A Lei da Resiliência Operacional Digital (Digital Operational Resilience Act – DORA) marca o mais recente capítulo no impulso dos reguladores para a resiliência operacional. O regulamento, que introduz uma série de requisitos adaptados às empresas financeiras que operam num mundo digital, foi oficialmente adotado pela UE em janeiro de 2023, e as organizações afectadas têm até 2025 para o cumprir.

Embora as empresas de serviços financeiros no Reino Unido e em alguns países da UE tenham tido de cumprir os requisitos de resiliência operacional durante algum tempo, a aprovação do DORA é a primeira vez que estes regulamentos se estendem aos fornecedores de serviços de tecnologias de informação e comunicação (TIC) que apoiam as funções críticas para os serviços comerciais importantes de uma empresa. As entidades financeiras – como bancos, seguradoras, instituições de crédito, empresas de investimento e fornecedores de serviços de activos criptográficos – terão agora de garantir que as políticas e os processos dos seus fornecedores de TIC cumprem os novos requisitos. Os fornecedores de serviços, por sua vez, devem responder aos reguladores que estão alinhados com as mesmas regras a que as empresas financeiras estão obrigadas.

A boa notícia é que muitos dos requisitos do DORA reflectem de perto outros regulamentos de resiliência operacional e as melhores práticas da indústria. No entanto, o calendário de implementação é agressivo e há que ter em conta uma série de novos requisitos digitais e específicos das TIC. Este é o momento de compreender o que é exigido e quais as acções necessárias para alinhar a sua governação e práticas com a Lei da Resiliência Operacional Digital.

Os cinco pilares da DORA

A Lei da Resiliência Operacional Digital centra-se em cinco pilares relacionados com a resiliência digital e cibernética. Estes pilares formalizam e normalizam os requisitos de terceiros para as entidades financeiras com o objetivo de criar um sistema financeiro mais resiliente.

Gestão do risco das TIC. As empresas devem assumir plena responsabilidade pela gestão dos riscos das TIC, instituindo um quadro de governação e controlo da resiliência operacional digital. O quadro deve incluir estratégias pormenorizadas baseadas na tolerância ao risco que tenham em conta a identificação, a prevenção e a deteção do risco. As empresas devem também demonstrar que podem responder e recuperar de perturbações e aprender e evoluir com os incidentes.

Comunicação e classificação de incidentes. A DORA estabelece uma metodologia normalizada de classificação de incidentes com critérios de duração, impacto e criticidade dos serviços afectados. Os incidentes significativos devem ser comunicados às autoridades reguladoras em tempo útil. Este pilar destina-se a simplificar uma série de obrigações existentes na UE em matéria de comunicação de incidentes para as empresas de serviços financeiros; no entanto, muitas empresas terão de alargar a forma como avaliam o impacto quantitativo e analisam as causas profundas para cumprirem a DORA.

Teste de resiliência operacional digital. As empresas devem efetuar testes exaustivos de cenários de segurança e resiliência e resolver integralmente quaisquer vulnerabilidades identificadas pelos testes. As empresas mais importantes também devem ter um examinador independente a efetuar, de três em três anos, testes avançados de penetração em grande escala em funções críticas e fornecedores de TIC.

Partilha de informações entre entidades financeiras. As diretrizes incentivam a colaboração entre entidades financeiras para aumentar a sensibilização para os riscos das TIC, minimizar a capacidade de propagação do cibercrime e apoiar estratégias de atenuação.

Risco de terceiros nas TIC. Para ajudar a evitar perturbações económicas sistémicas, as empresas devem monitorizar o risco dos fornecedores de tecnologia ao longo da relação, utilizando práticas sólidas de gestão do risco de terceiros.

Como te preparares agora para o DORA

Embora grande parte do DORA seja propositadamente construído com base nos regulamentos existentes, num esforço para harmonizar as normas, a conformidade exigirá um esforço significativo – e num curto espaço de tempo. Aqui estão três passos para começar:

  1. Realiza uma análise das lacunas. Quais as disposições do regulamento que já estás a seguir – e o que mais precisa de ser feito para cumprir? Muitos requisitos centram-se na governação, no risco e na conformidade em torno das funções das TIC, na recolha e comunicação de incidentes e nos testes de cenários.
    .
    Identifica as tuas lacunas e cria um plano com tarefas específicas para as colmatar.
  1. Coordena com outras partes interessadas. Qualquer pessoa que trabalhe na conformidade com o DORA deve colaborar com os esforços que se sobrepõem em toda a organização, incluindo:
    • Continuidade das actividades. O DORA exige uma política abrangente de continuidade das actividades de TIC. A ideia é basear-se nas melhores práticas existentes, tendo em conta a continuidade do negócio e os planos de recuperação de desastres de TI, especialmente em resposta a um ciberataque. A adaptação dos cenários de perda de tecnologia utilizados para o planeamento, considerando simultaneamente a forma como um ciberataque pode alterar a resposta e a recuperação, pode ajudar-te a preparar-te de forma mais holística para um evento cibernético.
    • Resiliência operacional. As actividades de resiliência operacional que identificam funções e processos de apoio a serviços comerciais críticos podem ajudar a dar prioridade a essas funções no âmbito do DORA. As actividades de mapeamento de ponta a ponta podem fornecer uma janela para os recursos vulneráveis, incluindo os riscos que podem afetar a disponibilidade da tecnologia e os sistemas TIC. Os tipos de testes exigidos pela DORA também podem ser realizados em conjunto com os testes de cenários exigidos pela resiliência operacional. Os testes específicos da tecnologia podem ser colocados em camadas nos planos de teste de cenários de resiliência e utilizados para comprovar que estás dentro das tolerâncias de impacto declaradas.
    • Gestão de riscos de terceiros. O DORA descreve as etapas específicas que as organizações devem seguir antes de estabelecerem uma relação com um terceiro de TIC, como determinar se o fornecedor apoiará funções críticas/importantes e se o terceiro poderá agravar o risco de concentração. Esta é uma oportunidade para colaborar com as equipas de continuidade, resiliência e gestão de riscos de terceiros e aproveitar os resultados de uma análise de impacto empresarial ou de um mapeamento de ponta a ponta para determinar a potencial criticidade de um terceiro. Existem também requisitos relativos à saída de contratos em determinadas circunstâncias, o que pressiona os fornecedores de TIC a manterem o mesmo nível de segurança que as instituições financeiras. Estes requisitos beneficiarão os profissionais de risco que, muitas vezes, têm a tarefa pouco invejável de identificar um terceiro ou um risco de concentração, mas não têm autoridade para impedir a empresa de estabelecer essa relação.
    • Tecnologias da informação. As entidades financeiras e os seus fornecedores de TIC devem manter pelo menos um local de processamento secundário com recursos proporcionais às necessidades da atividade. O local secundário deve estar geograficamente separado, ter capacidade para continuar os serviços críticos e ser acessível ao pessoal.
  1. Traça o teu plano de comunicação de crise. O DORA apresenta disposições específicas em matéria de comunicação de crises relacionadas com perturbações significativas. Os planos de comunicação devem ter em conta o pessoal técnico e não técnico e identificar os porta-vozes públicos. As empresas também são obrigadas a ter uma função de gestão de crises para coordenar as actividades. Isto codifica as melhores práticas que muitas organizações já seguem para manter uma estrutura de comando e controlo durante uma interrupção que não seja apenas composta por pessoal com conhecimentos técnicos.

Embora o DORA possa parecer mais uma regulamentação cibernética, é de facto um ponto de viragem que forçará as organizações a olharem para o risco tecnológico de novas formas e a aproveitarem a força de outras disciplinas de risco, incluindo a continuidade do negócio, a resiliência operacional e a gestão do risco de terceiros. A adoção de uma abordagem abrangente e holística ajudará a melhorar a resiliência geral da sua organização, bem como do sector financeiro como um todo.

O cumprimento da Lei da Resiliência Operacional Digital é a tua oportunidade de acelerar a mudança estratégica na forma como geres o risco digital. E não te demores – janeiro de 2025 não tarda a chegar.

Para saber mais sobre resiliência, faz o download do nosso white paper, Resiliência operacional: Navigating the Global Regulatory Landscape (Navegando no cenário regulatório global) e confira o software de Continuidade de Negócios e Resiliência da Riskonnect.