Supervisor financeiro alemão faz manual para aplicação do regulamento europeu contra ciberataques

A Autoridade Federal de Supervisão Financeira alemã (BaFin) publicou nesta terça-feira um conjunto de regras necessárias para a adoção, por parte dos bancos e companhias de seguros, da Lei da Resiliência Operacional Digital (DORA), que visa reforçar a resiliência operacional das entidades financeiras e dos seus prestadores de serviços de tecnologias de informação e comunicação (TIC).

A aplicação deste regulamento europeu é obrigatória desde 17 de janeiro de 2025. O DORA tem como objetivo tornar o mercado financeiro europeu mais seguro face a riscos e incidentes cibernéticos que afetem as tecnologias de informação e comunicação. Os requisitos de documentação que as empresas supervisionadas devem cumprir desempenham um papel fundamental no alcance desse objetivo. Estes requisitos estão definidos em vários artigos do DORA e nas normas técnicas de regulamentação e de execução.

O BaFin compilou, num único documento, todos os requisitos necessários para que as entidades financeiras possam adotar o Regulamento DORA de forma eficaz e transparente.

O regulamento abrange um vasto leque de entidades financeiras regulamentadas da União Europeia, exigindo-lhes que resistam, respondam e recuperem de quaisquer perturbações ou ameaças no domínio das tecnologias de informação e comunicação. Entre as exigências previstas contam-se: a implementação de medidas de governação interna e de controlo que assegurem uma gestão eficaz e prudente do risco associado às TIC; a adoção de um quadro de gestão desse risco sólido, abrangente e devidamente documentado, com estratégias, políticas, procedimentos, protocolos e instrumentos que permitam uma resposta rápida e eficiente; e a monitorização contínua da segurança e do funcionamento dos sistemas e ferramentas de TIC, de forma a minimizar o impacto do risco associado.

O DORA aplica-se a instituições de crédito, instituições de pagamento, instituições de moeda eletrónica e fundos de pensões profissionais; a prestadores de serviços de informação sobre contas, de criptoativos, de comunicação de dados e de financiamento colaborativo; a empresas de investimento, fundos de investimento alternativos, sociedades gestoras, agências de notação de crédito e administradores de índices de referência críticos; bem como a centrais de valores mobiliários, contrapartes centrais, plataformas de negociação e empresas de seguros.