Paulo Neves
15 de Abril de 2024
Publicado a 22 de dezembro de 2022 pela União Europeia, o Digital Operational Resilience Act (DORA) é um regulamento europeu que procura assegurar a Resiliência Operacional Digital do setor financeiro da União Europeia (UE), em face dos crescentes riscos associados às Tecnologias de Informação e Comunicação (TIC). Sendo aplicável à generalidade das instituições financeiras, incluindo Bancos, instituições de crédito, seguradoras, e empresas de investimento, entre outros, com o DORA pretende-se que perante uma situação de ataque cibernético aos seus sistemas TIC, as instituições financeiras da União tenham a capacidade de se adaptar e recuperar de eventos adversos, continuando a funcionar e a prestar serviços aos cidadãos.
Neste artigo destacamos alguns dos principais objetivos que este regulamento estabelece para “consolidar e atualizar os requisitos em matéria de risco associado às TIC no âmbito dos requisitos em matéria de risco operacional”.
Publicado em 22 de dezembro de 2022 pela União Europeia, o Digital Operational Resilience Act (DORA) é um regulamento europeu que procura assegurar a Resiliência Operacional Digital do setor financeiro da União Europeia (UE), em face dos crescentes riscos associados às Tecnologias de Informação e Comunicação (TIC). Sendo aplicável à generalidade das instituições financeiras, incluindo Bancos, instituições de crédito, seguradoras, e empresas de investimento, entre outros, com o DORA pretende-se que perante uma situação de ataque cibernético aos seus sistemas TIC, as instituições financeiras da União tenham a capacidade de se adaptar e recuperar de eventos adversos, continuando a funcionar e a prestar serviços aos cidadãos.
Neste artigo destacamos alguns dos principais objetivos que este regulamento estabelece para “consolidar e atualizar os requisitos em matéria de risco associado às TIC no âmbito dos requisitos em matéria de risco operacional”.
O DORA e a gestão do risco associado às TIC
O DORA, no seu capítulo 2, estabelece um conjunto de requisitos bastante abrangentes no que se refere a gestão do risco TIC, com os quais as entidades financeiras deverão cumprir para garantir sua resiliência operacional. As entidades financeiras devem implementar processos robustos para identificar, avaliar e gerir riscos relacionados às Tecnologias da Informação e Comunicação, incluindo a criação de políticas de segurança claras, assegurar a identificação e designação de responsabilidades, procedendo a uma avaliação regular de riscos e monitorização contínua dos seus sistemas.
O regulamento obriga as instituições financeiras a possuírem um “quadro de gestão do risco associado às TIC sólido, abrangente e bem documentado”, integrado nos seus sistemas globais de gestão do risco. Este quadro de gestão do risco deverá conter “as estratégias, políticas, procedimentos, protocolos e ferramentas de TIC que sejam necessários para proteger devida e adequadamente todos os ativos de informação”, devendo ser periodicamente sujeito a auditorias internas, por auditores com conhecimentos e competências especializados em riscos TIC.
O regulamento obriga as instituições financeiras a possuírem um “quadro de gestão do risco associado às TIC sólido, abrangente e bem documentado”, integrado nos seus sistemas globais de gestão de risco.
No seu artigo 7 o DORA releva a importância de as entidades financeiras implementarem e manterem atualizados protocolos e ferramentas TIC “adequados à dimensão das operações que apoiam (…) com capacidade para lidar com picos de volumes de ordens, mensagens ou transações”. Estes devem ser fiáveis e resilientes para responder adequadamente a “necessidades adicionais de tratamento de informações em situações de grande tensão”.
São ainda abordadas neste capítulo medidas especificas que acompanham o ciclo da segurança da informação:
Identificação – Identificação, classificação e documentação adequada de todas as funções operacionais apoiadas pelas TIC, das fontes de risco associadas às TIC, dos ativos de informação e ativos TIC, dos processos que dependem de terceiros prestadores de serviços TIC, entre outros.
Proteção e prevenção – Monitorização e controlo continuo do funcionamento dos sistemas e ferramentas TIC que garantem a resiliência dos sistemas que apoiam funções críticas, nomeadamente “a segurança dos meios de transferência de dados”, minimizar “o risco de corrupção ou a perda de dados, o acesso não autorizado” ou que “evitam a falta de disponibilidade, as violações da autenticidade e da integridade, a quebra da confidencialidade”, entre outros.
Deteção – Garantir a capacidade de detetar rapidamente atividades anómalas, falhas de desempenho das redes, incidentes relacionados com as TIC e “potenciais falhas pontuais significativas”.
Resposta e recuperação – Implementação de políticas de continuidade das atividades no domínio TIC, que permitam assegurar de forma rápida a “continuidade das funções críticas ou importantes da atividade financeira”.
Aprendizagem e evolução – Deverá existir a capacidade e pessoal para recolha de informação sobre as vulnerabilidades e as ciberameaças. Deverão realizar-se avaliações pós incidentes relacionados com as TIC, identificadas e implementadas as melhorias necessárias.
No âmbito do quadro de gestão do risco associado às TIC, no seu artigo 14 o DORA refere a obrigatoriedade de existência de “planos de comunicação de crises que permitam divulgar de forma responsável, pelo menos, os incidentes de caráter severo relacionados com as TIC ou as vulnerabilidades aos clientes e às contrapartes, bem como ao público, se for caso disso.”
O DORA e o processo de gestão de incidentes relacionados com as TIC
O DORA dedica o seu capítulo 3 à gestão, classificação e comunicação de informações sobre incidentes relacionados com as TIC. As instituições financeiras devem ter planos de resposta a incidentes bem definidos que incluam a notificação rápida de violações de segurança, a colaboração com autoridades reguladoras e a elaboração de relatórios detalhados sobre os incidentes.
Conforme o artigo 17º, no âmbito do processo de gestão de incidentes, “as entidades financeiras registam todos os incidentes relacionados com as TIC, bem como as ciberameaças significativas.” Estes incidentes devem ser sempre classificados e determinado o seu impacto de acordo com os critérios definido pelo DORA no seu artigo 18º. Não menos importante é a obrigatoriedade de comunicação dos incidentes “severos” às autoridades competentes (art. 19º). Com esta ação pretende-se que a harmonização de procedimentos e a troca de conhecimento sobre ameaças, técnicas de mitigação e estratégias de segurança, contribua significativamente para a prevenção de ataques de larga escala, melhorando a resiliência organizacional das entidades envolvidas.
“as entidades financeiras registam todos os incidentes relacionados com as TIC, bem como as ciberameaças significativas.” Estes incidentes devem ser sempre classificados e determinado o seu impacto de acordo com os critérios definido pelo DORA no seu artigo 18º.
As informações partilhadas irão permitir a elaboração de um relatório preparado através do Comité Conjunto e em consulta com o Banco Central Europeu (BCE) e a Agência da União Europeia para a Cibersegurança (ENISA), o qual irá avaliar, entre outras, a necessidade de se criar uma plataforma comum e única na UE, para o registo de “incidentes de caráter severo relacionados com as TIC pelas entidades financeiras”.
Sobre os testes de resiliência operacional digital
As entidades financeiras devem ter planos de recuperação de desastres atualizados, de modo a garantir o retomar das suas operações rapidamente em caso de interrupções graves. Os planos de recuperação de desastres, para além de incluírem as diferentes etapas de recuperação, devem identificar claramente os recursos necessários e devem ser testados regularmente garantindo a sua efetividade.
Este regulamento dedica o seu capítulo 4 à necessidade de as entidades financeiras realizarem testes regulares que permitam aferir do seu grau de maturidade no “tratamento de incidentes relacionados com as TIC”, avaliando a sua capacidade para responder a situações de interrupção operacional ou outros eventos adversos. Estes testes deverão permitir “identificar pontos fracos, deficiências ou lacunas na resiliência operacional digital” permitindo assim a adoção das necessárias medidas corretivas. Os testes, que podem assumir a forma de exercícios Table Top e/ou simulacros, devem ser abrangentes, incluir a infraestrutura TIC e os processos associados, nomeadamente:
Testes de penetração – Simulação de ataques cibernéticos que consigam penetrar nas diferentes camadas de defesa, identificando possíveis vulnerabilidades.
Testes de recuperação de desastres – Simulações de falhas ao nível da infraestrutura TIC, que incluam falhas de hardware ou software, permitindo testar a capacidade de resposta e de recuperação.
Testes de carga – Testes de capacidade dos sistemas para lidar com picos de atividade.
Os testes, que podem assumir a forma de exercícios Table Top e/ou simulacros, devem ser abrangentes, incluir a infraestrutura TIC e os processos associados (…)
Os testes de penetração baseados em ameaças, que sejam realizados por equipas internas ou externas, apenas devem ser efetuados por equipas/empresas que “sejam certificados por um organismo de acreditação num Estado-membro ou sigam códigos de conduta ou quadros éticos formais”.
O DORA e a gestão do risco associado às TIC devido a terceiros
As preocupações com a inclusão formal dos processos relativos à cadeia logística na gestão do risco TIC, levou a que o Regulamento lhe dedicasse todo o capítulo 5.
Neste capítulo é destacada a necessidade de as instituições financeiras deverem avaliar os riscos associados aos fornecedores e parceiros externos (terceiros) de TIC de forma integrada. A análise do risco deverá incluir a verificação da segurança dos sistemas desses parceiros e garantir que eles cumpram os padrões exigidos. Para além da verificação da idoneidade dos terceiros, o DORA incentiva a realização de contratos com SLA robustos, que incluam cláusulas de segurança que obriguem os fornecedores a cumprir com requisitos específicos de segurança da informação. Desta forma pretende-se garantir que também os parceiros externos seguem as melhores práticas de segurança. Estas medidas preventivas não isentam a necessidade de as entidades financeiras manterem uma monitorização constante destes processos.
A análise do risco deverá incluir a verificação da segurança dos sistemas desses parceiros e garantir que eles cumpram os padrões exigidos.
Conclusão
O Digital Operational Resilience Act é um regulamento europeu que se aplica à generalidade das instituições financeiras, incluindo Bancos, instituições de crédito, seguradoras, e empresas de investimento, entre outros.
De notar que contrariamente à Diretiva (UE) 2022/2555 de 14 de dezembro de 2022, mais conhecida como NIS2, sobre medidas para um elevado nível comum de cibersegurança em toda a União, que deverá ser transposta para o ordenamento jurídico nacional até 17 de outubro de 2024, o DORA foi publicado sob a forma de regulamento, entrando assim imediatamente em vigor em janeiro de 2025.
O DORA permite incrementar a resiliência operacional do setor financeiro da EU, contribuindo assim para a redução do risco de crises financeiras sistémicas causadas por falhas em entidades financeiras com origem em comprometimentos TIC, promovendo a estabilidade financeira e a confiança por parte dos consumidores e dos mercados financeiros.
Neste artigo destacamos alguns dos aspetos essenciais do DORA, nomeadamente o reforço da harmonização da gestão do risco associado às TIC e dos processos de gestão de incidentes relacionados com as TIC. Vimos também como a UE releva a importância de se realizarem testes de resiliência operacional digital, nomeadamente na realização de testes e exercícios que permitam identificar claramente vulnerabilidades, lacunas e oportunidades de melhoria, nos planos de continuidade e recuperação existentes. Finalmente abordamos a importância crescente de incluir, de forma integrada na gestão do risco, os processos que envolvam a participação de entidades terceiras (fornecedores, parceiros ou outros).
Saiba mais em: