Entrou em vigor o Regulamento de Resiliência Operacional Digital, que inclui obrigações para as entidades financeiras com o objetivo de fortalecer a segurança digital. Estas são as principais novidades.
O Regulamento de Resiliência Operacional Digital, conhecido como DORA, entrou em vigor esta sexta-feira, dia 17 de janeiro. No entanto, as entidades estão a trabalhar arduamente há meses ou anos para se adaptarem à nova era digital. Afinal, o objetivo deste regulamento é fortalecer a estabilidade operacional e a segurança digital do setor financeiro a nível europeu e prevenir e responder a qualquer incidente digital.
O regulamento afeta bancos, seguradoras, empresas de investimento e provedores de serviços tecnológicos que gerem dados ou funções críticas para estas instituições. O objetivo é garantir que as empresas financeiras e os seus provedores de sistemas de tecnologia de informação e comunicação (TIC) disponham dos recursos suficientes e de um sistema de controlo de riscos adequado que lhes permita assegurar a continuidade do serviço financeiro e da sua qualidade em caso de incidente.
Na 1ª edição do Fórum de Gestão de Ativos, Inês Drumond, vice-presidente da CMVM, abordou precisamente este tema do regulamento DORA, afirmando que “a regulação deve ser sempre aplicada tendo em conta o princípio da proporcionalidade”. Assim, salientou também que muitas das entidades que a CMVM supervisiona “não estarão sujeitas ao DORA, dada a sua dimensão reduzida. Mas o cumprimento das exigências pelas entidades que estão acima dos limites de aplicabilidade exige também recursos e escala para permitir nela diluir os custos associados”.
Não é, desta forma, surpreendente que o cumprimento desta norma tenha sido um desafio para as entidades. Um desafio que não termina aqui, mas que continuará agora, a fim de manter esses recursos para garantir os serviços prestados.
Principais aspetos da norma
Esta lei define um quadro regulamentar homogéneo para todos os estados-membros da União Europeia, para que qualquer entidade possa enfrentar uma ameaça e recuperar da mesma. Para isso, estabelece alguns requisitos uniformes que têm impacto nos seguintes pontos:
- A gestão de riscos em TIC (Tecnologias da Informação e Comunicação): o DORA exige que as empresas implementem estratégias específicas para a gestão de riscos relacionados com as tecnologias digitais, antecipando assim possíveis ameaças e vulnerabilidades nos seus sistemas.
- Comunicação de incidentes: o regulamente exige que as instituições comuniquem de imediato qualquer incidente significativo, permitindo que as autoridades e o setor financeiro no seu conjunto reajam de forma ágil e coordenada a potenciais ameaças.
- Testes de resiliência operacional: para garantir a robustez dos seus sistemas, as empresas devem realizar testes periódicos para assegurar a sua capacidade de suportar situações adversas sem afetar a qualidade dos seus serviços.
- Gestão de riscos de provedores terceiros: um dos pontos mais relevantes do DORA é a supervisão de provedores críticos, especialmente os que oferecem serviços essenciais na nuvem e nos centros de dados. Esta supervisão é fundamental para garantir que todos os intervenientes da cadeia cumpram os elevados padrões de segurança exigidos.
- Partilha de informações sobre ciberameaças: o regulamento incentiva uma colaboração mais estreita entre instituições, promovendo o intercâmbio de informações sobre ciberameaças para que os riscos possam ser mitigados em conjunto.