Banco de Portugal vai realizar testes de cibersegurança avançada

O Banco de Portugal divulgou esta semana um comunicado no qual refere que foi revista e atualizada a versão do Threat Intelligence-Based Ethical Red Teaming – Portugal (TIBER-PT), de modo a integrar todas as exigências do Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, relativo à resiliência operacional digital do setor financeiro (Regulamento DORA).

A entidade liderada por Álvaro Santos Pereira faz referência ao Fórum com a Indústria para a Cibersegurança e Resiliência Operacional (FICRO), constituído em 2020, indicando que se trata de uma estrutura consultiva do Banco de Portugal que reúne representantes do setor bancário, da entidade que opera, em nome do Banco de Portugal, o Sistema de Compensação Interbancária (SICOI), e da autoridade nacional de cibersegurança, com o objetivo de reforçar a resiliência operacional do sistema financeiro português.

Segundo o comunicado, “uma das iniciativas desenvolvidas no âmbito do Fórum foi a implementação do quadro de referência TIBER-PT para a execução de testes de cibersegurança avançada”.

Com a entrada em vigor do Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, relativo à resiliência operacional digital do setor financeiro (Regulamento DORA), bem como as subsequentes atualizações dos quadros de referência a nível europeu, e em linha com o plano de atividades do Fórum, foi divulgada esta quarta-feira uma versão revista e atualizada do TIBER-PT.

• Cibersegurança no setor financeiro esteve em destaque na Iª Conferência organizada pelo Jornal PT50

“Esta nova versão visa a operacionalização dos requisitos definidos pelo Regulamento DORA para a realização de testes de penetração baseados em ameaças — ou, em inglês, Threat-Led Penetration Testing (TLPT) —, bem como o alinhamento de metodologias com o Banco Central Europeu e demais autoridades do setor financeiro”, adianta o comunicado.

Deste modo, o TIBER-PT servirá como referência não só para a realização de testes voluntários, como tem acontecido desde a sua implementação, mas também para a operacionalização dos TLPT exigidos no âmbito do DORA.

As instituições identificadas para a realização de TLPT, de acordo com os critérios estabelecidos, serão formalmente notificadas para o efeito, em tempo útil, de modo a permitir a preparação necessária para um teste eficaz na promoção da sua cibersegurança e resiliência operacional.