Regulamento DORA: contributo para a resiliência operacional e regulamentação da cibersegurança na UE

Por Inês Domingos. Senior Associate Legal Counsel (Portugal) na WTW

No início deste ano entrou em vigor o Regulamento n.º2022/25554, do Parlamento Europeu e do Conselho, de 14.12 sobre a Lei da Resiliência Operacional Digital (em inglês, Digital Operational Resilience Act (DORA).

Sendo hoje notório, que os riscos ligados a ataques informáticos e violações de dados podem ter consequências reputacionais (e outras) imprevisíveis e irreparáveis e não tem (até ao momento) conhecidos limites quantificáveis, este diploma vem contribuir para a introdução de alterações consideráveis relativamente ao modo como as empresas de serviços financeiros lidam com as suas práticas de segurança de dados,  garantindo que as operações do setor financeiro na Europa se manterão resilientes e capazes de resistir a perturbações operacionais graves.

Para este efeito e ao abrigo do Regulamento DORA, todas as instituições financeiras devem implementar um programa de cibersegurança que inclua políticas, procedimentos e atividades de gestão de risco, revisto anualmente por um regulador financeiro que avaliará se são ou não adequadas com base nos padrões da indústria. Por outro lado, as instituições financeiras devem também desenvolver um plano de resposta a incidentes que descreva o seu modo de atuação, no caso de ocorrer uma violação cibernética ou quando houver indícios de que uma possa ocorrer num futuro próximo.

Por outras palavras, diremos que o Regulamento DORA vem estabelecer os requisitos e regras uniformes, no que respeita à segurança dos sistemas de rede e de informação que apoiam os processos operacionais das entidades financeiras, relacionados com matérias de tecnologias da informação e comunicação (TIC), bem como, visa alcançar um maior nível de segurança no ciberespaço, em especial de resiliência operacional digital no setor financeiro.

Por conseguinte, este Regulamento terá como foco principal a criação de um quadro regulamentar em matéria de resiliência operacional digital, homogéneo em todos os Estados-Membros, permitindo que todas as empresas assegurem que são capazes de resistir e reagir a todos os tipos de perturbações e ameaças relacionadas com as TIC, assim como, recuperar dessas perturbações e ameaças.

Ora, neste contexto será possível entender o conteúdo do Regulamento DORA como o reflexo do esforço do legislador para harmonizar as regras em torno da resiliência operacional e regulamentação da cibersegurança na União Europeia (UE), mediante o estabelecimento de requisitos uniformes para a segurança da rede e sistemas de informação de empresas que operam no setor financeiro, bem como de terceiros que prestam serviços críticos relacionados com TIC.

De forma mais objetiva, serão de salientar os seguintes aspetos do Regulamento:

• Ao nível do seu escopo, cria um quadro regulamentar sobre a resiliência operacional digital através do qual todas as entidades terão de garantir que podem resistir, responder e recuperar de todos os tipos de perturbações relacionadas com as TIC;
• No que respeita à sua data de efeito, o Regulamento só será aplicável a partir de 17 de janeiro de 2025, sendo esta a data a partir da qual as entidades abrangidas pelo referido terão de ter assegurado o cumprimento das obrigações regulatórias relativas à resiliência operacional digital;
• O seu âmbito de aplicação, engloba as entidades financeiras, tais como, empresas e mediadoras de seguros e resseguros, instituições de crédito; empresas de investimento, instituições de pagamento, empresas tecnológicas, prestadoras de serviços TIC às entidades financeiras, entre outras;
• Em termos de governação, as entidades abrangidas devem implementar um quadro de governação e controlo interno eficaz por forma a detetar de forma célere, mitigar e responder aos riscos emergentes no domínio das TIC;
• No que toca ao quadro de fiscalização, os colegisladores acordaram em optar por uma rede de supervisão conjunta suplementar que aumentará a coordenação entre as autoridades europeias de supervisão neste domínio intersectorial;
• No âmbito da gestão de risco, o órgão de gestão da entidade financeira deve ser responsável pela definição, pela aprovação e pela supervisão e estar continuamente responsável pela gestão de risco inerente às TIC, no quadro de gestão de risco global da entidade; devendo o órgão de administração de cada entidade abrangida assumir a responsabilidade (final) pela gestão dos riscos no neste domínio;
• Relativamente ao reporte de incidentes, o Regulamento DORA pretende instituir um mecanismo de reporte de incidentes, incluindo um processo de gestão para detetar, gerir notificar incidentes relacionados com as TIC;
• Já no que se prende com a partilha de informação, o Regulamento contém disposições que facilitam a partilha, entre entidades financeiras, de informação relativamente a ameaças cibernéticas, incluindo indicadores de compromisso, táticas, técnicas e procedimentos, alertas de cibersegurança, com o intuito de reforçar a resiliência operacional digital das mesmas, desde que realizada em conformidade com a legislação aplicável (nomeadamente, proteção de dados e concorrência).

Em suma, apesar de a aplicação do Regulamento estar prevista apenas para daqui a cerca de dois anos, prevê-se que seja uma disrupção em face do cenário corrente, dado que são impostas novas obrigações, para além de se relacionar com diversos diplomas, iniciativas, orientações, recomendações e princípios em matéria de cibersegurança, dados e serviços digitais inseridos num vasto pacote normativo que tem vindo a ganhar relevo e que inevitavelmente, conduzirá à indispensabilidade de garantir a acomodação das modificações, de forma atempada e correta.

Em todo o caso, convirá ter presente que este diploma não substitui os regulamentos existentes, procurado sim, complementá-los, proporcionando um quadro mais completo para a gestão do risco operacional num ambiente digital onde as instituições financeiras sejam capazes de resistir aos ciberataques, implementando as melhores práticas como a proteção de dados e o planeamento da resposta a incidentes, inserindo-se na perspetiva da EU de reforçar a segurança informática das entidades financeiras, tais como bancos, mediadores e companhias de seguros e empresas de investimento.

Consequentemente, o alcance deste (ambicioso) objetivo obrigará as empresas a reformularem todo o seu modelo de governação das áreas tecnológicas e sistemas de segurança e de gestão de risco tecnológico, a terem um plano de segurança e gestão de riscos bem definido, que inclua medidas como avaliações regulares de vulnerabilidade, planos de resposta a incidentes e programas de formação de funcionários, sendo que só deste modo se constituirão como players fiáveis no sector financeiro.