O crescimento dos ataques informáticos está a colocar toda a indústria financeira em alerta e a União Europeia tem tomado medidas para reforçar a segurança informática de entidades financeiras, entre as quais se contam bancos, companhias de seguros e empresas de investimento. Ontem a Presidência do Conselho e o Parlamento Europeu  alcançaram um acordo provisório para avançar com o Digital Operational Resilience Act (DORA), a Lei de Resiliência Operacional Digital, que foi proposta pela Comissão Europeia em setembro de 2020.

O objetivo é que mesmo perante uma grave interrupção de operações o sector financeiro europeu consiga manter operações resilientes, definindo uma estrutura regulatória sobre resiliência operacional digital que as organizações têm de garantir. Os requisitos são homogêneos em todos os estados membros da UE e pretende prevenir e mitigar ameaças cibernéticas, incluindo testes de penetração.

Segundo a informação revelada do acordo provisório, "as novas regras constituirão uma estrutura muito robusta que aumenta a segurança de TI do setor financeiro". O comunicado do Conselho diz que "os esforços solicitados às entidades financeiras serão proporcionais aos riscos potenciais" e que

A DORA estabelece requisitos uniformes para a segurança da rede e dos sistemas de informação de empresas e organizações que operam no setor financeiro, bem como de outras empresas relacionadas que fornecem serviços críticos relacionados com as Tecnologias de Comunicação da Informação, entre as quais plataformas na cloud ou serviços de análise de dados. As empresas não europeias vão ser obrigadas a criar uma filial na União Europeia para garantir a supervisão.

As novas regras vão abranger quase todas as entidades financeiros, deixando de fora os auditores que podem ser incluídos numa futura revisão da Lei.

O Conselho Europeu explica que as entidades financeiras terão total clareza sobre as diferentes regras sobre resiliência operacional digital que devem cumprir e que está garantida a interação com a diretiva Network and Information Security (NIS), que está a ser aplicada. "A DORA baseia-se na diretiva NIS e aborda possíveis sobreposições por meio de uma isenção lex specialis", adianta o comunicado

O acordo vai agora ser sujeito a uma aprovação formal do Conselho e do Parlamento Europeu antes da sua adoção. Depois os Estados membros vão ter de fazer a transposição da lei, ficando as autoridades europeias de supervisão encarregues de desenvolver as normas técnicas.

Quando a Comissão Europeia avançou com a proposta do Digital Operational Resilience Act (DORA) este estava integrado numa visão mais alargada sobre a digitalização do sector financeiro e incluía uma proposta sobre mercados de criptoativos (MiCA) e tecnologia de contabilidade distribuída. "Este pacote preenche uma lacuna na legislação da UE existente, garantindo que o atual quadro jurídico não coloca obstáculos à utilização de novos instrumentos financeiros digitais e, ao mesmo tempo, garante que essas novas tecnologias e produtos sejam abrangidos pela regulamentação financeira e acordos de gestão de risco operacional de empresas ativas na UE", explica o executivo europeu.