icon-utilities-bar Conecte-seicon-utilities-bar Ajudaicon-utilities-bar Seja verificado

NESTA PÁGINA

fevereiro 12, 2025

Dmytro Sashchuk Pesquisador Jurídico e Advogado Associado de Produto

Fique por dentro das notícias da Veriff. Assine o boletim informativo


Artigo IDV

O que é a Lei de Resiliência Operacional Digital (DORA) para serviços financeiros?

À medida que as ameaças cibernéticas se tornam mais sofisticadas, proteger as instituições financeiras e seus clientes nunca foi tão crítico. Apresentamos a Lei de Resiliência Operacional Digital (DORA), o marco transformador da UE projetado para fortalecer o setor financeiro contra riscos e interrupções digitais.

Introdução

Em um mundo cada vez mais digital, salvaguardar as instituições financeiras e seus clientes contra ameaças cibernéticas e interrupções operacionais é uma prioridade máxima. A Lei de Resiliência Operacional Digital (DORA) — também referida como a União Europeia introduziu a Lei de Resiliência Operacional DORA para aumentar a segurança e a resiliência do sistema financeiro. Ela visa unificar e fortalecer as práticas de gerenciamento de riscos digitais em todo o setor financeiro.

Nas finanças modernas, a tecnologia é o sangue vital que mantém as transações diárias fluindo. Seja lidando com bancos online, pagamentos móveis ou ativos criptográficos, os clientes esperam serviços contínuos e transações seguras 24 horas por dia, 7 dias por semana. Quando ocorrem interrupções ou ataques cibernéticos, as consequências podem ser rápidas e prejudiciais — tanto financeiramente quanto reputacionalmente.

As apostas são altas. Uma única violação ou interrupção severa pode minar a confiança no mercado financeiro, comprometer dados de consumidores e até mesmo representar riscos sistêmicos para a estabilidade global. Reconhecendo esses desafios, a DORA exige que as entidades financeiras tenham em vigor uma estrutura abrangente de gerenciamento de riscos de tecnologia da informação e comunicação (“TIC”), garantindo que possam resistir, responder e se recuperar de incidentes relacionados a TIC.

A resiliência operacional é garantir a continuidade. Significa ter uma estratégia robusta para prevenir interrupções, detectar vulnerabilidades e mitigar qualquer impacto quando um evento ocorre. Ao impor requisitos rigorosos a entidades financeiras regulamentadas, a DORA ajuda a manter a confiança do consumidor, reforçar a estabilidade do sistema financeiro e proteger a economia como um todo em uma era digital interconectada.

O que é o DORA?

O Regulamento (UE) 2022/2554, conhecido como a Lei de Resiliência Operacional Digital (DORA), é uma estrutura legislativa abrangente desenvolvida pela União Europeia. Ele delineia novas medidas regulatórias para garantir que a infraestrutura de TIC do setor financeiro permaneça resiliente contra ameaças cibernéticas, falhas operacionais e outras interrupções de TIC.

A DORA se aplica a uma ampla gama de instituições, incluindo bancos, prestadores de serviços de pagamento, instituições de moeda eletrônica, empresas de investimento e empresas de seguros e pensões ocupacionais. Ao estabelecer regras padronizadas em todos os Estados-Membros, a DORA elimina a fragmentação regulatória e fornece uma abordagem uniforme para o gerenciamento de riscos de TIC.

Os principais objetivos da DORA giram em torno da harmonização e reforço do gerenciamento de riscos digitais em todo o setor financeiro europeu. Os principais objetivos incluem:

  • Estabelecimento de padrões comuns: Crie protocolos compartilhados para avaliação de risco de TIC, relato de incidentes e testes de resiliência operacional digital.
  • Melhorando o compartilhamento de informações: Incentivar uma cultura de transparência onde as instituições compartilhem inteligência sobre ameaças.
  • Aumentando a responsabilidade: Garantir que a alta administração das entidades financeiras seja responsável por decisões relacionadas à TIC.
  • Aumentando a supervisão: Capacitar autoridades competentes como a Autoridade Bancária Europeia (EBA) e a Autoridade de Supervisão de Fundos de Pensões (EIOPA) a supervisionar a aplicação da DORA e desenvolver padrões técnicos de implementação.

Componentes principais da DORA

1. Estrutura de gerenciamento de risco de TIC

Sob a DORA, as instituições financeiras devem adotar uma estrutura robusta de gerenciamento de riscos de TIC, capaz de detectar, prevenir e responder a ameaças cibernéticas e outras interrupções operacionais. Esta estrutura deve ser completamente integrada nas estruturas de governança e processos de negócios existentes. Os principais requisitos incluem:

  • Definição clara de funções e responsabilidades para a supervisão de riscos de TIC.
  • Monitoramento contínuo e relatórios pontuais de incidentes relacionados a TIC.
  • Avaliações de risco atualizadas regularmente, considerando ameaças emergentes, como novas tendências de malware ou vulnerabilidades em software de terceiros.
  • Revisões periódicas de controles de segurança e medidas de proteção de dados.

Uma estratégia robusta não se trata apenas de atender aos requisitos regulatórios, mas de criar uma cultura de segurança e resiliência. As melhores práticas incluem:

  • Treinamento frequente: Garantir que todos os funcionários, da liderança executiva ao suporte ao cliente, entendam a higiene cibernética e os procedimentos de gerenciamento de risco.
  • Monitoramento contínuo: Implementar sistemas automatizados para rastrear anomalias e gerar alertas.
  • Priorização de riscos: Alocar recursos de forma proporcional à gravidade e probabilidade dos riscos identificados.
  • Envolvimento em nível de diretoria: Engajar a alta administração para priorizar e financiar iniciativas necessárias de cibersegurança.

2. Relato de incidentes

A notificação oportuna e precisa de incidentes é fundamental para limitar danos. O DORA exige que entidades financeiras reportem qualquer evento importante de TIC—seja um ciberataque, uma violação de dados ou uma falha de sistema—para as autoridades competentes dentro de prazos rigorosos. Especificamente, as instituições devem:

  • Fornecer uma notificação inicial assim que o incidente for detectado.
  • Submeter relatórios detalhados de acompanhamento descrevendo as causas raízes, o impacto e as medidas corretivas.
  • Manter comunicação contínua com os reguladores até que o problema seja totalmente resolvido.

Quanto mais cedo os incidentes relacionados a TIC forem reportados, mais rápido as autoridades e outros interessados podem coordenar uma resposta. A notificação precoce permite uma contenção mais rápida das ameaças cibernéticas, minimizando a perda de dados e interrupções. Além disso, uma resposta ágil pode ajudar a identificar padrões ou vulnerabilidades generalizadas, beneficiando outras instituições que possam estar expostas a riscos semelhantes.

3. Teste de resiliência operacional

O DORA exige testes regulares de resiliência operacional digital para verificar se a estrutura de TIC de uma instituição pode resistir a ataques e se recuperar rapidamente. Esses testes devem ser abrangentes, cobrindo tanto sistemas internos quanto quaisquer fornecedores de serviços críticos de TIC de terceiros.

As diretrizes principais incluem:

  • Frequência: Os testes devem ser periódicos e após qualquer atualização significativa do sistema ou mudança organizacional importante.
  • Documentação: As instituições devem manter registros claros sobre métodos de teste, descobertas e esforços de remediação.
  • Avaliação independente: Sempre que possível, especialistas externos ou equipes internas especializadas devem realizar os testes para garantir imparcialidade.

O DORA incentiva as entidades a utilizar diversos testes, com testes de penetração orientados por ameaças no centro das atenções. Esses testes simulam ataques do mundo real para descobrir lacunas ocultas nas medidas de segurança. Testes complementares incluem:

  • Teste de penetração: Simula ataques do mundo real para explorar possíveis falhas de segurança.
  • Avaliações de vulnerabilidade: Escaneia sistematicamente software, hardware e infraestrutura de rede em busca de fraquezas conhecidas.
  • Teste de cenários: Constrói cenários hipotéticos (por exemplo, um ataque de ransomware) para avaliar as estratégias de resposta a emergências de uma organização.

4. Gestão de riscos de terceiros

Como muitas entidades financeiras terceirizam operações vitais para fornecedores externos, os riscos de TIC de terceiros cresceram exponencialmente. O DORA exige uma rigorosa triagem, contratação e monitoramento contínuo de quaisquer fornecedores de serviços críticos de TIC que lidam com dados ou sistemas críticos. Isso garante que os esforços de resiliência das organizações financeiras não sejam minados por fornecedores despreparados ou negligentes.

Além de selecionar e monitorar fornecedores, as instituições também devem formalizar obrigações por meio de Contratos de Nível de Serviço (SLAs) claramente definidos. Esses SLAs devem cobrir:

  • Resposta a incidentes: Cronograma de notificações exigido em caso de violação.
  • Proteção de dados: Obrigações contratuais sobre confidencialidade, integridade e disponibilidade de dados.
  • Inspeções in loco: Direitos e processos para auditorias pela entidade financeira ou autoridades competentes.
  • Alocação de responsabilidade: Delimitação clara de responsabilidades em caso de interrupções ou vazamentos de dados.

5. Compartilhamento de informações

O DORA promove uma abordagem de defesa coletiva ao incentivar as instituições a compartilhar informações sobre ameaças em tempo real. Compartilhar informações críticas—como assinaturas de malware recém-descobertas ou golpes de phishing—permite que as organizações antecipem e mitiguem riscos de forma mais eficaz. Uma rede coordenada de compartilhamento de informações pode drástica e rapidamente reduzir o tempo entre descoberta e mitigação de ameaças. Ao unir recursos e expertise, as instituições podem identificar mais rapidamente ameaças emergentes, corrigir vulnerabilidades e adaptar seus mecanismos de defesa. Essa abordagem colaborativa também promove transparência e confiança dentro do ecossistema financeiro mais amplo.

Fale conosco

Explore a verificação de identidade com a solução impulsionada por IA da Veriff! Vamos autenticar documentos, verificar identidades e reduzir fraudes juntos—para que você possa permanecer seguro e em conformidade.

Talk to us now icon button

Impacto do DORA na indústria de serviços financeiros

O impacto mais significativo do DORA é seu potencial para melhorar a estabilidade e a resiliência no sistema financeiro. Ao exigir estruturas rigorosas de gerenciamento de riscos de TIC, testes regulares de resiliência operacional digital e reporte rápido de incidentes, o DORA efetivamente eleva o padrão de cibersegurança em toda a Europa.

O DORA introduz camadas adicionais de supervisão e obrigações de reporte. As instituições financeiras terão que implementar:

  • Obrigações de relato estendidas: As empresas devem notificar prontamente as autoridades competentes sobre qualquer incidente grave.
  • Monitoramento contínuo: Auditorias e verificações de conformidade contínuas para atender ou superar a linha de base estabelecida pela DORA.
  • Maior escrutínio dos fornecedores: As responsabilidades para supervisionar provedores de serviços de TIC de terceiros são mais explícitas e exigentes.
  • Alinhamento dos processos internos com os padrões técnicos: As Autoridades de Supervisão Europeia (ESA) emitirãopadrões técnicos para orientar processos específicos relacionados à DORA.

Embora esses esforços possam ser intensivos em termos de recursos, eles ajudam a reduzir o risco de incidentes catastróficos que podem levar a danos à reputação e enormes perdas financeiras.

Implementar o DORA pode ser desafiador, particularmente para instituições menores ou menos digitalmente maduras. Aumentada necessidade de profissionais especializados em cibersegurança, custos indiretos para manutenção da conformidade e a complexidade de integrar novas regulamentações em estruturas de gerenciamento de riscos existentes são algumas das poucas complexidades que as instituições financeiras estão ou enfrentarão. Estratégias para enfrentar esses obstáculos incluem:

  • Integração gradual: Implemente os requisitos da DORA de forma incremental, focando primeiro nas lacunas mais críticas.
  • Aproveitar a expertise externa: Parceria com especialistas em cibersegurança para testes de penetração e avaliações de fornecedores.
  • Ferramentas automatizadas de conformidade: Use soluções de software projetadas para monitoramento e reporte de riscos em tempo real.
  • Treinamento de pessoal: Atualize regularmente as habilidades dos funcionários para que permaneçam informados sobre ameaças em evolução e mudanças regulatórias.

Passos para alcançar conformidade com o DORA

1. Avaliação das Estruturas de TIC atuais

O primeiro passo é conduzir uma auditoria abrangente dos sistemas, processos e políticas de TIC da sua organização. Isso frequentemente envolve:

  • Inventário: Listar todos os componentes de hardware, software, rede e soluções de armazenamento de dados atualmente em uso.
  • Perfilagem de risco: Identificar os ativos mais críticos e analisar suas vulnerabilidades.
  • Análise de lacunas: Comparar os protocolos existentes com os requisitos da DORA para localizar deficiências.

2. Desenvolvimento de uma estratégia pronta para a DORA

Uma vez que as lacunas são identificadas, as instituições podem criar um roteiro descrevendo as mudanças técnicas e procedimentais necessárias para cumprir o DORA. Os passos recomendados incluem:

  • Governança e supervisão: Atribuir responsabilidades específicas para a conformidade com a DORA no nível do conselho ou da alta administração.
  • Atualizações de políticas: Rever as políticas de TIC para alinhar-se às exigências da DORA, incluindo cronogramas de relato de incidentes e controles de segurança.
  • Gestão de fornecedores: Padronizar o processo de avaliação para provedores de serviços de TIC de terceiros.
  • Documentação: Manter registros claros e acessíveis de todas as avaliações de risco, relatos de incidentes e resultados de testes.

3. Investindo em tecnologia e treinamento

Construir conformidade também significa investir nas tecnologias certas e no treinamento de pessoal. Elementos essenciais incluem:

  • Centro de Operações de Segurança (SOC): Considere formar um SOC interno ou fazer parceria com um provedor de serviços de segurança gerenciado para supervisionar a segurança 24 horas por dia, 7 dias por semana.
  • Ferramentas de avaliação de vulnerabilidades: Scanners automatizados podem verificar regularmente as vulnerabilidades conhecidas de software ou rede.
  • Programas de conscientização para funcionários: Reduzir a probabilidade de ataques de phishing proporcionando treinamento regular em cibersegurança a funcionários em todos os níveis.
  • Soluções de recuperação de desastres: Ferramentas de backup e recuperação que facilitam a rápida restauração em caso de ataque ou interrupção.

DORA e o futuro dos serviços financeiros

O DORA está prestes a transformar a forma como as entidades financeiras abordam a inovação digital. Ao exigir altos padrões de segurança e resiliência, a regulamentação garante que novas tecnologias financeiras—sejam plataformas de investimento orientadas por IA, aplicativos de banco móvel ou serviços de negociação de ativos cripto—sejam projetadas com salvaguardas robustas desde o início.

Além disso, regras harmonizadas entre os Estados-Membros da UE poderiam acelerar a inovação, já que as instituições podem expandir serviços entre fronteiras sem navegar por paisagens regulatórias díspares. Este ambiente coeso provavelmente estimulará a colaboração entre instituições estabelecidas e startups de fintech, fomentando um ecossistema digital mais seguro e voltado para o futuro.

No futuro, provavelmente veremos um aumento de ferramentas impulsionadas por IA que automatizam a detecção de ameaças, verificações de conformidade e até mesmo fluxos de trabalho de resposta a incidentes. Podemos ver uma mudança de respostas reativas a ameaças para um gerenciamento de riscos proativo, apoiado por análises preditivas e inteligência de ameaças impulsionadas por IA.

Conformidade automatizada: Com ênfase crescente em dados e análises em tempo real, as verificações de conformidade se tornarão mais automatizadas, reduzindo os esforços manuais e o erro humano.

Influência global: Embora a DORA seja uma regulamentação da UE e aplicável a partir de 17 de janeiro de 2025, sua influência provavelmente se estenderá além das fronteiras da Europa, estabelecendo um marco global para os padrões de resiliência operacional.

Conclusão

A Lei de Resiliência Operacional Digital (DORA) é um passo monumental na proteção do sistema financeiro europeu contra os riscos crescentes impostos pela digitalização. Ao estabelecer um conjunto unificado de regras, o DORA garante que as organizações de serviços financeiros fortaleçam suas infraestruturas de TIC, reportem e respondam rapidamente a incidentes e colaborem para a defesa coletiva contra ameaças cibernéticas.

O DORA, em sua essência, não apenas aprimora as medidas de conformidade, mas também instila uma cultura de melhoria contínua na gestão de riscos de TIC. Por meio de robusto reporte de incidentes, testes de resiliência operacional digital e supervisão rigorosa de fornecedores, as entidades financeiras estarão melhor preparadas para proteger operações, manter a confiança do consumidor e preservar a estabilidade do mercado.

Já aplicável a partir de 17 de janeiro de 2025, as instituições financeiras não podem se dar ao luxo de adiar a conformidade com a DORA.

Aqui está o que você pode fazer hoje:

  • Realizar uma análise de lacunas: Avaliar as políticas e procedimentos atuais de TIC em comparação com os requisitos da DORA.
  • Priorizar a gestão de fornecedores: Revisitar contratos com provedores de serviços de TIC de terceiros e integrar cláusulas alinhadas à DORA.
  • Investir em treinamento e tecnologia: Fortalecer as habilidades de cibersegurança da sua equipe e implantar ferramentas que otimizem o gerenciamento de riscos e a conformidade.

Ao tomar essas medidas, sua instituição financeira não apenas atenderá às novas obrigações regulatórias, mas também ganhará uma vantagem competitiva na construção de confiança e resiliência. A era do DORA chegou—abraçe-a como um catalisador para inovação segura e crescimento sustentável no rapidamente evolutivo cenário das finanças digitais na Europa.

Fale conosco

Explore a verificação de identidade com a solução impulsionada por IA da Veriff! Vamos autenticar documentos, verificar identidades e reduzir fraudes juntos—para que você possa permanecer seguro e em conformidade.

Talk to us now icon button
FEATURED

Get the Biometric Intelligence Report

Be among the first to get your Biometric Intelligence Report, featuring a detailed overview of biometrics and their business benefits in a dangerous online world.

Get the report icon button

Related resources

Previous
Next
Ver todos os recursos icon button

Webinar Veriff & Liminal: Garantia de Idade em um cenário em rápida evolução

IDV Article

Ver icon button

Você está preparado para a aplicação da REAL ID? Aqui está o porquê isso é importante para líderes de risco e conformidade

IDV Article

Ver icon button

Verificação de direito de alugar: Como as novas regulamentações de AML impactarão o setor de habitação do Reino Unido

IDV Article

Ver icon button

Entendendo a diferença entre Identificação e Verificação em Biometria

IDV Article

Ver icon button

5 melhores práticas para contratar os melhores talentos: Uma abordagem mais inteligente para startups e PMEs

IDV Article

Ver icon button

O que é minha identidade digital: Um guia abrangente para verificação online segura

IDV Article

Ver icon button

Uso futuro de biometria: IA, prevenção de fraudes e expansão da indústria

IDV Article

Ver icon button

Como integrar trabalhadores remotos: Um guia para garantir sua identidade com segurança

IDV Article

Ver icon button

Como identificar uma identificação falsa por estado

IDV Article

Ver icon button
Previous
Next
Ver todos os recursos icon button

Subscribe for insights

Start building with Veriff for free

Your journey toward faster, more accurate identity verification starts here.

Preços icon button Try for free icon button Get a demo icon button