A fim de reforçar o arcabouço normativo da Lei de Resiliência Operacional Digital (DORA), o Regulamento Delegado (UE) 2024/1773 estabelece uma série de exigências a serem cumpridas por instituições financeiras da União Europeia, ao contratar prestadores terceirizados de serviços de tecnologias da informação e comunicação (TIC). O objetivo é blindar o setor contra riscos operacionais, jurídicos e cibernéticos que possam comprometer funções críticas dessas organizações.
Com foco em resiliência digital operacional e segurança jurídica, o regulamento trata, respectivamente nos artigos 5, 6 e 7 da “Avaliação ex ante dos riscos”, “Devida diligência” e “Conflitos de interesses”.
Avaliação ex ante dos riscos
De acordo com o artigo 5.º do Regulamento 2024/1773, as instituições financeiras devem definir, antes mesmo da assinatura de qualquer contrato, suas necessidades operacionais, e realizar uma avaliação abrangente dos riscos associados à terceirização de serviços de TIC. Essa análise deve ser feita nos níveis individual, consolidado e subconsolidado, considerando o impacto em funções críticas e importantes da entidade.
Os riscos a serem levados em conta são múltiplos: operacionais; jurídicos; de TIC; reputacionais; de proteção, disponibilidade e localização onde dados vão ser tratados e armazenados; de localização do terceirizado; e de concentração de domínio da tecnologia. Isso significa que, por exemplo, contratar um provedor estrangeiro que armazene dados fora da UE pode acarretar riscos geopolíticos que também precisam ser quantificados.
Devida diligência
No que diz respeito à devida diligência, o artigo 6.º determina que todas as instituições adotem políticas claras, com critérios rigorosos para seleção e avaliação dos prestadores de serviços de TIC. O regulamento exige que as empresas analisem a reputação, a competência técnica, os recursos financeiros e humanos, a governança e até o comportamento ético e ambiental dos fornecedores. É preciso estudar se o terceirizado tem capacidade de acompanhar a evolução tecnológica e de liderar em segurança de TIC em um cenário de resiliência operacional.
O regulamento também exige atenção quanto à cadeia de subcontratação em que os serviços de TIC serão prestados, caso o fornecedor recorra, ou pretenda recorrer, à subcontratantes para apoiar funções críticas ou partes significativas dessas funções. A localização do prestador, sobretudo fora da União Europeia, passa a ser um fator de análise, pois pode expor a organização a restrições legais, embargos, sanções ou riscos geopolíticos que comprometam a continuidade e a segurança do serviço.
Além disso, o prestador deve estar disposto a firmar contratos que garantam à instituição, a terceiros designados e às autoridades reguladoras o direito de conduzir auditorias, inclusive presenciais, assegurando transparência e conformidade em todas as etapas do serviço contratado.
Garantias de desempenho
Outro ponto-chave está na exigência de níveis adequados de gestão de riscos associados aos fornecedores. A instituição deve reunir evidências de medidas de atenuação de riscos, continuidade das atividades e de seu funcionamento como terceirizado. O processo de devida diligência auxilia a instituição a escolher quais dos tópicos a seguir serão utilizados para especificar o nível de desempenho do prestador de serviço de TIC. Sempre que possível, deve-se utilizar mais de uma dessas fontes de verificação. Confira as possibilidades.
- Auditorias independentes realizadas pela instituição financeira.
- Relatórios de auditoria independentes solicitados pelos terceirizados.
- Relatórios de auditoria elaborados pela auditoria interna do prestador de serviços.
- Certificações de terceiros adequadas.
- Outras informações obtidas pela organização financeira ou de outras informações fornecidas pelo terceirizado.
Conflitos de interesses
Por fim, o artigo 7.º trata da identificação e gestão de conflitos de interesse. O regulamento exige que as instituições adotem medidas preventivas antes da assinatura dos contratos e mantenham um acompanhamento contínuo desses riscos.
Nos casos em que o provedor de TIC seja uma empresa do mesmo grupo (prestador intragrupo), o regulamento é explícito: as decisões contratuais, inclusive as de cunho financeiro, devem ser tomadas de forma objetiva.
