Conheça a DORA: não o personagem da televisão, mas a Lei de Resiliência Operacional Digital, um novo regulamento da UE para o setor financeiro.

Em vigor desde janeiro de 2024, o seu principal objetivo é estabelecer um quadro unificado para a gestão dos riscos das TIC no setor financeiro da UE.

Ao estabelecer requisitos e diretrizes padronizados, a DORA visa garantir que as instituições financeiras possam resistir efetivamente a interrupções, ameaças cibernéticas e outros desafios em um cenário cada vez mais digital. Este artigo explora seu impacto em instituições financeiras e fornecedores terceirizados críticos, incluindo fornecedores de serviços de nuvem e Data Centers.

Principais impulsionadores da DORA

• O papel das TICs na era digital: Em um mundo impulsionado pela tecnologia, a importância das TICs aumentou, especialmente após a pandemia, ampliando seus benefícios e riscos. A lei reconhece isso ao destacar que o aumento da digitalização e da interconectividade aumentam a vulnerabilidade da sociedade, particularmente do sistema financeiro, a ameaças cibernéticas e interrupções nas TIC.
• Vulnerabilidade sistêmica e estabilidade financeira: O Comité Europeu do Risco Sistêmico (CERS) sublinha a forma como os sistemas de TIC interligados no setor financeiro podem desencadear a vulnerabilidade sistêmica. Mesmo incidentes cibernéticos localizados podem se espalhar rapidamente entre instituições financeiras, comprometendo todo o sistema, criando problemas de liquidez e corroendo a confiança.
• Maior prioridade à resiliência: enquanto as reformas anteriores se concentraram em aspectos econômicos e de mercado, a resiliência ficou em segundo plano. A DORA considera agora que a resiliência é fundamental, garantindo a prestação ininterrupta de serviços financeiros em toda a União, mesmo em situações difíceis, mantendo simultaneamente a confiança dos consumidores e do mercado.
• Harmonização e supervisão: Apesar de um regulamento único unificado e da supervisão financeira europeia, ainda existem incoerências. A DORA aborda essa lacuna enfatizando que a resiliência operacional digital e a segurança das TIC precisam ser harmonizadas para garantir a estabilidade, corrigindo a discrepância atual.

DORA - Não se trata apenas de segurança cibernética

A DORA vai além da cibersegurança e destaca a importância de prevenir interrupções na internet. A lei sublinha o contínuo “monitoramento e controle da segurança e funcionamento dos sistemas e ferramentas de TIC” para mitigar os riscos.

Alguns componentes notáveis:

Artigo 8.º, Identificação: As entidades financeiras devem “identificar todas as fontes de risco das TIC” e avaliar as ameaças cibernéticas e vulnerabilidades relevantes relacionadas com suas funções e ativos apoiados pelas TIC.

Artigo 9, Proteção e Prevenção: As instituições financeiras devem “monitorar e controlar continuamente a segurança e a operação dos sistemas e ferramentas de TIC”, minimizando o impacto dos riscos de TIC por meio de ferramentas, políticas e procedimentos de segurança eficazes.

Artigo 10, Detecção: O regulamento exige mecanismos para “detectar rapidamente atividades anômalas”, incluindo problemas de desempenho da rede de TIC, incidentes e potenciais pontos únicos de falha.

Impacto da DORA em instituições financeiras e fornecedores terceirizados

A implicação da DORA para as instituições financeiras é enorme, pois responsabiliza os conselhos de administração pelo risco das TIC. Além disso, elas devem mapear sua dependência de fornecedores externos de TIC, diversificar seu mix de compras e estabelecer processos abrangentes de gerenciamento de incidentes.

Embora o setor financeiro não seja estranho a regulamentações rígidas e supervisão governamental, fornecedores de TI terceirizados que oferecem suporte a entidades financeiras (como Data Centers e serviços em nuvem) não o são. A implementação da DORA exigirá que eles atendam a rigorosos padrões de segurança cibernética e resiliência operacional, garantindo que seus sistemas e ferramentas de TIC sejam continuamente monitorados e controlados para mitigar riscos.

A DORA dá aos reguladores a autoridade para investigar e revisar o software e o hardware das empresas de serviços financeiros, impor mudanças para reforçar a resiliência da rede e impor multas por não conformidade. Além disso, os reguladores podem rescindir contratos entre instituições financeiras e prestadores de serviços de TI terceirizados se forem identificados riscos de estabilidade ou segurança para a rede financeira.

Resiliência: o ponto principal para cumprir o mandato da DORA

A DORA enfatiza inequivocamente a necessidade de monitoramento e controle contínuos de ferramentas de segurança e TIC para mitigar riscos. No entanto, embora a maioria das empresas hoje tenha ferramentas de monitoramento, elas tendem a monitorar apenas seus próprios aplicativos e ferramentas. Para complicar ainda mais as coisas, a Internet se tornou a principal rede corporativa e agora está mais vulnerável do que nunca.

O cumprimento do mandato da DORA requer uma abordagem mais ampla. As empresas precisam expandir sua visibilidade para além de seus aplicativos e serviços usando uma solução de monitoramento de desempenho da Internet que abrange toda a Stack da Internet, a rede emaranhada de redes, protocolos, agentes e subsistemas além de seus aplicativos e serviços, incluindo elementos centrais da Internet, como BGP, DNS e CDN. Só assim conseguirão o tipo de resiliência robusta exigida pela DORA.