BRANDS' ECOSEGUROS Desafios do DORA no setor segurador

O DORA (Digital Operational Resilience Act) – Regulamento (UE) n.º 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022 – surgiu da necessidade de harmonização e uniformização do quadro europeu em matéria de segurança das redes e sistemas de informação, tendo em conta o acelerado crescimento e importância das tecnologias de informação e comunicação (TIC) no setor financeiro. Tem por objetivo assegurar a resiliência operacional digital das entidades que atuam neste setor, prevenindo e mitigando ciberameaças e vulnerabilidades nos respetivos sistemas de informação.

O DORA foi publicado no âmbito de um pacote normativo da União Europeia e faz parte de um ecossistema que integra diversos outros diplomas europeus em matéria de resiliência digital, cibersegurança, dados e serviços digitais.

No que respeita em particular à atividade seguradora, recaem no âmbito geral de aplicação do DORA – ressalvadas algumas exceções – as empresas de seguros e resseguros, os mediadores de seguros e resseguros e os mediadores de seguros a título acessório. O DORA é ainda aplicável às empresas que prestam serviços TIC a entidades do setor segurador, as quais, no caso de prestarem serviços TIC de apoio a funções críticas ou importantes, estão sujeitas a deveres legais reforçados.

Em vigor desde o passado dia 17 de janeiro de 2025, o DORA continua a revelar inúmeros desafios para o setor segurador. Pese embora o setor já beneficiasse de um enquadramento exigente em matéria de governação, gestão de riscos e controlo interno, o DORA veio reforçar o quadro legal aplicável, considerando o papel fulcral – e cada vez mais relevante – das TIC no funcionamento quotidiano do setor.

Destacam-se, nomeadamente, as dificuldades na implementação do novo quadro legal junto dos prestadores de serviços TIC e na negociação de cláusulas contratuais adaptadas ao novo enquadramento.

Seja por desconhecimento de que o DORA se aplica diretamente aos prestadores de serviço TIC, seja por limitação de recursos, tem-se verificado alguma resistência por parte dos prestadores de serviços TIC relativamente ao aditamento, nos respetivos acordos contratuais em vigor, de determinadas regras decorrentes do DORA. Algumas das matérias mais desafiantes em termos de negociação de clausulados incluem, designadamente, direitos de resolução e prazos de pré-aviso relacionados com a resolução dos acordos contratuais por parte das empresas de seguros que correspondam às expetativas das autoridades competentes, garantias de acesso e disponibilidade da informação, planos de contingência operacional e monitorização dos níveis de serviço estipulados nos acordos celebrados com as empresas de seguros.

Associada a esta questão, destaca-se a dificuldade que o sector segurador tem enfrentado na identificação de quais os serviços TIC efetivamente abrangidos pelo DORA. A identificação dos serviços relevantes em cada caso obriga a um esforço de conjugação da definição de “serviços TIC” resultante do DORA (a qual é extremamente ampla e abrangente), com as clarificações que têm vindo a ser prestadas pelas autoridades europeias de supervisão através de um conjunto de perguntas e respostas publicadas nos respetivos websites e disponibilizadas de forma agregada na página “Q&A on regulation” da EIOPA.

Salienta-se, a este respeito, a questão Q&A030 sobre a definição de serviços TIC e a sua relação com os serviços financeiros, em que é clarificada a interpretação do conceito de “serviços TIC” no âmbito do DORA nos casos em que o prestador dos serviços é também, ele próprio, uma entidade financeira (2999 – DORA030 – EIOPA).

Outro desafio a assinalar prende-se com a necessidade de atualização e revisão dos procedimentos, políticas e normativos internos das empresas de seguros em face das novas regras decorrentes do DORA, tarefa que tem exigido um esforço de cooperação entre os diferentes departamentos e áreas relevantes das empresas de seguro, tendo em vista a articulação de todas as matérias pertinentes.

Apesar de, a nível nacional, as Normas Regulamentares da ASF n.º 4/2022-R e 6/2022-R terem estabelecido, previamente à entrada em vigor do DORA, vários requisitos e princípios que já endereçam algumas preocupações do DORA, é essencial que cada empresa de seguros avalie os gaps existentes entre o estado atual da empresa em termos de procedimentos e políticas e as imposições regulatórias decorrentes do DORA, de molde a assegurar que se encontra em conformidade com o novo enquadramento legal.

O envolvimento das várias equipas é, por isso, uma necessidade. Contudo, numa área de atividade cuja regulamentação é tão intensa e complexa, a alocação das equipas a vários projetos em simultâneo pode revelar-se desafiante, sobretudo num mercado tão competitivo como é o caso do setor segurador.

Não obstante os vários desafios assinalados – que o setor tem vindo a superar com sucesso –, o DORA constitui uma mudança significativa na forma como os operadores abordam a resiliência digital.

Apesar dos custos iniciais associados à implementação e ao aumento de exigências regulatórias, o novo enquadramento representa, sem dúvida, uma melhoria em termos de segurança digital e obrigará os operadores a adotarem uma abordagem proativa na identificação e mitigação de ciberameaças e vulnerabilidades dos seus sistemas, o que resultará, em última análise, numa maior proteção dos consumidores, do sistema financeiro e da economia no seu conjunto.

Leonor Futscher de Deus, Head of Insurance da Broseta Abogados