A Lei de Resiliência Operacional Digital (Digital Operational Resilience Act), ou DORA, é uma regulamentação da União Europeia (UE) que cria uma estrutura vinculativa e abrangente de gerenciamento de riscos de tecnologia da informação e comunicação para o setor financeiro da UE.
A DORA estabelece padrões técnicos que as entidades financeiras e seus provedores críticos de serviços de tecnologia terceirizados devem implementar em seus sistemas de ICT até 17 de janeiro de 2025.
Saiba como aplicar a governança e a privacidade de dados em escala com padrões para toda a organização e recursos de linhagem de dados.
Transforme seu talento com nosso guia
Os principais objetivos da DORA são: abordar de forma abrangente a gestão de riscos do ICT no setor de serviços financeiros e harmonizar os regulamentos de gestão de riscos de ICT que já existem nos estados-membros individuais da UE.
Antes da DORA, as regulamentações de gestão de riscos para instituições financeiras na UE estavam principalmente focadas em garantir que as empresas tivessem capital suficiente para cobrir os riscos operacionais. Embora alguns reguladores da UE tenham divulgado diretrizes sobre ICT e gerenciamento de riscos à segurança (link externo ao site ibm.com), essas diretrizes não se aplicavam igualmente a todas as entidades financeiras e, muitas vezes, dependiam de princípios gerais em vez de padrões técnicos específicos. Na ausência de regras de gestão de riscos de ICT a nível da UE, os estados-membros da UE emitiram seus próprios requisitos. Esse mosaico de regulamentações tem se mostrado desafiador para as entidades financeiras.
Com a DORA, a UE tem como objetivo estabelecer uma estrutura universal para gerenciar e mitigar os riscos de ICT no setor financeiro. Ao harmonizar as regras de gerenciamento de riscos em toda a UE, a DORA busca remover as lacunas, sobreposições e conflitos que possam surgir entre regulamentações díspares em diferentes estados da UE. Um conjunto compartilhado de regras pode facilitar a conformidade das entidades financeiras e, ao mesmo tempo, melhorar a resiliência de todo o sistema financeiro da UE, garantindo que todas as instituições sejam mantidas de acordo com o mesmo padrão.
A DORA se aplica a todas as instituições financeiras da UE. Isso inclui entidades financeiras tradicionais, como bancos, empresas de investimento e instituições de crédito e entidades não tradicionais, inclusive provedores de serviços de criptoativos e plataformas de crowdfunding.
Sobretudo, a DORA também se aplica a algumas entidades que normalmente são excluídas dos regulamentos financeiros. Por exemplo, os provedores de serviços terceirizados que fornecem às empresas financeiras sistemas e serviços de ICT, como provedores de serviços de nuvem e data centers, devem seguir os requisitos da DORA. A DORA também abrange empresas que fornecem serviços críticos de informações de terceiros, como serviços de classificação de crédito e provedores de análise de dados.
A DORA foi proposta pela primeira vez pela Comissão Europeia, o ramo executivo da UE responsável pela introdução da legislação, em setembro de 2020. Ela faz parte de um pacote financeiro digital mais amplo, que também inclui iniciativas para regulamentar os criptoativos e aprimorar a estratégia financeira digital geral da UE. A adoção da Dora pelo Conselho da União Europeia e pelo Parlamento Europeu (os órgãos legislativos responsáveis pela aprovação das leis da UE) foi formalmente oficializada em novembro de 2022. As entidades financeiras e os prestadores de serviços de TIC terceiros têm até 17 de janeiro de 2025 para cumprir a DORA antes do início da execução.
Embora a UE tenha adotado oficialmente a DORA, os principais detalhes ainda estão sendo discutidos pelas Autoridades Supervisoras Europeias (ESAs). As ESAs são as reguladoras que supervisionam o sistema financeiro da UE, incluindo a European Banking Authority (EBA), a European Securities and Markets Authority e a European Insurance and Occupational Pensions Authority.
As ESAs são responsáveis por elaborar os padrões técnicos regulatórios (RTS) e implementar os padrões técnicos (ITS) que as entidades cobertas devem implementar. Espera-se que esses padrões sejam finalizados em 2024. A Comissão Europeia está desenvolvendo uma estrutura de supervisão para provedores críticos de ICT, que também deve ser finalizada em 2024.
Após a finalização das normas e a chegada do prazo de janeiro de 2025, a aplicação será atribuída às autoridades reguladoras designadas em cada estado-membro da União Europeia, denominadas "autoridades competentes". As autoridades competentes podem solicitar que entidades financeiras tomem medidas de segurança específicas e corrijam vulnerabilidades. Elas também poderão impor penalidades administrativas e, em alguns casos, criminais às entidades que não cumprirem as exigências. Cada estado-membro decidirá sobre as suas próprias sanções.
Os fornecedores de ICT considerados "críticos" pela Comissão Europeia serão supervisionados diretamente pelos supervisores líderes das ESAs. Assim como as autoridades competentes, os supervisores líderes podem solicitar medidas de segurança e remediação e penalizar os fornecedores de ICT que não estejam em conformidade. A DORA permite que supervisores líderes cobrem multas aos provedores de ICT no valor de 1% do faturamento médio diário mundial do provedor no ano comercial anterior. Os fornecedores podem ser multados todos os dias por até seis meses até atingirem a conformidade.
A DORA estabelece requisitos técnicos para entidades financeiras e provedores de TIC em quatro domínios:
- Gestão e governança de riscos da ICT
- Resposta e relatórios de incidentes
- Teste de resiliência operacional digital
- Gerenciamento de risco terceirizado
O compartilhamento de informações é incentivado, mas não é necessário.
Os requisitos serão aplicados proporcionalmente, o que significa que as entidades menores não serão submetidas aos mesmos padrões que as principais instituições financeiras. Embora os RTSs e ITSs de cada domínio ainda estejam em desenvolvimento, a legislação existente da DORA oferece algumas informações sobre os requisitos gerais.
Gestão e governança de riscos da ICT
A DORA responsabiliza um órgão de administração da entidade pela gestão das ICT. Os membros do conselho, os líderes executivos e outros gestores seniores devem definir estratégias apropriadas de gerenciamento de riscos, auxiliar ativamente na sua execução e manter-se informados sobre o cenário de riscos de TIC. Os líderes também podem ser individualmente responsáveis pelo não cumprimento de uma entidade.
Espera-se que as entidades cobertas desenvolvam estruturas abrangentes de gerenciamento de riscos de ICT. As entidades devem mapear seus sistemas de ICT, identificar e classificar ativos e funções críticas e dependências de documentos entre ativos, sistemas, processos e provedores. As entidades devem realizar avaliações de risco contínuas em seus sistemas de ICT, documentar e classificar ameaças cibernéticas e documentar suas medidas para mitigar os riscos identificados.
Como parte do processo de avaliação de risco, as entidades devem realizar análises de impacto nos negócios para avaliar como cenários específicos e interrupções graves podem afetar os negócios. As entidades devem usar os resultados dessas análises para definir os níveis de tolerância ao risco e informar o projeto de sua infraestrutura de ICT. As entidades também deverão implementar medidas adequadas de proteção de cibersegurança, como políticas de gerenciamento de acesso e identidade e gerenciamento de patches, juntamente com controles técnicos, como sistemas de detecção e resposta estendidos, software de gerenciamento de eventos e informações de segurança (SIEM) e ferramentas de orquestração, automação e resposta de segurança (SOAR).
As entidades também precisarão estabelecer planos de continuidade de negócios e recuperação de desastres para vários cenários de risco cibernético, como falhas de serviço de ICT, desastres naturais e ciberataques. Esses planos devem incluir medidas de backup e recuperação de dados, processos de restauração do sistema e planos de comunicação com clientes, parceiros e autoridades afetadas.
Os RTSs que especificam os elementos necessários da estrutura de gerenciamento de riscos de uma entidade estão chegando. Os especialistas acreditam que serão semelhantes às diretrizes existentes da EBA sobre TIC e gerenciamento de riscos de segurança.
Resposta e relatórios de incidentes
As entidades cobertas devem estabelecer sistemas para monitorar, gerenciar, registrar, classificar e relatar incidentes relacionados às ICT. Dependendo da gravidade do incidente, as entidades podem precisar fazer relatórios tanto para os reguladores quanto para os clientes e parceiros afetados. As entidades deverão apresentar três tipos diferentes de relatórios para incidentes críticos: um relatório inicial notificando as autoridades, um relatório intermediário sobre o progresso na resolução do incidente e um relatório final analisando as causas-raiz do incidente.
As regras sobre como os incidentes devem ser classificados, quais incidentes devem ser relatados e prazos para notificação estão por vir. As ESAs também estão explorando maneiras de simplificar os relatórios ao estabelecer um ponto central e modelos comuns de relatórios.
Teste de resiliência operacional digital
As entidades devem testar regularmente seus sistemas de ICT para avaliar a eficácia de suas proteções e identificar vulnerabilidades. Os resultados desses testes, bem como os planos para corrigir quaisquer pontos fracos encontrados, serão comunicados e validados pelas autoridades competentes pertinentes.
As entidades devem realizar testes básicos, como avaliações de vulnerabilidade e testes baseados em cenários, uma vez por ano. As entidades financeiras consideradas como tendo um papel crítico no sistema financeiro também deverão passar por testes de penetração baseados em ameaças (TLPT) a cada três anos. Os provedores críticos de ICT da entidade também serão obrigados a participar desses testes de penetração. As normas técnicas sobre como os TLPTs devem ser realizados estão sendo preparados, mas é provável que se alinhem à estrutura TIBER-EU (link externo ao site ibm.com) para red-teaming ético baseado em inteligência de ameaças.
Gerenciamento de risco terceirizado
Um aspecto único da DORA é que ela se aplica não apenas às entidades financeiras, mas também aos provedores de ICT que atendem ao setor financeiro.
É previsto que as empresas financeiras assumam um papel ativo na gestão do risco de terceiros relacionado à ICT. Ao terceirizar funções críticas e importantes, as entidades financeiras devem negociar acordos contratuais específicos relacionados a estratégias de saída, auditorias e metas de desempenho para acessibilidade, integridade e segurança, entre outros aspectos. As entidades não poderão contratar fornecedores de ICT que não possam atender a esses requisitos. As autoridades competentes podem suspender ou rescindir contratos que não estejam em conformidade. A Comissão Europeia está explorando a possibilidade de elaborar cláusulas contratuais padronizadas que as entidades e os provedores de ICT possam utilizar para garantir que seus acordos estejam em conformidade com a DORA.
As instituições financeiras também precisarão mapear suas dependências de ICT de terceiros e serão obrigadas a garantir que suas funções críICTas e importantes não estejam excessivamente concentradas em um único provedor ou pequeno grupo de provedores..
Os provedores críticos de serviços de ICT de terceiros estarão sujeitos à supervisão direta das ESAs relevantes. A Comissão Europeia ainda está desenvolvendo os critérios para determinar quais provedores são críticos. Aqueles que atenderem aos padrões terão uma das ESAs designada como supervisora principal. Além de aplicar os requisitos da DORA aos fornecedores críticos, as supervisoras principais terão o poder de proibir os fornecedores de firmar contratos com empresas financeiras ou outros provedores de ICT que não estejam em conformidade com a DORA.
Compartilhamento de informações
As entidades financeiras devem estabelecer processos para aprender com incidentes relacionados a ICT, tanto internos quanto externos. Para esse fim, a DORA incentiva as entidades a participarem de acordos voluntários de compartilhamento de inteligência de ameaças . Qualquer informação compartilhada desta forma deve ainda ser protegida pelas diretrizes relevantes – por exemplo, as informações de identificação pessoal ainda estão sujeitas às considerações do Regulamento Geral de Proteção de Dados.
Supere os ataques com um pacote de segurança conectado e moderno. O portfólio da QRadar está incorporado à IA de nível empresarial e oferece produtos integrados para segurança de endpoints, gerenciamento de logs, SIEM e SOAR, todos com uma interface de usuário comum, insights compartilhados e fluxos de trabalho conectados.
Aprimore sua postura de cibersegurança com caça contínua a ameaças, monitoramento em tempo real e análise aprofundada de ameaças. Uma equipe de resposta a incidentes de plantão pode reduzir significativamente os tempos de resposta, diminuir o impacto dos ataques cibernéticos e facilitar uma recuperação mais rápida, servindo como um suporte crucial para departamentos de TI ocupados.
Aproveite todo o poder da sua infraestrutura de TI. A última geração de servidores, armazenamento e software IBM pode ajudar você a modernizar e escalar no local e na nuvem com nuvem híbrida segura e automação e insights de IA confiáveis.
Descubra como as automações de IA de alto impacto podem ajudar a tornar seus sistemas de TI mais proativos, os processos mais eficientes e as pessoas mais produtivas.
Acelere a inovação e atenda às suas necessidades de segurança e conformidade. O IBM Cloud for Financial Services foi projetado para ajudar os clientes a mitigar os riscos e acelerar a adoção da nuvem para as cargas de trabalho mais sensíveis.
A DORA reconhece a natureza em evolução do risco e resiliência no cenário cada vez mais digitalizado dos serviços financeiros da UE.
Como qualquer empreendimento projetado para proporcionar mudanças transformadoras em ritmo e escala, a implementação da DORA exigirá foco e engajamento consistentes, particularmente nos níveis do Conselho e dos executivos.
Os diretores da cadeia de suprimentos que estão de olho no futuro podem se distinguir dos colegas que estão focados apenas no presente.