DORA: Seguro europeu assume posição sobre regulamento UE de resiliência digital

A digitalização e a segurança cibernética das redes de informação são objeto de Diretivas europeias, atualmente em processo de aperfeiçoamento através de Regulamentos que serão aprovados pelo Parlamento e Conselho europeus e sobre os quais a federação europeia de seguros (Insurance Europe) já tomou posição.

No âmbito dessa produção legislativa, de que são exemplos a Diretiva Solvência II, o RGPD e a Diretiva NIS – Network and Information Security (2016), desde dezembro de 2020 em processo de revisão (NIS 2) e versão já avaliada pela Insurance Europe (em março deste ano), a federação das associações nacionais de seguradores divulgou a sua posição no âmbito da consulta pública de Bruxelas sobre o projeto Digital Operational Resilience Act (DORA), instrumento que corporiza a proposta do novo regulamento europeu que vai reger a forma como as empresas do setor financeiro – incluindo as seguradoras – gerem o seu risco cibernético.

A digitalização tem trazido benefícios ao setor, reconhece o seguro europeu. Quanto mais informação (dados) for disponibilizada à indústria seguradora, “mais eficiente será a função de subscrição,” afirma a representante europeia do setor. Em linha com os esforços para criar um Mercado Único digital, as autoridades da UE devem, ao abrigo da legislação europeia, garantir que o setor segurador tem acesso aos recursos que agregam dados relacionados com incidentes cibernéticos, sustenta a federação europeia de associações de seguros (Insurance Europe).

Em parte semelhante ao que a diretiva PSD2 representa para as empresas que operam serviços e meios de pagamento, a DORA apresenta-se como uma lexis specialis decorrente da NIS 2. Quando estiverem ambas em vigor, o ato de resiliência operacional digital introduzirá “requisitos abrangentes e de largo alcance” para as companhias de seguros na gestão de riscos operacionais a diferentes níveis: na vertente TIC (tecnologia de informação e comunicações), na comunicação de incidentes, nos testes de stress e nos acordos com terceiros (fornecedores e parceiros), pondera a federação.

No Position paper que a Insurance Europe divulgou (em fevereiro), sobre a proposta da Comissão Europeia relativamente a DORA, a entidade representante da indústria europeia de seguros reclama “proporcionalidade” no âmbito de aplicação do regulamento, prazo mais alargado para a sua implementação, de um para três anos, e alguma flexibilização e generalização no rol de documentação exigida (por exemplo nos planos e protocolos de recuperação de incidentes), os quais são, segundo a Insurance Europe, demasiadamente “detalhados e extensos.” Na perspetiva do seguro europeu, é preferível estabelecer princípios, ao invés de procedimentos concretos e exaustivos.

De acordo com a federação europeia dos seguros, os decisores políticos devem construir um quadro de segurança cibernética para o futuro do setor financeiro que se baseie no risco, e que estabeleça requisitos que possam ser adaptados ao perfil de risco de cada empresa individualmente. Caso contrário, a produção regulamentar será “suscetível de asfixiar o crescimento e a inovação e tornar-se uma barreira à adoção das tecnologias de informação e comunicação na comunidade seguradora,” refere a entidade que defende a especificidade do risco operacional no setor de seguros.

Além disso, como as medidas de cibersegurança são “complexas e dispendiosas” de implementar, “é importante que não haja multiplicação de requisitos nesta área, para que as seguradoras tenham absoluta segurança jurídica sobre as regras que lhes são aplicáveis,” desenvolve a Insurance Europe, sustentando também que o regulamento deve considerar a dimensão dos operadores e, por isso, isentar as PME da sua aplicação.

Ao reforçar a sua própria cibersegurança e ao gerir o seu próprio risco interno, “as seguradoras podem dar o exemplo e proporcionar a necessária tranquilidade aos seus clientes,” sustenta ainda a federação no positon paper relativo ao DORA, considerado também um regulamento de natureza intersetorial e de alguma importância sistémica.

A resiliência digital nos seguros é um dos temas em foco no mais recente relatório anual da Insurance Europe (2020-21 Annual Report), agora divulgado.