Hoje em dia a cibersegurança é uma das áreas com mais foco e importância dentro da área da tecnologia. A legislação tem vindo a adaptar-se e aplica-se aos mais diversos setores do mercado. Saiba o que é a Lei de Resiliência Operacional Digital (DORA).
O regulamento DORA (Lei de Resiliência Operacional Digital) é uma diretiva emitida pela Comissão Europeia com o objetivo de fortalecer a cibersegurança de entidades financeiras, como bancos, companhias de seguros e empresas de investimento.
O regulamento estabelece um quadro comum para a gestão de riscos relacionados com as tecnologias da informação e comunicação (TIC) e exige que as entidades financeiras assegurem um elevado nível de resiliência operacional digital.
Visa garantir que as instituições financeiras possam responder rapidamente a qualquer tipo de ameaça cibernética ou interrupção operacional.
Objetivos do regulamento DORA
- 1) Resiliência Operacional
- Garantir que as instituições financeiras possam continuar a funcionar mesmo durante incidentes de cibersegurança.
- 2) Gestão de Riscos das TIC
- Criar um quadro sólido para a gestão de riscos das TIC, incluindo a prevenção, a deteção, a resposta e a recuperação de incidentes cibernéticos.
- 3) Supervisão e Coordenação
- Fortalecer a supervisão e a coordenação entre as autoridades competentes nacionais e europeias.
- 4) Transparência e Responsabilidade
- Garantir que as instituições financeiras sejam transparentes sobre a sua exposição ao risco das TIC e tomem medidas adequadas para mitigar esses riscos.
Setores abrangidos pelo Regulamento
O DORA vem introduzir requisitos específicos para os participantes do mercado financeiro e é aplicável a mais de 22.000 entidades financeiras e provedores de serviços de TIC que operam na União Europeia.
O regulamento DORA destina-se a uma ampla gama de entidades financeiras, incluindo:
- Bancos
- Companhias de seguros
- Empresas de gestão de ativos
- Plataformas de negociação
- Agências de classificação de crédito
- Infraestruturas do mercado financeiro
- Fornecedores de serviços TIC relacionados com entidades do setor financeiro
Benefícios do DORA para as instituições financeiras
A Diretiva DORA (Digital Operational Resilience Act) é um verdadeiro motor de transformação para as instituições financeiras, pois desempenha um papel crucial no fortalecimento da sua capacidade de manter operações consistentes e seguras. Ao promover uma abordagem robusta para a gestão de riscos de Tecnologias da Informação e Comunicação (TIC), a DORA não apenas minimiza a probabilidade de interrupções devido a ataques cibernéticos ou falhas digitais, mas também abre portas para um futuro mais resiliente e inovador.
Além de exigir práticas rigorosas de gestão de riscos, a DORA incentiva uma cultura de transparência e responsabilidade, assegurando que as instituições sejam mais ágeis e eficazes nas suas estratégias de resiliência digital. Essa mudança de paradigma não é apenas uma questão de conformidade, mas sim uma oportunidade valiosa para as empresas se destacarem num ambiente cada vez mais competitivo.
Implementar as diretrizes da DORA não apenas fortalece a proteção contra ameaças, mas também gera confiança entre clientes e parceiros, essencial um mundo onde a segurança da informação é prioritária. Ao se adaptarem a esses novos padrões, as instituições financeiras não só garantem a continuidade dos seus serviços, como também posicionam-se como líderes no mercado, prontos para aproveitar as oportunidades que surgem com um cenário digital em constante evolução.
Dessa forma, abraçar a DORA não é apenas uma obrigação regulatória, mas um passo decisivo em direção ao crescimento sustentável e à inovação no setor financeiro. É um convite para construir um futuro mais seguro e próspero.
Requisitos do DORA
O regulamento DORA padroniza os critérios relativos à segurança das redes e dos sistemas de informação que regulam os processos comerciais das entidades financeiras.
Os requisitos do regulamento estão divididos nas seguintes áreas:
- Governança e Organização da Resiliência Digital
- Gestão de Riscos Digitais das TIC
- Proteção e Prevenção
- Deteção
- Resposta e Recuperação
- Gestão de Terceiros e Cadeia de Fornecimento
- Testes de Resiliência Operacional
- Comunicação de Incidentes e Transparência
- Revisão e Melhoria Contínua
Cumprimento e supervisão do regulamento DORA
As autoridades de supervisão são responsáveis por monitorizar o cumprimento das instituições financeiras com os requisitos do DORA, coordenar as atividades de supervisão a nível europeu e intervir em caso de incumprimento.
O cumprimento será avaliado através de inspeções remotas e no local e pela solicitação de informações específicas, como detalhes dos serviços TIC, registos de relatórios de incidentes e detalhes sobre as defesas adotadas contra os riscos cibernéticos.
As autoridades de controlo que supervisionam o cumprimento são:
- A Autoridade Bancária Europeia (EBA);
- A Autoridade Europeia dos Seguros e Pensões Complementares de Reforma (EIOPA);
- A Autoridade Europeia de Mercados de Valores Mobiliários (ESMA).
- Comissão do Mercado de Valores Mobiliários (CMVM)
Instituição financeira que não cumprem as disposições do DORA nos prazos estabelecidos
A não conformidade com o regulamento DORA implica riscos consideráveis para as instituições financeiras, uma vez que elas podem ser alvo de sanções administrativas rigorosas e de medidas corretivas impostas pelas autoridades de supervisão. Essas sanções não só impactam financeiramente, mas também prejudicam a reputação da instituição no setor, comprometendo a confiança do mercado e dos clientes.
Apesar desses desafios, o regulamento DORA representa uma excelente oportunidade de aprimoramento para as instituições financeiras. Ao adotar as suas disposições, as empresas podem fortalecer significativamente a resiliência operacional e elevar os seus padrões de segurança cibernética.
Num mundo cada vez mais digital, essa proteção adicional ajuda a mitigar o risco de interrupções operacionais, preparando as instituições para responder de maneira eficaz a possíveis ameaças. Essa conformidade, ao final, não é apenas uma questão de segurança, mas também um diferencial estratégico que aumenta a confiança e a competitividade no mercado.
Este artigo foi escrito por Helder Almeida para o Pplware.