Safetica > Resources > DORA: âmbito, finalidade e o que esperar

DORA: âmbito, finalidade e o que esperar

jul 13, 2023

O DORA é um novo regulamento que vai afetar dezenas de milhares de organizações que prestam serviços financeiros na UE. Mas não é tudo — os fornecedores externos de tecnologias de informação e comunicação (ICT) também estão a ser incluídos, tornando o trabalho pela segurança de dados no setor financeiro uma tarefa maior do que alguma vez foi.

O contador já começou a correr no período de preparação de 24 meses, por isso o momento para começar a preparar-se é agora.

 

O que é o DORA?

O Digital Operational Resilience Act, ou DORA, é um regulamento importante que está a varrer a União Europeia para garantir que as instituições financeiras e os seus parceiros tecnológicos elevem o nível na proteção contra os riscos cada vez maiores de depender de tecnologia.

Mas prepare-se, porque o DORA traz desafios sérios. Da gestão atenta dos riscos com fornecedores externos à monitorização constante dos sistemas de segurança de dados e à diversificação dos riscos relacionados com ICT, implementar o DORA não é caminhada de domingo. É um nível totalmente novo de esforço e compromisso necessário para se manter em conformidade.

 

Cronograma do DORA num relance

28 de novembro de 2022: O Conselho Europeu adotou o DORA

16 de janeiro de 2023: O DORA entra em vigor com um período de preparação de 24 meses

2023: as Autoridades Europeias de Supervisão (ESA) desenvolverão os primeiros padrões técnicos

2024: as ESA comunicarão os padrões e darão orientação às entidades financeiras afetadas

17 de janeiro de 2025: Os requisitos do DORA tornam-se exigíveis

2025: Começarão os testes de penetração


Qual é a finalidade do DORA?

A finalidade do DORA é reforçar a resiliência digital dentro da União Europeia. Por outras palavras, o DORA propõe-se proteger dos malfeitores do mundo online os dados sensíveis disponíveis às instituições financeiras e aos seus fornecedores de ICT.

O DORA cria um conjunto de regras para qualquer entidade do setor financeiro, com a esperança de harmonizar os esforços de segurança de dados entre os Estados-Membros da UE, preenchendo as lacunas e corrigindo as inconsistências das atuais leis da UE.

As ciberameaças estão e provavelmente continuarão a aumentar, pelo que o DORA quer garantir que o setor financeiro está pronto para qualquer perigo digital que lhe seja lançado no futuro. Reconhece os perigos anteriormente ignorados que vêm da cadeia de fornecimento e reforça também as obrigações dos prestadores de serviços de ICT.

 

Qual é o âmbito do DORA?

Em resumo, o DORA aplica-se a um vasto conjunto de entidades financeiras envolvidas no sistema financeiro da UE, e aos prestadores de serviços de ICT que as apoiam. Desde que a organização financeira opere em qualquer capacidade dentro do mercado da UE, terá de cumprir o DORA, e o mesmo vale para os seus fornecedores externos. Isto é verdade mesmo para empresas sediadas fora da UE.

A que organizações financeiras se aplica o DORA?

A todas! Por exemplo:

  • bancos
  • prestadores de serviços de pagamento
  • empresas de criptoativos
  • empresas de investimento
  • fundos de pensões
  • seguradoras
O âmbito do DORA estende-se para além das instituições financeiras, abrangendo também os seus prestadores de serviços externos, independentemente da sua localização. Porquê? Porque, muito logicamente, mesmo que uma instituição financeira esteja a transbordar de medidas de proteção de dados, não consegue influenciar o que os seus fornecedores fazem. Pelo menos não eficazmente. Na verdade, é uma surpresa que o DORA não tenha sido criado mais cedo! As implicações do DORA para os prestadores de ICT são diferentes, mas continuam a estar dentro do âmbito do DORA.

Vale a pena notar que o DORA não limita o seu enquadramento regulamentar apenas a entidades sediadas na UE. Abrange também entidades financeiras de fora da UE que operem dentro do mercado da UE. Isto significa que, mesmo que uma entidade financeira esteja sediada fora da UE mas opere dentro das suas fronteiras, está sujeita às regulações descritas no DORA.

Para lhe dar um exemplo, suponha que é um prestador de ICT sediado no Canadá, oferecendo serviços a um banco canadiano. Se esse banco tiver uma única sucursal ou escritório na UE, tanto o senhor enquanto prestador de ICT como o banco entram no âmbito do DORA.

euro-sign-eu-map-3d-rendering

Quais são os objetivos-chave do DORA?

Então, como é que o DORA pretende exatamente alcançar esta resiliência digital à escala da UE? Exploremos os seus objetivos mais importantes para compreender o regulamento mais a fundo.

Estes são os cinco pilares-chave do DORA:

1. Gestão do risco de ICT

O DORA quer que as organizações sejam proativas a proteger dados sensíveis com sistemas robustos de gestão de segurança implementados. As entidades financeiras terão de se concentrar não só na prevenção, mas também na deteção, contenção, recuperação e capacidades de reparação. As políticas de segurança baseadas no risco serão obrigatórias.

Uma disposição do DORA enfatiza a necessidade de monitorização e controlo contínuos das ferramentas de segurança de ICT. Este requisito sublinha a importância de adotar soluções avançadas de proteção contra a perda de dados (DLP) que ofereçam capacidades automáticas de deteção de incidentes e avaliação de risco.

A concentração do risco é outra consideração. O DORA proíbe que as organizações dependam de um único prestador de serviços para processos críticos, preferindo um leque de fornecedores de segurança. Desta forma, quando um sistema ou fornecedor é afetado, o risco para a organização financeira é distribuído e minimizado.


2. Notificação de incidentes

As entidades financeiras são obrigadas a comunicar incidentes graves relacionados com ICT e ciberameaças significativas às autoridades competentes. O objetivo é melhorar a transparência e a coordenação no que toca a ciberincidentes. Uma resposta rápida é uma resposta mais eficaz. Isto significa que, se algo correr mal nos seus sistemas digitais, têm de informar as autoridades de imediato.

Adicionalmente, os incidentes que afetem os prestadores de serviços de ICT em que as organizações financeiras dependem também têm de ser notificados. Desta forma, todos podem estar conscientes de quaisquer riscos potenciais que se possam propagar pelo ecossistema financeiro interligado.


3. Testes de resiliência operacional

Estes testes avançados anuais asseguram que as entidades financeiras conseguem resistir, responder e recuperar de várias perturbações e ameaças relacionadas com ICT. Os fornecedores externos terão também de cooperar em testes de penetração periódicos. Todas as partes terão depois de eliminar quaisquer vulnerabilidades que estes testes revelem.


4. Gestão do risco de terceiros

Um dos principais objetivos do DORA é que as entidades financeiras serão responsáveis pela gestão e mitigação dos riscos de terceiros — uma tarefa desafiadora, no mínimo.

Isto significa, por exemplo, realizar avaliações de risco para contratos de outsourcing ou garantir que os contratos com prestadores externos de ICT incluem todos os detalhes necessários de monitorização e acessibilidade, bem como termos contratuais vinculativos.


5. Partilha de informação

O DORA encoraja as entidades financeiras e as autoridades a partilhar informação e inteligência sobre ciberameaças e fragilidades. Trabalhando em conjunto, podem responder melhor a novos riscos. As entidades financeiras terão de criar sistemas para rever e atuar sobre a informação partilhada.

 

Como as organizações podem começar a preparar-se para o DORA agora

Mesmo que as ESA só desenvolvam e comuniquem por completo os padrões técnicos e requisitos do DORA no próximo ano, há passos que as instituições financeiras podem dar para garantir uma conformidade mais fluida com o DORA quando chegar o momento.

O passo mais importante será uma avaliação de lacunas durante a qual as instituições financeiras podem fazer referência a outras regulamentações existentes e garantir que estão a par das atuais expectativas de segurança. Pressupõe-se que o DORA incluirá a maioria das normas e regras existentes, pelo que este é o passo básico que as organizações podem dar para garantir que não ficam demasiado para trás quando as implicações do DORA forem especificadas.

Uma dessas regulamentações é a NIS2, a diretiva da UE "Network and Information Security".

As instituições podem também rever o seu sistema de gestão da segurança da informação utilizando a norma internacional ISO 27001.

É vital que as instituições mantenham as suas políticas de segurança de dados suficientemente ágeis para conseguirem implementar quaisquer implicações adicionais que o DORA venha a ter.

 

Como pode a Safetica ajudá-lo a cumprir o DORA?

Sente que esperar que o DORA defina os padrões técnicos regulamentares e de implementação encurta um pouco o já curto período de preparação? Não está enganado. Ter um parceiro experiente pode ajudar a dar-lhe tranquilidade. Usar uma solução robusta de DLP também tornará lidar com a proteção contra a perda de dados mais fácil, mais eficaz e menos demorado.

Por exemplo, a monitorização e avaliação manuais da segurança de ICT seria uma tarefa enorme, suscetível a falhas e atrasos. Mas ao tirar partido de soluções de DLP como a da Safetica, as entidades financeiras podem reforçar as suas capacidades de gestão de risco e antecipar-se às ameaças emergentes de uma forma mais ágil e eficaz.

Ao adotar soluções de DLP com funcionalidades de resposta rápida, as entidades financeiras podem reforçar a sua capacidade de identificar e reagir rapidamente a potenciais incidentes de segurança. Com alertas em tempo real e avaliação de risco automatizada, as entidades financeiras podem agir prontamente para mitigar ameaças e proteger dados sensíveis.

Com a Safetica e as suas políticas de DLP, pode garantir que está pronto não só para o DORA mas também em conformidade com outras regulamentações, como o GDPR, o PCI DSS, a HIPAA, o CMMC e muito mais.

 

Vamos discutir a conformidade regulamentar na sua organização

Similar posts