- O DORA tornou-se aplicável em 17 de janeiro de 2025, sem período de transição para as empresas financeiras
- Mais de 20 categorias de entidades financeiras devem cumprir, incluindo bancos, seguradoras e prestadores de serviços de criptoativos
- O DORA exige direitos de auditoria contratuais sobre todos os prestadores de TIC de terceiros críticos. Muitos contratos existentes não incluem estas cláusulas
- O Teste de Penetração Baseado em Ameaças (TLPT) é obrigatório a cada três anos para entidades significativas
- O registo de risco de TIC de terceiros é onde a maioria das empresas ainda tem a maior lacuna de conformidade
A quem o DORA realmente se aplica
O âmbito do DORA é mais amplo do que a maioria das empresas inicialmente supõe. Os bancos e empresas de investimento são os alvos óbvios, mas o regulamento abrange mais de 20 categorias distintas de entidades financeiras. Instituições de pagamento, instituições de moeda eletrónica, empresas de seguros e resseguros, intermediários de seguros, prestadores de serviços de criptoativos, agências de notação de crédito e repositórios de transações estão todos dentro do âmbito. Também os próprios prestadores de serviços de TIC de terceiros, quando designados como críticos pelas Autoridades de Supervisão Europeias.
Se sua organização presta serviços a entidades financeiras, pode ter obrigações ao abrigo do DORA mesmo que não seja uma empresa financeira regulamentada. Os fornecedores de cloud, os fornecedores de software e os prestadores de análise de dados que servem empresas financeiras dentro do âmbito estão sujeitos a supervisão ao abrigo do quadro de risco de TIC de terceiros. As ESA designam Prestadores de Serviços de TIC Críticos (CTPPs) que ficam então sujeitos a supervisão direta por supervisores a nível da UE.
As empresas do Reino Unido que operam na UE, ou que prestam serviços a entidades financeiras da UE, precisam de verificar se suas operações ou acordos na UE as colocam dentro do âmbito do DORA. O próprio quadro de resiliência operacional do Reino Unido (as regras da FCA e PRA que entraram em vigor em março de 2022) abrange matéria semelhante a nível doméstico, mas é um regime separado.
Os cinco pilares: o que cada um exige
O DORA organiza seus requisitos em cinco áreas. Compreender o que cada uma exige na prática é diferente de ler a descrição geral.
Gestão de risco de TIC. As empresas devem manter um quadro de gestão de risco de TIC que abranja a identificação, proteção, deteção, resposta e recuperação, revisto após incidentes graves, após alterações ao ambiente de TIC, e pelo menos anualmente. O quadro deve cobrir todos os ativos de TIC, ser aprovado pelo órgão de gestão e ser testado.
Gestão e reporte de incidentes. As empresas devem classificar os incidentes relacionados com TIC de acordo com os critérios do DORA (cobrindo impacto nos clientes, duração, dispersão geográfica e perda de dados) e reportar incidentes graves às autoridades competentes. A notificação inicial é exigida no prazo de quatro horas após a classificação, com um relatório detalhado no prazo de 72 horas. O relatório final é devido no prazo de um mês. Estes prazos são separados dos requisitos de notificação de violação do GDPR e, por vezes, mais rigorosos.
Testes de resiliência operacional digital. Todas as entidades dentro do âmbito devem realizar testes básicos anualmente, incluindo avaliações de vulnerabilidades e testes de segurança de rede. As entidades significativas têm um requisito adicional: Teste de Penetração Baseado em Ameaças (TLPT) a cada três anos. O TLPT é um exercício estruturado de red team realizado contra sistemas de produção em direto usando informações reais sobre ameaças. É substancialmente mais exigente do que um teste de penetração padrão.
Gestão de risco de TIC de terceiros. Todos os acordos com prestadores de serviços de TIC de terceiros devem ser documentados, com contratos escritos que satisfaçam os requisitos contratuais do DORA. As empresas devem manter um Registo de Informações cobrindo todos os acordos de TIC, não apenas os críticos. Este registo deve ser submetido às autoridades competentes mediante solicitação.
Partilha de informações. As empresas podem partilhar informações sobre ameaças cibernéticas com outras entidades financeiras. Isto é permissivo e não obrigatório, mas os reguladores esperam envolvimento com as comunidades de partilha de informações relevantes para seu setor.
Risco de TIC de terceiros: onde a maioria das empresas fica aquém
O quarto pilar é onde se situam as maiores lacunas de conformidade. A maioria das empresas financeiras tem alguma forma de gestão de risco de fornecedores implementada, geralmente cobrindo controlos de aquisição, cláusulas de responsabilidade contratual e avaliações periódicas por questionário. Os requisitos do DORA vão mais longe nas três dimensões.
O requisito do Registo de Informações apanha a maioria das empresas desprevenidas. O DORA exige um inventário completo de todos os acordos de TIC com terceiros, incluindo subcontratados usados pelos seus fornecedores diretos para lhe prestar serviços. A maioria das organizações consegue dar conta dos seus fornecedores de nível um. O rastreamento de dependências de nível dois e três é mais difícil, e o DORA espera isso para acordos críticos.
Os requisitos contratuais são específicos. O Artigo 30 do DORA define o que os contratos de TIC devem conter: descrição dos serviços, localizações dos dados, obrigações de notificação de incidentes pelo prestador, direitos de participação em auditorias e testes de penetração, e disposições sobre continuidade de negócio. Se seus contratos existentes com fornecedores de cloud e fornecedores de software são anteriores a janeiro de 2025, muitos precisarão de ser renegociados.
O DORA exige que os contratos de TIC lhe confiram o direito de auditar o prestador, ou de nomear um terceiro para o fazer. Muitos contratos de cloud de hiperescaladores oferecem direitos de auditoria agrupados em vez de acesso individual. Os reguladores estão discutindo ativamente como isto se articula com os requisitos do DORA. Se seus contratos de cloud atuais não contiverem direitos de auditoria adequados, seu supervisor irá questionar sobre isso.
O risco de concentração é abordado diretamente. O DORA exige que as empresas identifiquem e abordem o risco de concentração resultante da dependência de um único prestador de TIC ou de um pequeno número de prestadores em funções críticas. Se o processamento de pagamentos, a plataforma bancária central e a recuperação de desastres estiverem todos com o mesmo fornecedor de cloud, isso é um risco de concentração que precisa de ter sido avaliado e documentado.
Testes de resiliência: o que o TLPT realmente envolve
Os testes anuais padrão ao abrigo do DORA abrangem avaliações de vulnerabilidades, análises baseadas em cenários e testes de segurança de rede. Estes são requisitos de base. O TLPT é a obrigação mais exigente que se aplica a entidades significativas, definidas como aquelas com importância sistémica significativa com base no tamanho, interconectividade ou atividade transfronteiriça.
O TLPT difere de um teste de penetração padrão em três aspetos. Primeiro, baseia-se em informações reais sobre ameaças sobre as técnicas e ferramentas específicas usadas contra empresas financeiras na sua geografia e setor. Segundo, testa sistemas de produção em direto, não ambientes de teste. Terceiro, exige coordenação prévia com sua autoridade competente antes do início do teste.
Os testes devem ser realizados por prestadores certificados. Na UE, os requisitos de certificação dos prestadores são definidos pelo TIBER-EU, o quadro europeu para red-teaming ético baseado em informações sobre ameaças. Se sua organização já participou em avaliações TIBER-NL (a implementação neerlandesa) ou TIBER-GB, esses exercícios contam para o requisito TLPT do DORA, sujeito à confirmação da sua autoridade competente.
Três coisas a priorizar agora
Se seu programa DORA ainda está em curso, estas três áreas determinarão como decorrerá sua próxima conversa de supervisão.
A aplicação do DORA compete às autoridades nacionais competentes (DNB e AFM nos Países Baixos, a FCA e PRA no Reino Unido para seus quadros equivalentes). O DNB publicou suas prioridades de supervisão para 2025 e 2026 com a implementação do DORA listada explicitamente. As empresas que consigam demonstrar um programa estruturado com evidências documentadas estão numa posição materialmente mais forte do que as que tratam o regulamento principalmente como um exercício de papelada.
O regulamento DORA está publicado no EUR-Lex (Regulamento 2022/2554). A Autoridade Bancária Europeia publica as normas técnicas regulatórias, as normas técnicas de execução e as orientações cobrindo gestão de risco de TIC, classificação de incidentes e supervisão de terceiros em eba.europa.eu.