Em 11 de maio de 2022, a União Europeia (UE) chegou a um acordo provisório sobre a nova Lei de Resiliência Operacional Digital (DORA). Apesar da frase, não há nada de “provisório” em DORA. Na verdade, uma das regulamentações de segurança cibernética mais abrangentes do mundo para serviços financeiros e suas cadeias de abastecimento é, em grande parte, um negócio fechado.
Tudo o que resta antes da adoção formal, prevista para outubro deste ano, envolve principalmente algumas alterações técnicas e tradução para as 24 línguas oficiais dos estados membros da UE.
A DORA representa a resposta da UE ao número cada vez maior de ataques cibernéticos contra instituições financeiras. Foi concebido para reforçar a segurança das empresas financeiras da UE, como bancos, companhias de seguros, empresas de investimento e muito mais, impondo requisitos de resiliência e regulando a cadeia de abastecimento. Mas, como observei em um post anterior, os princípios da DORA vão muito além da UE e do seu setor financeiro.
Os requisitos uniformes da DORA para a segurança das redes e dos sistemas de informação abrangem não apenas empresas do setor financeiro, mas também fornecedores terceiros essenciais que fornecem serviços relacionados com tecnologias de informação e comunicação ao setor financeiro, tais como plataformas em nuvem e análise de dados.
Na verdade, o alcance da DORA estende-se basicamente a qualquer empresa que ofereça serviços de tecnologias de informação e comunicação (TIC) que sejam consideradas críticas para a cadeia de abastecimento que apoia o sector financeiro europeu - independentemente de essa empresa ou serviço estar ou não sediado na UE. Na verdade, no âmbito da DORA, a complexidade da cadeia de abastecimento ou a falta de presença da UE são consideradas factores de risco.
Obrigando novas perspectivas regulatórias
A DORA é única na medida em que traz um novo e diferente nível de escrutínio regulamentar a uma ampla variedade de empresas globais. Requisitos da DORA Mandato — e não apenas sugerir — o cumprimento das suas disposições. Igualmente importante, o impacto deste novo nível de escrutínio regulamentar difere dependendo do ponto de vista da empresa.
As instituições financeiras habituadas a um ambiente regulamentar concebido principalmente para avaliar o risco e a estabilidade financeira terão agora de levar igualmente a sério o risco potencial colocado pelas suas operações de TIC. As instituições financeiras estão habituadas a lidar com o risco sob a forma de requisitos de capital. A DORA adota uma abordagem diferente ao impor requisitos específicos de comportamento e desempenho. Do ponto de vista das instituições financeiras, essa elevação do risco tem consequências em vários aspectos dos seus negócios, tais como a forma como consomem tecnologia e como transformam os seus negócios através da transição para novas tecnologias como a computação em nuvem. Isto inclui estratégias e capacidades globais de gestão de riscos, segurança da cadeia de abastecimento e pessoal e políticas organizacionais para garantir a avaliação e conformidade adequadas dos riscos de TIC.
A DORA também muda a perspectiva regulatória das organizações de TIC. Até agora, eles foram regulamentados principalmente em questões relacionadas a dados, como privacidade de dados e notificação de violação de dados, com base em preocupações sobre dados pessoais e objetivos políticos como a soberania digital. Regras inovadoras, como o Regulamento Geral de Proteção de Dados (GDPR) na Europa e a mais recente Lei de Privacidade do Consumidor da Califórnia (CCPA) nos Estados Unidos, vêm à mente.
As organizações de TIC também podem ter outras obrigações regulamentares em matéria de segurança, ou ter sido classificadas como infra-estruturas críticas, dependendo de onde estão localizadas, como no âmbito do Diretiva de Segurança de Redes e Informações (NIS) na Europa, o Lei de Segurança Cibernética de 2018 em Singapura, ou legislação específica do setor para indústrias especializadas, como as telecomunicações nos Estados Unidos.
Agora, se as empresas de TIC prestam serviços a instituições financeiras na UE, muito provavelmente também estarão sujeitas à DORA. Assim, para além dos seus quadros regulamentares anteriores, os fornecedores de TIC designados como oferecendo um serviço crítico serão subitamente regulamentados pela DORA de uma forma que parece que estão a tornar-se extensões das instituições financeiras da UE que atendem. Independentemente de como se encara a questão, trata-se de uma mudança dramática – tanto para as instituições financeiras como para os fornecedores de TIC.
Mas isso não é tudo. A DORA muda a perspectiva do estabelecimento regulador da UE. Os reguladores que são especialistas em conformidade das instituições financeiras devem agora alargar o seu âmbito para incluir fornecedores de TIC que oferecem serviços críticos, tais como fornecedores de nuvem, serviços de análise de dados e outras empresas não financeiras. Em países com estruturas regulamentares complexas, haverá também a necessidade de cooperar com outros organismos encarregados de regular estes tipos adicionais de indústrias não financeiras.
Enfrentando os desafios
A DORA exige que as instituições financeiras da UE avaliem a sua própria maturidade em matéria de cibersegurança e gestão de riscos. Compreender e gerir o desempenho dos riscos da sua cadeia de abastecimento será fundamental para este esforço.
Em geral, as instituições financeiras são adeptas de testes de esforço para determinar a segurança e a estabilidade financeira. É um desafio diferente estender esses tipos de testes a outras organizações. Assim, para o setor financeiro da UE, a forma de gerir fornecedores, gestão de riscos e capacidades operacionais numa cadeia de abastecimento cada vez mais complexa e alargada representa o maior enigma.
Por exemplo, uma instituição financeira pode estar sediada na Europa, mas ter todas as suas atividades de apoio subcontratadas a empresas sediadas na Índia. Estes serviços de apoio podem não ser tecnicamente instituições financeiras. Mas a DORA exigirá que a instituição financeira avalie se o fornecedor é fundamental para as suas operações e aplique os requisitos relevantes da DORA a esse relacionamento.
Para as empresas não sediadas na UE, a questão principal é a jurisdição e o acesso ao mercado. As instituições financeiras ou fornecedores de TIC que operam fora da UE não são afetados. Mas se a empresa for uma instituição financeira ou um prestador de serviços de TIC que sirva de alguma forma o setor financeiro da UE, estará muito provavelmente sujeita à DORA — direta ou indiretamente.
Contagem regressiva para 2024
A menos que algo mude no texto final, a DORA entra em vigor 24 meses após a sua adoção oficial. Realisticamente, é provável que isso aconteça perto do final de 2024. A boa notícia é que isto proporciona bastante tempo para as organizações se prepararem para a conformidade. Mais importante ainda, não demora muito para ser incluído num ciclo orçamental empresarial típico.
Mas antes que esse prazo chegue até você, comece a se preparar agora. Aqui estão cinco etapas principais:
- Use o tempo até 2024 com sabedoria.
- Entenda onde você está. Pesquise, encontre e identifique suas lacunas de conformidade.
- Determine o que você precisa para corrigir suas lacunas.
- Eduque e obtenha a adesão da alta administração.
- Orçamento para os 24 meses.
O relógio está correndo.
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
