A revolução digital no setor financeiro, caracterizada pela inovação tecnológica e pelas operações online, impulsionou a proposta legislativa do Digital Operational Resilience Act (DORA) pela União Europeia (UE). Nesse cenário dinâmico, onde a interligação digital se torna essencial, a cibersegurança emerge como uma peça vital. O DORA, ao responder a essa necessidade premente, procura fortalecer a resiliência operacional das instituições financeiras perante as ciberameaças em constante evolução.

O DORA é um regulamento da UE que entrou em vigor em 16 de janeiro de 2023, e à semelhança do Regulamento Geral de Proteção de Dados, as instituições têm um período de dois anos para implementar as medidas necessárias de forma a cumprir com o DORA antes do início da sua aplicação em janeiro de 2025.

Este Regulamento visa estabelecer uma estrutura regulatória abrangente das entidades financeiras, como bancos, companhias de seguros, empresas de investimento, e os seus fornecedores de serviços TIC críticos, proporcionando diretrizes claras para as instituições fortalecerem as suas operações digitais e prevenir, responder e recuperar a todos os tipos de perturbações ou ameaças relacionadas com as TIC (Tecnologias de Informação e Comunicação).

O DORA traz a harmonização das regras relativas à resiliência operacional digital para o setor financeiro, e as entidades devem aplicar os seus requisitos, tendo simultaneamente em conta a sua dimensão e perfil de risco, bem como a natureza, o âmbito e a complexidade dos seus serviços, atividades e operações aplicando o princípio da proporcionalidade. O DORA assenta em seis pilares essenciais:

  1. Gestão de Risco associado às TIC
  2. Modelo de Governance da Gestão do Risco associado às TIC
  3. Gestão de Incidentes de TIC
  4. Testes de Resiliência Operacional Digital
  5. Gestão de Risco associado a Terceiros Prestadores de serviços TIC
  6. Partilha de Informação

As três Autoridades Europeias de Supervisão – a EBA (European Banking Authority), a EIOPA (European Insurance and Occupational Pensions Authority) e a ESMA (European Securities and Markets Authority) – desenvolveram um conjunto abrangente de requisitos que complementam o regulamento DORA, incluindo normas técnicas de regulamentação (RTS) e normas técnicas de implementação (ITS). O primeiro conjunto de RTS e ITS foi publicado em janeiro de 2024, após consulta pública. O segundo conjunto de RTS e ITS está atualmente em consulta pública, devendo ser publicado em 17 de julho deste ano.

Os desafios Intrínsecos para as instituições na adoção do DORA passam essencialmente pela:

  • Complexidade tecnológica: as instituições financeiras operam em ecossistemas digitais complexos e diversificados, abrangendo tecnologias, plataformas e fornecedores críticos, o que irá exigir um esforço significativo;
  • Colaboração com entidades terceiras: a necessidade de assegurar a resiliência operacional em toda a cadeia de fornecimento digital impõe desafios na colaboração eficaz com terceiros, como fornecedores de tecnologia e parceiros de serviços;
  • Constante evolução das ameaças: as ciberameaças e as vulnerabilidades tecnológicas estão num estado de constante evolução, estar à frente destes riscos e manter a resiliência requer monitorização, atualizações e ajustes contínuos.

O prazo para esta implementação pelas instituições financeiras é já bastante reduzido, uma vez que a sua formalização será a 17 de Janeiro de 2025, e o caminho a percorrer para uma implementação bem sucedida irá passar por:

  • Escolher o parceiro certo para apoiar e guiar neste processo, com a expertise e conhecimento necessários nas várias vertentes para garantir uma análise rigorosa e cumprimento integral do Regulamento.
  • Realizar um Gap Analysis, de forma a identificar com clareza face ao que é exigido pelo Regulamento o que a instituição terá de implementar, alterar ou adaptar.
  • Criar um plano de ação, em alinhamento com o gap identificado, com prazos e estimativas de esforço realistas, garantindo a atempada disponibilização dos recursos (financeiros e humanos) para o concretizar.
  • Envolver os stakeholders essenciais dentro da instituição, uma vez que a implementação do DORA vai mais além do que só a Cibersegurança, é essencial envolver ativamente os stakeholders das restantes áreas afetadas, como o Risco IT, a Continuidade de Negócio, entre outras, bem como a Gestão de Topo.

A adoção do DORA representa uma transformação significativa nas operações digitais do setor financeiro, exigindo uma abordagem estratégica e holística. Superar os desafios, respeitar os timings críticos e implementar estratégias eficazes são passos cruciais para garantir uma transição bem-sucedida. Ao abraçar o DORA como uma oportunidade para fortalecer a resiliência operacional, as instituições financeiras não apenas cumprem os requisitos regulatórios, mas também estabelecem uma base sólida para o futuro digital do setor financeiro.

Os pontos de vista e opiniões aqui expressos são os meus e não representam nem refletem necessariamente os pontos de vista e opiniões da KPMG em Portugal.