Impactos do DORA na atividade seguradora

As empresas seguradoras constituem uma parte incontornável do sistema financeiro que está cada vez mais a evoluir digitalmente, aproximando o consumidor dos produtos e serviços e, consequentemente, aumentando o nível de exposição a ataques de cibersegurança. Uma vez que as empresas deste setor tratam dados sensíveis, é necessário que existam garantias quanto à sua resiliência operacional e digital. Tal implica a capacidade que uma organização seja capaz de proteger e sustentar as suas atividades empresariais essenciais quando enfrenta uma perturbação operacional e/ou digital.

O foco regulatório na Europa e em Portugal no setor segurador tem-se direcionado precisamente para esta dita resiliência operacional digital.

Cada vez existem mais orientações em vigor, sendo prova disso as orientações publicadas pela Autoridade Europeia para Seguros e Pensões Ocupacionais (EIOPA) sobre prestadores de serviços terceiros em cloud e segurança e sobre Governance de sistemas ICT. Estas orientações indicam quais são as capacidades mínimas esperadas quanto à segurança destes sistemas e à prestação de serviços associados, de forma a evitar uma potencial arbitragem regulatória. De igual modo, é promovida uma convergência da supervisão relativamente às expectativas e aos processos aplicáveis em relação à segurança e ao governance de ICT, como chave para uma gestão adequada dos riscos associados.

Já a nível nacional, a Norma Regulamentar da Autoridade de Supervisão de Seguros e Fundos de Pensões n.º 6/2022-R estabelece requisitos e princípios gerais sobre a segurança e governance das tecnologias da informação e comunicação e subcontratação de prestadores de serviços de computação em cloud.

Em conformidade com as diretrizes e normas acima referidas, as empresas seguradoras têm vindo, progressivamente, a redefinir as suas estratégias e compromissos, a reorientar as suas estratégias digitais, a privilegiar e redirecionar fluxos de capital para projetos e investimentos a nível de práticas e estruturas de cibersegurança, de modo, a dar resposta face a ciberataques contra estas entidades.

É importante as Organizações reconhecerem que ocorrerão perturbações e que devem não só analisar a forma como as previnem, mas também como se preparam para responder às mesmas, enfatizando a importância da supervisão, da qualidade, dos testes, da responsabilização e da comunicação.

No contexto da promoção impositiva de uma harmonização quanto à resiliência operacional digital no setor financeiro, incluindo-se o setor segurador, é publicado o Digital Operational Resilience Act (DORA). O DORA apresenta regras detalhadas e abrangentes destinadas a promover a resiliência operacional digital a nível da UE. O objetivo passa por harmonizar as regulamentações locais no sector financeiro em todos os Estados-Membros da UE, garantindo que as entidades financeiras e os fornecedores têm as capacidades adequadas para efetivarem, de um modo atempado, a resposta e/ou recuperação necessárias face a um incidente relacionado com as ICT.

Assim, este instrumento regulatório traduz a necessidade de que se verifique uma melhoria na gestão de riscos em ICT, um reforço quanto à capacitação das autoridades de supervisão financeira para monitorizar e auditar as entidades financeiras e os seus fornecedores de ICT e, por último uma introdução de um mecanismo uniforme de comunicação de incidentes, incluindo a partilha de conhecimentos.

À luz dos dois atos delegados previstos no Regulamento sobre Resiliência Operacional Digital para o Setor Financeiro (“DORA”), a Comissão Europeia solicitou o aconselhamento técnico das European Supervisory Authority (ESA) para especificar ainda mais os critérios para prestadores de serviços terceiros de ICT críticos e determinar as taxas cobradas de tais fornecedores.

Quanto ao pilar do DORA relativo aos testes de resiliência operacional digital, as entidades têm ao seu dispor o TIBER-EU, também já adaptado ao contexto nacional sob a forma de TIBER-PT – quadro que fornece orientações abrangentes sobre a realização de testes de resiliência, com articulação entre as entidades e respetivas equipas de threat intelligence e red team com as autoridades. Estes testes controlados mimetizam as táticas, técnicas e procedimentos dos atacantes da vida real, com base em informações de ameaças personalizadas.

É esperado que a execução do DORA comporte uma orientação de investimentos importantes para o sector segurador. Este maior foco na resiliência operacional pode significar que as seguradoras necessitam de deter mais capital e uma maior liquidez para resolver interrupções de serviços e problemas de continuidade de negócio ou utilizar mais capital para financiar o planeamento da resiliência operacional.

Adicionalmente, as instituições podem ser alvo de um maior número de auditorias e avaliações por parte das autoridades supervisoras, por forma a confirmar o cumprimento dos requisitos do regulamento em análise. O aumento dos requisitos em matéria de cibersegurança e a complexidade dos sistemas, cria um aumento da procura de fornecedores externos e o aumento do leque de requisitos neste âmbito poderá ter como consequência o aumento da complexidade da arquitetura de dados e das ferramentas de reporte.

Em suma, assegurar a conformidade face ao DORA traduz-se num processo complexo e moroso, que acarreta uma estratégia e um plano de conformidade na resiliência operacional digital. O setor segurador, embora objeto de disposições que permitam uma preparação inicial para este regulamento, irá necessitar de reforçar e repensar a sua abordagem quanto a esta matéria.