27 de novembro de 2024
TECNOLOGIA

DORA: desafio e cibersegurança

Por José Milagre |
| Tempo de leitura: 3 min

A Lei Digital Operational Resilience Act (DORA) é um regulamento significativo da União Europeia (UE) que entrou em vigor no mês de Janeiro do ano 2023, com aplicação total a partir de 17 de janeiro de 2025. A Lei tem como finalidade reforçar a segurança informática das entidades financeiras na UE, incluindo bancos e empresas de investimento, como forma de garantir que o sistema financeiro na Europa possa resistir e se recuperar de graves interrupções operacionais. A DORA busca adequar as regras relacionada com a resiliência operacional em várias entidades financeiras e provedores de serviços terceirizados em Tecnologia da Informação e Comunicação (TIC), onde busca estabelecer requisitos uniformes relativos a segurança das redes e dos sistemas de informação que apoiam os processos de negócios das entidades financeiras, como a gestão de riscos de TICs, relatório de grandes incidentes relacionados com a TIC e ameaças cibernéticas significativas, testes de resiliência operacional digital, regras para compartilhamento de informações sobre ameaças e vulnerabilidades cibernéticas.

DORA e o Sistema Brasileiro

A DORA e o sistema nacional possuem diferentes abordagens para regular a resiliência operacional no setor financeiro. Por enquanto, a DORA se concentra na harmonização dos padrões de gerenciamento de riscos de TIC em todos os seus estados membros dos EUA, estabelecendo um quadro extenso para a gestão dos riscos de TIC no setor financeiro, abrangendo uma ampla gama de entidades, desde bancos tradicionais até prestadores de serviços de criptoativos não tradicionais, que também estabelecem requisitos específicos para a gestão de riscos de TIC, relatórios de incidentes, testes de resiliência operacional e monitoramento de riscos de terceiros. A aplicação da DORA é supervisionada pelas autoridades competentes dos Estados-Membros da UE, com mecanismos de cooperação estabelecidos para fins de supervisão e execução. Caso não ocorra o seu cumprimento, penas e sanções podem ser impostas pelos seus reguladores.

Já o Brasil possui seu próprio conjunto de regulamentos que regem a resiliência operacional e a segurança cibernética nas instituições financeiras. A resiliência operacional e a segurança cibernética no setor financeiro são regulamentadas por diversas leis e diretrizes emitidas por órgãos reguladores, como o Banco Central do Brasil (Bacen) e o Conselho Monetário Nacional (CMN). Esses regulamentos concentram-se em garantir a estabilidade e a segurança das instituições financeiras, mas podem não fornecer requisitos tão detalhados para a gestão de riscos da TIC, como a DORA.

Em relação aos mecanismos de aplicação e regulamentação, no Brasil variam, dependendo da regulamentação específica que está sendo violada. O Bacen tem a autoridade para impor multas, restrições às operações, como também revogar licenças para instituições financeiras que violem os requisitos regulatórios.

Riscos

Mesmo com toda orientação de segurança e proteção sistêmica, os criminosos estão de olho, aguardando apenas uma brecha para burlar as novas exigências e sistemas de segurança. Ficar sempre alerta é a única maneira de não ser vítima de bandidos. As normas auxiliam as empresas a melhorar seus sistemas, mas além disso, é preciso investir em conscientização de equipes, já que 23% dos vazamentos ocorrem em decorrência de falha humana, conforme relatório emitido pela International Business Machines Corporation (IBM).