Nesta sexta-feira entrou em vigor o DORA, o Lei de Resiliência Operacional Digital. O regulamento visa reforçar a segurança informática e minimizar os riscos tecnológicos, estabelecendo requisitos uniformes para as redes e sistemas de informação que suportam os processos das entidades financeiras. Na opinião de especialistas, a regulamentação representa a criação de Código Civil de tecnologia para o setor, uma vez que abrange todas as entidades regulamentadas na União Europeia: bancos, seguradoras, empresas de investimento, entidades de pagamento e dinheiro eletrónico, fornecedores de criptografia aprovados pelo MiCA e fornecedores de TIC (tecnologias de informação e comunicação).
Numa região com cerca de 22.000 instituições financeiras, qualquer incidente cibernético pode espalhar-se muito rapidamente. Assim, no caso em que um agente perturbador, como um hacker de computador, uma pandemia ou outro evento que afete a atividade de uma empresa, Dora exige que as entidades tenham um plano B continuar a operar sem que o evento influencie suas operações, para garantir a estabilidade financeira e a proteção do consumidor.
O regulamento prevê que as entidadesincluindo provedores de serviços criptográficos, desenvolver estruturas de governança abrangentes Riscos de TIC, através da identificação de ativos críticos, da realização regular de análises de risco para detetar vulnerabilidades, do teste dos seus sistemas contra determinadas ameaças e do estabelecimento de medidas de cibersegurança. Eles devem ser documentados e revisados pelo menos uma vez por ano e sempre que ocorrer um incidente. Eles também devem passar por uma auditoria interna periódica.
Nestes enquadramentos, toda a cadeia de abastecimento deve ser identificada. Cristina Carrascosa, CEO e fundadora da ATH21, explica que a grande novidade que este regulamento traz é que pela primeira vez exige que a entidade obrigada controle absolutamente toda a cadeia de adjudicação e subcontratação. “A implementação revela-se difícil porque uma empresa pode ter um fornecedor de TIC que terceiriza muitas tarefas e deve identificar cada subcontratante.”
Na verdade, tudo Os provedores de serviços de criptografia Dora devem cumprir um registro de informações que inclui todos os contratos em vigor, identificando quais são essenciais e quais fornecedores os oferecem. Devem comunicar a informação uma vez por ano e sempre que se prevê uma mudança de função.
As empresas também necessitarão de realizar regularmente análises de risco e testes de resiliência. As entidades financeiras que não sejam microempresas devem garantir, segundo o texto, que pelo menos uma vez por ano sejam realizados testes em todos os sistemas e aplicações TIC que suportam funções essenciais ou importantes. Estes testes serão realizados por terceiros independentes. Da mesma forma, o texto estabelece que devem realizar uma avaliação de risco sempre que haja uma alteração significativa na infraestrutura de redes e sistemas de informação, em processos ou procedimentos que afetem as suas funções de negócio suportadas pelas TIC.
Por último, devem ter planos de recuperação de incidentes implementados, que garantam uma resposta rápida, limitem os danos e implementem ações de recuperação. As entidades também devem monitorizar, registar e reportar incidentes relacionados com estas tecnologias através de relatórios às autoridades relevantes e aos seus clientes afetados.
Os regulamentos representam um desafio para as entidades, nomeadamente pela sua complexidade e muitos especialistas destacam a falta de clareza em certas questões de interpretação dos regulamentos. Para Fontcuberta, este é um campo muito vago, que merece ser esclarecido: “Uma alojamento Este é claramente um serviço de TIC, mas até que ponto é consultoria? Por outro lado, também estão atrasados na publicação pelas autoridades competentes de todas as normas de desenvolvimento técnico (RTS) que descrevem especificamente o que os regulamentos estabelecem. “Por exemplo, Dora diz que as cláusulas contratuais com prestadores de serviços de TIC devem ser claras, concretas e definir processos, mas não especifica como. Depois publicam um RTS e detalham exatamente as cláusulas que devem ser incluídas”, destaca Carrascosa.
Fontcuberta ressalta que a demora na publicação das normas técnicas não ajuda essas entidades. “O modelo único de cadastro de fornecedores, que indica todos os contratos que uma entidade tem em vigor, quais funções deles decorrem e quais fornecedores são responsáveis por eles, só foi divulgado em dezembro. E as empresas demoraram muito, porque tiveram um mês e meio para conseguir tanta informação”, afirma.
Apesar de sua complexidade, Carrascosa destaca que os provedores de serviços de criptografia são, por natureza, empresas de tecnologia familiarizadas com estruturas de gerenciamento de riscos ou relatórios de incidentes, portanto, a adaptação ao Dora não é complicada. No entanto, ele acredita que isso não era necessário para entidades criptográficas. “O MiCA já inclui a obrigação de ter um sistema resiliente. E a autorização do MiCA não é concedida se uma entidade não conseguir ter um plano de liquidação ordenado em caso de incidente de segurança”, observa.
Neste sentido, o advogado destaca que existe um grande desconhecimento por parte dos criptofornecedores desta regulamentação, obrigatória para obtenção de autorização MiCA. “Descobrimos que muitos fornecedores não sabem disso e solicitam autorizações à CNMV sem saber que se não respeitarem Dora não as obterão. E toda a documentação leva tempo. Se um cliente esperar a autorização em julho, por exemplo, com certeza vai atrasar porque terá que cumprir a documentação da Dora”, afirma.
Ao contrário do MiCA, o Dora entra em vigor nesta sexta-feira e não prevê período de transição. Autoridades competentes (como a CNMV ou o Banco de Espanha) Eles têm até abril para notificar as autoridades União Europeia todos os acordos contratuais com prestadores de serviços de tecnologia comunicados por instituições financeiras. A partir deste momento, as autoridades de supervisão anunciarão quais destes terceiros fornecedores de TIC são críticos, ou seja, aqueles que estão altamente concentrados nas entidades e, portanto, requerem requisitos reforçados.
Provavelmente serão grandes empresas como Microsoft, Google, SAP, e serão reguladas e supervisionadas diretamente pela Esma (Autoridade Europeia de Valores Mobiliários e Mercados), EBA (Autoridade Bancária Europeia) e Eiopa (Autoridade Bancária Europeia de Supervisão de Seguros e Pensões). ). Pensões). Fontcuberta identifica aqui outra fraqueza na regulamentação. “Se até meados de 2025 as autoridades não determinarem quais fornecedores são críticos e quais não são, uma empresa pode tê-los considerado não críticos e não estar adaptando os contratos na medida que deveria”, conclui.