Contagem decrescente para o Digital Operational Resilience Act (DORA): já está preparado para a conformidade?

Incumbidas de implementar um novo conjunto de políticas e protocolos para reduzir o risco de cibersegurança e melhorar a resiliência operacional, as organizações de pequena e média dimensão estão particularmente preocupadas.

Mas não há razão para entrar em pânico. Com uma estratégia sólida, um quadro de governança robusto e ferramentas e parceiros de confiança, ainda há tempo para cruzar a linha de chegada com sucesso.

O DORA foi concebido para garantir operações resilientes em todo o sistema financeiro da UE através da implementação de normas e procedimentos robustos para combater o crescente risco de ameaças cibernéticas e disrupções. Dada a natureza complexa, interligada e de longo alcance do setor de serviços financeiros, mais de 22.000 entidades estão sujeitas à nova regulamentação. Isto inclui qualquer organização financeira ou prestador de serviços que opere ou faça negócios na UE, independentemente da localização da sua sede. Tal como o GDPR, o DORA tem potenciais implicações globais.

As organizações que não estiverem em conformidade dentro do prazo de janeiro de 2025 estarão sujeitas a várias sanções, incluindo penalidades pesadas, proibição de certas partes da sua operação, ou proibição de recorrer a determinados fornecedores até que a conformidade seja assegurada. Além disso, existem custos de reputação, confiança do mercado e negócios futuros, colocando em risco a própria sobrevivência.

A boa notícia é que muitas organizações já cumprem provavelmente alguns dos requisitos do DORA. O DORA complementa outras frameworks de governança e operação como o ISO 27001 e o SS2/21, e atingir a conformidade pode exigir apenas alguns ajustes nas políticas, procedimentos e estratégias de gestão de riscos, bem como a implementação de procedimentos específicos de teste de resiliência, além do que já estão a fazer.

Mas para outras (principalmente pequenas) organizações, pode haver alguns obstáculos, tais como:

• Fortalecimento das práticas de Gestão de Risco de Terceiros: O DORA exige uma abordagem mais abrangente que garanta que todos os fornecedores críticos cumpram os mesmos requisitos de resiliência operacional que a organização principal. Dada a vasta dependência de fornecedores terceirizados em todo o setor, isto pode ser um grande desafio;
• Teste de resistência operacional: Os exercícios de equipas vermelha e roxa (red team/purple team) são obrigatórios na legislação, e há indicações de que o DORA pode estar alinhado com o teste TIBER padrão, mas isso ainda está por determinar. Independentemente disso, todas as organizações vão precisar de realizar regularmente esses exercícios baseados em cenários, o que pode ser assustador em termos de âmbito, recursos e custos para as que nunca realizaram estes testes. Da mesma forma, os testes de cenário para insolvência também são obrigatórios sob o DORA;
• Reporting de incidentes: O DORA exige que as organizações reportem quaisquer incidentes importantes que envolvam Tecnologias de Informação e Comunicação (TIC) à autoridade competente relevante na sua jurisdição. A ideia é que a partilha de conhecimento em larga escala possa ajudar a melhorar a segurança e a resiliência em todo o setor. Este é um território novo para muitas organizações, e vão precisar de modelos, planos internos, políticas e procedimentos para fazer esse reporting.

A coisa mais importante para obter a conformidade com o DORA é começar. Aqui está um guia de referência rápida para ajudar a planear uma estratégia eficaz e eficiente:

Passo 1 – É um dos alvos? Determine se a sua organização – ou qualquer um dos seus prestadores de serviços terceirizados de TIC – está sujeita ao DORA.

Passo 2 – Faça uma avaliação de prontidão – Compreenda onde pode ser necessário mais trabalho na preparação para o DORA. Os seus padrões e procedimentos atuais cumprem os requisitos obrigatórios do DORA?

Passo 3 – Atribua recursos – Calcule as competências, o tempo e o investimento necessários para ficar em conformidade.

Passo 4 – Implemente e preveja o futuro – Crie um quadro eficaz para a governança e gestão de riscos do DORA. Desenvolva controlos robustos de segurança da informação e planos de teste abrangentes.

Passo 5 – Relatório sem falhas – Coloque em prática políticas e procedimentos para gerar evidências adequadas que demonstrem a conformidade a qualquer momento.

Embora a conformidade com o DORA seja obrigatória, não a encare como um fardo – na verdade, é uma oportunidade. A framework, sistemas e reporting que o DORA exige certamente irão tornar o seu negócio mais seguro e resiliente.

Para a indústria em geral, o DORA vai criar processos padronizados e uma plataforma centralizada de reporting da UE para melhorar o fluxo de informações sobre incidentes significativos. Isto significa que, se a sua organização (ou um dos seus parceiros de negócio ou concorrentes) detetar atividades suspeitas, o setor pode oferecer insights sobre como responder. As empresas que contribuem para esta base de conhecimento partilhado vão reforçar a consciencialização e a harmonização ao nível da UE sobre ameaças (reais e suspeitadas) e ações de mitigação.