Pular para o conteúdo principal
padrão hexadecimal roxo

O que é a DORA?

A Lei de Resiliência Operacional Digital é uma regulamentação da União Europeia (UE) que aborda como as instituições financeiras e seus parceiros de Tecnologia da Informação e Comunicação (TIC) gerenciam o risco cibernético. Ela cria uma estrutura de supervisão obrigatória e estabelece padrões técnicos que as entidades financeiras da UE e seus prestadores de serviços devem implementar em seus sistemas de TIC.

História da DORA

A Comissão Europeia propôs originalmente a DORA em setembro de 2020, e ela foi aprovada pelo Parlamento Europeu dois anos depois. Finalmente, em 17 de janeiro de 2024, a Autoridade Bancária Europeia (EBA), a Autoridade Europeia dos Valores Mobiliários e dos Mercados (ESMA) e a Autoridade Europeia para Seguros e Pensões Ocupacionais (EIOPA) publicaram as normas técnicas definitivas. A DORA entrou oficialmente em vigor no mesmo dia.

Agora, as entidades financeiras e os prestadores de serviços de TIC da UE têm até 17 de janeiro de 2025 para cumprir os requisitos da DORA. Até lá, cada Estado-membro da UE começará a aplicar a conformidade. Os reguladores designados, conhecidos como “autoridades competentes”, podem solicitar que as entidades tomem medidas de segurança específicas e corrijam vulnerabilidades conhecidas.

Da mesma forma, as penalidades em caso de não conformidade são severas. Por exemplo, os prestadores de serviços de TIC considerados “essenciais” pela Comissão Europeia serão supervisionados pelos “supervisores principais”. Essas organizações poderão penalizar os fornecedores que não estiverem em conformidade com multas de até 1% de seu faturamento médio diário mundial do ano comercial anterior.

O que é resiliência cibernética?

A DORA foi concebida para reforçar a “resiliência cibernética” das entidades financeiras regulamentadas. Esse termo abrange a capacidade de uma organização de manter a integridade operacional e a continuidade dos negócios em meio a interrupções, como violações de dados e ataques cibernéticos.

A continuidade é especialmente vital no setor financeiro, onde os sistemas de TIC desempenham um papel fundamental na forma como os consumidores acessam e administram seus fundos. De acordo com a ESMA, os serviços financeiros tornaram-se fortemente dependentes de tecnologias digitais para realizar operações diárias. Essa dependência, por sua vez, aumentou exponencialmente o risco cibernético.

Na verdade, mesmo um único incidente de TIC pode ter grandes efeitos em cascata na infraestrutura crítica. Quando não são geridos de forma adequada, os riscos podem atrapalhar a prestação de serviços financeiros, o que pode afetar outras entidades, setores e até mesmo a economia europeia.

Imagine um cenário em que a plataforma de negociação terceirizada de um banco de investimentos fica off-line durante um ataque de negação de serviço. Isso não só atrapalharia a experiência do usuário final, mas também poderia custar muito dinheiro aos clientes no mercado.

Para complicar ainda mais as coisas, eventos geopolíticos deram origem a ataques patrocinados pelo estado e hacktivistas rebeldes visando serviços financeiros. A guerra da Rússia na Ucrânia, por exemplo, inspirou cibercriminosos pró-Rússia a atacar a infraestrutura de rede do Banco Europeu de Investimento em 2023. Felizmente, o incidente impactou apenas brevemente a disponibilidade do site.

Por que a DORA é importante?

Os prestadores de serviços financeiros estão em risco. A DORA pretende reforçar a resiliência cibernética de duas maneiras:

  1. Abordando a gestão de riscos de TIC para instituições financeiras em grande escala
  2. Harmonizando as regulamentações de gestão de riscos em uma estrutura coesa

Anteriormente, as regulamentações da UE se concentravam principalmente em garantir que as empresas financeiras tivessem capital suficiente para cobrir riscos e interrupções operacionais. Alguns órgãos reguladores divulgaram diretrizes sobre o gerenciamento de riscos de TIC, mas elas não se aplicavam a todas as entidades da mesma forma. Além disso, elas se baseavam em melhores práticas gerais, não em normas técnicas.

Sem uma estrutura de supervisão unificada, cada Estado-membro da UE estabeleceu seus próprios requisitos. Isso criou um labirinto de regulamentações desarticuladas que as empresas internacionais não conseguiam entender facilmente.

A DORA resolve esse problema com um conjunto de regras para todas as entidades contempladas, qualquer que seja o local onde atuem na UE. Ao harmonizar a gestão de riscos no setor financeiro, a DORA minimiza a confusão e eleva o nível de segurança de TIC e da continuidade dos negócios.

Quais organizações devem cumprir os requisitos da DORA?

A DORA impacta mais diretamente as organizações que prestam serviços financeiros na União Europeia. Isso inclui bancos, cooperativas de crédito, empresas de investimento, companhias de seguros e outros tipos de instituições financeiras. No entanto, o escopo não para por aí.

Os prestadores de serviços de TIC também estão sujeitos à conformidade com a DORA. Em outras palavras, qualquer empresa de tecnologia que forneça sistemas de TIC para o setor financeiro da UE deve aderir às regulamentações. De acordo com a DORA, isso inclui qualquer fornecedor de TIC sediado fora da UE, mas que ainda esteja operando dentro de sua jurisdição. 

Digamos que sua organização esteja sediada nos Estados Unidos e forneça serviços em nuvem e análise de dados para clientes austríacos. Nesse caso, sua empresa deve estabelecer uma subsidiária na UE para facilitar a governança efetiva.

No total, de acordo com a PricewaterhouseCoopers (PwC), a DORA se aplica a mais de 22.000 empresas financeiras e operadoras de serviços de TIC.

Cinco pilares da conformidade com a DORA

O quadro abrangente da DORA está estruturado em torno de cinco pilares. Cada um aborda um aspecto diferente da resiliência cibernética e do gerenciamento de riscos, mas, em conjunto, formam a base para um setor financeiro forte e seguro.

1. Gestão e governança de riscos de TIC

De acordo com o artigo 5, os órgãos de gestão são responsáveis por implementar uma estrutura de gerenciamento de riscos de TIC “sólida, abrangente e bem documentada” que lhes permita mitigar o risco cibernético e garantir a resiliência operacional em um nível compatível com suas necessidades de negócios, tamanho e complexidade. Líderes que deixarem de fazê-lo podem ser responsabilizados pessoalmente por não cumprir as regras.

Em termos gerais, as organizações são obrigadas implementar sistemas para manter a continuidade dos negócios no caso de um incidente de TIC. As estruturas de gestão de riscos devem incluir estratégias, políticas, procedimentos e ferramentas para proteger os componentes físicos e a infraestrutura digital contra acesso não autorizado ou danos.

Além disso, as empresas são obrigadas a:

  • Mapear seus sistemas de TIC para identificar recursos, funções e dependências críticas entre provedores.
  • Realizar avaliações regulares de risco em seus sistemas de TIC para documentar, classificar e planejar ameaças cibernéticas.
  • Realizar análises de impacto nos negócios para entender como interrupções graves podem afetar as operações.
  • Implementar medidas adequadas de segurança cibernética, como ferramentas de Gerenciamento de Identificação e Acesso (IAM), sistemas automatizados de detecção de ameaças e assim por diante.

Estabelecer planos de continuidade de negócios e recuperação de desastres para ataques cibernéticos, falhas de serviço e desastres naturais. Realizar revisões pós-incidentes para aprender com eventos passados e promover melhorias contínuas.

2. Relatórios de incidentes

O artigo 15 exige que as entidades financeiras estabeleçam e implementem um processo de gerenciamento de incidentes relacionados à TIC. Especificamente, as organizações devem implementar sistemas de alerta precoce para detectar, mitigar e relatar incidentes o mais rápido possível. Elas também devem estabelecer processos para monitorar incidentes durante e após o fato, permitindo que as equipes identifiquem e erradiquem suas causas principais.

E, de acordo com os artigos 16 a 20, as organizações devem:

  • Classificar os incidentes relacionados à TIC com os critérios que se aplicam aos diferentes níveis de impacto.
  • Criar um modelo ou procedimento comum para relatar incidentes à autoridade supervisora.
  • Informar os usuários finais e clientes sobre um incidente grave imediatamente, além de todas as medidas que estão sendo tomadas para mitigar suas consequências.
  • Relatar eventos até o final do expediente ou em até quatro horas do início do próximo dia útil (caso o incidente ocorra em até duas horas após o término do dia útil anterior).

Vale ressaltar que a DORA exige que as entidades apresentem três tipos diferentes de relatórios:

  1. Um relatório inicial para notificar as autoridades
  2. Um relatório intermediário para comunicar o progresso na resolução do incidente
  3. Um relatório final analisando as causas principais do incidente e como elas foram resolvidas

3. Testes de resiliência operacional digital

A DORA estabelece alguns requisitos básicos relacionados aos testes de resiliência. A realização de testes permite que as organizações avaliem se estão preparadas para incidentes relacionados à TIC, detectem vulnerabilidades e implementem medidas corretivas.

De acordo com o Artigo 21, as entidades devem:

  • Estabelecer um programa de testes que corresponda ao seu tamanho, negócio e perfis de risco
  • Incluir uma série de avaliações, testes, metodologias e ferramentas
  • Adotar uma abordagem baseada em riscos, levando em conta o cenário em evolução dos riscos de TIC
  • Garantir que os testes sejam realizados por partes independentes
  • Priorizar, classificar e solucionar totalmente todos os problemas e vulnerabilidades descobertos
  • Testar todos os sistemas e aplicativos críticos de TIC pelo menos uma vez por ano

Além disso, o artigo 23 determina que as entidades financeiras também devem realizar testes de penetração baseados em ameaças pelo menos a cada três anos. O objetivo é abordar níveis mais altos de exposição a riscos, como processos subjacentes de TIC que dão suporte a funções e serviços essenciais (inclusive aqueles terceirizados para um prestador de serviços).

4. Gestão de riscos de terceiros

A DORA espera que as empresas financeiras gerenciem ativamente o seu cenário de risco de terceiros e tenham em mente a resiliência operacional ao negociar acordos contratuais. Especificamente, a DORA estabelece as seguintes regras relacionadas à gestão de riscos de terceiros:

  • As entidades financeiras devem manter um registro de informações relacionadas a acordos contratuais com provedores de serviços de TIC terceirizados.
  • As empresas devem informar às autoridades competentes, pelo menos uma vez por ano, quantos novos contratos foram assinados com fornecedores de TIC.
  • As entidades devem exercer due diligence ao avaliar contratos, identificando todos os riscos relevantes e possíveis conflitos de interesse. Elas também devem negociar estipulações que envolvam estratégias de saída, auditorias e metas de desempenho para acessibilidade e segurança.
  • Os direitos e as obrigações da entidade financeira e do prestador de serviços terceirizado de TIC devem ser alocados e definidos por escrito, acessíveis a ambas as partes. 
  • Os fornecedores críticos de TIC estão sujeitos à supervisão direta de uma autoridade supervisora competente.

De acordo com a regulamentação, as entidades estão proibidas de contratar empresas de TIC que não cumpram as normas técnicas adequadas. As autoridades competentes podem até suspender ou rescindir acordos que não estejam em conformidade.

5. Compartilhamento de informações

Embora não seja rigorosamente aplicada, a DORA também incentiva a colaboração entre entidades financeiras confiáveis, na esperança de:

  • Aumentar a sensibilização para os riscos relacionados à TIC
  • Minimizar a propagação de vetores de ameaças de TIC
  • Compartilhar técnicas defensivas, estratégias de mitigação e inteligência contra ameaças

A DORA em comparação com a NIS 2

A DORA é uma das várias diretrizes da UE relacionadas à resiliência cibernética e à segurança digital. A regulamentação revisada das Redes e sistemas de informação (NIS 2) se sobrepõe em grande parte à conformidade com a DORA, o que pode suscitar dúvidas sobre quais diretrizes devem ser seguidas.

Em setembro de 2023, a Comissão Europeia esclareceu a relação entre as duas legislações. De forma crítica, a DORA é específica do setor, impactando principalmente as organizações de serviços financeiros. A NIS 2, por outro lado, é uma estrutura regulatória mais ampla que abrange infraestruturas essenciais, como energia e transporte.

De acordo com os parágrafos 1 e 2 do artigo 4 da Diretiva NIS, as disposições da DORA serão aplicadas em vez daquelas descritas na NIS 2. Isso significa que a DORA tem precedência sobre as entidades financeiras, pelo menos no que diz respeito à gestão de riscos de TIC, à comunicação de incidentes e aos testes de resiliência.

Preparação para conformidade com a DORA

A DORA estabelece um padrão elevado para a gestão de riscos, o que significa que não será fácil cumprir os seus requisitos. Felizmente, há um caminho claro que você pode seguir para começar:

  1. Realize uma análise de lacunas: uma análise inicial de lacunas envolve a avaliação de todo o perfil da empresa, de cima para baixo, definindo o seu estado de maturidade cibernética e compreendendo a sua estrutura de gestão de risco existente. Este exercício ajudará a determinar até que ponto seus processos e procedimentos atuais devem ser atualizados.
  2. Exija treinamento em TIC: o ideal é criar um programa de treinamento contínuo para todos os funcionários, incluindo a gestão. Os líderes são responsáveis pela não conformidade com a DORA, portanto, certifique-se de que todos estejam informados e atentos às mais recentes ameaças à segurança de TIC.
  3. Faça uma auditoria nos contratos de terceiros: uma análise minuciosa dos seus acordos contratuais pode ajudá-lo a compreender as dependências dos fornecedores de TIC. Por sua vez, você pode identificar e priorizar medidas de segurança para proteger essas conexões. Faça um inventário de todos os contratos, incluindo provedores de serviços em nuvem, fornecedores de software e outros sistemas de TIC. Em seguida, certifique-se de que possuem disposições alinhadas com os requisitos da DORA.

Reforce a resiliência cibernética com a Entrust

Não deixe a conformidade com a DORA ao acaso. Quer você seja uma entidade financeira ou um fornecedor de TIC, o portfólio da Entrust tem tudo que você precisa para fortalecer suas defesas e proteger infraestruturas críticas.

Nossas soluções incluem:

  • Módulos de segurança de hardware (HSMs): Os HSMs nShield ajudam a oferecer um ambiente seguro para gerar, gerenciar e proteger chaves criptográficas, que são cruciais para criptografia de dados e comunicações seguras.
  • Gerenciamento da postura de segurança na nuvem: A plataforma de segurança CloudControl da Entrust ajuda a proteger seus ambientes de nuvem híbrida, facilitando a identificação, correção e geração de relatórios sobre configuração e conformidade em um único painel.
  • Gerenciamento de chaves: O gerenciamento de chaves é essencial para garantir a confidencialidade e a integridade dos dados e das transações financeiras. O KeyControl da Entrust ajuda você a gerenciar ativos criptográficos durante todo o seu ciclo de vida, evitando o acesso não autorizado a sistemas de TIC.
  • Gerenciamento de identificação e acesso: A Identificação como serviço da Entrust é uma plataforma inteligente que simplifica a autenticação, autorização e controle de acesso do usuário. Conecte-se com seus consumidores por meio de portais seguros, comprovação de identificação e muito mais.
  • Infraestrutura de chave pública (PKI): A PKI da Entrust ajuda a oferecer uma estrutura para comunicações e autenticação seguras, usando certificados digitais para verificar entidades e criptografar dados.

Pronto para começar? Entre em contato com nossa equipe para simplificar a conformidade com a DORA hoje mesmo.