O que é a Lei de Resiliência Operacional Digital (DORA)?

A Lei de Resiliência Operacional Digital (DORA) é uma regulamentação recente da UE que visa a fortalecer a resiliência digital e a segurança cibernética no setor financeiro. Seu principal objetivo é garantir que as instituições financeiras forneçam serviços digitais seguros e confiáveis e que o setor financeiro na Europa permaneça resiliente no caso de uma grave interrupção operacional. Uma regulamentação que responde à crescente proliferação de ataques cibernéticos direcionados ao setor financeiro europeu.

A inovação e o aprimoramento das regras existentes, bem como a padronização do modelo de relatório de incidentes, é um dos principais objetivos do DORA, que será totalmente aplicável em alguns meses, a partir de 17 de janeiro de 2025.

Fortalecer a resiliência operacional no setor financeiro para garantir a continuidade dos negócios durante um ataque cibernético é um dos principais objetivos dessa lei. Mas a DORA também obriga os fornecedores de sistemas críticos de TIC a se adaptarem a essa regulamentação. A conformidade de terceiros será avaliada por meio de inspeções da Autoridade Bancária Europeia (EBA), da Autoridade Europeia de Valores Mobiliários e Mercados (ESMA) ou da Autoridade Europeia de Seguros e Pensões Ocupacionais (EIOPA).

Quais empresas são afetadas pelo DORA?

Qualquer instituição financeira que ofereça serviços financeiros na União Europeia deve estar em conformidade com o padrão:

O setor de serviços financeiros.
Empresas de investimento.
Agências de classificação de crédito.
Provedores de sistemas financeiros.
Provedores de serviços de criptoativos.
Prestadores de serviços de crowdfunding.
Agências de intermediação financeira.
Fintech.

Quais são os principais requisitos da DORA?

Gerenciamento de riscos relacionados a TIC

Esse primeiro requisito busca garantir que as instituições financeiras sigam uma estrutura de gerenciamento de risco de ICT e leve em conta as Diretrizes de Risco Tecnológico da Autoridade Bancária Europeia (EBA).

Cada empresa deve ter um sistema de gerenciamento de risco abrangente e eficaz para identificar, avaliar, monitorar e controlar os riscos associados às suas operações digitais para garantir a continuidade dos negócios.

Relatório de incidentes de TIC

Isso será feito por meio de modelos de relatórios a serem enviados à autoridade competente em um prazo máximo de um mês após o incidente, permitindo a centralização e facilitando a detecção de tendências.

Teste de resiliência operacional digital

Os testes de resiliência baseados em ameaças são o foco aqui. Testes anuais de todos os sistemas e aplicativos críticos de TIC (vulnerabilidades, análise de código, desempenho, capacidade...), bem como testes avançados específicos de ameaças em funções e serviços críticos.

Acordos de compartilhamento de informações e inteligência

O compartilhamento de informações é um dos pontos principais desse regulamento sobre ataques cibernéticos, pois aumenta a conscientização sobre as novas ameaças que afetam o setor financeiro, minimiza sua disseminação, apoia os recursos defensivos e as técnicas de detecção de ameaças.

Gerenciamento de risco relacionado a TIC derivado de terceiros

O DORA estende o perímetro a todos os provedores de alto risco e, portanto, as instituições financeiras terão que desenvolver um registro de informações que reflita um quadro completo de todos os serviços de TIC e relatar possíveis alterações anualmente.

A partir de quanto tempo a DORA deve ser cumprida?

A DORA está chegando e, a partir do momento em que a legislação foi aprovada em 16 de janeiro de 2023, iniciou-se um período de implementação de 2 anos que está prestes a terminar, pois a regra entrará em vigor em 17 de janeiro de 2025.

Você precisa estar em conformidade com a DORA - pergunte-nos como fazer isso!