Orientação Sophos sobre a Lei de Resiliência Operacional Digital (DORA)

A Lei de Resiliência Operacional Digital (Regulamento (UE) 2022/2554) (“DORA” ou a “Lei”) é um regulamento da União Europeia destinado a garantir a resiliência digital das entidades financeiras¹ na UE contra as Tecnologias de Informação e Comunicação (TIC) – incidentes relacionados e interrupções operacionais. A Comissão Europeia concluiu o DORA em 16 de janeiro de 2023. Os seus requisitos entram em vigor e aplicam-se em 17 de janeiro de 2025.

Escopo da DORA

A DORA aplica-se a todas as “entidades financeiras” da UE, incluindo bancos, empresas de investimento, instituições de crédito, companhias de seguros, plataformas de crowdfunding, bem como terceiros críticos que oferecem serviços relacionados com as TIC a instituições financeiras, tais como fornecedores de software, fornecedores de serviços em nuvem e centros de dados, provedores de análise de dados e muito mais. O artigo 2.º da (UE) 2022/2554 identifica as seguintes entidades financeiras abrangidas pela Lei.²

Lista das entidades financeiras abrangidas pelo regulamento:

• Instituições de crédito
• Instituições de pagamento
• Provedores de serviços de informações de contas
• Instituições de dinheiro eletrônico
• Empresas de investimento
• Provedores de serviços de criptoativos e emissores de tokens referenciados a ativos
• Depositários centrais de títulos
• Contrapartes centrais
• Locais de negociação
• Repositórios comerciais
• Sociedades gestoras
• Gestores de fundos de investimento alternativos
• Provedores de serviços de relatórios de dados
• Empresas de seguros e de resseguros
• Mediadores de seguros, mediadores de resseguros e mediadores de seguros a título acessório
• Instituições de realização de pensões profissionais
• Agências de classificação de crédito
• Administradores de benchmarks críticos
• Provedores de serviços de financiamento coletivo

Por que DORA?

A DORA “reconhece que os incidentes de TIC e a falta de resiliência operacional têm a possibilidade de comprometer a solidez de todo o sistema financeiro, mesmo que haja capital “adequado” para as categorias de risco tradicionais”.³ O quadro regulamentar DORA estabelece requisitos que abordam a segurança das redes e sistemas de informação das entidades financeiras para melhorar a segurança cibernética em todo o setor financeiro da UE. Isto ajuda as entidades financeiras a reduzir o impacto potencial das ameaças digitais na continuidade dos seus negócios, na responsabilidade legal e nas perdas financeiras e de reputação.

Requisitos da DORA

A fim de alcançar um elevado nível comum de resiliência operacional digital, o presente regulamento estabelece requisitos uniformes relativos à segurança das redes e dos sistemas de informação que apoiam os processos empresariais das entidades financeiras⁴ do seguinte modo:

1. Gestão do risco de TIC: As entidades financeiras devem ter um quadro de gestão de risco de TIC sólido, abrangente e bem documentado como parte do seu sistema global de gestão de risco, que lhes permita abordar o risco de TIC de forma rápida, eficiente e abrangente e garantir um elevado nível de gestão operacional digital. resiliência.⁵
2. Processo de gestão de incidentes relacionados com as TIC: As entidades financeiras devem registar todos os incidentes relacionados com as TIC e ameaças cibernéticas significativas. As entidades financeiras devem estabelecer procedimentos e processos adequados para garantir um monitoramento, tratamento e acompanhamento consistente e integrado de incidentes relacionados com as TIC, para garantir que as causas profundas sejam identificadas, documentadas e abordadas, a fim de prevenir a ocorrência de tais incidentes.⁶
3. Testes de resiliência operacional digital: Para garantir que as entidades financeiras estejam preparadas para enfrentar incidentes relacionados com as TIC, a DORA define padrões comuns com foco nos testes de resiliência por parte destas entidades, “tais como avaliações e verificações de vulnerabilidades, análises de código aberto, avaliações de segurança de rede, análise de lacunas, análises de segurança física, questionários e soluções de software de digitalização, revisões de código-fonte sempre que possível, testes baseados em cenários, testes de compatibilidade, testes de desempenho, testes ponta a ponta e testes de penetração.”⁷
4. Gestão do risco de terceiros nas TIC (TPRM): Reconhecendo a importância crescente dos prestadores de serviços de TIC terceiros, a DORA exige que as entidades financeiras “administrem o risco de terceiros nas TIC como um componente integral do risco de TIC no âmbito do seu quadro de gestão de risco de TIC”⁸ através de acordos contratuais como acessibilidade, disponibilidade, integridade, segurança e proteção de dados pessoais; direitos de rescisão claros; e mais.
5. Partilha de informação e inteligência: Com o objetivo de aumentar a capacidade coletiva das instituições financeiras para identificar e combater os riscos das TIC, a DORA incentiva-as a “trocar entre si informações e inteligência sobre ameaças cibernéticas, incluindo indicadores de compromisso, táticas, técnicas e procedimentos, alertas de segurança e ferramentas de configuração, na medida em que tal compartilhamento de informações e inteligência:
   • visam reforçar a resiliência operacional digital das entidades financeiras, nomeando através da sensibilização para as ciber-ameaças, limitando ou impedindo a capacidade de propagação das ciber ameaças, apoiando as capacidades de defesa, as técnicas de deteção de ameaças, as estratégias de atenuação ou as fases de resposta e recuperação;
   • ocorre em comunidades confiáveis ​​de entidades financeiras;
   • é implementado através de acordos de partilha de informações que protegem a natureza potencialmente sensível das informações partilhadas e que são regidos por regras de conduta no pleno respeito pela confidencialidade comercial, proteção de dados pessoais em conformidade com o Regulamento (UE) 2016/679 e orientações sobre Regras da competição.”⁹
6. Quadro de supervisão de fornecedores terceiros de TIC essenciais: O Comité Misto, em conformidade com o artigo 57.º, n.º 1, dos Regulamentos (UE) n.º 1093/2010, (UE) n.º 1094/2010 e (UE) n.º 1095/2010, deve estabelecer o Fórum de Supervisão como um subcomité para efeitos de apoiar o trabalho do Comité Misto e do Supervisor Principal referido no artigo 31.º, n.º 1, alínea b), no domínio do risco de terceiros, no domínio das TIC em todos os setores financeiros. O Fórum de Supervisão prepara os projetos de posições comuns e os projetos de atos comuns do Comité Misto nesse domínio.

O Fórum de Supervisão debaterá regularmente desenvolvimentos relevantes em matéria de riscos e vulnerabilidades no domínio das TIC e promoverá uma abordagem consistente no monitoramento do risco de terceiros, no domínio das TIC a nível da União.¹⁰

DORA e NIS 2

DORA e NIS 2 são duas peças essenciais da legislação da UE em matéria de cibersegurança. A Diretiva SRI 2 (Diretiva (UE) 2022/2555) é um ato legislativo que visa alcançar um elevado nível comum de cibersegurança em toda a União Europeia.¹¹

A relação entre a DORA e o NIS 2 é que o NIS 2 visa melhorar a cibersegurança e proteger as infraestruturas críticas na UE, enquanto a DORA aborda a crescente dependência do setor financeiro da UE nas tecnologias digitais e visa garantir que o sistema financeiro permanece funcional mesmo em caso de um ataque cibernético.

O que é significativo notar é que o NIS 2 é uma diretiva europeia. Até 17 de outubro de 2024, os Estados-Membros devem adotar e publicar as medidas necessárias para dar cumprimento à Diretiva SRI 2¹¹ . DORA é um regulamento europeu¹² que será aplicável tal como está em todos os países da UE a partir de 17 de janeiro de 2025.

O artigo 1.º, n.º 2, da DORA estabelece que, em relação às entidades financeiras abrangidas pela Diretiva SRI 2 e pelas respetivas regras nacionais de transposição, a DORA será considerada um ato jurídico setorial da União para efeitos do artigo 4.º da Diretiva SRI 2 .¹²  DORA é “lex specialis” para NIS 2^13,14 para o setor financeiro, um princípio que afirma que uma lei específica tem precedência sobre uma lei geral. Assim, para as entidades financeiras abrangidas pela DORA, este texto prevalece sobre o NIS 2. No entanto, isto não significa que as obrigações do NIS 2 deixem de ser aplicáveis ​​às entidades afetadas por ambos os textos.

Penalidades pelo não cumprimento da DORA

As possíveis penalidades associadas ao DORA podem ser significativas e, diferentemente do GDPR e / ou NIS 2, incentivam a empresa a cumprir, impondo multas diariamente. As organizações consideradas não cumpridoras pelo órgão de fiscalização competente podem ficar sujeitas a uma sanção pecuniária periódica de 1% do volume de negócios médio diário global do ano anterior, por um período máximo de seis meses, até que o cumprimento seja alcançado. O órgão de supervisão também pode emitir ordens de cessação, avisos de rescisão, medidas pecuniárias adicionais e avisos públicos¹⁶ .

Cronogramas DORA

A DORA foi proposta pela primeira vez pela Comissão Europeia em setembro de 2020. Entrou em vigor em 16 de janeiro de 2023. As entidades financeiras e terceiros prestadores de serviços de TIC têm até 17 de janeiro de 2025 para se prepararem para a DORA e implementá-la. O Lote 1 das Normas Técnicas Regulatórias, ou RTS, e as Normas Técnicas de Implementação (ITS) foram publicados em 17 de janeiro de 2024. O Lote 2 dessas normas está em consulta.

¹ A ênfase colocada em “entidades financeiras” em vez de “instituições financeiras” demonstra a abordagem da UE para abordar a resiliência operacional digital do setor financeiro de uma forma holística, reconhecendo a natureza interligada e digital dos sistemas financeiros atuais. Esta abordagem garante que o quadro regulamentar se possa adaptar ao panorama em evolução dos serviços financeiros, onde as fronteiras tradicionais entre os diferentes tipos de atividades financeiras se tornaram cada vez mais confusas.

2 Por outro lado, a secção 2, n.º 3, também identifica entidades às quais a DORA não se aplica, incluindo gestores de fundos de investimento alternativos, empresas de seguros e de resseguros, instituições de pensões profissionais que exploram planos de pensões, pessoas coletivas isentas por outros atos legislativos da UE, empresas de seguros e resseguros e intermediários de seguros acessórios e instituições de giro dos correios.

³ https://www.digital-operative-resilience-act.com/#:~:text=DORA%20sets%20uniform%20requirements%20for,platforms%20or%20data%20analytics%20services .

⁴ https://www.digital-operacional-resilience-act.com/Article_1.html

⁵ https://www.digital-operacional-resilience-act.com/Article_6.html

⁶ https://www.digital-operacional-resilience-act.com/Article_17.html

⁷ https://www.digital-operative-resilience-act.com/Article_25.html

⁸ https://www.digital-operacional-resilience-act.com/Article_28.html

⁹ https://www.digital-operacional-resilience-act.com/Article_45.html

¹⁰ https://www.digital-operative-resilience-act.com/Article_32.html

¹¹ https://www.nis-2-directive.com/

¹² https://www.digital-operacional-resilience-act.com/

¹³ https://www.dora-info.eu/dora/recita-16/

¹⁴ https://www.ebf.eu/wp-content/uploads/2021/06/EBF-key-messages-on-NIS2-proposal.pdf

¹⁶ https://www.orrick.com/en/Insights/2023/01/5-Things-You-Need-to-Know-About-DORA

Este documento não constitui aconselhamento jurídico nem reflete as opiniões da Sophos ou de seus funcionários. As empresas devem consultar seus próprios advogados para obter orientação jurídica sobre quaisquer leis e regulamentos.

do original em: https://news.sophos.com/en-us/2024/04/15/sophos-guidance-on-the-digital-operational-resilience-act-dora/