Toda entidade financeira operando na União Europeia deve cumprir com o Digital Operational Resilience Act (DORA). O DORA foca em se os sistemas podem resistir, responder e se recuperar de interrupções relacionadas a TIC e se isso pode ser demonstrado com evidências.
Para equipes de engenharia, segurança e risco, isso introduz um requisito prático. A resiliência operacional deve ser observável em sistemas em produção, continuamente testada e rastreável ao longo do tempo.
Este artigo explica as expectativas técnicas da DORA e como a Aikido Security apoia sua implementação.
TL;DR
A DORA exige que as entidades financeiras da UE demonstrem resiliência operacional na prática. Aikido Security apoia a execução técnica da DORA, fornecendo visibilidade contínua de vulnerabilidades, validação de explorabilidade, testes de resiliência e evidências prontas para conformidade em ambientes de código, Cloud e runtime.
O que é a DORA
A DORA está em vigor desde 17 de janeiro de 2025 para bancos, seguradoras, empresas de investimento, provedores de pagamento e outras entidades financeiras regulamentadas na UE.
Foi introduzida para abordar interrupções repetidas de TIC causadas por vulnerabilidades de software, falhas de terceiros e tratamento inconsistente de incidentes entre os estados-membros. A DORA estabelece uma estrutura única e específica para o setor, focada em resultados mensuráveis.
Os reguladores esperam que as organizações demonstrem que podem:
- Detectar incidentes de TIC rapidamente
- Responder e se recuperar efetivamente
- Fornecer evidências de que os controles funcionam em condições operacionais
Os Cinco Pilares da DORA
De uma perspectiva técnica, a DORA está estruturada em torno de cinco pilares:
- Gestão de Riscos de TIC: Saber quais sistemas você executa, onde estão seus riscos e como você os gerencia no dia a dia.
- Relato de Incidentes: Detectar incidentes rapidamente e reportá-los dentro de prazos regulatórios rigorosos.
- Testes de Resiliência Operacional Digital: Testar regularmente a capacidade de seus sistemas de resistir e se recuperar de interrupções.
- Gestão de Riscos de TIC de Terceiros: Compreender e gerenciar os riscos introduzidos por fornecedores, provedores e dependências.
- Compartilhamento de Informações: Compartilhar Threat Intelligence para fortalecer a resiliência em todo o ecossistema financeiro.
Cada pilar tem implicações diretas para como os sistemas são construídos, monitorados e testados.
O que a DORA Significa para as Equipes de Engenharia
Práticas de desenvolvimento seguro
O Artigo 9(4)(e) exige que as organizações documentem as práticas de segurança, rastreiem vulnerabilidades e demonstrem como a resiliência é incorporada na entrega de software. Os controles de segurança devem ser integrados aos fluxos de trabalho de desenvolvimento e aos pipelines de CI/CD.
Responsabilidade por dependências
De acordo com o Artigo 28, dependências de terceiros e de código aberto estão totalmente no escopo. Se uma dependência causar interrupção ou exposição, a responsabilidade permanece com a entidade financeira. As equipes devem saber quais dependências estão em uso, onde elas são executadas e com que rapidez os problemas podem ser resolvidos.
Rastreabilidade e evidências
As equipes de engenharia devem ser capazes de demonstrar o que foi implantado, quando entrou em produção, quais verificações de segurança foram executadas e quem aprovou a alteração. Logs de build, controle de versão e ferramentas de segurança devem produzir um rastro auditável.
O que DORA Significa para Equipes de Segurança e Risco
Visibilidade contínua de riscos
A DORA exige uma consciência contínua do que está sendo executado em produção, quais vulnerabilidades existem e quais riscos são exploráveis a qualquer momento. Avaliações periódicas são insuficientes.
Tratamento automatizado de vulnerabilidades
O rastreamento manual não escala. Os prazos de detecção, priorização e remediação devem ser suportados por sistemas automatizados com responsabilidade clara.
Documentação alinhada com a realidade
Quando incidentes ocorrem, as organizações devem demonstrar quando o problema foi detectado, como foi avaliado, quem o tratou e quão rapidamente foi resolvido. A evidência deve refletir o comportamento real do sistema.
Como a DORA Difere de Outros Frameworks
A DORA não substitui ISO 27001, NIS2, ou SOC 2. Ela introduz requisitos mais rigorosos e específicos do setor, focados em resultados operacionais.
A DORA atua como lex specialis, o que significa que, se houver conflito entre a DORA e a NIS2, por exemplo, a DORA prevalece. As regras são adaptadas especificamente aos riscos do setor financeiro e são mais rigorosas do que as encontradas em outros frameworks regulatórios.
Por que a conformidade com a DORA é difícil na prática
Bases de código grandes e em constante mudança dificultam o rastreamento de cada alteração e aprovação. Aplicações modernas dependem de centenas de dependências, muitas vezes sem visibilidade clara sobre implantação e exposição. As ferramentas de segurança são fragmentadas, produzindo dados em múltiplos sistemas que devem ser correlacionados durante as auditorias.
Como o Aikido suporta os requisitos técnicos da DORA
A Aikido Security é uma plataforma impulsionada por IA que centraliza a visibilidade de segurança em código-fonte, dependências, infraestrutura Cloud, Containers e ambientes de runtime.
O Aikido não substitui frameworks de governança, procedimentos de resposta a incidentes ou relatórios regulatórios. Ele fornece os sinais técnicos e as evidências nos quais esses processos se baseiam.
Testes de Resiliência Operacional Digital e Aikido Security
A DORA exige que as organizações testem a resiliência operacional em condições realistas. A identificação de vulnerabilidades por si só é insuficiente.
Aikido suporta testes de resiliência através de:
- DAST contínuo em aplicações em produção
- Testes de segurança de Container e segurança Kubernetes
- Aikido Attack, que utiliza testes de penetração baseados em IA para simular caminhos de ataque realistas e validar a explorabilidade
- AutoFix e Auto Triage para reduzir o tempo de remediação e acompanhar a eficácia da recuperação
Suportando DORA na Prática
DORA exige resiliência operacional demonstrável, suportada por evidências. Aikido Security fornece a visibilidade técnica, capacidades de teste e dados prontos para auditoria que ajudam as organizações a atender a essas expectativas em sistemas em produção.
Governança, resposta a incidentes e engajamento regulatório permanecem essenciais. Aikido garante que esses processos sejam baseados em dados técnicos precisos e atualizados.
Você também pode gostar:
- Por que Empresas Europeias Escolhem o Aikido como Seu Parceiro de Cibersegurança
- Em Conformidade com a Lei de Ciber-Resiliência (CRA) usando Aikido Security
- Como Aikido e Deloitte Estão Trazendo a segurança voltada para o desenvolvedor para Empresas
- Como Cumprir o Projeto de Lei de Cibersegurança e Resiliência do Reino Unido: Um Guia Prático para Equipes de Engenharia Modernas
