DORA, a exploradora? – Proposta de Regulamento Resiliência Operacional Digital (Pacote das Finanças Digitais da UE)

TRIBUNA de Maria Carvalho Martins, associada coordenadora da Sofia Leite Borges & Associados.

Quem se lembra da simpática menina, de seu nome Dora, uma heroína de sete anos que percorre um mundo tropical repleto de aventuras em selvas, praias e florestas ao lado do seu melhor amigo, um macaquinho chamado Botas?

Pois de forma algo semelhante, na UE, o Parlamento Europeu e a Comissão representam, sob o ponto de vista político e institucional, o meio para fazer aprovar e explorar os meandros do “pacote das finanças digitais da UE”, que se subdivide em três cenários diferentes: Criptoativos (MiCA), a selva DORA, a praia e o DLT, a floresta. Sendo os seus melhores amigos as ESAs, o BCE, as ANC e as entidades às quais se aplicam/aplicarão as diversas matérias atrás mencionadas.

As alterações legislativas europeias na área dos serviços financeiros, que foram implementadas em resposta à crise financeira de 2008, introduziram um corpo normativo que sacrificou, contudo, a inclusão de regras que governassem a resiliência operacional digital. E durante este período na selva, na praia e na floresta, fez-se notar a ausência de regras detalhadas, pese embora a boa vontade de alguns EM, que aqui e além, tomaram iniciativas regulamentares e de supervisão destas matérias

Mas a globalização generalizada dos serviços financeiros, teve como consequência o aumento dos riscos transfronteiriços (e a complexidade dos ataques cibernéticos¹) a que as tecnologias de informação e de comunicação estão expostas, provando que as iniciativas domésticas de cada EM tiveram um impacto muito limitado.

A digitalização e a resiliência operacional no sector financeiro são duas faces da mesma moeda². Se a primeira abre caminho a novas oportunidades, e logo, novos riscos, a segunda exige que estes sejam compreendidos e geridos eficazmente. 

Ficou um caminho por percorrer, o caminho da mitigação dos riscos TIC no contexto da resiliência operacional digital, e o DORA vem neste sentido, explorar esse caminho já delineado e que não havia ainda sido percorrido, densificando os princípios relativos aos requisitos de gestão de riscos das TIC, já estabelecidos por várias instituições da UE e articulando as iniciativas da UE num Regulamento único. Esta metodologia assegura, desde logo, que os participantes do sistema financeiro – as instituições de crédito, as instituições de moeda eletrónica, os prestadores de serviços de criptoativos e de crowdfunding, as empresas de investimento, as sociedades gestoras de fundos de investimento alternativo, as sociedades gestoras de organismos de investimento coletivo em valores mobiliários ou mesmo as companhias de seguros - fiquem sujeitos a um conjunto de normas comuns de mitigação dos riscos das TIC nas suas operações. 

A UE mantém a neutralidade não indicando que sistemas operativos são eficazes, mas através do DORA, proporciona uma lista harmonizada de requisitos qualitativos na gestão de risco das TIC.

Na praia, o DORA estabelece seis pilares de obrigações fundamentais: 

• Governo Societário – De forma a alinhar as estratégias empresariais das entidades financeiras e a gestão do risco TIC, o DORA estabelece obrigações que se traduzem em requisitos específicos de governo societário, como a atribuição de papéis claros às funções relacionadas com as TIC. Compete ao órgão de administração a manutenção de um papel fulcral e ativo na orientação e adaptação do quadro de gestão destes riscos. 

• Gestão do Risco TIC - É a linha da frente. Consiste em medidas de proteção, prevenção e deteção end-to-end, para limitar os danos e priorizar a recuperação rápida e segura das atividades. Esta gestão do risco inclui estratégias, políticas e procedimentos, protocolos e ferramentas de TIC que possam assegurar uma proteção adequada contra potenciais danos.

• Reporte de Incidentes TIC - Consubstanciam-se em obrigações de harmonização e racionalização da comunicação de incidentes relacionados com as TIC. O DORA vem estabelecer um mecanismo de reporte de comunicações uniforme por forma a reduzir a carga administrativa das entidades financeiras e a reforçar em simultâneo a eficácia da supervisão.

• Teste de Resiliência Operacional Digital - Os quadros de gestão de riscos das empresas no domínio das TIC devem ser periodicamente testados para identificar quaisquer deficiências e avaliados criticamente. Para além disto, se forem assinaladas deficiências, as instituições devem implementar e documentar medidas corretivas.

• Partilha de Informação e Inteligência - Informação é poder e como tal, a obrigação de promoção da partilha de informação entre entidades financeiras pode reduzir o impacto dos incidentes. A informação relativa a ameaças cibernéticas permite às entidades financeiras que estejam em articulação uma vantagem na mitigação dos riscos.

• Gestão do Risco de Terceiros de TIC – O DORA vem exigir às empresas, que para além da monitorização do grau de dependência operacional que possa existir com os prestadores de serviços TIC terceiros, passem a incluir a informação relativa a este grau de dependência nos contratos celebrados com estes prestadores de serviços. 

A inovação e a automatização serão o futuro das finanças digitais, o que requer a adoção de uma estratégia tecnológica resiliente que possa dar uma resposta robusta e adequada que sirva de suporte a uma economia à prova do futuro³. 

Prevê-se que o DORA proporcione aos intervenientes no mercado, um quadro regulatório seguro e transversal cuja abordagem holística e integrada se consiga adaptar às mudanças e externalidades que advierem do desenvolvimento tecnológico e que possa capacitar as empresas com respostas adequadas e articuladas, às ameaças e riscos operacionais que enfrentam, dada a complexidade crescente que se tem vindo a verificar no que diz respeito à utilização das TIC. Mas salienta-se que há uma delegação extensa do DORA nas ESA, que se materializará ainda no desenvolvimento de um significativo número de normas técnicas (standards) e de implementação de nível 2.

Sem prejuízo, as entidades financeiras devem preparar-se para a implementação do DORA, avaliando atentamente os seus processos internos de mitigação de riscos TIC, e antecipando a identificação de no-regret actions no domínio: da gestão de riscos de TIC, no reporte de incidentes de TIC, nos testes de resiliência e na celebração de contratos com prestadores de serviços de TIC (externos). Acompanhando pari passu a moldura regulatória que trará novidades durante este período de dois anos, que culminará na entrada em vigor em janeiro de 2025, deste regulamento europeu. Preparados, para uma ida à praia com o DORA?

¹ Note-se que por exemplo, 65% das grandes organizações financeiras sofreram um ataque cibernético em 2020 -  https://pressreleases.responsesource.com/news/100366/almost-two-thirds-of-financial-services-firms-have-suffered-a-cyber-attack/

² Cfr. https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:52020PC0595&from=EN

³ Cfr. https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:52020PC0595&from=EN