A DORA chegou: Um guia completo sobre suas implicações para as empresas

A Lei de Resiliência Operacional Digital (DORA) foi criada para transformar a abordagem do setor financeiro em relação à segurança cibernética e ao gerenciamento de riscos operacionais. Aprovado pela União Europeia como Regulamento (UE) 2022/2554, o DORA foi projetado para fortalecer a resiliência operacional digital de entidades financeiras em toda a Europa. Ele garante que o setor financeiro, incluindo bancos, seguradoras, empresas de investimento e prestadores de serviços terceirizados essenciais, esteja bem equipado para lidar com riscos de TIC (Tecnologia da Informação e Comunicação), incluindo ameaças cibernéticas.

‍

Com a entrada em vigor da DORA em 17 de janeiro de 2025, as instituições financeiras devem agora se preparar para cumprir seus requisitos rigorosos. Mas o que exatamente é a DORA e como ela afetará as empresas do setor financeiro?

‍

‍

O que é DORA?

‍

O DORA é uma estrutura regulatória abrangente que visa melhorar a resiliência operacional digital das entidades financeiras na UE. Para isso, ela se concentra em seis áreas principais:

‍

1. Gerenciamento de riscos de TIC
   O DORA determina que todas as instituições financeiras implementem estruturas robustas de gerenciamento de riscos de TIC. Isso envolve a identificação, avaliação e mitigação dos riscos relacionados às tecnologias de informação e comunicação. De ataques cibernéticos a falhas no sistema de TI, as instituições devem estar preparadas para gerenciar uma ampla gama de possíveis interrupções.
   ‍
   
   
2. Relatórios e gerenciamento de incidentes
   As instituições precisarão relatar incidentes significativos relacionados à ICT aos seus órgãos reguladores nacionais, garantindo que haja uma abordagem padronizada para a classificação de incidentes, cronogramas de relatórios e ações corretivas. Isso cria mais transparência e permite que os órgãos reguladores tenham insights em tempo real sobre as ameaças emergentes no setor financeiro.
   ‍
   
   
3. Testes de resiliência operacional
   O DORA apresenta requisitos de testes avançados, incluindo o Teste de penetração liderado por ameaças (TLPT). Esses testes simulam ataques cibernéticos do mundo real, garantindo que as instituições financeiras possam resistir a ameaças cibernéticas sofisticadas. Esses exercícios devem ser conduzidos por especialistas independentes, garantindo que os sistemas sejam testados com rigor.
   ‍
   
   
4. Gerenciamento de riscos de terceiros
   Um componente importante do DORA é o gerenciamento de riscos de terceiros, especialmente com relação aos serviços de ICT fornecidos por fornecedores terceirizados. As instituições financeiras devem garantir que seus contratos com fornecedores de ICT incluam cláusulas específicas relacionadas à resiliência, aos níveis de serviço e à resposta a incidentes.
   ‍
   
   
5. Supervisão de provedores críticos de TIC
   O DORA introduz uma estrutura de supervisão regulatória para os CTPPs (Critical ICT Third-Party Providers). Esses são provedores de serviços, como plataformas de computação em nuvem ou serviços de infraestrutura de TI, que são essenciais para as operações do setor financeiro. O DORA concede aos órgãos reguladores nacionais e da UE a autoridade para monitorar e aplicar padrões de resiliência entre esses provedores.
   ‍
   
   
6. Compartilhamento e coordenação de informações
   O DORA incentiva as instituições financeiras a compartilhar informações sobre ameaças cibernéticas e práticas recomendadas, promovendo uma abordagem colaborativa para a defesa contra riscos cibernéticos. As instituições também precisarão participar de exercícios de emergência e crise cibernética para simular respostas coordenadas a incidentes cibernéticos de grande escala.
   ‍

‍

Quem é afetado pelo DORA?

‍

O DORA se aplica a uma ampla gama de entidades do setor financeiro da UE. Isso inclui:

• Bancos e instituições de crédito
  ‍
• Empresas de investimento
  ‍
• Empresas de seguros e resseguros
  ‍
• Instituições de pagamento e de dinheiro eletrônico
  ‍
• Contrapartes centrais
  ‍
• Plataformas de negociação
  ‍
• Provedores de serviços de relatório de dados
  ‍
• Provedores de serviços de ativos criptográficos
  ‍
• E muitas outras infraestruturas de mercado financeiro.
  ‍

Além disso, o DORA também afeta os provedores de serviços terceirizados de TIC que fornecem serviços digitais essenciais para entidades financeiras, como plataformas de nuvem, serviços de gerenciamento de dados e fornecedores de segurança cibernética. Esses provedores estarão sujeitos à supervisão regulatória direta se forem considerados essenciais para o ecossistema financeiro.

‍

‍

Por que a DORA é importante?

‍

O DORA aborda a crescente dependência do setor financeiro em relação às tecnologias digitais, o que torna as instituições vulneráveis a ataques cibernéticos, falhas de TI e interrupções operacionais. Os serviços financeiros são essenciais para a economia, e as interrupções podem ter consequências generalizadas, desde perdas financeiras até danos à reputação.

A pandemia da COVID-19 destacou a importância da resiliência digital, já que o trabalho remoto, os serviços bancários on-line e as transações financeiras digitais se tornaram mais comuns. Nesse contexto, o DORA garante que o setor financeiro possa manter a continuidade dos negócios e a estabilidade operacional, mesmo diante dos crescentes riscos de TIC.

Além disso, com o aumento do crime cibernético e a sofisticação dos ataques cibernéticos, os órgãos reguladores reconheceram a necessidade de medidas mais rigorosas e padronizadas para proteger os sistemas financeiros. O DORA foi projetado para fornecer a estrutura regulatória necessária para aplicar essas proteções.

‍

‍

Como se preparar para o DORA

‍

Com a aproximação da data de implementação da DORA, as instituições financeiras devem agir agora para garantir a conformidade. Veja a seguir algumas etapas importantes para se preparar:

1. Avalie as estruturas atuais de gerenciamento de risco de TIC
   Analise os protocolos de gerenciamento de risco existentes e garanta que estejam alinhados com os requisitos da DORA. Isso inclui a atualização das políticas de avaliação de risco de ICT, gerenciamento de incidentes e procedimentos de relatório.
   ‍
2. Atualize os processos de relatório de incidentes
   Desenvolva ou aprimore os mecanismos de relatório de incidentes para atender aos padrões estabelecidos pela DORA. Isso inclui garantir que a sua instituição possa classificar, rastrear e relatar incidentes relacionados a ICT de maneira oportuna e precisa.
   ‍
3. Realize testes de resiliência operacional
   Se ainda não estiver em vigor, inicie o Teste de Penetração Conduzida por Ameaças (TLPT) para simular ameaças cibernéticas do mundo real. As instituições financeiras também devem testar regularmente seus sistemas para identificar possíveis vulnerabilidades e garantir que as estratégias de mitigação adequadas estejam em vigor.
   ‍
4. Fortaleça o gerenciamento de riscos de terceiros
   Revise os contratos com os provedores de serviços críticos de ICT e garanta que eles incluam cláusulas sobre resiliência e resposta a incidentes. O DORA exige que as instituições tenham termos claros sobre como os provedores de serviços de ICT gerenciarão e reportarão incidentes.
   ‍
5. Monitore as atualizações regulatórias
   Acompanhe as atualizações dos órgãos reguladores, como a Autoridade Europeia de Valores Mobiliários e Mercados (ESMA), a Autoridade Bancária Europeia (EBA) e a Autoridade Europeia de Seguros e Pensões Ocupacionais (EIOPA). Esses órgãos emitirão normas técnicas e diretrizes que definirão melhor como o DORA será aplicado.
   ‍
6. Participe de exercícios de crisecibernética
   Participe de exercícios coordenados de crise cibernética e de emergência para testar a capacidade da sua instituição de responder a ameaças cibernéticas de grande escala. Esses exercícios serão essenciais para garantir que as entidades financeiras possam colaborar de forma eficaz durante incidentes cibernéticos transfronteiriços.
   ‍

‍

O papel da tecnologia na conformidade com o DORA

‍

A implementação dos requisitos do DORA exigirá um investimento significativo em soluções tecnológicas que aprimorem a segurança cibernética, o gerenciamento de riscos e a comunicação de incidentes. Embora as instituições financeiras precisem se concentrar no gerenciamento robusto de riscos de ICT, é igualmente fundamental garantir que os fornecedores terceirizados permaneçam em conformidade. Lieferant plataformas de gerenciamento, como a Relatico, ajudam a otimizar o processo, simplificando o rastreamento de documentos e certificações.

‍

Com o Relatico, os fornecedores podem carregar facilmente os documentos e certificados necessários, permitindo que as instituições mantenham uma visão geral clara do que está faltando ou precisa ser atualizado. Isso garante a prontidão para auditorias e verificações de conformidade, reduzindo a complexidade de se manter alinhado com os rigorosos requisitos de terceiros do DORA. Ao manter registros completos e atualizados, as instituições financeiras podem garantir auditorias mais tranquilas e processos de conformidade mais rápidos.

‍

‍

Conclusão: Preparando-se para um futuro digitalmente resiliente

‍

À medida que as instituições financeiras se preparam para o prazo de janeiro de 2025, o DORA representa uma grande mudança na forma como o setor aborda a resiliência operacional digital. Ao introduzir regulamentações padronizadas para o gerenciamento de riscos de TIC, relatórios de incidentes e supervisão de terceiros, o DORA garante que o sistema financeiro esteja mais bem equipado para lidar com as ameaças crescentes na era digital atual.

Para as empresas do setor financeiro, o momento de agir é agora. O uso de soluções como o Relatico para gerenciar documentos e certificações do Lieferant pode simplificar o processo de conformidade, garantindo que sua instituição esteja sempre pronta para a auditoria e alinhada com os requisitos do DORA.

‍