DORA: “ciber-resiliência é a palavra de 2023”

Entre modelos de negócio em transformação, novas regulamentações, clientes exigentes, instabilidade económica, e o aumento dos riscos cibernéticos, o panorama do setor financeiro pós-pandémico tem sido uma montanha-russa, de forma semelhante a outras indústrias. Contudo, o setor “tem sido particularmente afetado por ciberataques, com destaque para tentativas de fraude informática direcionadas aos utilizadores finais”, indica Pedro Rodrigues, Head of Cybersecurity and IT Compliance do Banco de Portugal.

Sendo um setor que lida diariamente com dados críticos e de importância estrutural para a sociedade, os serviços financeiros “têm de encontrar um equilíbrio entre autonomia dos utilizadores e a garantia de segurança”, questão agravada no âmbito dos investimentos e da interligação entre instituições para processamento de pagamentos e transferências. Tudo isto torna mais complexo o esforço para garantir a resiliência dos sistemas, em comparação com outras infraestruturas críticas.

De acordo com dados de 2020, citados por Sérgio Martinho, CISO da Lusitania Seguros, 97% da população adulta da UE, cerca de 365 milhões de pessoas, utilizam serviços financeiros, como contas bancárias, cartões de crédito, empréstimos, seguros investimentos, entre outros. "Este regulamento visa servir melhor quem é cliente de uma entidade do setor financeiro. E, já agora, quem não o é?”, reitera o responsável da seguradora. Como profissional do setor, que diz ser “bastante regulado”, “e como cliente só posso dar as boas-vindas ao DORA”.

# Digital Operational Resilience Act

	O setor “tem sido particularmente afetado por ciberataques, com destaque para tentativas de fraude informática direcionadas aos utilizadores finais” Pedro Rodrigues, Banco de Portugal

Bruno Castro, CEO & Co-founder da Visionware, diz que “ciber-resiliência é a palavra de 2023”, fruto não só das necessidades atuais das organizações e empresas, como devido às medidas que vão sendo lançadas e que a pretendem fomentar nas várias indústrias. É o caso do Digital Operational Resilience Act (DORA) – Regulamento (UE) 2022/2554 – que, segundo o seu site oficial, “resolve um importante problema na regulação financeira da União Europeia (UE)”, uma vez que antes as instituições não geriam todas as componentes da resiliência operacional. Tratando-se de um regulamento e não de uma diretiva, é obrigatório e vinculativo em todos os seus elementos e diretamente aplicável a todos os Estados-membros.

Até ao momento são várias as lacunas e sobreposições de domínios, assim como inconsistências fruto da emergência de regras nacionais divergentes, devido à dependência quase total dos reguladores nacionais e consequentes custos acrescidos para as organizações presentes em mais do que um mercado, explica Pedro Rodrigues.

Assim, “apesar de o elevado nível de digitalização e conectividade serem características centrais de todas as atividades das entidades financeiras da UE, a resiliência digital não está ainda incorporada de modo suficiente nos seus quadros operacionais”, reflete Martim Bouza Serrano, advogado, sócio coordenador de TMT da CCA Law.

Desta forma, afirma o advogado, “todas as disposições que abordam o risco digital no setor vão ser reunidas pela primeira vez, de modo coerente, num único ato legislativo”, harmonizando e uniformizando as regras entre as entidades do espaço europeu. “O DORA vem não só facilitar os esforços de conformidade das instituições presentes em vários países como também introduzir uma visão holística da resiliência operacional”, diz o responsável de segurança do Banco de Portugal, abrangendo a proteção, deteção, contenção e recuperação de incidentes. 

# “Ciber-resiliência é a palavra de 2023”

O DORA aplica-se a:

• Instituições de crédito;
• Instituições de pagamento;
• Instituições de moeda eletrónica;
• Empresas de investimento;
• Prestadores de serviços de cripto-ativos;
• Entidades do setor segurador;
• Prestadores de serviços TIC.

Do regulamento, o responsável pela cibersegurança do Banco de Portugal destaca os elementos dirigidos aos fornecedores de serviços críticos de TIC, na componente focada na Gestão de Risco de Terceiros. “À semelhança do que acontece noutros setores, também a digitalização do setor financeiro tem recaído inevitavelmente na utilização de serviços partilhados, com destaque para as soluções em cloud, tornando as organizações altamente dependentes de serviços externos. Adiciona-se ainda o facto de as soluções digitais requererem cada vez mais um nível de especialização que nem todas as instituições financeiras têm meios para internalizar, recorrendo frequentemente à prestação de serviços por terceiros”.

Assim, o DORA atenta num “fator de risco muitas vezes ignorado pelas instituições”; sendo obrigado a avaliar a conformidade e a reportar, pelo menos, anualmente, o setor financeiro entra “numa nova fase no que diz respeito à contratação de serviços de TIC, elevando a fasquia na definição de requisitos e normas de Segurança da Informação, contribuindo de forma inegável para a resiliência operacional do setor”, completa.

	“O caminho a trilhar tem de estar assente em passos firmes e identificadores da própria organização, não havendo nesta matéria qualquer lugar a experimentalismos, atrasos ou prorrogações” Bruno Castro, VisionWare

Por sua vez, Sérgio Martinho destaca as componentes da gestão de risco operacional, pelo que as empresas vão ser obrigadas a avaliar e gerir regularmente os riscos operacionais associados às suas atividades de génese digital; os testes e avaliações que deverão ser regulares; o incremento da resiliência operacional, com as seguradoras a implementar medidas de prevenção e mitigação de riscos, bem como planos de contingência, e, finalmente, a notificação de incidentes, que as entidades serão obrigadas a fazer. O DORA “visa garantir que os sistemas de informação dos prestadores de serviços de seguros sejam compatíveis e interoperáveis, o que de certeza a acontecer irá melhorar a eficiência e a qualidade dos serviços prestados”, explica.

Bruno Castro, destaca, ainda, a partilha de conhecimento entre entidades visadas pela norma, “tornando o setor mais consciente e sinérgico”, com o nível de sensibilização no setor a ser cada vez maior, como demonstrado pelos investimentos crescentes em cibersegurança. Segundo o fundador da VisionWare, “as entidades portuguesas abrangidas por este regulamento (e todas as outras) terão de ser ágeis, proativas e não negligentes, como em qualquer outra prática relacionada com a sua segurança”. 

# DORA: um longo caminho a explorar

O DORA entrou em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia – que se deu a 27 de dezembro de 2022. A partir dessa data, prevê-se um período de implementação de 24 meses para as entidades visadas, período no qual “as instituições deverão adaptar os seus sistemas, metodologias e políticas internas ao Regulamento DORA, bem como rever os contratos com prestadores de serviços TIC, para acautelar as disposições contratuais específicas. Posto isto, o Regulamento é aplicável a partir de 17 de janeiro de 2025”, explica o Sócio da CCA Law.

Na ausência de uma bola de cristal, é possível perspetivar o impacto direto das novas medidas nas organizações. Pedro Rodrigues acredita que o primeiro passo será a realização de um “gap analysis”, tendo em vista avaliar a maturidade dos sistemas e que requisitos precisarão de ser implementados no caso particular de cada organização. Os 24 meses até ao início da aplicação do DORA “permitirão às instituições percorrer o caminho necessário. Felizmente, muitas das entidades financeiras portuguesas já implementam orientações para a Segurança da Informação que tornam o gap mais curto”, acrescenta.

“Apesar de o elevado nível de digitalização e conectividade serem características centrais de todas as atividades das entidades financeiras da UE, a resiliência digital não está ainda incorporada de modo suficiente nos seus quadros operacionais” Martim Bouza Serrano, CCA Law

O dia 17 de janeiro de 2025 “não deve, no entanto, ser encarado como longínquo”, acredita o Head of Cybersecurity and IT Compliance do Banco de Portugal, uma vez que “requer para muitas organizações um caminho que se antevê longo e repleto de esforços, especialmente centrados na revisão de contratos e procedimentos internos”.

Mas Martim Bouza Serrano prevê que o impacto na atividade das entidades portuguesas seja grande, pela obrigação de implementação de medidas que antes não eram contempladas. “Acima de tudo, o DORA irá com certeza contribuir para uma maior consciencialização em matéria de cibersegurança e principalmente contribuir para que as organizações estejam mais preparadas para combater incidentes de segurança, gerir o risco e minimizar os prejuízos provocados pelos mesmos”, afirma. O advogado calcula que um grande desafio será “reformular todo o modelo de sistemas de segurança e de gestão de risco tecnológico. As entidades em causa terão de ter em conta que implementar o Regulamento DORA será um processo exigente e demorado, pelo que, será importante acautelar estas mudanças em devido tempo”, completa.

Já Sérgio Martinho assevera que o impacto depende de dois fatores: o nível de maturidade das entidades e a sua exposição aos ciber-riscos. “Quanto maior a pegada digital da organização, mais expectável é o peso que o DORA terá”. Assim, a implementação das medidas de prevenção e mitigação de riscos, bem como os testes necessários que o Regulamento refere vai “exigir investimentos avultados em tecnologia e recursos humanos para muitas entidades envolvidas, especialmente para aquelas que não possuem ao momento uma infraestrutura digital robusta”.

Mas, embora vá exigir ao setor financeiro português investimentos e esforços adicionais, a implementação das medidas pode ser um meio de maior fidelização e confiança do cliente. “Como sabemos é cada vez mais relevante para qualquer organização que queira colocar os seus clientes na centralidade das suas operações”, reflete o CISO da Lusitania.

	O DORA “visa garantir que os sistemas de informação dos prestadores de serviços de seguros sejam compatíveis e interoperáveis, o que de certeza a acontecer irá melhorar a eficiência e a qualidade dos serviços prestados” Sérgio Martinho, Lusitania

Bruno Castro sugere que as organizações “procurem aconselhamento e orientação especializada, e não remetam estas orientações, que não são aleatórias nem isoladas, para um qualquer agente ou departamento. O caminho a trilhar tem de estar assente em passos firmes e identificadores da própria organização, não havendo nesta matéria qualquer lugar a experimentalismos, atrasos ou prorrogações”.

Assim, deverão realizar uma análise criteriosa do regulamento e proceder à definição de uma estrutura de gestão de risco, um mapa/fluxo/inventário das suas atividades e relacioná-las com o risco: quais as que são críticas e quais as que têm risco o qual conseguimos acomodar/controlar, explica o CEO da VisionWare. Para tal, devem ser revisitados os processos, avaliada a maturidade da organização e implementados frameworks. “Há que preparar as empresas e organizações, porque este é um caminho sem retorno”.

Mas a opinião dos peritos é concordante: “o DORA é muito bem-vindo”, reitera Sérgio Martinho, ajudando a “colmatar lacunas na regulamentação dos serviços”, “relacionadas com a cibersegurança, utilização de terceiras entidades, integração de sistemas, gestão dos dados e, a cereja em cima do bolo, uma supervisão mais robusta”.