BRANDS' ECO Resiliência Digital – Novas regras no setor financeiro

A 16 janeiro de 2023 entrou em vigor o Regulamento Digital Operational Resilience Act (DORA), com aplicação direta a partir de 17 de janeiro de 2025, e que impõe a necessidade de as entidades Financeiras terem uma estrutura comum para a gestão do risco TIC, de forma a aumentar a resiliência do setor financeiro.

Este quadro regulamentar pretende assegurar que as entidades financeiras conseguem resistir, responder e recuperar de perturbações relacionadas com as TIC.

A aplicação do regulamento deverá ter em conta a dimensão e o perfil de risco das entidades financeiras, nomeadamente: natureza, escala, complexidade, atividades e operações com impacto em Portugal ou noutros estados membros da UE.

Os principais requisitos a cumprir pelas entidades financeiras são:

1. Governo e Organização: Rever o modelo de governo e controlo para monitorizar os riscos TIC aplicando o modelo de Três Linhas de Defesa;
2. Gestão do Risco TIC: Rever o modelo de Gestão de Risco TIC de forma a incluir também a Resiliência Operacional Digital com monitorização até ao nível da Gestão. Deverá ser também revisto o Plano de Continuidade de Negócio com cenários que testem a resiliência TIC;
3. Gestão de Incidentes TIC: Rever o processo de Gestão de Incidentes TIC (Classificação, Monitorização, Comunicação) de forma a haver uma partilha de informação regular e notificação atempada em caso de incidente grave às autoridades competentes;
4. Teste de Resiliência Operacional Digital: Realizar testes regulares à operacionalidade TIC, assim como testes de segurança, incluindo attack & penetration tests avançados com base nos requisitos TIBER-EU, incluindo aos prestadores TIC críticos.
5. Gestão de Risco de Terceiros TIC: Identificar e monitorizar o risco de concentração TIC (ex. Cloud, Software, Analytics, Datacenters). Rever os contratos de forma a incluir os requisitos do DORA e manter um registo atualizado de todos os acordos contratuais de terceiros TIC, em particular os críticos.
6. Partilha de Informação: Promover a partilha de informação de forma a reduzir o impacto do incidente através de adesão aos Centros de Análise e Partilha de Informação (ISACs), específico do mercado financeiro.

De destacar que a abordagem à Resiliência Operacional Digital é feita com base no risco, em que são consolidados os seguintes conceitos:

• Entidades Financeiras – É promovida a harmonização dos requisitos de resiliência operacional digital para as entidades financeiras sob supervisão dos reguladores locais (em PT: BdP, ASF, CMVM e CNCS) e sob coordenação dos reguladores europeus (EBA, ECB, EIOPA, ESMA e ENISA);
• Risco Sistémico – Devido à:

1. 1. Dependência de um conjunto limitado de terceiros prestadores de serviços TIC críticos;
   2. Possibilidade de ocorrência de ciberincidentes que se possam propagar às entidades financeiras da UE (cerca de vinte e duas mil), resultado do elevado nível de interligação existente entre as entidades financeiras e as interdependências TIC;
   3. Risco Operacional – Embora a segurança e a resiliência digital no domínio das TIC façam parte do risco operacional, neste regulamento é feita a sua consolidação, atualizados os riscos TIC e aumentada a sua importância;
   4. Risco TIC – É promovido também um maior envolvimento e acompanhamento da gestão na monitorização do Risco TIC;

Adicionalmente, o Regulamento DORA também interseta com a Diretiva Security of Networks and Information Systems (NIS 2) que acabou de ser publicada, com a sua aplicabilidade prevista para 18 de outubro de 2024, e que visa definir as práticas de gestão de risco TIC e obrigações de comunicação a nível da UE, que abrangem também o setor bancário e as infraestruturas do mercado financeiro. No entanto, o DORA é lex specialis do NIS 2.

Próximos passos: Apesar de a obrigação de conformidade com o Regulamento DORA iniciar daqui a dois anos (17 de janeiro de 2025), prevê-se uma disrupção do modus operandi atual, dado que para além de absorver alguns dos requisitos já constantes nas atuais orientações dos reguladores europeus, também se introduz novos requisitos, pelo que será recomendável preparar as alterações atempadamente:

• As Entidades Financeiras deverão proceder a uma avaliação de conformidade e iniciar as implementações necessárias;
• Os Prestadores de Serviços TIC deverão avaliar se se enquadram como prestador de serviço critico e assegurar que são implementados os controlos necessários;
• Para os seis requisitos acima referidos, estão previstos adicionalmente requisitos técnicos mais detalhados ao longo dos próximos 18 meses (DORA Level 2) que deverão ser implementados assim que disponíveis.

Sérgio Sá, Partner EY, Cibersecurity, Consulting Services