos fracos dos sistemas digitais. Um exemplo seria uma empresa de valores mobiliários que realiza testes anuais avançados baseados em cenários para simular um ataque cibernético sofisticado com o objetivo de entender melhor e aprimorar suas estratégias de resposta.
Pilar 4: Risco de TIC de terceiros:
Esse pilar introduz regras baseadas em princípios para monitorar e gerenciar riscos associados a prestadores de serviços externos. Isso é mais abrangente do que os padrões anteriores, que podem não ter coberto sistematicamente os riscos de terceiros. O DORA exige que as instituições financeiras implementem estruturas de supervisão rigorosas e incluam disposições contratuais específicas para garantir a conformidade de terceiros com os padrões do DORA. Por exemplo, um banco que usa um provedor de serviços em nuvem externo deve agora garantir que o provedor atenda aos requisitos de resiliência operacional do DORA e revise regularmente esses acordos.
O DORA exige que as entidades realizem avaliações completas dos prestadores de serviços terceirizados, mapeiem suas dependências, garantam a segurança e a integridade, incluindo acordos para estratégias claras de saída. Devem existir planos significativos sobre como fazer a transição de dados, aplicativos e serviços de um ambiente de computação em nuvem de volta para o local ou para outro provedor de nuvem. É importante observar que as entidades terão autoridade para impedir que os provedores façam contratos com aqueles que não cumprirem o DORA.
Pilar 5: Compartilhamento de informações:
Esse pilar marca uma mudança considerável em relação ao procedimento padrão, incentivando a troca voluntária de informações e inteligência sobre ameaças cibernéticas entre entidades financeiras. Diferentemente das práticas anteriores, que tendiam a ser menos estruturadas e mais isoladas, essa abordagem colaborativa facilita o compartilhamento por meio de canais designados, aumentando a resiliência digital coletiva. Por exemplo, as instituições financeiras agora podem participar de uma plataforma compartilhada — a que o DORA se refere como uma "comunidade confiável de entidades financeiras" — onde relatam e discutem indicadores de ameaças cibernéticas, ajudando todo o setor a se preparar melhor para possíveis incidentes cibernéticos.
A adesão aos padrões rigorosos do DORA traz benefícios às organizações, como:
A conformidade com o DORA também indica o compromisso de fazer parte de uma abordagem unificada que facilita as operações e interações no mercado financeiro da UE e com os órgãos reguladores.
O impacto do DORA certamente será profundo, exigindo uma revisão abrangente dos atuais sistemas e da governança de TIC de uma organização financeira. Para se prepararem para a transição, as instituições devem adotar medidas rigorosas para gerenciar os riscos de TIC, incluindo o desenvolvimento de estruturas robustas de gestão de riscos, procedimentos detalhados de relatório de incidentes e testes rigorosos de resiliência. Para ser eficaz, essa substituição enorme exigirá mudanças iniciais e um compromisso organizacional sustentado com aprimoramento e adaptação contínuos.
Conforme as empresas aprimoram suas medidas de segurança cibernética e resiliência operacional, elas se alinham naturalmente com as metas do DORA, promovendo um ambiente financeiro mais seguro.
As Autoridades Europeias de Supervisão (ESAs), compostas pela Autoridade Bancária Europeia (EBA), pela Autoridade Europeia de Seguros e Pensões Ocupacionais (EIOPA) e pela Autoridade Europeia de Valores Mobiliários e Mercados (ESMA), desempenharão um papel fundamental nessa transição, garantindo que as instituições financeiras em toda a UE apliquem uniformemente os padrões do DORA. Ao supervisionar a implementação, fornecer diretrizes e monitorar a conformidade, as ESAs ajudarão a manter a integridade e a resiliência do sistema financeiro da UE, e sua supervisão garantirá que o setor atenda aos padrões exigidos e adote os princípios da resiliência digital como fundamentais para as operações.
Para garantir a conformidade, as instituições financeiras devem planejar a integração desses novos requisitos às operações diárias:
A promoção de uma cultura de resiliência e a manutenção de uma comunicação aberta com as ESAs e outros órgãos reguladores permitirão que as entidades financeiras permaneçam ágeis em seus esforços de conformidade. Ao integrá-lo como um processo contínuo, as instituições podem ficar a par da evolução dos regulamentos e das práticas recomendadas e, ao mesmo tempo, garantir os benefícios da natureza interconectada do impacto, da supervisão e da conformidade dentro da estrutura do DORA.
Para as organizações, o maior desafio da conformidade com o DORA é, provavelmente, ter que reformular amplamente suas estruturas de TIC existentes para atender às novas e rigorosas regulamentações da lei, inclusive:
Para muitas entidades, especialmente as menores, essas demandas podem exigir muitos recursos, envolvendo ajustes financeiros e operacionais significativos.
As empresas tiveram 24 meses para enfrentar esses desafios usando uma abordagem de conformidade em fases, priorizando primeiro os elementos mais críticos e expandindo gradualmente suas medidas de resiliência. Investir em treinamento e desenvolvimento garantirá que todos os funcionários entendam os novos requisitos. Além disso, pode ser benéfico buscar conhecimento externo, colaborando com profissionais especializados em segurança cibernética e conformidade para desenvolver estratégias e soluções personalizadas. Ao adotar uma abordagem estratégica, passo a passo, as organizações podem atender com eficácia às exigências do DORA, garantindo que suas operações estejam em conformidade e sejam resilientes.
O DORA entrará em vigor em 17 de janeiro de 2025. Todas as entidades financeiras qualificadas precisarão ter disponível até essa data um registro abrangente de seus acordos contratuais com prestadores de serviços terceirizados de TIC. Esses registros permitirão que:
Para ajudar as organizações financeiras na preparação e apresentação dos registros do DORA de informações sobre seus prestadores de serviços terceirizados de TIC, as ESAs e outras autoridades realizarão exercícios de simulação com base no melhor esforço em 2024:
Com anos de experiência no suporte a requisitos de segurança de dados para o setor financeiro, a Veritas está bem equipada para atender aos novos e rigorosos requisitos de segurança do DORA. Fornecemos sistemas de software e hardware seguros, confiáveis e dimensionáveis que garantem que os sistemas essenciais aos negócios sejam executados com eficiência e ajudam as entidades financeiras a manter a conformidade.
Entre em contato conosco online para saber mais sobre a conformidade com o DORA e como podemos ajudar a sua organização.