A União Europeia implementou, recentemente, o Digital Operational Resilience Act (DORA), com o objetivo de fortalecer a resiliência operacional e a segurança cibernética no setor financeiro. Dentre as principais funções do marco regulatório, que entrou em vigor em 17 de janeiro, está a abordagem abrangente de gerenciamento de riscos de tecnologia da informação e comunicação (TIC) e a harmonização dos regulamentos já existentes de TIC nos estados-membros.
Para isso, o DORA compreende todas as instituições financeiras da UE, o que inclui desde bancos tradicionais até plataformas de crowdfunding. Outros agentes geralmente excluídos de regulamentos financeiros também são atingidos com essa nova lei.
Dessa forma, provedores de serviços de nuvem, data centers, análise de dados e classificação de crédito passam a ter que se adequar às normas estabelecidas. Com a decisão, as empresas brasileiras que atendem o mercado europeu devem ser impactadas e precisarão passar por mudanças, para não perderem oportunidades comerciais nesse contexto.
Diante desse cenário, o diretor de segurança da informação da Claro, Denis Nesi, confirma que a regulamentação DORA exige que empresas fornecedoras de serviços para instituições financeiras na União Europeia se adequem às novas exigências. Com a entrada em vigor em janeiro de 2025, as empresas já deram início ao processo de adaptação, fortalecendo a governança de riscos, aprimorando a supervisão de terceiros, investindo em infraestrutura e capacitação em cibersegurança, além de reforçar sua competitividade e reputação no setor.
Essas mudanças não apenas garantem conformidade regulatória, mas também impulsionam a modernização de sistemas e processos, que, por sua vez, permitem uma participação mais qualificada no mercado europeu.
Dado o impacto global das regulamentações financeiras, o DORA pode se tornar um modelo a ser seguido por outros países, assim como ocorreu com a LGPD após a implementação do GDPR. Na avaliação do executivo, “esse é um momento estratégico para o Brasil refletir sobre possíveis adequações e antecipar desafios, fortalecendo sua resiliência cibernética e aumentando a competitividade das empresas que atuam no setor financeiro”.
O que é o DORA?
O DORA é uma regulamentação abrangente que padroniza como as instituições financeiras gerenciam riscos de TI e comunicação (TIC). Antes da sua implementação, os estados-membros da União Europeia adotavam regras fragmentadas, dificultando a conformidade das empresas que atuavam em múltiplos territórios. Agora, bancos, plataformas de criptoativos, empresas de investimento e provedores de serviços de nuvem devem aderir a normas universais, que incluem:
- monitoramento contínuo de vulnerabilidades;
- testes regulares de resiliência operacional;
- notificação de incidentes de segurança às autoridades competentes;
- planos detalhados de continuidade de negócios.
Com isso, o DORA não só harmoniza regras, mas também incentiva a adoção de boas práticas no setor financeiro.
Definições da regulação
A lei requer adequações das entidades para que possam garantir a resiliência operacional do sistema financeiro europeu para além da garantia econômica de cobrir gastos operacionais. Nesse sentido, quatro eixos são requisitados: gestão e governança de riscos da TIC, resposta e relatório de incidentes, teste de resiliência operacional digital e gerenciamento de risco terceirizado.
Gestão e governança de riscos
Na gestão e governança de riscos da TIC, as organizações devem mapear seus sistemas, identificar e classificar ativos e funções críticas e dependências de documentos entre ativos, sistemas, processos e provedores, bem como realizar avaliações de risco contínuas em seus sistemas, documentar e classificar ameaças cibernéticas e documentar suas medidas para mitigar os riscos identificados. Entre as obrigatoriedades também estão a implementação de medidas de cibersegurança e a elaboração de planos de continuidade e recuperação de desastres.
Resposta a incidentes
Já no que diz respeito à resposta e relatório de incidentes, as empresas ficam encarregadas de monitorar, gerenciar, registrar, classificar e relatar incidentes. Em casos críticos, é necessário apresentar três relatórios: inicial, intermediário e final. O conteúdo desses corresponde, respectivamente, a uma notificação às autoridades, progresso na resposta ao problema e uma análise do que ocasionou a adversidade.
Planos de continuidade
Para aferir a eficácia de seus sistemas de proteção, as entidades financeiras passam por testes básicos uma vez ao ano. Aquelas com participação mais relevante devem ser submetidas ao teste de penetração conduzido por ameaça, a cada três anos.
Por fim, o DORA também impõe normas sobre o gerenciamento de risco terceirizado, uma vez que as instituições financeiras contratam os serviços oferecidos por provedores de TIC. Contudo, os contratantes só podem firmar acordos com aqueles que cumprem os requisitos de segurança operacional estabelecido pela legislação.
As Autoridades Supervisoras Europeias ficam responsáveis pelos provedores e por uma eventual proibição de negócios entre partes que não estejam em conformidade com a DORA.
