O que é o DORA?
O Digital Operational Resilience Act (DORA) é uma regulamentação da União Europeia (UE) que cria um framework abrangente e obrigatório para a gestão de riscos de tecnologia da informação e comunicação (ICT) no setor financeiro da UE.
O DORA estabelece padrões técnicos que as entidades financeiras e seus provedores de serviços tecnológicos de terceiros críticos devem implementar em seus sistemas ICT até 17 de janeiro de 2025.
Objetivo do DORA
O DORA possui dois objetivos principais: abordar de forma abrangente a gestão de riscos ICT no setor de serviços financeiros e harmonizar as regulamentações de gerenciamento de riscos ICT que já existem nos estados-membros da UE.
Antes do DORA, as regulamentações de gerenciamento de risco para instituições financeiras na UE focavam principalmente em garantir que as empresas tivessem capital suficiente para cobrir riscos operacionais. Embora alguns reguladores da UE tenham publicado diretrizes sobre gestão de riscos ICT e de segurança, essas diretrizes não se aplicavam de forma igual a todas as entidades financeiras e frequentemente dependiam de princípios gerais, sem padrões técnicos específicos. Na ausência de regras uniformes de gestão de riscos ICT a nível da UE, cada estado-membro emitia seus próprios requisitos, criando um cenário fragmentado que dificultava a conformidade para as entidades financeiras.
Com o DORA, a UE busca estabelecer um framework universal para gerenciar e mitigar riscos ICT no setor financeiro. Ao harmonizar as regras de gestão de riscos em toda a UE, o DORA visa eliminar lacunas, sobreposições e conflitos que poderiam surgir entre regulamentações diversas nos diferentes estados da UE. Um conjunto compartilhado de regras facilita a conformidade para as entidades financeiras e melhora a resiliência de todo o sistema financeiro da UE, garantindo que todas as instituições sejam mantidas no mesmo padrão.
Escopo do DORA
O DORA aplica-se a todas as instituições financeiras da UE, incluindo entidades financeiras tradicionais, como bancos, firmas de investimento e instituições de crédito, bem como entidades não tradicionais, como provedores de serviços de criptoativos e plataformas de crowdfunding.
O DORA também se aplica a algumas entidades normalmente excluídas das regulamentações financeiras. Por exemplo, provedores de serviços terceirizados que fornecem sistemas e serviços ICT para empresas financeiras – como provedores de serviços em nuvem e data centers – devem seguir os requisitos do DORA. O DORA também cobre empresas que oferecem serviços de informações de terceiros críticos, como serviços de classificação de crédito e provedores de análise de dados.
Status atual do DORA
O DORA foi proposto pela Comissão Europeia – o braço executivo da UE responsável por introduzir legislação – em setembro de 2020. Faz parte de um pacote financeiro digital mais amplo, que também inclui iniciativas para regulamentar criptoativos e melhorar a estratégia de finanças digitais da UE. O Conselho da União Europeia e o Parlamento Europeu adotaram formalmente o DORA em novembro de 2022. Entidades financeiras e provedores de serviços ICT têm até 17 de janeiro de 2025 para cumprir o DORA antes do início da fiscalização.
Embora a UE tenha oficialmente adotado o DORA, detalhes importantes ainda estão sendo ajustados pelas Autoridades Europeias de Supervisão (ESAs). As ESAs são os reguladores que supervisionam o sistema financeiro da UE, incluindo a Autoridade Bancária Europeia (EBA), a Autoridade Europeia de Valores Mobiliários e a Autoridade Europeia de Seguros e Pensões Ocupacionais.
As ESAs são responsáveis por elaborar os padrões técnicos regulatórios (RTS) e os padrões técnicos de implementação (ITS) que as entidades cobertas devem implementar. Esses padrões devem ser finalizados em 2024. A Comissão Europeia também está desenvolvendo um framework de supervisão para provedores ICT críticos, previsto para ser finalizado em 2024.
Fiscalização do DORA
Uma vez que os padrões sejam finalizados e o prazo de janeiro de 2025 chegue, a fiscalização caberá aos reguladores designados em cada estado-membro da UE, conhecidos como "autoridades competentes". As autoridades competentes podem exigir que as entidades financeiras tomem medidas de segurança específicas e corrijam vulnerabilidades. Elas também poderão impor penalidades administrativas e, em alguns casos, criminais às entidades que não cumprirem as normas. Cada estado-membro decidirá suas próprias penalidades.
Provedores ICT considerados "críticos" pela Comissão Europeia serão supervisionados diretamente por supervisores principais das ESAs. Assim como as autoridades competentes, esses supervisores principais podem solicitar medidas de segurança e correções e penalizar provedores ICT não conformes. O DORA permite que supervisores principais apliquem multas a provedores ICT de até 1% do faturamento médio diário global do ano comercial anterior. Os provedores podem ser multados diariamente por até seis meses, até alcançarem a conformidade.
Requisitos do DORA
O DORA estabelece requisitos técnicos para entidades financeiras e provedores ICT em quatro domínios:
Gestão e governança de riscos ICT
Resposta a incidentes e relatórios
Testes de resiliência operacional digital
Gestão de riscos de terceiros
O compartilhamento de informações é incentivado, mas não obrigatório.
Os requisitos serão aplicados de forma proporcional, o que significa que entidades menores não serão mantidas nos mesmos padrões que grandes instituições financeiras. Embora os RTS e ITS para cada domínio ainda estejam em desenvolvimento, a legislação atual do DORA oferece algumas informações sobre os requisitos gerais.
Gestão e governança de riscos ICT
O DORA torna o corpo de gestão de uma entidade responsável pela gestão ICT. Membros do conselho, executivos e outros gestores seniores são responsáveis por definir estratégias apropriadas de gerenciamento de riscos, apoiar ativamente sua execução e manter-se atualizados sobre o cenário de riscos ICT. Líderes também podem ser responsabilizados pessoalmente pelo descumprimento da entidade.
As entidades cobertas devem desenvolver frameworks abrangentes de gestão de riscos ICT. As entidades devem mapear seus sistemas ICT, identificar e classificar ativos e funções críticas, além de documentar dependências entre ativos, sistemas, processos e provedores. Devem realizar avaliações de riscos contínuas em seus sistemas ICT, documentar e classificar ameaças cibernéticas e registrar as etapas para mitigar os riscos identificados.
Como parte do processo de avaliação de riscos, as entidades devem realizar análises de impacto nos negócios para avaliar como cenários específicos e interrupções graves podem afetar o negócio. As entidades devem usar os resultados dessas análises para definir níveis de tolerância a riscos e orientar o design de sua infraestrutura ICT. As entidades também deverão implementar medidas de proteção cibernética, como políticas para gerenciamento de identidade e acesso e gerenciamento de patches, além de controles técnicos, como sistemas de detecção e resposta ampliada, software de gerenciamento de informações e eventos de segurança (SIEM) e ferramentas de orquestração, automação e resposta de segurança (SOAR).
As entidades precisarão estabelecer planos de continuidade de negócios e recuperação de desastres para vários cenários de risco cibernético, como falhas de serviço ICT, desastres naturais e ataques cibernéticos. Esses planos devem incluir medidas de backup e recuperação de dados, processos de restauração de sistemas e planos de comunicação com clientes, parceiros e autoridades afetadas.
As RTS que especificam os elementos necessários de um framework de gerenciamento de riscos ainda estão por vir. Especialistas acreditam que serão semelhantes às diretrizes existentes da EBA sobre gestão de riscos ICT e de segurança.
Resposta a incidentes e relatórios
As entidades cobertas devem estabelecer sistemas para monitorar, gerenciar, registrar, classificar e relatar incidentes relacionados ao ICT. Dependendo da gravidade do incidente, as entidades podem precisar fazer relatórios tanto para os reguladores quanto para clientes e parceiros afetados. As entidades deverão arquivar três tipos diferentes de relatórios para incidentes críticos: um relatório inicial para notificar as autoridades, um relatório intermediário sobre o progresso na resolução do incidente e um relatório final analisando as causas principais do incidente.
As regras sobre como os incidentes devem ser classificados, quais incidentes devem ser relatados e prazos para a apresentação dos relatórios estão por vir. As ESAs também estão explorando formas de simplificar o relatório, estabelecendo um hub central e modelos de relatórios comuns.
Testes de resiliência operacional digital
As entidades devem testar regularmente seus sistemas ICT para avaliar a eficácia de suas proteções e identificar vulnerabilidades. Os resultados desses testes, bem como planos para solucionar as fraquezas encontradas, deverão ser reportados e validados pelas autoridades competentes.
As entidades devem realizar testes básicos, como avaliações de vulnerabilidade e testes baseados em cenários, uma vez por ano. Entidades financeiras julgadas como desempenhando um papel crítico no sistema financeiro precisarão também realizar testes de penetração liderados por ameaças (TLPT) a cada três anos. Os provedores ICT críticos da entidade também deverão participar desses testes de penetração. As normas técnicas sobre como os TLPTs devem ser realizados estão por vir, mas provavelmente serão alinhadas com o framework TIBER-EU para red-teaming ético baseado em inteligência de ameaças.
Gestão de riscos de terceiros
Um aspecto único do DORA é que ele se aplica não apenas às entidades financeiras, mas também aos provedores ICT que atendem o setor financeiro.
Espera-se que as empresas financeiras assumam um papel ativo na gestão de riscos de terceiros de ICT. Ao terceirizar funções críticas e importantes, as entidades financeiras devem negociar acordos contratuais específicos sobre estratégias de saída, auditorias e metas de desempenho para acessibilidade, integridade e segurança, entre outras questões. As entidades não poderão contratar provedores ICT que não possam cumprir esses requisitos. As autoridades competentes têm o poder de suspender ou rescindir contratos que não estejam em conformidade. A Comissão Europeia está explorando a possibilidade de elaborar cláusulas contratuais padronizadas que entidades e provedores ICT possam usar para garantir que seus contratos cumpram o DORA.
As instituições financeiras também precisarão mapear suas dependências ICT de terceiros, e deverão garantir que suas funções críticas e importantes não estejam muito concentradas em um único provedor ou em um pequeno grupo de provedores.
Os provedores críticos de serviços ICT de terceiros estarão sujeitos à supervisão direta das ESAs relevantes. A Comissão Europeia ainda está desenvolvendo os critérios para determinar quais provedores são críticos. Aqueles que atenderem aos critérios terão uma das ESAs designada como supervisora principal. Além de aplicar os requisitos do DORA para provedores críticos, os supervisores principais terão o poder de impedir que provedores celebrem contratos com empresas financeiras ou outros provedores ICT que não estejam em conformidade com o DORA.
Compartilhamento de informações
As entidades financeiras devem estabelecer processos para aprender com incidentes ICT internos e externos. Com esse objetivo, o DORA incentiva as entidades a participarem de acordos voluntários de compartilhamento de inteligência sobre ameaças. Quaisquer informações compartilhadas devem estar protegidas de acordo com as diretrizes relevantes — por exemplo, informações de identificação pessoal ainda estão sujeitas às considerações do Regulamento Geral sobre a Proteção de Dados (GDPR).
Comentarios