O que é o Regulamento DORA (Digital Operational Resilience Act)?

A Lei de Resiliência Operacional Digital (DORA) representa um passo significativo para melhorar a cibersegurança dos operadores do setor financeiro na União Europeia.

Este regulamento visa garantir que as instituições financeiras possam responder rapidamente a qualquer tipo de ameaça cibernética ou interrupção operacional.

Neste artigo, vamos explorar o que é o regulamento DORA, os seus principais objetivos, a quem se destina, o seu cronograma de implementação, os seus principais requisitos e uma análise detalhada da gestão de riscos das TIC.

O que é a Lei de Resiliência Operacional Digital (DORA)?

O regulamento DORA (Lei de Resiliência Operacional Digital) é uma diretiva emitida pela Comissão Europeia com o objetivo de fortalecer a cibersegurança de entidades financeiras, como bancos, companhias de seguros e empresas de investimento.

O regulamento estabelece um quadro comum para a gestão de riscos relacionados com as tecnologias da informação e comunicação (TIC) e exige que as entidades financeiras assegurem um elevado nível de resiliência operacional digital.

Quais são os objetivos do regulamento DORA?

Os principais objetivos do regulamento DORA são:

1. Resiliência Operacional: Garantir que as instituições financeiras possam continuar a funcionar mesmo durante incidentes de cibersegurança.
2. Gestão de Riscos das TIC: Criar um quadro sólido para a gestão de riscos das TIC, incluindo a prevenção, a deteção, a resposta e a recuperação de incidentes cibernéticos.
3. Supervisão e Coordenação: Fortalecer a supervisão e a coordenação entre as autoridades competentes nacionais e Europeias.
4. Transparência e Responsabilidade: Garantir que as instituições financeiras sejam transparentes sobre a sua exposição ao risco das TIC e tomem medidas adequadas para mitigar esses riscos.

Descarregue o ebook para saber mais sobre o regulamento DORA e como cumprir até 2025

Para quem é o regulamento DORA?

O regulamento DORA destina-se a uma ampla gama de entidades financeiras, incluindo:

• Bancos
• Companhias de seguros
• Empresas de gestão de ativos
• Plataformas de negociação
• Agências de classificação de crédito
• Infraestruturas do mercado financeiro
• Fornecedores de serviços TIC relacionados com entidades do setor financeiro

Qual é o cronograma do regulamento DORA?

O regulamento DORA foi publicado no Jornal Oficial da União Europeia em dezembro de 2022 e entrou em vigor em 16 de janeiro de 2023. Os operadores financeiros e outras entidades abrangidas pelo regulamento devem cumprir os requisitos do DORA até 17 de janeiro de 2025.

Durante este período de transição, as entidades devem preparar-se adequadamente para atender às novas disposições regulamentares.

Quais são os requisitos do DORA?

O regulamento DORA padroniza os critérios relativos à segurança das redes e dos sistemas de informação que regulam os processos comerciais das entidades financeiras.

Os requisitos do regulamento estão divididos nas seguintes áreas:

• Gestão do Riscos das TIC
• Relatório e monitorização de incidentes das TIC
• Teste da resiliência operacional digital
• Governança do risco de terceiros
• Partilha de informações

Gestão do Riscos das TIC

As entidades financeiras serão responsáveis por definir uma estratégia que inclua:

• Definir KPIs e métricas necessárias para a avaliação de riscos;
• Identificar riscos de mau funcionamento;
• Mapear ativos, as suas dependências e identificar funções críticas;
• Conceber e configurar cenários de teste complexos para realizar uma análise de impacto adequada na empresa;
• Compreender as dependências entre ativos, sistemas e processos empresariais.

Relatório e Monitorização

O regulamento DORA prevê um sistema para criar, classificar, avaliar, relatar e comunicar incidentes cibernéticos. Também é necessário analisar e fornecer informações relacionadas a incidentes nas TIC e ameaças aos serviços.

Teste da Resiliência Operacional Digital

O DORA exige um plano anual para garantir testes adequados da segurança e resiliência de sistemas e aplicações críticas. Além disso, as entidades financeiras envolvidas devem demonstrar a sua capacidade de corrigir as vulnerabilidades identificadas.

Gestão do Risco das TIC de Terceiros

As entidades financeiras devem gerir de forma eficaz e consistente quaisquer riscos relacionados às tecnologias da informação e comunicação (TIC), realizando testes e incluindo cláusulas contratuais suficientemente protetoras na terceirização de serviços de TIC.

Será necessária uma avaliação de risco de todos os contratos de terceirização de IT que apoiem serviços críticos ou importantes.

Partilha de Informações

Os fornecedores terceirizados críticos devem demonstrar a sua capacidade de melhorar a resiliência para apoiar os sistemas financeiros, uma vez que as entidades financeiras dependem fortemente da estabilidade, funcionalidade, disponibilidade e segurança dos serviços TIC recebidos.

Saiba como as soluções EasyVista o podem ajudar a aplicar os requisitos do DORA: descarregue o ebook dedicado.

Como será monitorizado o cumprimento do regulamento DORA?

O cumprimento será avaliado através de inspeções remotas e no local e pela solicitação de informações específicas, como detalhes dos serviços TIC, registos de relatórios de incidentes e detalhes sobre as defesas adotadas contra os riscos cibernéticos.

As três autoridades Europeias de controlo que supervisionam o cumprimento são:

• A Autoridade Bancária Europeia (EBA);
• A Autoridade Europeia dos Seguros e Pensões Complementares de Reforma (EIOPA);
• A Autoridade Europeia de Mercados de Valores Mobiliários (ESMA).

Soluções EasyVista para apoiar o regulamento DORA

As soluções EasyVista podem ajudar as empresas a cumprir o regulamento DORA (Lei de Resiliência Operacional Digital) através de uma série de ferramentas e funcionalidades que melhoram a gestão do risco das TIC, a monitorização de incidentes e a resiliência operacional digital.

Além de fornecer as informações necessárias sobre ativos, sistemas e processos, a EasyVista oferece a solução EasyVista Observe, uma plataforma de monitorização de infraestruturas, redes e nuvem.

Consulte o nosso ebook sobre o regulamento DORA e saiba mais sobre como a EasyVista pode apoiar as empresas financeiras no cumprimento, melhorando a resiliência operacional e a gestão do risco das TIC.

O que é a Governança das TIC?

A Governança das TIC envolve a estrutura de responsabilidades e processos de tomada de decisão para garantir que a gestão do risco das TIC esteja integrada na estratégia empresarial e operacional da instituição. Isto inclui:

• Definição de Políticas: Estabelecer políticas claras para a gestão do risco das TIC.
• Supervisão e Monitorização: Monitorizar continuamente os riscos das TIC e o cumprimento das políticas estabelecidas.
• Formação e Conscientização: Educar a equipa sobre a importância da segurança das TIC e as melhores práticas a serem adotadas.

Em resumo, a Governança das TIC é essencial para que as organizações possam gerir eficazmente os riscos das TIC, alinhem as estratégias das TIC com os objetivos empresariais e garantam a segurança e a fiabilidade da sua infraestrutura tecnológica. Ao focar na definição de políticas, na supervisão e monitorização e na formação e conscientização, as organizações podem construir uma estrutura robusta de Governança das TIC que apoie o seu sucesso a longo prazo e a sua resiliência face à evolução dos desafios tecnológicos.

FAQs

Quais são os principais benefícios do DORA para as instituições financeiras?

O DORA ajuda as instituições financeiras a melhorar a sua resiliência operacional, reduzindo o risco de interrupções operacionais devido a incidentes cibernéticos. Também promove uma maior transparência e responsabilidade na gestão do risco das TIC.

Como é que as instituições financeiras se devem preparar para cumprir o DORA?

As instituições devem realizar uma avaliação abrangente dos seus riscos de TIC, implementar medidas de segurança adequadas, desenvolver planos de resposta e recuperação e garantir que a governança do risco das TIC esteja integrada nas suas estratégias empresariais.

Qual é o papel das autoridades de supervisão no DORA?

As autoridades de supervisão são responsáveis por monitorizar o cumprimento das instituições financeiras com os requisitos do DORA, coordenar as atividades de supervisão a nível Europeu e intervir em caso de incumprimento.

O que acontece se uma instituição financeira não cumprir as disposições do DORA nos prazos estabelecidos?

As instituições que não cumprirem as disposições do DORA podem ser objeto de sanções administrativas e outras medidas corretivas impostas pelas autoridades de supervisão competentes.

O regulamento DORA apresenta um desafio, mas também uma oportunidade para que as instituições financeiras melhorem a sua resiliência operacional e se protejam melhor contra ameaças cibernéticas num mundo cada vez mais digitalizado.