DORA, cibersegurança Imagem gerada por Inteligência Artificial

Normas da DORA, da União Europeia, melhoram cibersegurança 

2 minutos de leitura

Entre as obrigações das instituições financeiras estão o relato detalhado de incidentes graves e a gestão de risco de terceiros de TIC



Por Redação em 11/06/2025

O cenário de segurança cibernética global enfrenta mudanças regulatórias importantes, entre elas a Digital Operational Resilience Act (DORA), da União Europeia (UE). A Lei de Resiliência Operacional Digital, como pode ser traduzida, entrou em vigor em janeiro de 2025, focada em bancos, instituições de crédito, empresas de investimento e outras entidades financeiras.

Apesar do foco no mercado financeiro, a nova legislação é apontada como uma referência para outros setores, principalmente porque melhora significativamente as políticas de cibersegurança, na avaliação da autoridade do mercado financeiro francês (AMF). Isso acontece porque a DORA estabelece um quadro harmonizado e rigoroso para a gestão de riscos de tecnologias de informação e comunicação (TIC).

Cibersegurança é fortalecida com a DORA

Na avaliação da AMF, as melhorias de cibersegunça podem ser comprovadas em várias frentes, entre elas no estabelecimento de uma estrutura de governança e controle interno, juntamente com uma estratégia de resiliência operacional digital.

Os mecanismos da DORA fortalecem a cibersegurança ao identificar e avaliar todas as fontes de riscos de TIC, com uma classificação que deve ser revisada anualmente. Outro ponto relevante é a que a legislação leva ao desenvolvimento de uma política de segurança da informação para proteger a disponibilidade, autenticidade, integridade e confidencialidade dos dados.

As melhorias acontecem, ainda, pela implementação de uma política abrangente de continuidade de negócios de TIC, com procedimentos de backup, restauração e recuperação, e testes anuais. Por fim, o estabelecimento de mecanismos de revisão pós-incidente e planos de comunicação interna e externa para crises contribuem para fortalecer a cibersegurança. 

Três exemplos mostram os aperfeiçoamentos de cibersegurança trazidos pela DORA. O primeiro deles é o estabelecimento de testes de resiliência operacional digital para gerenciar adequadamente riscos relacionados a TIC. Para isso, as entidades financeiras devem estabelecer e revisar regularmente um programa de avaliações feitas por partes independentes (internas ou externas). 

O escopo dos testes precisa incluir avaliações de vulnerabilidade, avaliações de segurança de rede, revisões de segurança física, testes de simulação de crise de ponta a ponta e testes de penetração. Outra exigência é a realização de testes de penetração “orientados por ameaças” (TLPT) pelo menos a cada três anos. 

Outro exemplo é a gestão de riscos de terceiros de TIC. É importante ressaltar que as entidades financeiras permanecem totalmente responsáveis pela conformidade com as obrigações da DORA, ao contratar esses terceiros. 

Estrutura de gestão de riscos

Entre as obrigações estão a definição e implementação de uma estrutura de gestão de riscos para fornecedores de TIC terceirizados, incluindo disposições contratuais. Outra exigência é a manutenção de um registro atualizado de informações sobre acordos contratuais com esses fornecedores, que deve ser comunicado à autoridade competente pelo menos uma vez por ano.

As instituições financeiras da UE também devem realizar auditorias antes de firmar contratos com terceiros de TIC e ter a garantia de que esses acordos possam ser rescindidos em certas circunstâncias, especialmente se o provedor terceirizado apresentar deficiências na gestão de riscos de TIC.

O terceiro exemplo de melhoria é a maior transparência no histórico de incidentes e ameaças cibernéticas graves. Para isso, as instituições financeiras da UE são obrigadas a classificar incidentes de TIC e ameaças cibernéticas com base em vários critérios, como a criticidade dos serviços afetados, o número de clientes impactados e o impacto reputacional. 

E há uma metodologia específica para isso: os incidentes desse tipo devem ser reportados à autoridade competente em três etapas: uma notificação inicial (dentro de 4 horas da identificação e não mais de 24 horas após), um relatório provisório (dentro de 72 horas após a notificação inicial) e um relatório final (dentro de um mês).



Matérias relacionadas

investimento em IA Estratégia

Investimentos em IA crescem com agendas convergentes de empresas e governos

Com aportes bilionários, Alibaba Cloud e governo brasileiro apostam na inteligência artificial para otimizar serviços e promover melhorias nos setores público e privado

self-checkout Estratégia

Self-checkout deve envolver cada vez mais IA para reduzir perdas

Preferência por autoatendimento no varejo faz com que empresas invistam cada vez mais em tecnologias capazes de identificar e eliminar furtos na jornada de compra

julgamento ético Estratégia

OCDE não recomenda uso de IA em julgamento ético e raciocínio crítico

Relatório aponta que ferramentas não atingem nível de desempenho humano nessas duas capacidades

aulas IA generativa Estratégia

IA Generativa transforma experiência de docentes e alunos em sala de aula

Novo assistente para professores, utilizado pela Somos Educação, otimiza a rotina e impulsiona o ensino básico no Brasil

    Embratel agora é Claro empresas Saiba mais