O DORA afecta o sector dos serviços financeiros da UE e esta legislação está prestes a fazer ondas na indústria financeira. Vê aqui algumas das obrigações da DORA que as instituições financeiras devem cumprir.

O sector dos serviços financeiros é, desde há muito, um inovador tecnológico e um pioneiro. Os avanços na banca e nas finanças significam que a transformação digital no sector está a avançar a passos largos. Mas as novas tecnologias e as novas formas de trabalhar seduzem os cibercriminosos. O resultado é que os ataques contra o sector financeiro estão a aumentar.

Em 2021, a banca registou umaumentode 1.318% nos ataques de ransomware, e 65% das grandes organizações financeiras sofreram um ataque cibernético em 2020. A gravidade dos ataques cibernéticos cada vez mais complexos e prejudiciais no sector financeiro levou a que uma nova legislação entrasse no léxico da regulamentação dos serviços financeiros, e o seu nome é  DORA (Digital Operational Resilience Act).

Noções básicas de DORA

O primeiro projeto de DORA foi publicado em 24 de setembro de 2020 e aprovado pelo Parlamento Europeu em 10 de setembro de 2022. A legislação desempenhará um papel central no “pacote financeiro digital”, utilizado para permitir a inovação e a concorrência no domínio do financiamento digital, atenuando simultaneamente os riscos decorrentes da digitalização do sector.

Assim, o artigo 114.º do Tratado sobre o Funcionamento da União Europeia (TFUE) é utilizado como base jurídica para o DORA; a legislação centra-se na harmonização das orientações em matéria de cibersegurança em todo o sector. 

A UE gosta de utilizar meios regulamentares para consolidar e harmonizar as melhores práticas; o RGPD é um exemplo de um regulamento harmonizado sobre a privacidade dos dados; o DORA é a tentativa da UE de consolidar e atualizar a gestão do risco das TIC em todo o sector financeiro, com o DORA a afetar as empresas de serviços financeiros da UE e os seus fornecedores (críticos) de TIC.

A DORA exigirá que as empresas do sector financeiro apliquem medidas que as protejam contra os riscos relacionados com as TIC: como tal, a DORA alarga os requisitos para incluir terceiros, como os fornecedores de serviços de computação em nuvem.

Quais são as obrigações que o DORA exige do sector financeiro?

O objetivo é criar um ambiente resiliente em todo o ecossistema de serviços financeiros. O quadro subjacente ao DORA assenta num conjunto de regras concebidas para ajudar as instituições financeiras a desenvolverem processos sólidos de gestão do risco. Alguns dos principais requisitos e cobertura do DORA incluem o seguinte:

Âmbito de aplicação do DORA

Quase todos os tipos de entidades financeiras serão abrangidos pela DORA. As entidades abrangidas incluem instituições de crédito, instituições de pagamento, instituições de moeda eletrónica, empresas de investimento, prestadores de serviços de criptoativos, fundos de investimento alternativos, gestores de seguros, etc. A exceção são os auditores, que atualmente não estão sujeitos às regras do DORA, mas é provável que esta situação se altere em futuras versões da lei. Para uma lista completa das entidades abrangidas, consulta o artigo 2.º da DORA.

Os fornecedores de TIC que prestam serviços a entidades abrangidas pelo DORA também devem aderir à lei. Os fornecedores de TIC são considerados essenciais para o sector financeiro e, como tal, estão sujeitos a regras rigorosas ao abrigo do DORA. Os prestadores de serviços de TIC críticos não sediados na UE que prestam serviços a entidades financeiras na UE devem estabelecer uma filial na UE.

Fornecedores de TIC e DORA

A gestão do risco de terceiros é uma parte essencial do DORA. O foco nos fornecedores de TIC é uma reação ao aumento dos ataques à cadeia de fornecimento, como a atualização do software SolarWinds Orion. A Agência da União Europeia para a Cibersegurança (ENISA) comunicou um aumento da sofisticação e do volume dos ataques à cadeia de abastecimento, com os atacantes a visarem a cadeia de abastecimento para roubar dados e activos financeiros. O DORA coordena os requisitos utilizando os quadros existentes, como as Orientações para a externalização da Autoridade Bancária Europeia (ABE). (Ver também o artigo 14.º do DORA)

Ao abrigo do DORA, as empresas financeiras podem definir alguns fornecedores de TIC como “críticos”. Como tal, um fornecedor de TIC crítico que preste serviços a uma entidade abrangida pelo DORA ficará sujeito a regras rigorosas, aplicadas através de um compromisso direto com as autoridades dos serviços financeiros da UE.

Principais medidas de cibersegurança

Os valores fundamentais da legislação DORA são a manutenção de sistemas TIC resilientes. Para o efeito, foram definidas as seguintes orientações:

Gestão de riscos e resiliência

No centro do DORA estão as diretrizes de gestão de risco para ajudar o sector dos serviços financeiros a construir infra-estruturas mais resistentes. Os programas e avaliações de gestão de riscos resultantes são utilizados como base para testes de resiliência. Além disso, a legislação prevê a realização de análises de impacto nas empresas com base em cenários de “perturbação grave das actividades”.

Os testes de resiliência e de vulnerabilidade devem ser efectuados por peritos independentes e incluir testes regulares de penetração com base em ameaças. É importante que todos os sistemas TIC críticos sejam testados anualmente.

Medidas de proteção (ver também artigo 8.º)

Exemplos de medidas de proteção necessárias incluem:

  • Utiliza políticas adequadas e abrangentes para patches e actualizações.
  • Implementa políticas e protocolos para mecanismos de autenticação fortes
  • Segue uma abordagem baseada no risco para estabelecer uma gestão sólida da rede e da infraestrutura
  • Implementa políticas que limitem o acesso físico e virtual aos recursos e dados do sistema TIC
  • Evita a fuga de informações

TIC-Gestão de incidentes

O artigo 15.º contém informações pormenorizadas sobre os requisitos para gerir e controlar os incidentes de segurança, incluindo procedimentos para “detetar, gerir e notificar incidentes relacionados com as TIC e criar indicadores de alerta precoce como alertas”.

Comunicar incidentes de cibersegurança

As entidades abrangidas devem fornecer um meio de monitorizar, descrever e comunicar quaisquer incidentes significativos baseados nas TIC às autoridades competentes. As regras de comunicação são rigorosas para os fornecedores críticos de TIC. Incluem a realização de uma notificação inicial o mais tardar no final do dia útil ou, se o incidente significativo tiver ocorrido mais de 2 horas antes do final do dia útil, o mais tardar 4 horas após o início do dia útil seguinte.

A partir daí, é exigido um relatório intermédio, o mais tardar uma semana após a notificação inicial; segue-se um relatório final, quando a análise da causa raiz estiver concluída, o mais tardar um mês após o envio do relatório inicial.

Responsabilidade pela gestão e segurança

O DORA coloca a responsabilidade pelos riscos das TIC e pelas ciberameaças à porta do grupo de gestão dos serviços financeiros. A formação em sensibilização para a segurança ajudará a garantir que o nível C e toda a empresa se centram na segurança.

O DORA abrange igualmente aspectos essenciais da gestão e da resposta em matéria de cibersegurança, como a partilha de informações (ver artigo 40.º).

O que se segue para a DORA?

O regulamento prevê um período de aplicação de 24 meses para as entidades financeiras e os seus prestadores de serviços críticos a partir da data de entrada em vigor da legislação. Por conseguinte, aconselha-se as entidades abrangidas a utilizarem os 24 meses entre a data de entrada em vigor da legislação e a implementação de medidas conformes para efectuarem uma análise das lacunas: medidas como testes de penetração orientados para a ameaça e regras rigorosas de comunicação poderiam, de outro modo, ser abrangidas por essa lacuna.

Formação de sensibilização para a segurança para fornecedores terceiros