Por Luís Gonçalves (*)

O setor financeiro, com a dependência quase total das soluções digitais e com a crescente adoção e oferta de serviços de tecnologias emergentes como as moedas digitais, não pode ser dissociado dos riscos e ameaças cada vez mais complexos a que as organizações estão expostas, particularmente de cibersegurança, que podem colocar em causa a estrutura e confiança depositada nestas entidades. Não tem havido só um esforço por parte das próprias entidades, mas também dos órgãos reguladores como a União Europeia, de criar mecanismos e controlos para aumentar a resiliência das entidades financeiras a ataques cibernéticos.

Em dezembro de 2022, foi publicada uma nova regulamentação da União Europeia, DORA – Digital Operational Resilience Act  – que tem precisamente como objetivo harmonizar e promover a resiliência cibernética no ecossistema dos serviços financeiros da União Europeia.

Este novo regulamento entrou em vigor no passado dia 16 de janeiro e as entidades a que se aplica devem estar em conformidade até 15 de janeiro de 2025. Sim, porque não são só as entidades financeiras que devem cumprir o regulamento, como também existem requisitos que são aplicáveis aos seus fornecedores de serviços, o que para entidades com dimensões consideráveis, que dependem de um número considerável de organizações terceiras para exercer a sua atividade, pode ser uma tarefa colossal.

Mas agora falando um pouco sobre os temas que o regulamento aborda, existem 5 pontos principais: Gestão de risco em TIC - que se baseia na criação de uma estrutura que controle e garanta uma eficiente e prudente gestão do risco de TIC, a fim de alcançar um alto nível de resiliência operacional digital; Gestão de incidentes, classificação e reporte de temas relacionados com as TIC – assente na obrigatoriedade de apresentar um relatório, de forma a reportar detalhadamente o incidente e respetivos impactos, com base nos critérios estabelecidos na DORA; Testes de Resiliência Operacional Digital – que define que as entidades têm de, pelo menos uma vez por ano, fazer um programa de testes de resiliência, com o propósito de avaliar a preparação para lidar com incidentes relacionados com as TIC; Gestão de riscos de TI de Terceiras Partes – que visa manter a monitorização dos riscos associados aos fornecedores e entidades terceiras, através de um registo atualizado de informações de todos os serviços de TIC e fornecedores; e, por fim, Acordos de Partilha de Informações – que incentiva a troca de informação sobre ameaças cibernéticas entre as entidades financeiras, incluindo procedimentos, técnicas e estratégias de mitigação, alertas de segurança, ferramentas de configuração, etc. para aumentar a resiliência operacional digital do setor.

Daqui para a frente, é essencial perceber como abordar os requisitos até à data de entrada em vigor. É verdade que as empresas certificadas ISO 27001 e ISO 22301 já estão bastante alinhadas com a DORA, no entanto, as instituições financeiras deveriam começar já a avaliar o seu grau de maturidade em relação à DORA para identificar eventuais áreas que requerem mais investimento e adaptar as suas práticas operacionais e de cibersegurança para atender a todos os seus requisitos.

O número crescente de ataques cibernéticos é uma realidade, e esta nova regulamentação deve ser encarada como uma oportunidade para as entidades financeiras atingirem um nível de segurança significativamente mais elevado, tornando-se mais resilientes. Não nos esqueçamos das elevadas penalidades pelo seu incumprimento e lembremo-nos que a sua adoção visa sobretudo a garantia, por parte das entidades financeiras, de uma resposta assertiva e eficiente perante qualquer tipo de incidente relacionado com a área das TIC.

(*) Senior Cybersecurity Engineer da Devoteam Cyber Trust