A Lei de Resiliência Operacional Digital (DORA), que entrou em vigor na União Europeia em janeiro deste ano, foi criada para fortalecer a capacidade de entidades financeiras (como bancos e seguradoras) para a resposta e recuperação de interrupções em seus sistemas de Tecnologia da Informação e Comunicação (TIC), incluindo casos de ataques cibernéticos e falhas de sistema. Seu descumprimento prevê multas e outras penalidades para quem apresentar não-conformidades.
O intuito da nova legislação é garantir que empresas e instituições mantenham a conformidade com a regulamentação que aborda os cuidados necessários sobre resiliência cibernética. Dessa forma, as autoridades competentes podem exigir que instituições financeiras adotem medidas de segurança e solucionem falhas. O descumprimento das normas pode acarretar sanções administrativas e, em certas situações, criminais, a serem definidas por cada estado-membro.
A DORA impõe multas financeiras de até 2% do faturamento anual global total, ou 1% do faturamento médio diário da empresa. Pessoas físicas e jurídicas podem receber multas de até €1.000.000. Já para os prestadores de serviços de TIC terceirizados, as multas podem atingir o valor de €5.000.000 para empresas ou €500.000 para pessoas físicas.
A empresa que não cumprir a DORA e o Regulamento Geral sobre a Proteção de Dados (RGPD) também poderá ser notificada e penalizada. As multas podem chegar a €20 milhões, ou 4% do faturamento global. As empresas brasileiras que atendem o mercado europeu também serão impactadas. Neste sentido, precisarão se adaptar à nova legislação para garantirem a continuidade da parceria comercial com a União Europeia.
Segundo a IBM, a DORA parte de um pacote financeiro digital amplo, que inclui iniciativas para regulamentar também os criptoativos e aprimorar a estratégia financeira digital geral da UE.
Ação fiscalizadora
As Autoridades Europeias de Supervisão (AES) são as responsáveis por aplicar as sanções, com poderes de supervisão e investigação, além da capacidade de publicar avisos de sanções administrativas. Já as sanções criminais poderão ser acompanhadas pelos Estados-Membros, que podem impor sanções penais por violações da DORA, exigindo que haja uma ligação eficaz com as autoridades judiciais e de acusação.
De acordo com EIOPA, a DORA não prevê um período de transição, por isso as autoridades europeias enfatizam a importância de as entidades financeiras adotarem uma abordagem sólida e estruturada para cumprir com suas obrigações em tempo hábil.
Adel Al-keysi, diretor de Conformidade de Segurança da Informação da Avenga, apontou em um artigo que é responsabilidade dos estados garantir que as medidas permitam uma ligação eficiente com as autoridades judiciais, de acusação ou de justiça criminal, para a implementação das sanções.
A estrutura de penalidades da DORA foi criada com a justificativa de fortalecer o setor financeiro contra possíveis ameaças cibernéticas. Ao integrar penalidades com ações preventivas e exigências de comunicação, a DORA assegura um ambiente econômico robusto, que protege a integridade e a credibilidade dos seus integrantes.
Cinco pilares para a resiliência cibernética no setor financeiro europeu
- Gestão de riscos de TIC: a lei exige que as instituições financeiras europeias avaliem, mitiguem e gerenciem os riscos associados aos seus sistemas de TIC.
- Relatório de incidentes: transparência na comunicação de incidentes de segurança de dados para todas as partes interessadas, com a necessidade de sistemas para detecção, notificação e análise de incidentes.
- Teste de resiliência operacional digital: os testes devem garantir que os sistemas das instituições financeiras possam resistir aos mais diversos tipos de ameaças cibernéticas.
- Gestão de riscos de terceiros: com foco nos relacionamentos com provedores externos de serviços de TIC, garante que esses contratos não comprometam a resiliência operacional da instituição.
- Compartilhamento de informações: a DORA promove a colaboração em cibersegurança, incentivando as entidades financeiras a compartilhar informações sobre ameaças cibernéticas para uma gestão de riscos e construção de resiliência.