Resumo do artigo:

• Abrangência do DORA
• Benefícios e desafios
• Abordagem tecnológica transversal
• Revisão da governance bancária
• Partilha de informação no setor
• Confiança nos prestadores de serviços críticos

O Regulamento de Resiliência Operacional Digital (DORA), adotado pela União Europeia, começa a ser aplicado a partir de 17 de janeiro de 2025. Visa dotar as instituições financeiras de maior resiliência perante diferentes riscos operacionais que impactam o setor.

Apesar do elevado foco nos sistemas tecnológicos dos bancos, o DORA não se limita a impor padrões de resiliência digital. Este regulamento inova ao promover a coordenação entre entidades e a partilha de informação estratégica para enfrentar ameaças comuns, reforçando a segurança e estabilidade do setor bancário. A colaboração, antes vista como um desafio, surge agora como um pilar essencial para mitigar riscos digitais em tempo real. Também se lança sobre os fornecedores de serviços críticos do banco, para evitar que sejam porta de entrada de riscos para a atividade bancária.

São assim três as grandes missões do DORA: identificar funções críticas e criar planos de resposta; incrementar a partilha de informação entre instituições financeiras; e impor requisitos rigorosos a prestadores de serviços críticos, nomeadamente de tecnologias de informação e comunicação (TIC).

João Nóbrega, managing partner da EY Law

Para João Nóbrega, managing partner da EY LAW, o DORA “impõe um novo paradigma às instituições financeiras, fundado na promoção da consciencialização em todos os níveis da organização, assegurando que as normas de cibersegurança sejam rigorosamente cumpridas”. Em particular, “a responsabilidade pela gestão do risco das TIC passa a ser um princípio central no governance destas instituições, com uma ênfase contínua na monitorização e no controle da eficácia das políticas de resiliência digital, o que influenciará os processos de tomada de decisão e um maior envolvimento da liderança nas questões tecnológicas e operacionais”.

Apesar de já existir regulamentação num setor altamente regulado, “a abrangência do DORA obriga as instituições a abordar este tema de forma global”, acrescenta Paulo Guedes, diretor do mestrado em Engenharia Informática e Sistemas de Informação da Universidade Lusófona, ao Jornal PT50. Nomeadamente, “o DORA introduz novas exigências em várias áreas dos sistemas de informação: gestão de risco, gestão e reporte de incidentes, teste da resiliência operacional e gestão do risco de terceiras partes, nomeadamente dos fornecedores externos de sistemas e serviços de IT”.

Benefícios e desafios

O novo regulamento representa um marco na gestão de riscos de cibersegurança no setor financeiro, introduzindo novas exigências e consolidando práticas já presentes em regulamentos anteriores. João Nóbrega salienta que entre os principais benefícios se destaca a criação de um quadro normativo uniforme e harmonizado em toda a União Europeia, “o que facilita a supervisão e a coordenação entre autoridades nacionais e europeias, melhorando a resiliência do setor como um todo”. Adicionalmente, o DORA reforça a gestão de riscos tecnológicos e introduz ferramentas como os Testes de Penetração em Sistemas de TI (TLPT), que aumentam a capacidade de as instituições prevenir e mitigar ciberameaças. “Este foco na resiliência cibernética é crucial para proteger as operações financeiras, aumentando a confiança dos clientes e investidores num contexto de digitalização acelerada”, acrescenta.

No entanto, a implementação do DORA também acarreta desafios relevantes para as instituições financeiras. Desde logo, a necessidade de se realizar uma análise rigorosa das lacunas existentes e posterior reorganização dos sistemas TIC, promovendo a necessária adaptação de políticas e procedimentos. Por exemplo, ao nível do controlo interno, gestão de riscos e contratação de fornecedores. Todo este movimento de adaptação tecnológica e procedimental “exigirá esforços significativos em termos de recursos, custos e tempo”, sublinha João Nóbrega.

Por outro lado, as autoridades competentes também terão de desenvolver novos processos de supervisão, incluindo a avaliação de riscos relacionados a prestadores de serviços de TIC. Porém, apesar dos desafios, na sua perspetiva, “o DORA oferece uma oportunidade estratégica para fortalecer a segurança cibernética e a estabilidade financeira a longo prazo, permitindo ao setor financeiro adaptar-se aos avanços tecnológicos e enfrentar as ameaças digitais, garantindo a continuidade operacional e a confiança no mercado, promovendo uma nova cultura de resiliência digital”.

Por sua vez, Paulo Guedes salienta que, apesar de grande complexidade, “os maiores desafios nem são os técnicos”. Na sua perspetiva, “o desafio mais importante de todos é a necessidade de alocar e dedicar recursos para estas atividades”.  Defende que também é necessária uma evolução na cultura de risco das organizações. “Isto significa que o entendimento dos riscos associados a cada operação e a forma adequada para lidar com eles tem de estar disseminada em todos os níveis e em todas as áreas da organização, não podem ser vistas como sendo da responsabilidade apenas da área tecnológica ou da área de risco”, frisa, sublinhando que “esta evolução na cultura de risco das instituições será certamente um desafio”.

Será necessário também um grande esforço de capacitação dos colaboradores, para que tenham conhecimento dos riscos que têm de considerar e incorporem nos seus processos de trabalho a forma de os identificar, avaliar, controlar e medir. Este impacto transversal nos processos “cria uma tensão entre a eficiência e a agilidade pretendida”, pelo que “encontrar o equilíbrio certo entre estas duas tensões será certamente um desafio para as instituições”, destaca o especialista em sistemas de informação.

Abordagem tecnológica transversal

No atual panorama de cibersegurança, as instituições financeiras enfrentam um desafio cada vez mais complexo: proteger-se de ataques sofisticados que podem comprometer a estabilidade operacional e a confiança dos clientes. O DORA surge como uma resposta integrada e proativa, com o objetivo de não apenas reforçar a resiliência digital, mas também criar um ambiente de colaboração entre bancos, fornecedores e reguladores.

Paulo Guedes, diretor do mestrado em EI e SI da Universidade Lusófona

A implementação destas medidas exige uma revisão profunda das infraestruturas tecnológicas e dos processos internos das organizações financeiras. Para garantirem o cumprimento deste novo regulamento, as instituições têm de, segundo Paulo Guedes, “identificar as lacunas entre as suas práticas atuais e as exigências do DORA (gap analysis), lançar as iniciativas necessárias para colmatar essas lacunas, nomeadamente identificando os processos novos ou as alterações necessárias aos processos existentes, desenhando ou alterando esses processos, testando com pilotos e fazendo a sua disseminação completa (roll-out)”. Dada toda esta complexidade, acrescenta, “é expectável que as fases iniciais estejam completas atempadamente”. Já a disseminação completa “é algo que irá certamente acontecer ao longo dos próximos tempos”.

O DORA tem, assim, um impacto grande e transversal nos processos relacionados com a gestão de risco de sistemas de informação, pois estabelece requisitos para as políticas, procedimentos, protocolos e ferramentas. “Isto abrange muitas e diversas áreas: governo e gestão do risco de sistemas de informação, gestão do risco dos ativos de sistemas de informação, que são eles próprios muito diversificados (aplicações, servidores, computadores pessoais, redes, projetos, pessoas, processos, etc.), riscos associados a projetos e outras ações de mudança, utilização da criptografia, segurança das operações, segurança das redes, segurança física, e ainda a sensibilização e formação dos colaboradores em segurança de informação e nos riscos de sistemas de informação”, explica Paulo Guedes.

O DORA estabelece também requisitos para a deteção, resposta e reporte de incidentes relacionados com os sistemas de informação e reforça as normas já existentes relacionadas com a continuidade de negócio. “O objetivo é aumentar o nível de maturidade das instituições na forma de lidar com acontecimentos com impacto negativo nos sistemas de informação ou que necessitem de grande suporte dos mesmos (ciberataques, catástrofes naturais como incêndios ou inundações, pandemias, etc.)”, acrescenta Paulo Guedes. E sublinha que “as instituições têm de melhorar os seus processos nestas áreas, garantir maior transparência no reporte de incidentes e testar de forma abrangente a sua resposta em caso de ocorrência de um destes acontecimentos”.

Revisão da governance

Todas estas alterações de fundo obrigam a uma revisão da governação bancária. Desde logo, entregando mais responsabilidade ao órgão de gestão na definição, implementação e supervisão de estratégias robustas para a gestão eficaz de riscos operacionais relacionados com as tecnologias da informação, exigindo que as instituições financeiras adotem uma abordagem proativa e baseada no risco. Neste sentido, João Nóbrega explica que o regulamento “impõe aos gestores uma revisão profunda das políticas e procedimentos ao nível do controlo interno e gestão de riscos, introduzindo novos requisitos e práticas de governance que permitam prevenir e mitigar os riscos associados às TIC, de forma mais detalhada e eficaz”.

Este quadro regulatório, sendo mais exigente, vai exigir a implementação de uma estratégia robusta de gestão de riscos para garantir a conformidade legal, bem como a determinação de competências e responsabilidades claras para todas as funções relacionadas com as TIC.

Partilha de informação no setor

A partilha de informações sobre ameaças, fraquezas ou incidentes críticos é um dos principais alicerces deste regulamento, permitindo que instituições financeiras atuem de forma coordenada para prevenir crises e minimizar impactos.

Paulo Guedes concorda que a resposta a certo tipo de ataques ou catástrofes naturais tem de ser coordenada entre as várias instituições financeiras, pois “não faz sentido cada uma estar a tratar isoladamente o problema quando ele afeta de forma idêntica e transversal as várias instituições”. E exemplifica: “Se uma instituição estiver a ser alvo de um ciberataque, é fundamental que haja um mecanismo para avisar e, em alguns casos, envolver outras entidades. Elas podem não estar ainda a ser atacadas, mas é muito possível que o venham a ser muito em breve, pelo que o aviso prévio lhes dá algum tempo para anteciparem, e se possível neutralizarem ou mitigarem as consequências do ataque”.

No entanto, esta abordagem traz desafios importantes: como garantir que a partilha de dados entre concorrentes seja segura, eficiente e em conformidade com as exigências legais? João Nóbrega destaca também que “a troca regular de dados sobre ameaças e vulnerabilidades reforça a capacidade das instituições para prevenir incidentes, mitigar os seus impactos e recuperar mais rapidamente”. Contudo, a referida partilha “suscita implicações legais significativas, impondo-se deveres especiais de cautela e o respeito em matéria de proteção de dados, nomeadamente o Regulamento Geral sobre a Proteção de Dados (RGPD), acordos de confidencialidade e as normas de concorrência da União Europeia”, assinala o advogado.

Para superar essas barreiras, explica que o DORA cria mecanismos que possibilitam a partilha voluntária de informações em ambientes confiáveis e controlados, promovendo acordos colaborativos que ajudam a prevenir a propagação de riscos e mitigar contágios no sistema financeiro, sem comprometer a confidencialidade dos dados e o compliance interno.

Confiança nos prestadores de serviços críticos

A implementação destas medidas exige uma revisão dos contratos com prestadores de serviços críticos. “É necessário alinhar os contratos com os requisitos do regulamento, definir metas claras de desempenho, tanto qualitativas quanto quantitativas, para os serviços prestados, além da implementação de medidas corretivas quando necessário”, assinala João Nóbrega.

De salientar que o DORA impõe, ainda, a realização de testes aos planos de contingência operacional e a obrigação de notificação, por parte do prestador de serviços, de quaisquer alterações que possam impactar materialmente as operações da instituição financeira.

Além disso, as instituições financeiras poderão monitorizar as atividades dos prestadores, incluindo o acesso às suas instalações, para garantir o cumprimento das normas de segurança exigidas. “Em caso de falhas significativas, como violação de normas contratuais ou de cibersegurança, a rescisão do contrato pode ser considerada, especialmente se houver insuficiência na gestão de riscos das TIC por parte do prestador ou se a autoridade competente não for capaz de supervisionar eficazmente”, explica o advogado.

Por sua vez, Paulo Guedes dá conta de que esta é uma questão preocupante, pois as instituições financeiras têm atualmente “uma dependência quase total dos sistemas de informação, e estes estão cada vez mais dependentes de fornecedores externos, nomeadamente com a adoção crescente de sistemas e serviços em Cloud”. Ou seja, “a resiliência operacional de uma instituição depende fortemente da resiliência desses fornecedores”.

Por isso, as instituições têm que, nos seus processos de gestão desses fornecedores, incluir um conjunto de requisitos relacionados com o seu risco. Paulo Guedes exemplifica: “No processo de seleção, é necessário garantir, para além da qualidade, preço e tempo de entrega, que o fornecedor tem, ele próprio, processos de gestão de risco que cumpram com os graus de exigência requeridos às instituições financeiras, o que podem comprovar, por exemplo, através de certificações.”. Além disso, “os contratos com os fornecedores terão também de assegurar os requisitos do DORA, nomeadamente no que respeita ao armazenamento, tratamento e proteção de dados, autoridade das entidades de regulação europeias ou na terminação da relação contratual”.