A DORA afecta o sector dos serviços financeiros da UE, e esta legislação está prestes a fazer ondas no sector financeiro. Eis um olhar sobre algumas das obrigações da DORA a que as instituições financeiras devem aderir.
O sector dos serviços financeiros é há muito tempo um inovador tecnológico e o primeiro motor. Os avanços na banca e nas finanças significaram que a transformação digital no sector tem vindo a crescer. Mas novas tecnologias e novas formas de trabalho seduzem os cibercriminosos. O resultado é que os ataques contra o sector financeiro estão a subir em flecha.
Em 2021, a banca registou umaumento de1,318% nos ataques de resgate, e 65% das grandes organizações financeiras sofreram um ataque cibernético em 2020. A natureza severa dos ataques cibernéticos cada vez mais complexos e prejudiciais no sector financeiro levou a nova legislação a entrar no léxico de regulação dos serviços financeiros, e o seu nome é DORA (Digital Operational Resilience Act).
DORA Basics
O primeiro projecto da DORA foi publicado a 24 de Setembro de 2020, e a 10 de Setembro de 2022, o Parlamento Europeu aprovou. A legislação desempenhará um papel central no "pacote financeiro digital", utilizado para permitir a inovação e a concorrência nas finanças digitais, mitigando simultaneamente os riscos decorrentes da digitalização da indústria.
Como tal, o artigo 114 do Tratado sobre o Funcionamento da União Europeia (TFUE) é utilizado como base jurídica da DORA; a legislação centra-se na harmonização das directrizes de segurança cibernética em todo o sector.
A UE gosta de utilizar meios regulamentares para consolidar e harmonizar as melhores práticas; o GDPR é um exemplo de um regulamento harmonizado sobre privacidade de dados; a DORA é a tentativa da UE de consolidar e actualizar a gestão de risco das TIC em todo o sector financeiro, com a DORA a ter impacto nas empresas de serviços financeiros da UE e nos seus fornecedores (críticos) de TIC.
A DORA exigirá que as empresas do sector financeiro implementem medidas que as protejam contra riscos relacionados com as TIC: como tal, a DORA alarga os requisitos para incluir terceiros, tais como os fornecedores de nuvens.
Que Obrigações Exige a DORA do Sector Financeiro?
O objectivo é criar um ambiente resiliente em todo o ecossistema dos serviços financeiros. O quadro subjacente à DORA é construído sobre um conjunto de regras que são concebidas para ajudar as instituições financeiras a desenvolver processos robustos de gestão de risco. Alguns dos principais requisitos e cobertura da DORA incluem o seguinte:
Âmbito da DORA
Quase todos os tipos de entidades financeiras ficarão sob a DORA. As entidades abrangidas incluem instituições de crédito, instituições de pagamento, instituições de dinheiro electrónico, empresas de investimento, fornecedores de serviços crypto-asset, fundos de investimento alternativos, gestores de seguros, etc. A excepção são os auditores, que actualmente não estão sujeitos às regras da DORA, mas isto é susceptível de mudar em futuras versões da Lei. Para uma lista completa das entidades abrangidas, ver Artigo 2 da DORA.
Os fornecedores de TIC que prestam serviços às entidades abrangidas pela DORA devem também aderir à Lei. Os fornecedores de TIC são vistos como fulcrais para o sector financeiro e, como tal, estão sujeitos a regras rigorosas ao abrigo da DORA. Os prestadores de serviços TIC críticos não baseados na UE a entidades financeiras na UE devem estabelecer uma filial dentro da UE.
Provedores de TIC e DORA
A gestão de risco por terceiros é uma parte fundamental da DORA. O foco nos fornecedores de TIC é uma reacção ao aumento de ataques na cadeia de fornecimento, tais como a actualização do software SolarWinds Orion. A Agência de Segurança Cibernética da União Europeia (ENISA) relatou um aumento da sofisticação e do volume de ataques à cadeia de abastecimento, com atacantes a visarem a cadeia de abastecimento para roubar dados e bens financeiros. A DORA coordena os requisitos utilizando estruturas existentes, tais como as Directrizes de Outsourcing da Autoridade Bancária Europeia (EBA). (Ver também Artigo 14 da DORA)
Sob a DORA, as empresas financeiras podem definir alguns fornecedores de TIC como 'críticos'. Como tal, um fornecedor de TIC crítico que preste serviços a uma entidade coberta pela DORA ficará sujeito a regras rigorosas aplicadas através de um compromisso directo com as autoridades FS (serviços financeiros) da UE.
Medidas Chave de Segurança Cibernética
Os valores centrais da legislação DORA são a manutenção de sistemas de TIC resistentes. Para o conseguir, foram estabelecidas as seguintes directrizes:
Gestão de Risco e Resiliência
No cerne da DORA estão directrizes de gestão de risco para ajudar o sector dos serviços financeiros a construir infra-estruturas mais resilientes. Os programas e avaliações de gestão de risco resultantes são utilizados como base para testar a resiliência. Além disso, a legislação espera que sejam efectuadas análises de impacto empresarial com base em cenários de "graves perturbações empresariais".
Espera-se que os testes de resiliência e vulnerabilidade sejam realizados por peritos independentes e incluam testes regulares de penetração conduzidos por ameaças. É importante notar que todos os sistemas TIC críticos devem ser testados anualmente.
Medidas de protecção (ver também artigo 8º)
Exemplos de medidas de protecção necessárias incluem:
- Utilizar políticas apropriadas e abrangentes para correcções e actualizações.
- Implementar políticas e protocolos para mecanismos de autenticação fortes
- Seguir uma abordagem baseada no risco para estabelecer uma boa gestão da rede e das infra-estruturas
- Implementar políticas que limitem o acesso físico e virtual aos recursos e dados do sistema TIC
- Prevenir fugas de informação
Gestão de Incidentes TIC
O artigo 15º contém pormenores sobre os requisitos para gerir e controlar incidentes de segurança, incluindo procedimentos para "detectar, gerir e notificar incidentes relacionados com as TIC e criar indicadores de alerta precoce como alertas".
Comunicação de Incidentes de Segurança Cibernética
As entidades abrangidas devem fornecer um meio de monitorizar, descrever e comunicar quaisquer incidentes significativos baseados nas TIC às autoridades relevantes. As regras de notificação são rigorosas para os fornecedores de TIC críticas. Incluem a notificação inicial o mais tardar no final do dia útil, ou se o incidente significativo tiver ocorrido 2 horas antes do final do dia útil, o mais tardar 4 horas a partir do início do dia útil seguinte.
A partir daí, é necessário um relatório intermédio o mais tardar uma semana após a notificação inicial; este é seguido por um relatório final quando a análise da causa raiz tiver sido concluída o mais tardar um mês após o envio do relatório inicial.
Responsabilidade de Gestão e Segurança
A DORA coloca a responsabilidade pelos riscos das TIC e ameaças cibernéticas à porta do grupo de gestão dos serviços financeiros. A prestação de Formação de Sensibilização para a Segurança ajudará a assegurar o nível C, e toda a empresa está focada na segurança.
A DORA também cobre aspectos essenciais de gestão e resposta de segurança cibernética, tais como a partilha de informação (ver Artigo 40).
O que se segue para a DORA?
O regulamento tem um período de implementação de 24 meses para as entidades financeiras e os seus prestadores de serviços críticos de terceiros a partir da legislação em vigor. Por conseguinte, as entidades abrangidas são aconselhadas a utilizar os 24 meses entre a data de entrada em vigor da legislação e a implementação de medidas conformes para fazer uma análise de lacunas: medidas tais como testes de penetração induzidos por ameaças e regras rigorosas de notificação poderiam de outra forma colmatar essa lacuna.