O que é DORA e o que isso significa para a sua empresa?

O Digital Operational Resilience Act (DORA) é uma iniciativa regulatória significativa da Comissão Europeia (UE) destinada a aprimorar as medidas de cibersegurança no setor de serviços financeiros da UE. Com uma data efetiva definida para janeiro de 2025, o DORA impõe etapas cruciais para fortalecer a resiliência dos principais participantes no sistema financeiro contra as ameaças crescentes de ciberataques e outros riscos.

O DORA abrange um conjunto abrangente de regulamentações projetadas para consolidar e elevar os requisitos de risco em Tecnologia da Informação e Comunicação (TIC) em todo o setor financeiro. Esse quadro garante que todos os participantes cumpram um conjunto comum de padrões de risco de TIC, criando uma defesa unificada e robusta contra potenciais interrupções.

Os objetivos principais do DORA estão centrados em gestão de risco, relatório de incidentes, testes de resiliência, gestão de risco de terceiros e compartilhamento de informações. Esses requisitos obrigam as instituições financeiras, bem como fornecedores críticos de terceiros como Provedores de Serviços em Nuvem (CSPs), a implementar processos e procedimentos específicos.

Principais requisitos

As empresas sob a alçada da DORA são obrigadas a cumprir cinco requisitos principais:

1. Plano de Resposta a Incidentes: As empresas devem desenvolver um plano detalhado de resposta a incidentes, delineando a definição de um ciberataque, respostas apropriadas dos funcionários e procedimentos para restaurar as operações após uma violação da segurança.
2. Programa de Cibersegurança: Um programa abrangente de cibersegurança, incluindo avaliações de riscos de possíveis ameaças cibernéticas e planos de mitigação correspondentes, é exigido.
3. Controles de Segurança: As empresas devem manter controles de segurança robustos sobre sua infraestrutura digital, abrangendo criptografia, autenticação, controles de acesso, trilhas de auditoria, sistemas de monitoramento, sistemas de gerenciamento de eventos e planos de resposta a incidentes.
4. Relatório de Incidentes: A comunicação oportuna de incidentes é necessária, permitindo que os reguladores avaliem vulnerabilidades e forneçam recomendações para aprimorar as posturas de segurança.
5. Continuidade do Serviço: Estabelecer um plano para garantir a continuidade do serviço durante interrupções é essencial para conformidade.

O quadro de supervisão delineado pela DORA atribui responsabilidade às autoridades reguladoras financeiras da UE para auditar e avaliar os controles das empresas, garantindo a conformidade com os padrões especificados pela DORA e a capacidade de manter um ambiente seguro e resiliente para lidar com dados financeiros.

É importante destacar que o impacto da DORA não se limita à UE, uma vez que órgãos reguladores, incluindo a Comissão de Valores Mobiliários dos EUA (SEC), introduziram propostas paralelas. Em resposta a esses desenvolvimentos, empresas como a SS&C Advent estão alinhando ativamente com os requisitos da DORA, enfatizando a importância da segurança, conformidade e resiliência no cenário digital em constante evolução de hoje.

Quais organizações estão abrangidas pela DORA?

A DORA torna necessário que as empresas financeiras supervisionem e gerenciem o risco representado pelos fornecedores com os quais trabalham. Isso se aplica tanto a indivíduos quanto a organizações que prestam serviços a essas empresas financeiras—elas precisam seguir as regras da DORA.

No entanto, é importante saber que a DORA não se aplica a todos os setores financeiros. Alguns são isentos, como instituições que administram planos de aposentadoria para menos de 15 pessoas, pequenas empresas como intermediários de seguros e outras entidades específicas. Você pode encontrar a lista completa em Artigo 2.3.

Cronograma para cumprir os requisitos da DORA

A DORA foi oficialmente aprovada em 16 de janeiro de 2023, e as instituições financeiras têm dois anos para colocar tudo em prática. Isso significa que precisam seguir as regras da DORA até 17 de janeiro de 2025. Mesmo que pareça haver bastante tempo, é uma boa ideia para as empresas financeiras começarem a adotar as novas regras agora. Elas não precisam esperar até o último minuto – podem começar a fazer mudanças para cumprir os requisitos.

Como podemos ajudar?

Na Z3X, entendemos os desafios que as empresas enfrentam ao se adaptarem às regulamentações da Digital Operational Resilience Act (DORA). Com nossa expertise em navegar em frameworks regulatórios, estamos aqui para apoiar sua empresa em garantir conformidade com os requisitos da DORA.

Nossas soluções personalizadas são projetadas para auxiliar entidades financeiras na implementação das medidas necessárias delineadas pela DORA. Desde o desenvolvimento de frameworks abrangentes de gerenciamento de riscos até o estabelecimento de planos robustos de resposta a incidentes, nossa equipe na Z3X está bem equipada para orientar seu negócio durante todo o processo.

Oferecemos uma abordagem proativa, ajudando sua organização a se adiantar e iniciar o processo de implementação com antecedência. Ao aproveitar nosso conhecimento e experiência, você pode agilizar a adoção das regulamentações da DORA, garantindo uma transição suave e minimizando interrupções em suas operações.

Associe-se à Z3X não apenas para cumprir obrigações regulatórias, mas também para aprimorar a resiliência e segurança geral de seu negócio no cenário digital em evolução. Nosso compromisso é fornecer soluções práticas alinhadas com as necessidades específicas de sua organização, tornando a jornada em direção à conformidade com a DORA eficiente e eficaz. Deixe a Z3X ser sua parceira confiável na navegação das complexidades da conformidade regulatória e na proteção do futuro de seu negócio.

Você pode encontrar a regulamentação completa da DORA aqui.

—

Se preferir ler este artigo em inglês, pode encontrá-lo aqui: What is DORA and what does it mean for you company?