Digital Operational Resilience Act (DORA)

O DORA visa fornecer um quadro de resiliência operacional digital e de cibersegurança harmonizado, que emerge da necessidade de se estabelecer regras mínimas no que diz respeito à segurança das redes e sistemas de informação atualmente em vigor no seio da União Europeia, com vista a mitigar os riscos que emergem da inerente digitalização dos serviços financeiros.

Qual é o objetivo do DORA?

O Regulamento DORA surge na perspetiva de uma harmonização e uniformização das regras mínimas relativas à segurança das redes e sistemas de informação atualmente em vigor ao nível da União Europeia, dada a crescente importância das tecnologias de informação e comunicação (TIC) nos negócios e na prestação de serviços financeiros por entidades financeiras. 

Dada a crescente importância das tecnologias de informação e comunicação (TIC) num setor que tem vindo a ser paulatinamente mais digitalizado, revelou-se necessário criar ferramentas normativas que enquadrassem adequadamente os vários riscos enfrentados pelo setor financeiro. Neste sentido, o DORA surge na perspetiva de uniformização dos requisitos nesta matéria.

Este novo quadro legislativo europeu, procura contribuir para o fortalecimento da resiliência operacional digital das entidades que operam no setor financeiro ao exigir o desenvolvimento e manutenção de TIC robustos, com vista a prevenir e mitigar ciberameaças no setor financeiro que procurem explorar vulnerabilidades nos sistemas informáticos.

O DORA é composto por um conjunto de atos legislativos, nomeadamente o Regulamento (UE) n.º 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, a Diretiva (UE) n.º 2022/2555 do Parlamento Europeu e do Conselho de 14 de dezembro de 2022 (NIS 2), Diretiva (UE) n.º 2022/2556 do Parlamento Europeu e do Conselho de 14 de dezembro de 2022 e a Diretiva (UE) n.º 2022/2557 do Parlamento Europeu e do Conselho de 14 de dezembro de 2022 (CER).

Ecossistema DORA

O DORA relaciona-se com diversos outros diplomas, iniciativas, orientações, recomendações, normas e princípios em matéria de finanças digitais, cibersegurança, dados e serviços digitais. Todo este pacote normativo, tem vindo a ganhar especial destaque após o anúncio do Banco Central Europeu sobre o exercício em que vai testar a resiliência dos Bancos a ataques informáticos.

Orientações e decisões emitidas por autoridades de supervisão
  • EBA Guidelines on ICT and Security Risk Management
  • EBA Guidelines on outsourcing
  • EBA Recommendations on outsourcing to cloud service providers
  • ECB Cyber Information and Intelligence Sharing Initiative (CIISI-EU)
  • ECB SREP IT & Cyber Risk Questionnaire
  • EIOPA Guidelines on ICT Security and Governance
  • ESMA Guidelines on outsourcing to Cloud service providers
Orientações e recomendações emitidas por entidades internacionais
  • BCBS Principles for Operational Resilience

  • ISO 27001

Domínios de Resiliência Operacional

O DORA deve ser um ponto de partida para melhorar a jornada de resiliência, independentemente do ponto onde as instituições se encontrarem em termos de maturidade de resiliência digital e operacional. É necessário fomentar a capacidade de desenvolver visibilidade e compreensão abrangentes de todos os principais domínios, nomeadamente sobre:

  • Cibersegurança;
  • Segurança física;
  • Gestão de incidentes;
  • Gestão da continuidade;
  • Gestão da mudança;
  • Gestão de risco;
  • Framework de resiliência operacional;
  • Governance de resiliência operacional;
  • Gestão de capacidade; e
  • Gestão de terceiros e outsourcing.

A que entidades é aplicável?

O DORA vem introduzir requisitos específicos para os participantes do mercado financeiro e é aplicável a mais de 22.000 entidades financeiras e provedores de serviços de TIC que operam na União Europeia.

Clique abaixo e conheça as entidades às quais o DORA é aplicável.

Os principais pilares do DORA

Governação

 No sentido de assegurar o cumprimento das disposições decorrentes do DORA, as entidades abrangidas devem implementar um quadro de governação e controlo interno eficaz com vista a detetar rapidamente, mitigar e responder aos riscos emergentes no domínio das TIC, entre os quais constam os riscos operacionais, gestão de dados e de cibersegurança. O órgão de administração de cada entidade abrangida deverá assumir a responsabilidade última pela gestão do risco dos riscos no domínio das TIC. Neste domínio, o DORA estabelece um vasto leque de deveres a que o órgão de administração está sujeito, entre os quais constam o dever de revisão e atualização dos seus conhecimentos e competências de modo a compreender e avaliar os riscos emergentes no domínio das TIC e o respetivo impacto no funcionamento da entidade.

Gestão de risco no domínio das TIC

As entidades abrangidas devem dispor de um quadro de gestão dos riscos de TIC sólido, robusto, abrangente e bem documentado, que faz parte do seu sistema global de gestão do risco e que é revisto e auditado periodicamente. Neste aspeto, as entidades abrangidas devem de garantir:

  • A configuração e estabelecimento de sistemas e ferramentas de TIC resilientes que minimizem o impacto do risco das mesmas;

  • A identificação, classificação e documentação de funções e ativos críticos;

  • A monitorização contínua de todas as fontes de riscos das TIC, por forma a estabelecer medidas de proteção e prevenção;

  • O estabelecimento de procedimentos de deteção imediata de atividades maliciosas;

  • A implementação de políticas de continuidade de negócio dedicadas e abrangentes e planos de recuperação em caso de catástrofe, incluindo testes anuais aos planos, abrangendo todas as funções de suporte; e

  • O estabelecimento de mecanismos para aprender e evoluir com os eventos externos e com os incidentes das TIC da própria entidade.

Reporte de incidentes relacionados com as TIC

As entidades abrangidas encontram-se adstritas à implementação de um processo de gestão de incidentes relacionados com as TIC e ao desenvolvimento das suas capacidades para monitorizar, lidar e acompanhar tais incidentes. Os incidentes devem ser classificados de acordo com os fatores descritos no Regulamento. Neste âmbito, as entidades devem:

  • Desenvolver um processo simplificado para identificar, registar, classificar e categorizar todos os incidentes de TIC e determinar os principais incidentes de acordo com os critérios expressamente previstos no DORA e especificados pelas Autoridades Europeias de Supervisão (ESAs - EBA, EIOPA e ESMA);

  • Apresentar um relatório inicial, intermédio e final sobre incidentes relacionados com as TIC;

  • Harmonizar os processos de notificação de incidentes relacionados com as TIC através de modelos padronizados desenvolvidos pelas ESAs; e

  • Definir planos de comunicação adequados de modo a abranger todas as partes interessadas, destinado a assegurar, nomeadamente, que os incidentes com maior gravidade relacionados com TIC sejam oportunamente encaminhados aos órgãos superiores responsáveis.

Testes de resiliência operacional digital

O Regulamento obriga todas as entidades abrangidas pelo mesmo a:

  • Realizar um programa de testes de resiliência operacional digital proporcional e baseado em risco;

  • Identificar, mitigar e eliminar quaisquer vulnerabilidades, deficiências ou lacunas através da implementação de medidas de resposta;

  • Testar, numa base anual, os sistemas e aplicações críticos no domínio de TIC;

  • Realizar, pelo menos, uma vez a cada três anos, testes avançados para serviços de TIC que afetem funções críticas, em particular os testes de penetração motivados por ameaças. Quando entidades terceiras prestadoras de serviços no domínio das TIC estiverem incluídas na esfera dos testes de penetração motivados por ameaças, estas são obrigadas a participar e cooperar plenamente nas atividades de teste.

Gestão de riscos de terceiros no domínio das TIC

As entidades abrangidas devem:

  • Garantir uma sólida monitorização dos riscos decorrentes da dependência de entidades terceiras prestadoras de serviços no domínio das TIC;

  • Manter um registo de informações sobre todos os acordos contratuais com entidades terceiras prestadoras de serviços no domínio das TIC, incluindo serviços intragrupo e quaisquer alterações nos serviços prestados por terceiros relativamente a serviços considerados como críticos;

  • Realização de avaliações de risco de concentração no domínio das TIC previamente à celebração de novos acordos contratuais e ter em consideração os riscos decorrentes de atividades de subcontratação;

  • Harmonizar os principais elementos do serviço e respetiva relação com entidades terceiras prestadoras de serviços no domínio das TIC de modo a permitir uma completa monitorização; e

  • As entidades terceiras prestadoras de serviços no domínio das TIC consideradas críticas estão sujeitas às Autoridades Europeias de Supervisão, que podem emitir recomendações relativas à mitigação dos riscos de TIC identificados. As entidades abrangidas devem de considerar os riscos de TIC das entidades terceiras prestadoras de serviços no domínio das TIC que não cumpram com a recomendação emitida.

Partilha de informações

  • O Regulamento permite que as entidades abrangidas estabeleçam acordos entre si para troca de informações e conhecimento relacionados com ciberameaças;
  • A autoridade supervisora ​​fornecerá às entidades abrangidas informações confidenciais consideradas relevantes e conhecimento aprendido sobre ciberameaças. Neste sentido, as entidades abrangidas deverão implementar mecanismos de revisão e atuação sobre as informações partilhadas pelas autoridades de supervisão.

Agenda regulatória

Como se pode preparar para o DORA?

Compreensão

Porquê
O DORA é um regulamento complexo e pode sobrepor-se a outros regulamentos já em vigor. Um entendimento claro dos requisitos é um primeiro passo crucial.

Como a PwC pode ajudar

  • Formações e workshops para compreensão do DORA.
  • Definir o âmbito do programa para garantir a conformidade com o DORA e efetuar uma análise de impacto inicial.

Assessment

Porquê
Compreender os gaps principais entre o estado da organização e o estado necessário para a conformidade com o regulamento é importante para delinear o programa do DORA de forma efetiva. 

Como a PwC pode ajudar

  • Gap Assessment do estado atual face às necessidades regulatórias impostas pelo DORA.

 

 

Roadmap

Porquê
Definir um roadmap para atingir a postura de resiliência digital objetivo da organização, enquanto são endereçados os requisitos do DORA, é essencial para promover a conformidade com o regulamento. 

Como a PwC pode ajudar

  • Desenvolvimento de roadmaps para remediação de gaps.
  • Priorização de gaps baseado na experiência com regulações similares.
  • Desenvolvimento do programa para garantir a conformidade com o DORA.

 

Remediação e implementação

Porquê
Dentro do período de dois anos de preparação existem vários requisitos que precisam de ser considerados, implementados e comprovados.

Como a PwC pode ajudar

  • Desde a conceptualização estratégica e operacional até à concretização técnica.
  • Testes de intrusão periódicos.

Como a PwC pode ajudar?

A PwC ajuda a sua organização ao longo de toda esta jornada, com vista à segurança das redes e sistemas de informação, tendo por base este novo Regulamento DORA.

Conheça as soluções que a PwC tem disponíveis.

Quick wins
Realização de gap analysis
Desenho de Target Operating Model (TOM)
Análise de vulnerabilidades
Otimização do processo de gestão de incidentes
Mapeamento de serviços de negócios, processos, dependências e terceiros
Análise/revisão de contratos de entidades terceiras prestadoras de serviços no domínio das TIC e medidas de recuperação
A longo prazo
Controlo e monitorização entidades terceiras prestadoras de serviços no domínio das TIC
Verificação da evolução de cenários baseados em modelos de risco
Realização de testes de resiliência operacional digital
Implementação de soluções e ferramentas numa perspetiva end-to-end
Realização de testes avançados às ferramentas, sistemas e processos com base nos testes de intrusão motivados por ameaças (TLPT)
Revisão, reestruturação e segregação das redes da organização
Plus
Implementação da framework TIBER-EU
Implementação de processos de comunicação automatizados
Colaboração no mercado e partilha de informação
Definição de um dashboard para monitorização integrada de TIC e riscos de segurança
Realização de formação neste âmbito


 

Siga-nos

Contacte-nos

Luís Filipe  Barbosa

Luís Filipe Barbosa

Financial Services Market Leader, PwC Portugal

Tel: +351 213 599 305

Miguel Fernandes

Miguel Fernandes

Consulting Partner, PwC Portugal

Tel: +351 213 599 314

António Loureiro

António Loureiro

Risk Assurance Partner, PwC Portugal

Cristina Cabral Ribeiro

Cristina Cabral Ribeiro

Legal Lead Partner, PwC Portugal

Fechar