A Lei DORA (Digital Operational Resilience Act) é uma regulamentação da União Europeia que busca fortalecer a segurança de Tecnologia da Informação e Comunicação (TIC) em instituições financeiras como bancos, empresas de seguro e corretoras de investimento. A ideia é permitir que o setor financeiro da Europa consiga resistir a uma interrupção crítica das operações.
Com o setor financeiro cada vez mais dependente de tecnologias digitais, o risco de ciberataques ou incidentes preocupa cada vez mais as empresas e autoridades. Caso situações do tipo não sejam gerenciadas corretamente, elas podem levar a interrupções dos serviços financeiros de todo um continente.
Até a chegada da nova legislação, as instituições financeiras gerenciavam os riscos operacionais através de uma alocação de capital para cobrir potenciais perdas econômicas. A partir da chegada da DORA — chamada em português de Lei de Resiliência Operacional Digital — essas empresas passam a ter que seguir diretrizes rígidas de proteção contra incidentes de TIC.
Neste artigo, vamos trazer tudo que você precisa saber sobre a Lei DORA, quais são seus objetivos e como você pode se preparar para ela.
Objetivos da Lei DORA
O principal objetivo da Digital Operational Resilience Act é fortalecer a segurança de Tecnologia da Informação e Comunicação das entidades financeiras da União Europeia. A nova legislação busca garantir uma harmonia para a regulamentação de resiliência operacional digital de 21 tipos de entidades financeiras.
Esses são os seis principais objetivos da Lei DORA:
- Gestão de riscos de TIC. Oferece um framework que define princípios e requisitos para a gestão de riscos de Tecnologia da Informação e Comunicação.
- Testes de resiliência operacional digital. Define um programa de testagem de resistência contra ciberataques e incidentes, incluindo desde avaliações mais básicas até as mais avançadas.
- Compartilhamento de informações. Permite a troca de informações e inteligência sobre ciberameaças entre diferentes instituições.
- Gestão de riscos de terceiros em TIC. Mitigação de ameaças causadas por terceiros, com a criação de disposições contratuais que devem ser incluídas nos contratos com fornecedores e parceiros.
- Gestão de incidentes. Gerenciamento de incidentes relacionados a TIC, com previsão de notificação daqueles de maiores proporções. Gestão de ciberameaças com uma linha direta de comunicação às autoridades competentes.
- Supervisão de fornecedores críticos de terceiros. Garante que os fornecedores de TIC considerados críticos sejam monitorados de forma rigorosa pelas Autoridades Europeias de Supervisão (ESAs).
De modo geral, o foco da Lei DORA é aumentar a resiliência do sistema financeiro europeu contra ciberataques e incidentes de Tecnologia da Informação e Comunicação. Por consequência, a União Europeia busca proteger até mesmo empresas de outros setores de sofrerem com quedas nos sistemas de finanças.
eBook gratuito: Serviços financeiros – desafios e oportunidades para a resiliência dos negócios
Que organizações são afetadas pela Lei DORA
A Lei de Resiliência Operacional Digital se aplica para todas as instituições financeiras que operam na União Europeia. Isso inclui entidades tradicionais como bancos, corretoras de investimento e instituições de crédito, por exemplo.
A nova legislação também afeta empresas menos tradicionais no setor, como prestadores de serviços de criptoativos e plataformas de financiamento coletivo.
Mas o que diferencia a Lei DORA de suas predecessoras é que ela também se aplica a entidades que geralmente são excluídas das legislações financeiras. Isso porque ela afeta fornecedores de serviços terceirizados que fornecem sistemas de TIC para empresas do mercado financeiro.
Quem também entra nessa fiscalização são os provedores de serviços de computação em nuvem e data centers, que precisam seguir os requisitos da DORA. Finalmente, a lei também cobre companhias que fornecem serviços críticos de informações de terceiros, como organizações de classificação de crédito e provedores de análise de dados.
Em suma, essas são as organizações afetadas pela Lei de Resiliência Operacional Digital:
- Entidades financeiras tradicionais. Bancos, corretoras de investimento e instituições de crédito.
- Entidades financeiras não tradicionais. Prestadores de serviços de criptoativos e plataformas de financiamento coletivo.
- Fornecedores de serviços terceirizados. Empresas que fornecem serviços de Tecnologia da Informação e Comunicação para entidades do mercado financeiro. Provedores de serviços em nuvem e data centers.
- Serviços de informação de terceiros. Organizações de classificação de crédito e provedores de análise de dados.
Leia mais: Modelo de 3 linhas: o que é e como funciona na gestão de riscos financeiros
Requisitos da Lei DORA
A Digital Operational Resilience Act atua em cinco pilares principais para garantir a resiliência operacional digital do mercado de serviços financeiros europeu. Abaixo, vamos falar de maneira detalhada sobre cada um deles.
1. Gestão de Riscos de Tecnologia da Informação e Comunicação (TIC)
O primeiro objetivo da Lei DORA é transformar a gestão de risco de TIC num processo proativo. Hoje, ela funciona de modo reativo, apenas em resposta a incidentes que já aconteceram.
Para isso, a nova legislação determina o desenvolvimento e a implementação de avaliações regulares de risco, práticas de avaliação, estratégias de mitigação, planos de resposta a incidentes e processos de conscientização de risco nas organizações.
2. Notificação de incidentes
A Digital Operational Resilience Act padroniza o processo de notificação de incidentes dentro de instituições financeiras que operam na União Europeia. Ela requer que essas organizações implementem sistemas de monitoramento, detecção, descrição, notificação e análise de incidentes significativos.
O framework para relatórios do tipo deve incluir procedimentos para relatar stakeholders internos e externos. Isso é parte do esforço da regulamentação para garantir maior transparência na área de segurança do mercado financeiro.
3. Testagem de resiliência operacional
As organizações devem conduzir testes periódicos para avaliar suas vulnerabilidades digitais e sua capacidade de resposta a ciberameaças. A partir dos resultados, elas devem criar um plano para melhorar as suas práticas de segurança digital.
Esse é um pilar que busca garantir que as instituições financeiras europeias consigam sobreviver a ataques maliciosos. Essas ameaças podem ser básicas, intermediárias ou avançadas — tudo vai depender do tamanho e da complexidade da entidade.
4. Gestão de riscos de terceiros
A Lei de Resiliência Operacional Digital requer que as instituições financeiras redijam contratos detalhados com seus provedores de Tecnologia da Informação e Comunicação. Elas precisam fazer uma boa auditoria jurídica e ter um processo robusto para desligamento dessas parceiras.
O objetivo desse requisito é fortalecer o relacionamento entre as instituições financeiras e seus fornecedores terceirizados mais críticos. Desse modo, a ideia é evitar que esses relacionamentos comprometam a resiliência operacional das organizações do setor de finanças na Europa.
5. Compartilhamento de informações
As organizações devem compartilhar as informações de maneira segura para aumentar a colaboração e a resiliência das instituições financeiras como um todo. Através disso, o objetivo é aumentar a conscientização dos membros da indústria sobre o tema de resiliência operacional.
Outro ponto deste pilar é aumentar o compartilhamento de práticas ou de lições que são aprendidas em todo o setor.
Como se preparar para a Lei DORA
A Digital Operational Resilience Act consiste em três componentes: regulamentação (nível 1), padrões técnicos (nível 2) e diretrizes (nível 3). O primeiro fala do texto legislativo que determina o framework para a resiliência operacional digital do setor financeiro.
Já o segundo nível trata das regras desenvolvidas pelas Autoridades Europeias de Supervisão (ESAs), que vão proporcionar os requisitos técnicos e procedimentos para implementar as regulamentações. Para completar, o nível 3 trata das recomendações não vinculantes emitidas pelas ESAs, que vão ajudar as entidades financeiras a estarem em conformidade com os padrões técnicos.
Nesse primeiro momento, é importante que a sua instituição tome tantos cuidados quanto possível para se preparar para a nova legislação. Então confira abaixo o que você pode fazer para deixar sua organização pronta para a Lei de Resiliência Operacional Digital.
1. Entenda os processos e os sistemas
Mapeie quais serviços corporativos dependem de quais processos e sistemas, assim como a maneira que esse suporte acontece. Verifique o fluxo de dados e como diferentes sistemas interagem entre si.
Faça um processamento de dados, documentando quais tipos de informação são processados por cada sistema. Então garanta que o fluxo de dados está seguro e em conformidade com as legislações relevantes.
2. Identifique riscos de TIC
Caso ainda não tenha, implemente o framework de Gestão de Riscos de Tecnologia da Informação e Comunicação. Se tiver, revise o seu atual para garantir que ele está em compliance com a DORA.
Seu framework de riscos de TIC deve incluir identificação, avaliação, mitigação e monitoramento de ameaças.
Você também deve fazer avaliações regulares dos riscos de TIC. Inclui-se aí checagens de hardware, software, dados e sistemas de comunicação.
O software SoftExpert GRC (Governança, riscos e conformidade) garante a sua conformidade com políticas corporativas, leis e regulamentos externos. Com ela, sua organização estará preparada para a chegada da Lei DORA, ao mesmo tempo em que se adequa a normas como ISO 9001, ISO 190011 e ISO 22301.
3. Faça uma avaliação de lacunas
Confira se seu framework atual atende aos requisitos da DORA e identifique lacunas que precisem ser corrigidas. Conduza uma avaliação rigorosa das suas capacidades atuais de resiliência de operação digital.
Faça uma análise de lacunas com foco na identificação de deficiências em práticas existentes. Determine quais pontos de não conformidade precisam ser melhorados para se encaixar nos padrões da Lei de Resiliência Operacional Digital.
4. Gerencie os riscos de terceiros
Identifique todos os seus fornecedores e outros stakeholders terceirizados para desenvolver uma estratégia de gestão de riscos de TIC para terceiros. Liste todos os seus fornecedores e avalie os seus papéis no sistema de Tecnologia da Informação e Comunicação da sua organização.
Desenvolva uma estratégia abrangente para gerenciar riscos associados a servidores de TIC terceirizados. Isso inclui fazer uma auditoria jurídica, os arranjos contratuais necessários e um monitoramento contínuo.
5. Implemente um processo de gestão de incidentes
Certifique-se de que sua empresa possui um processo maduro para gestão de incidentes. Ele deve permitir respostas rápidas a ciberameaças e o compartilhamento de informações com as autoridades.
Sua estrutura de gestão de incidentes deve ter procedimentos estabelecidos para identificar, acompanhar, registrar e classificar ocorrências relacionadas ao sistema de TIC.
Seu processo de gerenciamento de incidentes deve incluir mecanismos de resposta ágeis e protocolos para criar relatórios que serão entregues aos reguladores. Esse procedimento deve cobrir os planos de comunicação, os papeis e responsabilidades dos colaboradores e a forma de documentação dos incidentes em si.
Leia mais: Por que sua empresa deve se preocupar com a gestão de ativos?
Conclusão
A Lei DORA representa um avanço significativo na regulamentação de resiliência operacional digital para o setor financeiro europeu. À medida que as ameaças cibernéticas se tornam mais sofisticadas, a conformidade com essa legislação será essencial para garantir a segurança e a continuidade dos serviços financeiros.
De grandes bancos a provedores de serviços de tecnologia, instituições de todos os portes precisarão revisar e fortalecer suas práticas de gestão de risco e resiliência. Preparar-se para a Lei DORA não é apenas uma questão de cumprir requisitos regulatórios, mas de proteger os próprios ativos e a reputação da organização.
Isso inclui identificar vulnerabilidades, gerenciar riscos de terceiros e garantir uma resposta rápida e eficaz a incidentes. Em resumo, a implementação cuidadosa das diretrizes da DORA proporcionará maior confiança ao setor financeiro e a seus clientes, elevando o nível de segurança e colaboração entre as instituições.
Buscando mais eficiência e conformidade em suas operações? Nossos especialistas podem ajudar a identificar as melhores estratégias para sua empresa com as soluções da SoftExpert. Fale com a gente hoje mesmo!