MetaBlog

Mantenha-se informado sobre tópicos de formação de sensibilização cibernética e mitigue os riscos na sua organização.

O que é a Lei da Resiliência Operacional Digital (DORA)?

DORA

sobre o autor

Partilhar no linkedin
Partilhar no twitter
Partilhar no facebook

A DORA afecta o sector dos serviços financeiros da UE, e esta legislação está prestes a fazer ondas no sector financeiro. Eis um olhar sobre algumas das obrigações da DORA a que as instituições financeiras devem aderir.

O sector dos serviços financeiros é há muito tempo um inovador tecnológico e o primeiro motor. Os avanços na banca e nas finanças significaram que a transformação digital no sector tem vindo a crescer. Mas novas tecnologias e novas formas de trabalho seduzem os cibercriminosos. O resultado é que os ataques contra o sector financeiro estão a subir em flecha.

Em 2021, a banca registou umaumento de1,318% nos ataques de resgate, e 65% das grandes organizações financeiras sofreram um ataque cibernético em 2020. A natureza severa dos ataques cibernéticos cada vez mais complexos e prejudiciais no sector financeiro levou a nova legislação a entrar no léxico de regulação dos serviços financeiros, e o seu nome é DORA (Digital Operational Resilience Act).

DORA Basics

O primeiro projecto da DORA foi publicado a 24 de Setembro de 2020, e a 10 de Setembro de 2022, o Parlamento Europeu aprovou. A legislação desempenhará um papel central no "pacote financeiro digital", utilizado para permitir a inovação e a concorrência nas finanças digitais, mitigando simultaneamente os riscos decorrentes da digitalização da indústria.

Como tal, o artigo 114 do Tratado sobre o Funcionamento da União Europeia (TFUE) é utilizado como base jurídica da DORA; a legislação centra-se na harmonização das directrizes de segurança cibernética em todo o sector. 

A UE gosta de utilizar meios regulamentares para consolidar e harmonizar as melhores práticas; o GDPR é um exemplo de um regulamento harmonizado sobre privacidade de dados; a DORA é a tentativa da UE de consolidar e actualizar a gestão de risco das TIC em todo o sector financeiro, com a DORA a ter impacto nas empresas de serviços financeiros da UE e nos seus fornecedores (críticos) de TIC.

A DORA exigirá que as empresas do sector financeiro implementem medidas que as protejam contra riscos relacionados com as TIC: como tal, a DORA alarga os requisitos para incluir terceiros, tais como os fornecedores de nuvens.

Que Obrigações Exige a DORA do Sector Financeiro?

O objectivo é criar um ambiente resiliente em todo o ecossistema dos serviços financeiros. O quadro subjacente à DORA é construído sobre um conjunto de regras que são concebidas para ajudar as instituições financeiras a desenvolver processos robustos de gestão de risco. Alguns dos principais requisitos e cobertura da DORA incluem o seguinte:

Âmbito da DORA

Quase todos os tipos de entidades financeiras ficarão sob a DORA. As entidades abrangidas incluem instituições de crédito, instituições de pagamento, instituições de dinheiro electrónico, empresas de investimento, fornecedores de serviços crypto-asset, fundos de investimento alternativos, gestores de seguros, etc. A excepção são os auditores, que actualmente não estão sujeitos às regras da DORA, mas isto é susceptível de mudar em futuras versões da Lei. Para uma lista completa das entidades abrangidas, ver Artigo 2 da DORA.

Os fornecedores de TIC que prestam serviços às entidades abrangidas pela DORA devem também aderir à Lei. Os fornecedores de TIC são vistos como fulcrais para o sector financeiro e, como tal, estão sujeitos a regras rigorosas ao abrigo da DORA. Os prestadores de serviços TIC críticos não baseados na UE a entidades financeiras na UE devem estabelecer uma filial dentro da UE.

Provedores de TIC e DORA

A gestão de risco por terceiros é uma parte fundamental da DORA. O foco nos fornecedores de TIC é uma reacção ao aumento de ataques na cadeia de fornecimento, tais como a actualização do software SolarWinds Orion. A Agência de Segurança Cibernética da União Europeia (ENISA) relatou um aumento da sofisticação e do volume de ataques à cadeia de abastecimento, com atacantes a visarem a cadeia de abastecimento para roubar dados e bens financeiros. A DORA coordena os requisitos utilizando estruturas existentes, tais como as Directrizes de Outsourcing da Autoridade Bancária Europeia (EBA). (Ver também Artigo 14 da DORA)

Sob a DORA, as empresas financeiras podem definir alguns fornecedores de TIC como 'críticos'. Como tal, um fornecedor de TIC crítico que preste serviços a uma entidade coberta pela DORA ficará sujeito a regras rigorosas aplicadas através de um compromisso directo com as autoridades FS (serviços financeiros) da UE.

Medidas Chave de Segurança Cibernética

Os valores centrais da legislação DORA são a manutenção de sistemas de TIC resistentes. Para o conseguir, foram estabelecidas as seguintes directrizes:

Gestão de Risco e Resiliência

No cerne da DORA estão directrizes de gestão de risco para ajudar o sector dos serviços financeiros a construir infra-estruturas mais resilientes. Os programas e avaliações de gestão de risco resultantes são utilizados como base para testar a resiliência. Além disso, a legislação espera que sejam efectuadas análises de impacto empresarial com base em cenários de "graves perturbações empresariais".

Espera-se que os testes de resiliência e vulnerabilidade sejam realizados por peritos independentes e incluam testes regulares de penetração conduzidos por ameaças. É importante notar que todos os sistemas TIC críticos devem ser testados anualmente.

Medidas de protecção (ver também artigo 8º)

Exemplos de medidas de protecção necessárias incluem:

  • Utilizar políticas apropriadas e abrangentes para correcções e actualizações.
  • Implementar políticas e protocolos para mecanismos de autenticação fortes
  • Seguir uma abordagem baseada no risco para estabelecer uma boa gestão da rede e das infra-estruturas
  • Implementar políticas que limitem o acesso físico e virtual aos recursos e dados do sistema TIC
  • Prevenir fugas de informação

Gestão de Incidentes TIC

O artigo 15º contém pormenores sobre os requisitos para gerir e controlar incidentes de segurança, incluindo procedimentos para "detectar, gerir e notificar incidentes relacionados com as TIC e criar indicadores de alerta precoce como alertas".

Comunicação de Incidentes de Segurança Cibernética

As entidades abrangidas devem fornecer um meio de monitorizar, descrever e comunicar quaisquer incidentes significativos baseados nas TIC às autoridades relevantes. As regras de notificação são rigorosas para os fornecedores de TIC críticas. Incluem a notificação inicial o mais tardar no final do dia útil, ou se o incidente significativo tiver ocorrido 2 horas antes do final do dia útil, o mais tardar 4 horas a partir do início do dia útil seguinte.

A partir daí, é necessário um relatório intermédio o mais tardar uma semana após a notificação inicial; este é seguido por um relatório final quando a análise da causa raiz tiver sido concluída o mais tardar um mês após o envio do relatório inicial.

Responsabilidade de Gestão e Segurança

A DORA coloca a responsabilidade pelos riscos das TIC e ameaças cibernéticas à porta do grupo de gestão dos serviços financeiros. A prestação de Formação de Sensibilização para a Segurança ajudará a assegurar o nível C, e toda a empresa está focada na segurança.

A DORA também cobre aspectos essenciais de gestão e resposta de segurança cibernética, tais como a partilha de informação (ver Artigo 40).

O que se segue para a DORA?

O regulamento tem um período de implementação de 24 meses para as entidades financeiras e os seus prestadores de serviços críticos de terceiros a partir da legislação em vigor. Por conseguinte, as entidades abrangidas são aconselhadas a utilizar os 24 meses entre a data de entrada em vigor da legislação e a implementação de medidas conformes para fazer uma análise de lacunas: medidas tais como testes de penetração induzidos por ameaças e regras rigorosas de notificação poderiam de outra forma colmatar essa lacuna.

Formação de Sensibilização de Segurança para Fornecedor de Terceiros

poderá gostar de ler estes