Lei de Resiliência Operacional Digital (DORA)

Dados os riscos cada vez maiores dos cybers ataques, a UE está a reforçar a segurança das TIC (Tecnologias de Informação e Comunicação) dos bancos, companhias de seguros e empresas de investimento. Como parte destes esforços, o Parlamento Europeu (PE) e o Conselho aprovaram a Lei de Resiliência Operacional Digital (DORA), que salienta novamente muitos dos requisitos estabelecidos nas Diretrizes EBA ICT e Outsourcing, acrescentando novos requisitos ou reforçando alguns dos já existentes.

Resumo executivo

Estes regulamentos visam assegurar que o sector financeiro na Europa seja capaz de se manter resistente através de uma perturbação operacional grave, criando um quadro regulamentar sobre a resiliência operacional digital em que todas as empresas precisam de se certificar de que podem resistir, responder e recuperar de todos os tipos de perturbações e ameaças relacionadas com as TIC.

Conteúdo principal

Esta Nota Técnica resume os aspectos chave cobertos pela DORA, organizados da seguinte forma:

• Perímetro e Governação das TIC. A DORA estabelece requisitos uniformes relativos à segurança das redes e sistemas de informação das entidades financeiras, bem como de terceiros críticos que lhes prestam serviços relacionados com as TIC, tais como plataformas de nuvem ou serviços de análise de dados.  Por outro lado, descreve as diferentes tarefas do órgão de gestão a este respeito e identifica uma posição responsável pelo controlo dos acordos com terceiros prestadores de serviços de TIC.
• Risco das TIC. As entidades financeiras devem:
  • Identificar e classificar, de acordo com a criticidade, as funções e bens de apoio das TIC, bem como as suas interdependências com terceiros.
  • Identificar continuamente as fontes de risco.
  • Avaliar anualmente os riscos específicos em todos os sistemas legados de TIC.
  • Conduzir uma Análise de Impacto Empresarial (BIA) de exposições a graves interrupções empresariais em termos de continuidade para avaliar o seu potencial impacto.
• Comunicação de incidentes relacionados com as TIC. As entidades financeiras devem:
  • Classificar incidentes relacionados com as TIC e determinar o seu impacto com base nos critérios enumerados, (por exemplo, o número e/ou relevância dos clientes ou contrapartidas financeiras afetadas), bem como classificar as ameaças cibernéticas com base na criticidade dos serviços em risco.
  • Submeter uma notificação inicial e relatórios sobre os principais incidentes relacionados com as TIC à autoridade competente relevante. O feedback recebido deve ser avaliado e dará orientações à instituição financeira, em particular para discutir soluções a nível da instituição ou formas de minimizar o impacto adverso em todos os sectores.
• Teste de resiliência operacional digital. As entidades financeiras devem estabelecer, manter e rever um programa sólido e abrangente de testes de resiliência operacional digital como parte integrante do quadro de gestão de riscos das TIC. Isto deve incluir:
  • Testes anuais de todos os sistemas e aplicações TIC críticas (vulnerabilidades, análise de código, desempenho, capacidade etc.).
  • Testes avançados de funções e serviços críticos específicos de ameaças, validados pelas autoridades de supervisão.

As entidades devem assegurar que os testes sejam efetuados por terceiros independentes e, pelo menos, anualmente.

• Risco de terceiros em matéria de TIC. A DORA alarga o perímetro a todos os fornecedores de alto risco (não apenas aqueles considerados como externalização nas diretrizes da ABE). As instituições devem desenvolver um registo de informação contendo uma visão geral completa de todos os terceiros que prestam serviços de TIC e comunicar alterações à entidade reguladora uma vez por ano. É também necessária uma avaliação dos riscos de concentração das TIC.
• Acordos de partilha de informação. Para aumentar a sensibilização para o risco das TIC, minimizar a sua propagação, apoiar as capacidades defensivas das instituições financeiras e as técnicas de detecção de ameaças, a DORA permite e encoraja as instituições financeiras a celebrarem acordos de partilha de informações e informações sobre ameaças cibernéticas entre si.

Próximos passos

• A DORA começará a candidatar-se a partir de janeiro de 2025.
• As ESA apresentarão normas técnicas regulamentares (RTS) especificando alguns aspectos estabelecidos na DORA até julho de 2024.

Acessar o documento em Lei de Resiliência Operacional Digital (DORA) (somente disponível em espanhol).