DORA: Guia Prático para Empresas de Mediação e Corretagem de Seguros em Portugal

O setor financeiro e de seguros encontra-se no centro da revolução digital. Com esta transformação, aumentam também os desafios no que toca à segurança das tecnologias de informação e comunicação (TIC). Em resposta a estas necessidades, a União Europeia lançou o Digital Operational Resilience Act (DORA), uma regulamentação que redefine os padrões de cibersegurança e resiliência digital.

Como Co-CEO da C1 Broker, corretora internacional de seguros, membro da APROSE e da Aunna, reconheço a importância de aplicar estas normas para proteger as operações e a confiança dos nossos clientes. No presente artigo, partilho uma visão prática de como empresas de mediação e corretagem de seguros podem implementar o DORA, garantindo resiliência e conformidade regulatória.

O Que é o DORA?

O DORA estabelece um quadro normativo robusto para gerir os riscos tecnológicos no setor financeiro e de seguros. Através de seis pilares fundamentais — Governança, Gestão de Riscos nas TIC, Reporte de Incidentes, Testes de Resiliência Operacional Digital, Gestão de Riscos de Terceiros e Partilha de Informações —, o regulamento promove a criação de sistemas resilientes que previnem e mitigam ciberameaças.

Num contexto onde 21% dos ciberataques globais visam o setor financeiro e de seguros, como revela o último relatório do CERT.PT, a implementação do DORA é mais do que uma obrigação; é uma necessidade estratégica.

A Ameaça do Cibercrime no Setor Financeiro

Os cibercriminosos tornaram-se cada vez mais organizados e sofisticados. Ataques como phishing, ransomware e violação de dados são comuns, explorando falhas tecnológicas e humanas. De acordo com dados recentes, 71% dos ataques cibernéticos a empresas resultaram do uso de credenciais roubadas de colaboradores.

No setor de seguros, o impacto de um ciberataque pode ser devastador: perda de dados sensíveis, interrupções operacionais e danos à reputação. Como mediadores e corretores, a nossa responsabilidade vai além da conformidade; devemos proteger os interesses dos nossos clientes.

Como Aplicar o DORA na Prática

1. Governança: Liderança Responsável

• Estabeleça um Comité de Riscos Tecnológicos para monitorizar continuamente as ciberameaças e reportar ao órgão de administração;
• Forme administradores e colaboradores sobre gestão de riscos TIC e resiliência digital, com simulações regulares de ciberataques;
• Adote o modelo Zero Trust, garantindo que todos os acessos a sistemas são autenticados e monitorizados.

2. Gestão de Riscos nas TIC: Mapear e Monitorizar

• Crie um quadro de gestão de riscos documentado e abrangente, integrado no sistema global de gestão;
• Implemente sistemas de monitorização contínua, com alertas automáticos para atividades suspeitas;
• Teste e atualize os planos de continuidade de negócios anualmente, envolvendo todas as funções críticas.

3. Reporte de Incidentes: Comunicação Eficaz

• Desenvolva um processo simplificado para registo de incidentes, com relatórios iniciais, intermédios e finais enviados à ASF;
• Adote os modelos padronizados de notificação fornecidos pelas Autoridades Europeias de Supervisão;
• Estabeleça um plano de comunicação interna para garantir que os incidentes graves chegam rapidamente ao conhecimento da administração.

4. Testes de Resiliência: Preparação Contínua

• Realize testes de penetração motivados por ameaças em sistemas críticos, simulando ataques reais;
• Organize exercícios de simulação de crise para avaliar a resposta a ciberataques ou falhas de sistemas;
• Avalie regularmente a resiliência dos seus fornecedores de TIC, incluindo auditorias e testes conjuntos.

5. Gestão de Riscos de Terceiros: Supervisão Ativa

• Mantenha um registo detalhado de contratos com fornecedores, incluindo subcontratações;
• Realize avaliações de risco de concentração antes de assinar novos contratos;
• Exija que os fornecedores críticos cumpram as recomendações das autoridades de supervisão.

6. Partilha de Informações: Cooperação e Transparência

• Formalize acordos de partilha de informações com outros mediadores e corretoras, promovendo uma rede de colaboração;
• Estabeleça um canal dedicado para receber e atuar sobre alertas da ASF e outras autoridades;
• Participe em fóruns de cibersegurança, como os promovidos pelo Centro Nacional de Cibersegurança (CNCS).

Conclusão

A implementação do DORA não deve ser encarada apenas como uma obrigação regulatória, mas como uma oportunidade para reforçar a confiança dos clientes e a resiliência das empresas. Acreditamos que práticas proativas de cibersegurança são essenciais para proteger o setor de seguros em Portugal.

Investir em tecnologia, formação e estratégias robustas são passos fundamentais para garantir que estamos preparados para os desafios digitais do futuro.