A Digital Operational Resilience Act, ou DORA, é um regulamento da União Europeia (UE) que cria um framework abrangente para gerenciamento dos riscos da tecnologia da informação e comunicação (TIC) para o setor financeiro da UE. O DORA estabelece um conjunto unificado de regras para lidar com lacunas, evitar sobreposições e resolver conflitos entre diferentes regulamentações. Com isso, reduz o ônus da conformidade e fortalece a resiliência do sistema financeiro da UE.
O DORA entrou em vigor em 17 de janeiro de 2025.
Antes do DORA, as regulamentações da UE se concentravam principalmente no capital para riscos operacionais, com diretrizes de TIC e segurança não uniformes entre os países. O DORA tem como objetivo melhorar o gerenciamento dos riscos de TIC no setor de serviços financeiros e harmonizar as regulamentações entre os estados membros da UE.
O DORA é complementado por uma série de Normas Técnicas Regulatórias (RTS) vinculativas e Normas Técnicas de Implementação (ITS), que estabelecem normas harmonizadas e diretrizes práticas sobre a implementação efetiva dos requisitos regulatórios.
O DORA se aplica a uma ampla gama de entidades financeiras, como bancos, instituições de crédito e pagamento, empresas de investimento, ambientes de negociação e depositários centrais de valores e entidades não tradicionais, incluindo provedores de serviços de criptoativos e plataformas de financiamento coletivo. Existem isenções para gestores de fundos de investimento alternativos que se qualificam para isenção nos termos do artigo 3 (2) do AIFMD e instituições de pequeno porte e não complexas que atendem a determinados limites com base no tamanho, perfil de risco e complexidade operacional.
Um aspecto exclusivo e marcante do DORA que é importante destacar é que ele se aplica não apenas às entidades financeiras, mas também aos provedores de TIC críticos que atendem ao setor financeiro, como os provedores de serviços de nuvem e data centers.
A aplicação do DORA é de responsabilidade do Banco Central Europeu (BCE) e dos órgãos reguladores designados em cada estado membro da UE, conhecidos como "autoridades nacionais competentes", ou NCAs. O BCE e as autoridades nacionais competentes podem solicitar que as entidades financeiras adotem medidas específicas de gerenciamento de riscos e segurança e corrijam as vulnerabilidades. Além disso, eles têm poderes de execução para impor penalidades administrativas e criminais às entidades que não cumprirem as expectativas da supervisão. Cada estado-membro tem o poder de decidir, a seu critério, como sua autoridade nacional competente deve impor as penalidades.
Os provedores de TIC considerados "críticos" conforme estabelecido no DORA serão supervisionados diretamente pelas autoridades de supervisão das Autoridades Supervisórias Europeias (ESAs). Assim como as autoridades nacionais competentes, as autoridades de supervisão podem solicitar que sejam adotadas medidas de segurança preventivas e curativas específicas para lidar com as vulnerabilidades e penalizar os fornecedores de TIC não conformes. O DORA permite que as autoridades de supervisão apliquem multas aos provedores de TIC no valor de 1% do faturamento médio diário mundial do provedor no ano comercial anterior. Os provedores podem ser multados todos os dias por até seis meses até que atendam às expectativas da autoridade de supervisão.
A DORA estabelece requisitos técnicos para entidades financeiras e provedores de TIC em quatro domínios:
- Gestão e governança de riscos da TIC
- Resposta e relatórios de incidentes
- Testes de resiliência operacional digital
- Gerenciamento de risco terceirizado
Um quinto domínio abrange o compartilhamento de informações, que é incentivado, mas não obrigatório, ao contrário dos outros quatro domínios.
As entidades financeiras no escopo para o DORA devem assumir um papel ativo na gestão do risco de terceiros relacionado à TIC. Ao terceirizar funções críticas e importantes, as entidades financeiras devem negociar acordos contratuais específicos relacionados a estratégias de saída, auditorias e metas de desempenho para acessibilidade, integridade e segurança dos dados, entre outros itens. As entidades não estão autorizadas a contratar fornecedores de TIC que não atendam a esses requisitos. O ECB e as autoridades competentes nacionais podem suspender ou rescindir contratos que não estejam em conformidade. A Comissão Europeia está estudando a possibilidade de elaborar cláusulas contratuais padronizadas que as entidades e os provedores de TIC possam utilizar para ajudar a garantir a conformidade de seus contratos com o DORA.
As entidades financeiras também precisam mapear suas dependências de TIC de terceiros e são obrigadas a ajudar a garantir que suas funções críticas e importantes não estejam indevidamente concentradas em um único provedor ou em um pequeno grupo de provedores.
Os provedores críticos de serviços de TIC de terceiros estarão sujeitos à supervisão direta das ESAs relevantes. A Comissão Europeia ainda está desenvolvendo os critérios para determinar quais provedores são críticos. Aqueles que atenderem aos padrões terão uma das ESAs designada como supervisora principal. Além de aplicar os requisitos do DORA aos fornecedores críticos, as entidades supervisoras têm o poder de proibir os fornecedores de estabelecer contratos com empresas financeiras ou outros provedores de TIC que não estejam em conformidade com os requisitos do DORA.
O DORA responsabiliza um órgão de administração da entidade pela gestão da TIC. Membros do conselho, líderes executivos e gestores seniores devem definir estratégias eficazes de gerenciamento de riscos, participar ativamente da implementação dessas estratégias e manter-se informados sobre os riscos relacionados às tecnologias da informação e comunicação (TIC). Além disso, os líderes podem ser responsabilizados individualmente pela não conformidade de uma entidade.
Espera-se que as entidades cobertas desenvolvam estruturas abrangentes de gerenciamento de riscos de TIC. As entidades devem mapear seus sistemas de TIC, identificar e classificar ativos e funções críticas e dependências de documentos entre ativos, sistemas, processos e provedores. É necessário que as entidades realizem avaliações de risco de forma continuada em seus sistemas de TIC, documentar e classificar ameaças cibernéticas e documentar as medidas tomadas para reduzir os riscos identificados.
Como parte do processo de avaliação de riscos, as entidades devem conduzir análises de impacto nos negócios para avaliar como cenários específicos e interrupções graves podem afetar os negócios. Espera-se que as entidades utilizem os resultados dessas análises para definir níveis de tolerância ao risco e esclarecer o projeto de sua infraestrutura de TIC.As entidades serão obrigadas também a implementar medidas adequadas de proteção de cibersegurança, como políticas de gerenciamento de identidades e acesso e gerenciamento de correções, com controles técnicos como sistemas para maior detecção e resposta, software de gerenciamento de informações e eventos de segurança (SIEM) ferramentas de orquestração de segurança, automação e resposta (SOAR).
As entidades precisam estabelecer também planos de continuidade de negócios e recuperação de desastres para vários cenários de risco cibernético, como falhas de serviço de TIC, desastres naturais e ciberataques. Esses planos devem conter medidas de backup e recuperação de dados, processos de restauração do sistema e planos de comunicação com clientes e parceiros afetados e autoridades.
As entidades cobertas devem estabelecer sistemas para monitorar, gerenciar, registrar, classificar e relatar incidentes relacionados à TIC. Dependendo da gravidade do incidente, as entidades podem ter que fazer relatórios para os reguladores e para os clientes e parceiros afetados. As entidades serão obrigadas a apresentar três tipos distintos de relatórios para incidentes críticos: um primeiro relatório avisando as autoridades, um relatório intermediário sobre o progresso na resolução do incidente e um relatório final com a análise das causas-raiz do incidente.
As regras sobre como os incidentes devem ser classificados, quais incidentes devem ser relatados e prazos para notificação estão sendo elaboradas. As ESAs estão explorando também maneiras de simplificar os relatórios com o estabelecimento de um ponto central e modelos comuns de relatórios.
As entidades são obrigadas a testar regularmente seus sistemas de ICT para avaliar a eficácia de suas proteções e identificar vulnerabilidades. É necessário que os resultados desses testes, bem como os planos para corrigir as fraquezas encontradas, sejam comunicados e validados pelas autoridades competentes pertinentes.
As entidades devem realizar testes como avaliações de vulnerabilidade e testes baseados em cenários uma vez por ano. As entidades financeiras que desempenharem um papel crítico no sistema financeiro também precisarão passar por testes de penetração baseados em ameaças (TLPT) a cada três anos. Os provedores críticos de TIC da entidade também serão obrigados a participar desses testes de penetração. Em 23 de janeiro de 2025, o Conselho Administrativo do BCE aprovou o framework Threat Intelligence-based Ethical Red Teaming (TIBER)-UE atualizado para red teams éticas baseadas em inteligência de ameaças, a fim de alinhá-las plenamente com as normas técnicas regulamentares do DORA no que diz respeito a testes de penetração baseados em ameaças, tendo em vista a entrada em vigor do DORA em 17 de janeiro de 2025. O framework TIBER-UE atualizado e os documentos de orientação estão disponíveis no site do BCE.
As entidades financeiras são obrigadas a estabelecer processos para aprender com incidentes relacionados a TIC, internos e externos. Para esse fim, o DORA incentiva as entidades a participarem de acordos voluntários de compartilhamento de inteligência de ameaças. Toda informação compartilhada neste contexto ainda deve ser protegida conforme estabelecem as diretrizes relevantes, por exemplo, as informações de identificação pessoal ainda estão sujeitas às considerações do General Data Protection Regulation (GDPR).
O IBM Cloud tem o compromisso de auxiliar nossos clientes para fortalecer a resiliência operacional digital deles diante das dificuldades e para ajudar a prepará-los para cumprimento de suas obrigações estabelecidas pelo DORA. Com nosso longo histórico e vasta experiência trabalhando com algumas das organizações de serviços financeiros mais conhecidas do mundo em sua jornada para a modernização, a IBM tem o compromisso de auxiliar nossos clientes a estimular o crescimento, reduzindo os riscos e adaptando-se ao cenário regulatório em evolução, incluindo a conformidade com o DORA.
Por ser um provedor de serviço de nuvem (CSP), o DORA afeta a IBM Cloud de duas maneiras:
- Indiretamente, quando tanto a IBM quanto as entidades financeiras que são nossas clientes são obrigadas a adotar medidas, como por exemplo, revisar políticas e procedimentos e adaptar ferramentas para gerenciar a segurança, a estabilidade e a resiliência dos sistemas de TIC, bem como o conteúdo e o tratamento geral de contratos, tanto entre clientes e a IBM quanto entre a IBM e nossos fornecedores.
- Diretamente, caso a IBM e o IBM Cloud possam ser designados como prestadores de serviços terceirizados críticas de TIC, exigindo supervisão, conforme estabelece o DORA, onde o IBM Cloud presta serviços de TIC para entidades financeiras.
Até o momento, a IBM não foi oficialmente designada como prestadora crítica de TIC pelas autoridades da UE. No entanto o IBM Cloud está se preparando proativamente para lidar com possíveis exigências diretas, caso a IBM seja designada como prestadora de serviços terceirizados crítica de TIC pelas autoridades competentes.
O IBM Cloud apoia os clientes para esclarecer a tomada de decisões baseada em risco. Nossa documentação contém informações detalhadas para cada serviço de nuvem, para destacar as medidas de resiliência de serviço integradas e ajudar os clientes nos projetos para lidar com possíveis interrupções não planejadas. Incluímos uma documentação de conformidade detalhada como evidência de recursos robustos. Além disso, o IBM Cloud Security and Compliance Center Workload Protection automatiza as verificações de conformidade para o IBM Cloud Framework for Financial Services, DORA, PCI e muitas outras normas relacionadas ao setor ou de melhores práticas, para seus recursos do IBM Cloud, e para aqueles em ambientes multinuvem.
O IBM Cloud oferece uma plataforma robusta que permite que os clientes projetem uma implementação resiliente que melhor se adapte às suas necessidades. Nossas regiões multizona oferecem uma variedade de localizações geográficas e serviços globais e entre zonas altamente disponíveis, como o Gerenciamento de acesso e identidade, IBM Cloud Databases, serviços de contêineres (Kubernetes e Red Hat OpenShift), vários serviços de armazenamento e nuvem privada virtual para atender aos requisitos de resiliência e conformidade das aplicações para as cargas de trabalho mais exigentes. Além disso, pode-se criar uma recuperação de desastres entre regiões utilizando arquiteturas de referência e orientações de melhores práticas, para mitigar uma variedade de cenários.
A estabilidade é importante e, por isso, o IBM Cloud garante que os clientes tenham os recursos de resiliência necessários para evitar interrupções não planejadas, de tudo como código e arquiteturas implementáveis, implementadas por meio do IBM Cloud Schematics, a arquitetura de rede altamente disponível e o IBM Cloud Monitoring de última geração. As funcionalidades de auto-scaling de muitos serviços, incluindo nuvem privada virtual, IBM Kubernetes Service, Red Hat OpenShift on IBM Cloud e IBM Cloud Databases garantem que as cargas de trabalho tenham capacidade suficiente para atender aos picos, com a capacidade de equilibrar facilmente a carga entre zonas ou até mesmo regiões. Enquanto isso, as práticas de DevSecOps, implementadas com cadeias de ferramentas de entrega contínua, melhoram o gerenciamento automatizado de lançamentos e as práticas de segurança por design.
Um pressuposto fundamental que sustenta a regulamentação sobre resiliência operacional é que incidentes e interrupções não planejados ocorrem, apesar de todos os esforços. Por isso, a forma como lidamos com essas situações (reduzindo sua frequência e impacto) é essencial. Realizamos testes de BCDR com frequência para garantir que nossos processos estejam alinhados com os níveis de tolerância a impacto definidos pelos clientes. Os resultados desses testes são utilizados para aprimorar o treinamento dos funcionários, aumentar a consciência e promover melhorias contínuas. Quando ocorrem incidentes, compartilhamos notificações oportunas sobre os incidentes com os clientes afetados, conduzimos análises de causa raiz e compartilhamos as descobertas conforme apropriado. Muitos serviços do IBM Cloud fazem backup automático dos dados do cliente em grupos de Object Storage entre regiões, para auxiliar na recuperação para uma segunda região em caso de desastre, alinhados com nosso modelo de responsabilidade compartilhada.
Acelere sua conformidade utilizando os serviços da IBM Cloud
A IBM Cloud oferece o seguinte leque de serviços que ajudará você a atender aos requisitos específicos do DORA e acelerar sua jornada de conformidade.
|
1. Gerenciamento de riscos de TIC |
|---|
Cloud Pak for Security
Integre as ferramentas de segurança existentes para obter insights mais profundos sobre ameaças e riscos, orquestrar ações e automatizar respostas.
IBM Cloud Security and Compliance Center - Data Security Broker - Manager
Uma solução de segurança no pacote Security and Compliance Center que oferece políticas de criptografia centralizadas e auditoria de dados em diferentes fontes de dados.
IBM Cloud Security and Compliance Center - Proteção de cargas de trabalho
Em arquiteturas concentradas em contêineres e microsserviços, você pode utilizar o IBM Cloud Security and Compliance Center Workload Protection para encontrar e priorizar vulnerabilidades de software, detectar e responder a ameaças e gerenciar configurações, permissões e conformidade, da origem à execução.
IBM Key Protect for IBM Cloud
O serviço IBM Key Protect for IBM Cloud ajuda você a provisionar e armazenar chaves criptografadas para aplicativos nos serviços IBM Cloud, para que você possa ver e gerenciar a criptografia de dados e todo o ciclo de vida da chave em um único lugar.
IBM QRadar Suite
O IBM Security QRadar Suite é uma solução modernizada de detecção e resposta a ameaças, projetada para unificar a experiência do analista de segurança e acelerar sua velocidade em todo o ciclo de vida do incidente. O portfólio é integrado com IA e automação de nível empresarial para aumentar drasticamente a produtividade do analista, ajudando equipes de segurança com recursos limitados a trabalhar de forma mais eficaz nas tecnologias importantes. Com uma interface de usuário comum, insights compartilhados e fluxos de trabalho conectados, oferece produtos integrados para: segurança de endpoint (EDR, XDR, MDR), SIEM, SOAR.
IBM X-FORCE
A X-Force pode ajudar a construir e gerenciar um programa de segurança integrado para proteger sua organização contra ameaças globais. Com um entendimento profundo sobre o raciocínio, estratégias e táticas dos agentes de ameaças, nossa equipe é capacitada para prevenir, identificar, reagir e se recuperar de incidentes, permitindo que você se concentre nas prioridades do seu negócio. Os serviços ofensivos e defensivos do X-Force são fundamentados em pesquisa de ameaças, inteligência e serviços de remediação.
IBM Cloud Hardware Security Module
O IBM Cloud Hardware Security Module (HSM) 7.0 da Gemalto protege infraestruturas criptográficas ao gerenciar, processar e armazenar com mais segurança as chaves criptográficas dentro de um dispositivo de hardware inviolável. Ele ajuda a resolver desafios complexos de segurança, conformidade, soberania de dados e controle, migrando e executando cargas de trabalho na nuvem.
Computação confidencial
Proteja seus dados em repouso, em trânsito e em uso com a mais ampla seleção de tecnologias de segurança de dados e criptografia do IBM Z, IBM LinuxONE e Intel Xeon no IBM Cloud.
IBM Security Guardium
O IBM® Security Guardium é uma linha de softwares de segurança de dados do portfólio IBM Security que descobre vulnerabilidades e protege dados confidenciais no local e na nuvem.
Serviços de armazenamento do IBM Cloud
Nossos serviços de armazenamento em nuvem oferecem um local escalável, repleto de recursos de segurança e econômico para seus dados, além de ser compatível com cargas de trabalho tradicionais e nativas da nuvem. Provisione e implemente serviços como armazenamento de objetos de acesso, blocos e arquivos. Ajuste a capacidade e otimize o desempenho à medida que os requisitos mudam. Pague somente pelo armazenamento em nuvem de que você precisa.
IBM Cloud Backup
O IBM Cloud Backup é um sistema completo de backup e recuperação baseado em agentes, gerenciado por meio de uma interface da web. Faça backup de dados entre servidores IBM Cloud em um ou mais data centers globais do IBM Cloud.
Serviços do IBM Cloud Database
Os serviços do IBM Cloud Database-as-a-Service (DBaaS) liberam os desenvolvedores e a TI de tarefas complexas e demoradas, incluindo a implementação de infraestrutura e software de banco de dados, operações de infraestrutura, atualizações de software de banco de dados e backup. As SMEs do IBM Cloud Database entregam e mantêm instâncias de banco de dados prontas para uso e altamente disponíveis, liberando tempo para os desenvolvedores e as equipes de TI se concentrarem em outras prioridades.
IBM Cloud Container Registry
Armazene e distribua imagens de contêineres em um registro privado totalmente gerenciado. Envie imagens privadas para executar convenientemente no IBM Cloud Kubernetes Service e em outros ambientes de tempo de execução. As imagens são verificadas quanto a problemas de segurança para que você possa tomar decisões assertivas sobre suas implementações.
Gerenciamento de ciclo de vida do aplicativo DevSecOps
A arquitetura implementável de Gerenciamento do ciclo de vida da aplicação de DevSecOps cria um conjunto de cadeias de ferramentas e pipelines de DevOps. O DevSecOps utiliza a entrega contínua (CD) (Git Repos and Issue Tracking, Tekton Pipelines, IBM Cloud DevOps Insights e Code Risk Analyzer), Secrets Manager, IBM Key Protect, IBM Cloud Object Storage, IBM Cloud Container Registry e Vulnerability Advisor.
Soluções de observabilidade do IBM Cloud
A observabilidade oferece visibilidade profunda dos aplicativos distribuídos modernos para identificação e resolução de problemas mais rápidas e automáticas.
|
2. Relatórios de incidentes |
|---|
IBM X-FORCE
A X-Force pode ajudar a construir e gerenciar um programa de segurança integrado para proteger sua organização contra ameaças globais. Com um entendimento profundo sobre o raciocínio, estratégias e táticas dos agentes de ameaças, nossa equipe é capacitada para prevenir, identificar, reagir e se recuperar de incidentes, permitindo que você se concentre nas prioridades do seu negócio. Os serviços ofensivos e defensivos do X-Force são fundamentados em pesquisa de ameaças, inteligência e serviços de remediação.
IBM QRadar Suite
O IBM Security QRadar Suite é uma solução modernizada de detecção e resposta a ameaças, projetada para unificar a experiência do analista de segurança e acelerar sua velocidade em todo o ciclo de vida do incidente. O portfólio é integrado com IA e automação de nível empresarial para aumentar drasticamente a produtividade do analista, ajudando equipes de segurança com recursos limitados a trabalhar de forma mais eficaz nas tecnologias importantes. Com uma interface de usuário comum, insights compartilhados e fluxos de trabalho conectados, oferece produtos integrados para: segurança de endpoint (EDR, XDR, MDR), SIEM, SOAR.
IBM Security Guardium
O IBM® Security Guardium é uma linha de softwares de segurança de dados do portfólio IBM Security que descobre vulnerabilidades e protege dados confidenciais no local e na nuvem.
Soluções de observabilidade do IBM Cloud
A observabilidade oferece visibilidade profunda dos aplicativos distribuídos modernos para identificação e resolução de problemas mais rápidas e automáticas.
|
3. Teste de resiliência operacional |
|---|
IBM Cloud Security and Compliance Center - Proteção de cargas de trabalho
Em arquiteturas concentradas em contêineres e microsserviços, você pode utilizar o IBM Cloud Security and Compliance Center Workload Protection para encontrar e priorizar vulnerabilidades de software, detectar e responder a ameaças e gerenciar configurações, permissões e conformidade, da origem à execução.
IBM X-FORCE
A X-Force pode ajudar a construir e gerenciar um programa de segurança integrado para proteger sua organização contra ameaças globais. Com um entendimento profundo sobre o raciocínio, estratégias e táticas dos agentes de ameaças, nossa equipe é capacitada para prevenir, identificar, reagir e se recuperar de incidentes, permitindo que você se concentre nas prioridades do seu negócio. Os serviços ofensivos e defensivos do X-Force são fundamentados em pesquisa de ameaças, inteligência e serviços de remediação.
IBM QRadar Suite
O IBM Security QRadar Suite é uma solução modernizada de detecção e resposta a ameaças, projetada para unificar a experiência do analista de segurança e acelerar sua velocidade em todo o ciclo de vida do incidente. O portfólio é integrado com IA e automação de nível empresarial para aumentar drasticamente a produtividade do analista, ajudando equipes de segurança com recursos limitados a trabalhar de forma mais eficaz nas tecnologias importantes. Com uma interface de usuário comum, insights compartilhados e fluxos de trabalho conectados, oferece produtos integrados para: segurança de endpoint (EDR, XDR, MDR), SIEM, SOAR.
IBM Security Guardium
O IBM® Security Guardium é uma linha de softwares de segurança de dados do portfólio IBM Security que descobre vulnerabilidades e protege dados confidenciais no local e na nuvem.
Gerenciamento de ciclo de vida do aplicativo DevSecOps
A arquitetura implementável de Gerenciamento do ciclo de vida da aplicação de DevSecOps cria um conjunto de cadeias de ferramentas e pipelines de DevOps. O DevSecOps utiliza a entrega contínua (CD) (Git Repos and Issue Tracking, Tekton Pipelines, IBM Cloud DevOps Insights e Code Risk Analyzer), Secrets Manager, IBM Key Protect, IBM Cloud Object Storage, IBM Cloud Container Registry e Vulnerability Advisor.
|
4. Gerenciamento de risco de terceiros |
|---|
IBM Cloud Security and Compliance Center - Proteção de cargas de trabalho
Em arquiteturas concentradas em contêineres e microsserviços, você pode utilizar o IBM Cloud Security and Compliance Center Workload Protection para encontrar e priorizar vulnerabilidades de software, detectar e responder a ameaças e gerenciar configurações, permissões e conformidade, da origem à execução.
|
5. Compartilhamento de informações e inteligência |
|---|
IBM X-FORCE
A X-Force pode ajudar a construir e gerenciar um programa de segurança integrado para proteger sua organização contra ameaças globais. Com um entendimento profundo sobre o raciocínio, estratégias e táticas dos agentes de ameaças, nossa equipe é capacitada para prevenir, identificar, reagir e se recuperar de incidentes, permitindo que você se concentre nas prioridades do seu negócio. Os serviços ofensivos e defensivos do X-Force são fundamentados em pesquisa de ameaças, inteligência e serviços de remediação.
Cloud Pak for Security
Integre as ferramentas de segurança existentes para obter insights mais profundos sobre ameaças e riscos, orquestrar ações e automatizar respostas.
A IBM disponibilizou para seus clientes de serviços financeiros uma série de recursos para que eles possam se preparar para a conformidade com a regulamentação DORA.
Esses recursos podem ser aproveitados quando as entidades financeiras começam a definir suas exposições a riscos, identificar dependências de terceiros e desenvolver uma abordagem para resiliência operacional digital.