As entidades reguladoras de todo o mundo têm estado ocupadas a elaborar regulamentos de resiliência operacional, especialmente para o sector dos serviços financeiros. Os três principais regulamentos – DORA, APRA, PRA/FCA – têm várias fases com diferentes datas de entrada em vigor. Aqui está um resumo dos prazos de 2025 para o ajudar a preparar-se agora e evitar um passo em falso inadvertido e dispendioso mais tarde.
Banco de Inglaterra, Autoridade de Conduta Financeira (FCA) e Autoridade de Regulamentação Prudencial (PRA)

Reino Unido – Banco de Inglaterra, Autoridade de Conduta Financeira (FCA) e Autoridade Reguladora Prudencial (PRA)

Data limite: 31 de março de 2025

Os requisitos do Banco de Inglaterra fizeram ondas em 2021 como a primeira grande legislação específica de regulamentos de resiliência operacional a entrar em vigor. O prazo inicial para as instituições financeiras do Reino Unido entrou em vigor em março de 2022 e exigia uma autoavaliação do programa atual da instituição, incluindo serviços comerciais importantes, cenários plausíveis e tolerâncias de impacto. O próximo prazo de conformidade é 31 de março de 2025. Até essa data, espera-se que as organizações regulamentadas tenham realizado mapeamento e testes para garantir que permaneçam dentro das tolerâncias de impacto relatadas para cada serviço comercial importante. Também terão de mostrar que fizeram os investimentos necessários para suportar operações consistentes dentro dessas tolerâncias de impacto.

O que deves fazer agora:

  1. Aperfeiçoa a tua lista de serviços comerciais importantes com o contributo da empresa e do conselho de administração até chegares a um consenso.
  2. Demonstra que compreendes a forma como os serviços são prestados, em que ponto é atingido um dano intolerável – e, mais importante, se consegues manter-te dentro da tolerância de impacto declarada.
  3. Constrói um caso através de exercícios para validar a tua confiança nas tolerâncias de impacto definidas e a tua capacidade de manter essas tolerâncias.
  4. Amadurece a tua análise para uma compreensão mais profunda dos pontos únicos de falha e das vulnerabilidades que podem dificultar o cumprimento das tolerâncias de impacto definidas.

Lei da Resiliência Operacional Digital (DORA)

União Europeia – Ato de Resiliência Operacional Digital (DORA)

Prazo de entrega: 17 de janeiro de 2025.

A Lei da Resiliência Operacional Digital da UE entrou em vigor em janeiro de 2023. A lei foi concebida para garantir que o sector financeiro possa permanecer resiliente quando confrontado com graves perturbações operacionais ou incidentes relacionados com as TIC. Abrange cinco áreas fundamentais de governação, mitigação de riscos por terceiros, comunicação de incidentes, testes de resiliência e partilha de informações. As diretrizes promovem uma perspetiva mais ampla e estratégica para que as organizações normalizem e desenvolvam as práticas existentes. Embora o foco do DORA seja a resiliência digital e cibernética, existem vários pontos de integração com outras disciplinas de risco, como a gestão de crises, o risco operacional, a continuidade do negócio e a resiliência operacional. O prazo para a conformidade com o DORA é 17 de janeiro de 2025. Tens de cumprir os requisitos de seis áreas de alto nível, incluindo:

  • Gestão do risco das tecnologias da informação e da comunicação (TIC)
  • Notificação de incidentes graves relacionados com as TIC e notificação voluntária às autoridades sobre ciberameaças significativas
  • Comunicação às autoridades de incidentes graves relacionados com pagamentos operacionais ou de segurança por parte das entidades financeiras
  • Teste de resiliência operacional digital
  • Partilha de dados e informações em relação às ciberameaças e vulnerabilidades
  • Medidas para uma boa gestão do risco de terceiros associado às TIC por parte das entidades financeiras

O que deves fazer agora:

  1. Avalia quais os elementos do DORA que já existem na tua organização, trabalha ativamente para avaliar quaisquer lacunas e tem um plano de ação para adicionar ou modificar controlos.
  2. Desenvolve uma sólida compreensão da continuidade do negócio, segurança da informação, recuperação de desastres de TI, gestão de crises, comunicações de crises, relatórios regulamentares e programas de gestão de riscos de terceiros e respectivos controlos associados. Esta informação também te ajudará a criar um programa de resiliência holístico.

APRA CPS 230

Austrália – APRA CPS 230

Prazo de entrega: 1 de julho de 2025

A CPS 230 da Autoridade de Regulamentação Prudencial da Austrália tem como objetivo reforçar a forma como o risco operacional é gerido pelas organizações de serviços financeiros australianas e pelas sucursais australianas de bancos e seguradoras estrangeiros. A APRA CPS 230, no entanto, vai além de qualquer outra regulamentação de resiliência operacional, abordando o risco operacional, a continuidade dos negócios e a gestão de riscos de terceiros. Aqueles com operações na Austrália vão querer reunir profissionais de continuidade de negócios, risco e conformidade ao desenvolver um plano de ação. Os bancos, as seguradoras e os administradores de fundos de pensões têm até 1 de julho de 2025 para cumprir as novas normas do sistema, incluindo:

  • Gerir os riscos operacionais para estabelecer e manter padrões adequados
  • Mantém as operações críticas dentro dos níveis de tolerância durante uma perturbação grave
  • Gerir os riscos associados à utilização de prestadores de serviços
  • Identificar, avaliar e gerir os riscos que podem resultar de processos ou sistemas internos inadequados ou deficientes
  • Prevenir a perturbação das operações críticas e adaptar os processos e sistemas para funcionarem dentro dos níveis de tolerância
  • Não confiar em prestadores de serviços, a menos que estes garantam que podem continuar a cumprir integralmente as suas obrigações prudenciais.

O que deves fazer agora:

  • Estabelece e aprova processos empresariais críticos que podem ser aperfeiçoados ao longo do tempo. Identifica os níveis de tolerância de impacto para estes processos, de modo a garantir que os responsáveis pelo planeamento da resiliência compreendam os prazos necessários para a recuperação e o momento em que se atingem danos intoleráveis.
  • Faz um balanço dos programas e práticas existentes alinhados com a gestão do risco operacional, a continuidade do negócio e a gestão do risco de terceiros para ver que controlos já estão em vigor e quais requerem implementação.
  • Desenvolve um plano para abordar alguns dos requisitos mais exigentes, como a identificação do risco de concentração.

Se a tua organização for afetada por qualquer um destes regulamentos, 2025 chegará antes que te apercebas, por isso começa já a planear. Embora as organizações de serviços financeiros tenham sido o alvo da maioria dos regulamentos de resiliência operacional até à data, outros sectores poderão em breve ser incluídos. De qualquer forma, os princípios descritos nestes requisitos são boas práticas para criar resiliência operacional em qualquer organização.

Para obter informações completas sobre a legislação de resiliência operacional, faz o download do nosso white paper, Resiliência operacional: Navigating the Global Regulatory Landscape, e confere a solução de software de Continuidade de Negócios e Resiliência da Riskonnect.