O cenário de segurança cibernética global enfrenta mudanças regulatórias importantes, entre elas a Digital Operational Resilience Act (DORA), da União Europeia (UE). A Lei de Resiliência Operacional Digital, como pode ser traduzida, entrou em vigor em janeiro de 2025, focada em bancos, instituições de crédito, empresas de investimento e outras entidades financeiras.
Apesar do foco no mercado financeiro, a nova legislação é apontada como uma referência para outros setores, principalmente porque melhora significativamente as políticas de cibersegurança, na avaliação da autoridade do mercado financeiro francês (AMF). Isso acontece porque a DORA estabelece um quadro harmonizado e rigoroso para a gestão de riscos de tecnologias de informação e comunicação (TIC).
Cibersegurança é fortalecida com a DORA
Na avaliação da AMF, as melhorias de cibersegunça podem ser comprovadas em várias frentes, entre elas no estabelecimento de uma estrutura de governança e controle interno, juntamente com uma estratégia de resiliência operacional digital.
Os mecanismos da DORA fortalecem a cibersegurança ao identificar e avaliar todas as fontes de riscos de TIC, com uma classificação que deve ser revisada anualmente. Outro ponto relevante é a que a legislação leva ao desenvolvimento de uma política de segurança da informação para proteger a disponibilidade, autenticidade, integridade e confidencialidade dos dados.
As melhorias acontecem, ainda, pela implementação de uma política abrangente de continuidade de negócios de TIC, com procedimentos de backup, restauração e recuperação, e testes anuais. Por fim, o estabelecimento de mecanismos de revisão pós-incidente e planos de comunicação interna e externa para crises contribuem para fortalecer a cibersegurança.
Três exemplos mostram os aperfeiçoamentos de cibersegurança trazidos pela DORA. O primeiro deles é o estabelecimento de testes de resiliência operacional digital para gerenciar adequadamente riscos relacionados a TIC. Para isso, as entidades financeiras devem estabelecer e revisar regularmente um programa de avaliações feitas por partes independentes (internas ou externas).
O escopo dos testes precisa incluir avaliações de vulnerabilidade, avaliações de segurança de rede, revisões de segurança física, testes de simulação de crise de ponta a ponta e testes de penetração. Outra exigência é a realização de testes de penetração “orientados por ameaças” (TLPT) pelo menos a cada três anos.
Outro exemplo é a gestão de riscos de terceiros de TIC. É importante ressaltar que as entidades financeiras permanecem totalmente responsáveis pela conformidade com as obrigações da DORA, ao contratar esses terceiros.
Estrutura de gestão de riscos
Entre as obrigações estão a definição e implementação de uma estrutura de gestão de riscos para fornecedores de TIC terceirizados, incluindo disposições contratuais. Outra exigência é a manutenção de um registro atualizado de informações sobre acordos contratuais com esses fornecedores, que deve ser comunicado à autoridade competente pelo menos uma vez por ano.
As instituições financeiras da UE também devem realizar auditorias antes de firmar contratos com terceiros de TIC e ter a garantia de que esses acordos possam ser rescindidos em certas circunstâncias, especialmente se o provedor terceirizado apresentar deficiências na gestão de riscos de TIC.
O terceiro exemplo de melhoria é a maior transparência no histórico de incidentes e ameaças cibernéticas graves. Para isso, as instituições financeiras da UE são obrigadas a classificar incidentes de TIC e ameaças cibernéticas com base em vários critérios, como a criticidade dos serviços afetados, o número de clientes impactados e o impacto reputacional.
E há uma metodologia específica para isso: os incidentes desse tipo devem ser reportados à autoridade competente em três etapas: uma notificação inicial (dentro de 4 horas da identificação e não mais de 24 horas após), um relatório provisório (dentro de 72 horas após a notificação inicial) e um relatório final (dentro de um mês).