Tic Tac… Contagem final para a implementação do regulamento DORA

O Regulamento DORA, aplicável aos Estados-Membros da União Europeia, tem como principal objetivo alcançar um elevado nível de resiliência operacional digital nas entidades financeiras. 

Este Regulamento constitui-se como lex specialis, vulgo ato jurídico sectorial, relativamente à Diretiva 2022/2555, relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança na União (Diretiva SRI 2). Neste sentido, não é surpreendente que estabeleça requisitos uniformes no que respeita à segurança dos sistemas de rede e informação que apoiam os processos operacionais das entidades financeiras.

Em Portugal, o DORA tem constado como parte integrante da agenda destas entidades, com o envolvimento constante, e crescente, quer dos órgãos de administração, quer das equipas operacionais.

A complexidade deste Regulamento tem trazido inúmeros desafios, quer em termos conceptuais, quer em termos práticos, para aqueles que são objeto da sua aplicabilidade.

O DORA aborda cinco grandes temáticas: 1) Gestão do Risco associado às TIC; 2) Gestão de Incidentes relacionados com as TIC; 3) Testes de Resiliência Operacional Digital; 4) Gestão de Risco associado às TIC devido a Terceiros; 5) Acordos de Partilha de Informação.

Para todas estas temáticas, não basta documentar políticas/procedimentos ou implementar soluções organizativas, processuais ou técnicas: é necessária uma articulação entre estes domínios, encontrando-se definidos requisitos específicos de parte a parte.

A este nível de exigência, acresce ainda o facto de serem abordadas matérias nunca antes exploradas pelo legislador, pelas autoridades nacionais competentes ou mesmo pelas autoridades supervisoras europeias. Assim, não é surpreendente que as entidades financeiras tenham sido apanhadas desprevenidas quanto às novas disposições, bem como quanto aos recursos que teriam de dedicar para se encontrarem em conformidade com o DORA.

Este novo paradigma impõe alterações estruturais quanto ao modo como as entidades financeiras garantem a segurança de informação, a continuidade de negócio TIC, a  gestão de risco associado às TIC e a gestão de risco de terceiros prestadores de serviços TIC. Estes elementos, que não raras vezes eram analisados de forma estanque, devem ser integrados, para que haja lugar à criação de um quadro de gestão de risco associado às TIC adequado.

É expectável que as entidades financeiras já tenham compreendido, documentado, implementado e, nalguns casos, monitorizado os requisitos que lhe são aplicáveis a partir de dia 17 de janeiro de 2025. Por sua vez, tal significa também que a partir dessa data poderão ser alvo de supervisão nesta matéria.

A cerca de seis meses da sua aplicabilidade, existem problemáticas que ainda carecem de resposta, nomeadamente quanto à intervenção e orientação por parte das autoridades nacionais competentes nesta matéria. Desde logo, os modelos de notificação e comunicação das entidades financeiras às autoridades nacionais competentes devem sofrer alterações.

É de louvar o esforço que as entidades financeiras têm dedicado a assegurar a implementação dos requisitos do regulamento DORA, atendendo a todos estes desafios. Assim, a segurança e a resiliência encontram-se na ordem do dia, pretendendo-se que todos os clientes destas entidades se encontrem salvaguardados e que o setor financeiro possa, na medida do possível, garantir a sua resiliência operacional digital.

Os pontos de vista e opiniões aqui expressos são os da autora e não representam nem refletem necessariamente os pontos de vista e opiniões da KPMG em Portugal.