Por Paul Robinson, Senior Security Consultant na NCC Group
À medida que o setor financeiro continua a acelerar a sua transformação digital, os riscos associados a disrupções nas TIC têm crescido exponencialmente. Como resposta, a União Europeia introduziu o Regulamento de Resiliência Operacional Digital (DORA – Digital Operational Resilience Act), que entrou plenamente em vigor em janeiro de 2025. Para as instituições financeiras, o DORA exige uma mudança fundamental na forma como gerem determinados elementos de risco.
Mas muitas continuam bloqueadas nos seus esforços de conformidade, talvez em grande parte devido ao volume de regulamentação digital a que estão sujeitas.
O DORA deve ser uma das principais prioridades para as que operam ou prestam serviços na UE, bem como para terceiros considerados críticos. Trata-se de uma regulamentação prescritiva e com grande alcance. Ao contrário de normas voluntárias como a ISO 27001 ou diretivas como a NIS2, o DORA é apoiado por poderes de fiscalização significativos. Substitui e consolida orientações fragmentadas, como as da Autoridade Bancária Europeia, alargando o âmbito de aplicação e fiscalização e garantindo a continuidade operacional mesmo durante disrupções digitais severas.
Mas há boas notícias: se a sua organização já está alinhada com a ISO 27001, está no bom caminho para cumprir muitos dos requisitos principais do DORA.
ISO 27001: Uma base sólida para a conformidade com o DORA
A ISO 27001 é uma norma internacionalmente reconhecida para a gestão da segurança da informação. Oferece uma abordagem estruturada para avaliação de riscos, resposta a incidentes e melhoria contínua, que são princípios centrais também no DORA.
Embora a ISO 27001 seja voluntária e aplicável a qualquer setor, o DORA é obrigatório e explicitamente orientado para o setor financeiro. Ainda assim, existe uma sobreposição considerável entre os dois enquadramentos.
As organizações que já implementaram a ISO 27001 encontram muitos dos requisitos do DORA já cobertos em áreas como a gestão de riscos TIC, gestão e resposta a incidentes, supervisão de terceiros, e governação e responsabilidades.
No entanto, a ISO 27001 por si só não é suficiente. O DORA vai mais longe, sobretudo nas exigências de testes de resiliência e planeamento de continuidade do negócio. As instituições financeiras têm de dar passos adicionais para garantir conformidade nestes domínios.
Testes de resiliência
Uma das exigências mais desafiantes do DORA é a realização de testes de resiliência. Isto inclui uma ampla gama de avaliações, desde scans de vulnerabilidades e revisões de segurança de redes até Testes de Penetração Orientados por Ameaças (TLPT). Exercícios rigorosos e baseados em cenários reais de ataque cibernético.
Ao contrário da ISO 27001, que recomenda testes sem impor métodos específicos, o DORA obriga as entidades financeiras a realizarem estes testes em sistemas de produção reais, abrangendo todos os ativos TIC críticos. O perfil de risco da instituição determina a frequência e o alcance dos testes e, em certos casos, os resultados devem ser validados pelos reguladores.
Para as instituições financeiras, isto significa ultrapassar a preparação teórica e entrar na resiliência prática. Os testes devem ser exaustivos, repetíveis e integrados no ritmo operacional da organização.
Não se trata apenas de cumprir uma exigência regulatória, trata-se de provar que os sistemas conseguem resistir e recuperar de ameaças reais.
Recuperação e continuidade para resiliência operacional
O DORA também coloca uma ênfase significativa no planeamento da continuidade do negócio e da recuperação. As entidades financeiras devem identificar e mapear funções críticas, realizar análises de impacto no negócio (BIA) e desenvolver estratégias de continuidade que sejam testadas e refinadas regularmente.
Muitas organizações enfrentam desafios nesta área. O planeamento da continuidade é frequentemente compartimentado, desatualizado ou desligado das operações TIC. O DORA exige uma abordagem holística, integrando perspetivas de negócio e de TI, para garantir que os serviços críticos são mantidos durante uma disrupção.
A testagem regular dos planos de continuidade e recuperação é essencial. As organizações devem simular disrupções, avaliar a eficácia da resposta e atualizar os planos com base nas lições aprendidas. Estes exercícios devem ser documentados, comunicados à administração de topo e usados para alimentar processos de melhoria contínua.
DORA: Desafio ou oportunidade?
É importante lembrar que o DORA não é apenas um obstáculo regulatório, é uma oportunidade para construir organizações mais fortes e resilientes. Ao aproveitar a base existente de conformidade regulatória e investir nos testes certos e nas estratégias de continuidade, as instituições financeiras podem cumprir os requisitos do DORA e melhorar a sua postura geral de segurança.
O DORA já está em vigor, e embora esteja a reformular o panorama da conformidade nos serviços financeiros, não significa que tenha de descartar os esforços anteriores e começar do zero. Se a sua organização ainda não deu prioridade ao DORA, este é o momento certo para agir.