Qual é o Digital Operational Resilience Act (DORA)?

A DORA estabelece padrões técnicos que as entidades financeiras e seus provedores críticos de serviços de tecnologia terceirizados devem implementar em seus sistemas de ICT até 17 de janeiro de 2025.

Os principais objetivos da DORA são: abordar de forma abrangente a gestão de riscos do ICT no setor de serviços financeiros e harmonizar os regulamentos de gestão de riscos de ICT que já existem nos estados-membros individuais da UE.

Antes da DORA, as regulamentações de gerenciamento de riscos para instituições financeiras na UE se concentravam principalmente em garantir que as empresas tivessem capital suficiente para cobrir os riscos operacionais. Embora alguns reguladores da UE tenham lançado diretrizes sobre gerenciamento de riscos de ICT e segurança, essas diretrizes não se aplicavam igualmente a todas as entidades financeiras e muitas vezes se baseavam em princípios gerais em vez de padrões técnicos específicos. Na ausência de regras de gerenciamento de riscos de ICT em nível da UE, os estados membros da UE emitiram seus próprios requisitos. Esse mosaico de regulamentações se mostrou difícil para as entidades financeiras navegarem.

Com a DORA, a UE tem como objetivo estabelecer uma estrutura universal para gerenciar e mitigar os riscos de ICT no setor financeiro. Ao harmonizar as regras de gerenciamento de riscos em toda a UE, a DORA busca remover as lacunas, sobreposições e conflitos que possam surgir entre regulamentações díspares em diferentes estados da UE. Um conjunto compartilhado de regras pode facilitar a conformidade das entidades financeiras e, ao mesmo tempo, melhorar a resiliência de todo o sistema financeiro da UE, garantindo que todas as instituições sejam mantidas de acordo com o mesmo padrão.

A DORA se aplica a todas as instituições financeiras da UE. Isso inclui entidades financeiras tradicionais, como bancos, empresas de investimento e instituições de crédito e entidades não tradicionais, inclusive provedores de serviços de criptoativos e plataformas de crowdfunding.

Sobretudo, a DORA também se aplica a algumas entidades que normalmente são excluídas dos regulamentos financeiros. Por exemplo, os provedores de serviços terceirizados que fornecem às empresas financeiras sistemas e serviços de ICT, como provedores de serviços de nuvem e data centers, devem seguir os requisitos da DORA. A DORA também abrange empresas que fornecem serviços críticos de informações de terceiros, como serviços de classificação de crédito e provedores de análise de dados.

A DORA foi proposta pela primeira vez pela Comissão Europeia, o ramo executivo da UE responsável pela introdução da legislação, em setembro de 2020. Ela faz parte de um pacote financeiro digital mais amplo, que também inclui iniciativas para regulamentar os criptoativos e aprimorar a estratégia financeira digital geral da UE. A adoção da Dora pelo Conselho da União Europeia e pelo Parlamento Europeu (os órgãos legislativos responsáveis pela aprovação das leis da UE) foi formalmente oficializada em novembro de 2022. As entidades financeiras e os prestadores de serviços de TIC terceiros têm até 17 de janeiro de 2025 para cumprir a DORA antes do início da execução.

Embora a UE tenha adotado oficialmente a DORA, os principais detalhes ainda estão sendo discutidos pelas Autoridades Supervisoras Europeias (ESAs). As ESAs são as reguladoras que supervisionam o sistema financeiro da UE, incluindo a European Banking Authority (EBA), a European Securities and Markets Authority e a European Insurance and Occupational Pensions Authority.

As ESAs são responsáveis por elaborar os padrões técnicos regulatórios (RTS) e implementar os padrões técnicos (ITS) que as entidades cobertas devem implementar. Espera-se que esses padrões sejam finalizados em 2024. A Comissão Europeia está desenvolvendo uma estrutura de supervisão para provedores críticos de ICT, que também deve ser finalizada em 2024.

Após a finalização das normas e a chegada do prazo de janeiro de 2025, a aplicação será atribuída às autoridades reguladoras designadas em cada estado-membro da União Europeia, denominadas "autoridades competentes". As autoridades competentes podem solicitar que entidades financeiras tomem medidas de segurança específicas e corrijam vulnerabilidades. Elas também poderão impor penalidades administrativas e, em alguns casos, criminais às entidades que não cumprirem as exigências. Cada estado-membro decidirá sobre as suas próprias sanções.

Os fornecedores de ICT considerados "críticos" pela Comissão Europeia serão supervisionados diretamente pelos supervisores líderes das ESAs. Assim como as autoridades competentes, os supervisores líderes podem solicitar medidas de segurança e remediação e penalizar os fornecedores de ICT que não estejam em conformidade. O DORA permite que as autoridades de supervisão apliquem multas aos provedores de TIC no valor de 1% do faturamento médio diário mundial do provedor no ano comercial anterior. Os fornecedores podem ser multados todos os dias por até seis meses até atingirem a conformidade.

A DORA estabelece requisitos técnicos para entidades financeiras e provedores de TIC em quatro domínios:

• Gestão e governança de riscos da ICT
• Resposta e relatório de incidentes
• Teste de resiliência operacional digital
• Gerenciamento de risco terceirizado

O compartilhamento de informações é incentivado, mas não é necessário.

Os requisitos serão aplicados proporcionalmente, o que significa que entidades menores não serão submetidas aos mesmos padrões que grandes instituições financeiras.Embora os RTSs e ITSs para cada domínio ainda estejam em desenvolvimento, a legislação existente da DORA oferece algumas informações sobre os requisitos gerais.

A DORA responsabiliza um órgão de administração da entidade pela gestão das ICT. Os membros do conselho, os líderes executivos e outros gestores seniores devem definir estratégias apropriadas de gerenciamento de riscos, auxiliar ativamente na sua execução e manter-se informados sobre o cenário de riscos de TIC. Os líderes também podem ser individualmente responsáveis pelo não cumprimento de uma entidade.

Espera-se que as entidades cobertas desenvolvam estruturas abrangentes de gerenciamento de riscos de TIC. As entidades devem mapear seus sistemas de ICT, identificar e classificar ativos e funções críticas e dependências de documentos entre ativos, sistemas, processos e provedores. As entidades devem realizar avaliações de risco contínuas em seus sistemas de ICT, documentar e classificar ameaças cibernéticas e documentar suas medidas para mitigar os riscos identificados.

Como parte do processo de avaliação de riscos, as entidades devem conduzir análises de impacto nos negócios para avaliar como cenários específicos e interrupções graves podem afetar os negócios. As entidades devem usar os resultados dessas análises para definir níveis de tolerância ao risco e informar o projeto de sua infraestrutura de ICT. As entidades também deverão implementar  medidas adequadas de proteção cibersegurança, como políticas de gerenciamento de acesso e identidade e gerenciamento de patches, juntamente com controles técnicos, como sistemas de detecção e resposta estendidos, software degerenciamento de eventos e informações de segurança (SIEM) e ferramentas de orquestração, automação e resposta de segurança (SOAR).

As entidades também precisarão estabelecer planos de continuidade de negócios e recuperação de desastres para vários cenários de risco cibernético, como falhas de serviço de ICT, desastres naturais e ciberataques. Esses planos devem conter medidas de backup e recuperação de dados, processos de restauração do sistema e planos de comunicação com clientes e parceiros afetados e autoridades.

Os RTSs que especificam os elementos necessários da estrutura de gerenciamento de riscos de uma entidade estão chegando. Os especialistas acreditam que serão semelhantes às diretrizes existentes da EBA sobre TIC e gerenciamento de riscos de segurança.

As entidades cobertas devem estabelecer sistemas para monitorar, gerenciar, registrar, classificar e relatar incidentes relacionados à TIC. Dependendo da gravidade do incidente, as entidades podem ter que fazer relatórios para os reguladores e para os clientes e parceiros afetados. As entidades deverão apresentar três tipos diferentes de relatórios para incidentes críticos: um relatório inicial notificando as autoridades, um relatório intermediário sobre o progresso na resolução do incidente e um relatório final analisando as causas-raiz do incidente.

As regras sobre como os incidentes devem ser classificados, quais incidentes devem ser relatados e prazos para notificação estão sendo elaboradas. As ESAs também estão explorando maneiras de simplificar os relatórios ao estabelecer um ponto central e modelos comuns de relatórios.

As entidades devem testar regularmente seus sistemas de ICT para avaliar a eficácia de suas proteções e identificar vulnerabilidades. Os resultados desses testes, bem como os planos para corrigir quaisquer pontos fracos encontrados, serão comunicados e validados pelas autoridades competentes pertinentes.

As entidades devem realizar testes básicos, como avaliações de vulnerabilidade e testes baseados em cenários, uma vez por ano. As entidades financeiras que desempenharem um papel crítico no sistema financeiro também precisarão passar por testes de penetração baseados em ameaças (TLPT) a cada três anos. Os provedores críticos de TIC da entidade também serão obrigados a participar desses testes de penetração. Os padrões técnicos sobre como os TLPTs devem ser realizados estão em desenvolvimento, mas provavelmente estarão alinhados com o framework TIBER-EU para testes éticos baseados em inteligência de ameaças.

Um aspecto único da DORA é que ela se aplica não apenas às entidades financeiras, mas também aos provedores de ICT que atendem ao setor financeiro.

É previsto que as empresas financeiras assumam um papel ativo na gestão do risco de terceiros relacionado à ICT. Ao terceirizar funções críticas e importantes, as entidades financeiras devem negociar acordos contratuais específicos relacionados a estratégias de saída, auditorias e metas de desempenho para acessibilidade, integridade e segurança, entre outros aspectos. As entidades não poderão contratar fornecedores de ICT que não possam atender a esses requisitos. As autoridades competentes podem suspender ou rescindir contratos que não estejam em conformidade. A Comissão Europeia está explorando a possibilidade de elaborar cláusulas contratuais padronizadas que as entidades e os provedores de ICT possam utilizar para garantir que seus acordos estejam em conformidade com a DORA.

As instituições financeiras também precisarão mapear suas dependências de ICT de terceiros e serão obrigadas a garantir que suas funções críICTas e importantes não estejam excessivamente concentradas em um único provedor ou pequeno grupo de provedores..

Os provedores críticos de serviços de TIC de terceiros estarão sujeitos à supervisão direta das ESAs relevantes. A Comissão Europeia ainda está desenvolvendo os critérios para determinar quais provedores são críticos. Aqueles que atenderem aos padrões terão uma das ESAs designada como supervisora principal. Além de aplicar os requisitos da DORA aos fornecedores críticos, as supervisoras principais terão o poder de proibir os fornecedores de firmar contratos com empresas financeiras ou outros provedores de ICT que não estejam em conformidade com a DORA.

As entidades financeiras devem estabelecer processos para aprender com incidentes relacionados a ICT, tanto internos quanto externos. Para esse fim, a DORA incentiva as entidades a participarem de acordos voluntários de compartilhamento de inteligência de ameaças . Qualquer informação compartilhada desta forma deve ainda ser protegida pelas diretrizes relevantes – por exemplo, as informações de identificação pessoal ainda estão sujeitas às considerações do Regulamento Geral de Proteção de Dados.