Contagem decrescente para a aplicação do Regulamento Europeu de Resiliência Operacional Digital, DORA
A Resiliência pode ser definida como a capacidade de adaptação e recuperação perante uma situação adversa, e este é o principal objetivo do DORA (Regulamento Europeu de Resiliência Operacional Digital), regular como devemos lidar com uma dessas possíveis situações que, se ocorrerem, podem ter consequências graves.
Um setor chave, do qual dependem muitas outras organizações, tanto públicas como privadas, como é o caso do setor financeiro, deve dispor de mecanismos adequados de resiliência operacional digital para fazer face a situações que possam comprometer o normal funcionamento das operações e, caso isso inevitavelmente ocorra, poder minimizar o impacto de um incidente de forma a regressar à normalidade no menor tempo possível.
A quem se aplica o DORA?
O artigo 2.º do Regulamento contém uma lista das organizações que devem cumprir o regulamento europeu (instituições de crédito, companhias de seguros, instituições de pagamento, instituições de moeda eletrónica, gestores, fundos de pensões, agências de notação de crédito, etc.), que são basicamente a grande maioria das organizações do setor financeiro, bem como os seus fornecedores, um ponto muito importante, uma vez que será exigido contratar com terceiros considerados "seguros", uma questão que ainda está por determinar.
Como é que o DORA me afetará?
Em termos gerais, o DORA terá um impacto em toda a organização, incluindo a gestão de topo, podendo ser agrupadas as diferentes iniciativas de conformidade com impacto nos seguintes grupos:
O DORA terá um impacto em toda a organização
Governação e Regulamentação
As políticas, regras e procedimentos internos já implementados na organização terão de ser adaptados aos requisitos do DORA (por exemplo, adaptar o procedimento de gestão de incidentes para incluir a comunicação de incidentes graves à autoridade europeia).
Medidas organizacionais
Serão estabelecidas novas funções, responsabilidades e encargos para o órgão de governo, bem como a nomeação de novas figuras, como o Chief Technology Risk Officer (CTRO) para supervisionar o cumprimento do regulamento, que será a pessoa responsável por garantir a conformidade com os riscos tecnológicos enfrentados pela organização. Esta nova função pode ser desempenhada internamente ou através de uma empresa externa.
Segurança das TIC, continuidade das atividades e gestão dos riscos de terceiros
A segurança e a continuidade das atividades estender-se-ão a toda a cadeia de abastecimento. Já não teremos apenas de avaliar, abordar e mitigar os nossos próprios riscos de TIC, mas teremos também de garantir e monitorizar que os nossos fornecedores críticos façam o mesmo, de modo a podermos reduzir os riscos de incidentes de terceiros.
Gestão e comunicação de incidentes
Para além de sermos capazes de identificar, gerir e conter um incidente de segurança, teremos de comunicar os incidentes graves à autoridade europeia competente, através de um procedimento ainda por definir.
Teremos de comunicar os incidentes graves à autoridade europeia competente
Teste de resiliência operacional digital
Deverá ser avaliado anualmente e de forma independente quaisquer riscos específicos a que a entidade esteja exposta e quaisquer fatores considerados adequados.
Também deveremos executar testes anuais de todos os sistemas e aplicações TIC críticos (vulnerabilidades, análise de código, desempenho, capacidade, etc.). Adicionalmente, testes avançados específicos, validados pelas autoridades de supervisão.
Quando é que o DORA entra em vigor?
A sua data efetiva de entrada em vigor é janeiro de 2025, mas devido ao grande número de iniciativas que terão de ser implementadas, as instituições já estão a trabalhar para se adaptarem aos requisitos estabelecidos no regulamento.
Uma das questões mais importantes para a sua adoção é o facto de as autoridades europeias de supervisão ainda não terem desenvolvido e publicado uma série de normas técnicas regulamentares (RTS) que especificam como abordar e implementar alguns aspetos do DORA que não estão definidos.
Prevê-se que estas normas técnicas regulamentares sejam publicadas antes de julho de 2024, o que deixa pouco tempo para assegurar o seu cumprimento. Por conseguinte, a melhor estratégia consistiria em identificar e adotar as medidas exigidas pelo DORA o mais rapidamente possível, adaptando-as antes da publicação das RTS.
Como o podemos ajudar?
Na Sidertia by Izertis adaptamos todo o tipo de organizações ao cumprimento do DORA, desde o diagnóstico ou estudo da situação inicial, análise de Gaps, adaptação do quadro regulamentar, avaliação da segurança em fornecedores até aos testes técnicos para medir a resiliência operacional digital. Fale connosco!