TL;DR

DORA (Digital Operational Resilience Act) visa a resiliência digital do setor financeiro. Se você é um banco, seguradora, fintech ou fornecedor de tecnologia que os atende, isso te afeta.

Abrange a gestão de riscos de TIC, testes de ameaças obrigatórios (como TLPT), supervisão de riscos de terceiros e relatórios rigorosos de incidentes.

Em vigor desde 17 de janeiro de 2025 — com penalidades severas para quem for pego desprevenido.

Resumo do Scorecard DORA:

• Esforço do Desenvolvedor: Moderado a Alto (Requer a implementação de práticas de codificação seguras e resilientes, suporte a um gerenciamento robusto de riscos de TIC, habilitação do registro/relato detalhado de incidentes, participação em testes avançados de resiliência).
• Custo de Ferramentas: Alto (Necessita de investimento em ferramentas de gestão de risco de TIC, ferramentas avançadas de teste de segurança (pentesting, TLPT), monitoramento robusto/SIEM, plataformas de gestão de risco de terceiros, soluções de continuidade de negócios/recuperação de desastres).
• Impacto no Mercado: Crítico (Obrigatório para praticamente todas as entidades financeiras da UE e seus provedores críticos de TIC; estabelece um alto padrão para a resiliência operacional).
• Flexibilidade: Moderada (A regulamentação especifica requisitos em pilares-chave, mas permite proporcionalidade com base no tamanho, perfil de risco e natureza/complexidade dos serviços).
• Intensidade da Auditoria: Alta (Conformidade supervisionada por autoridades nacionais competentes e Autoridades Europeias de Supervisão (ESAs); envolve a demonstração de frameworks robustos, resultados de testes e capacidades de gerenciamento de incidentes).

O que é DORA?

O Digital Operational Resilience Act (Regulamento (UE) 2022/2554), ou DORA, é uma legislação fundamental da UE que estabelece requisitos uniformes relativos à segurança de redes e sistemas de informação que suportam os processos de negócio de entidades financeiras. Ele cria um arcabouço vinculativo e abrangente, especificamente projetado para fortalecer a segurança de TI e a resiliência operacional do setor financeiro da UE.

Ao contrário da NIS2, que se aplica amplamente, o DORA foca-se exclusivamente em entidades financeiras (bancos, seguradoras, empresas de investimento, instituições de pagamento, provedores de criptoativos, etc.) e nos provedores terceirizados de TIC críticos (como plataformas Cloud, fornecedores de software, provedores de análise de dados) que os atendem.

DORA está estruturada em cinco pilares fundamentais:

1. Gestão de Riscos de TIC: Exige que as entidades tenham uma estrutura abrangente e bem documentada de gestão de riscos de TIC, incluindo estratégias, políticas, procedimentos, protocolos e ferramentas para identificar, proteger, detectar, responder e se recuperar de riscos de TIC. Os órgãos de gestão detêm a responsabilidade final.
2. Gestão e Relato de Incidentes Relacionados a TIC: Determina processos para detectar, gerenciar, registrar, classificar e relatar incidentes graves relacionados a TIC às autoridades competentes usando modelos e prazos padronizados.
3. Testes de Resiliência Operacional Digital: Exige que as entidades estabeleçam um programa de testes de resiliência operacional digital proporcional e baseado em risco, incluindo avaliações de vulnerabilidade, avaliações de segurança de rede, testes baseados em cenários e, para entidades significativas, Testes de Penetração Liderados por Ameaças (TLPT) avançados, pelo menos a cada três anos.
4. Gestão de Riscos de Terceiros de TIC: Impõe regras rigorosas para a gestão de riscos associados à dependência de provedores de serviços de TIC terceirizados. Isso inclui due diligence pré-contratual, disposições contratuais específicas (abrangendo acesso, auditoria, segurança, estratégias de saída), avaliação de risco de concentração e monitoramento contínuo.
5. Compartilhamento de Informações: Incentiva o compartilhamento voluntário de informações e inteligência sobre ameaças cibernéticas entre entidades financeiras para aumentar a conscientização e a resiliência coletivas.

DORA visa garantir que o sistema financeiro possa permanecer resiliente mesmo diante de interrupções operacionais graves decorrentes de problemas de TIC ou ciberataques. Entrou em vigor em janeiro de 2023, e as entidades financeiras devem estar em conformidade até 17 de janeiro de 2025.

Por que é Importante?

DORA é de importância crítica para o setor financeiro da UE e seu ecossistema:

• Harmonização: Cria um conjunto único e consistente de regras para resiliência operacional digital em todos os Estados-Membros da UE, substituindo abordagens nacionais fragmentadas.
• Estabilidade Financeira: Visa prevenir que incidentes de TIC desestabilizem empresas financeiras individuais ou o sistema financeiro mais amplo.
• Aborda o Risco Sistêmico: Reconhece a crescente dependência das TIC e os potenciais riscos sistêmicos representados por falhas, especialmente no que diz respeito a provedores terceirizados críticos.
• Supervisão Direta de Provedores Críticos: Concede de forma única às Autoridades Europeias de Supervisão (ESAs como EBA, ESMA, EIOPA) poderes de supervisão direta sobre provedores terceirizados de TIC críticos designados (CTPPs).
• Conformidade Obrigatória: Ao contrário de algumas estruturas, DORA é uma regulamentação, diretamente aplicável e legalmente vinculativa para todas as entidades abrangidas.
• Requisitos de Resiliência Aprimorados: Vai além da cibersegurança básica, exigindo testes robustos (incluindo TLPT), gerenciamento detalhado de incidentes e gerenciamento rigoroso de riscos de terceiros.
• Responsabilidade da Gestão: Semelhante ao NIS2, atribui responsabilidade clara ao órgão de gestão pela supervisão do risco de TIC.

Para entidades financeiras e seus principais fornecedores de tecnologia, a conformidade com o DORA é essencial para aprovação regulatória, acesso ao mercado e manutenção da estabilidade operacional na UE.

O Quê e Como Implementar (Técnico e Político)

A implementação da DORA exige um esforço significativo em seus cinco pilares, envolvendo medidas técnicas e políticas:

1. Estrutura de Gerenciamento de Riscos de TIC (Art. 5-16):
   
   • Política/Estratégia: Desenvolver e manter uma estrutura sólida e abrangente de gerenciamento de riscos de TIC, aprovada pela gerência.
   • Controles Técnicos: Implementar medidas de segurança baseadas na avaliação de risco – identificação, proteção (configurações seguras, aplicação de patches, segurança de rede, segurança física), detecção (sistemas de monitoramento, detecção de anomalias), resposta e recuperação (backups, planos de recuperação de desastres). Isso envolve ferramentas como firewalls, SIEM, EDR, gerenciamento de vulnerabilidades, IAM.
   • Documentação: Mantenha uma documentação extensa da estrutura, avaliações de risco, implementações de controle e testes de eficácia.
2. Gerenciamento e Relatórios de Incidentes (Art. 17-23):
   
   • Processos: Estabelecer processos para monitoramento, detecção, classificação (com base em critérios definidos nas Normas Técnicas Regulatórias - RTS), gerenciamento, registro e comunicação de incidentes de TIC graves.
   • Suporte Técnico: Implementar ferramentas de logging e monitoramento (SIEM) capazes de detectar incidentes e coletar os dados necessários para relatórios. Desenvolver fluxos de trabalho de relatórios.
3. Testes de Resiliência Operacional Digital (Art. 24-27):
   
   • Programa de Testes: Estabelecer um programa baseado em risco, incluindo avaliações de vulnerabilidade, análise de código aberto, avaliações de segurança de rede, revisões de segurança física, testes baseados em cenários e testes de compatibilidade.
   • Ferramentas: Utilizar scanners de vulnerabilidade, scanners de configuração, ferramentas DAST, SAST, SCA.
   • Teste de Penetração Orientado por Ameaças (TLPT): Para entidades significativas, conduzir TLPT avançado (como TIBER-EU) com base em RTS específicos, envolvendo testadores externos e certificados que simulam atacantes reais. Requer capacidades maduras de detecção e resposta para ser eficaz.
4. Gerenciamento de Riscos de Terceiros de TIC (Art. 28-44):
   
   • Estratégia e Política: Desenvolva uma estratégia e política para gerenciar os riscos associados a provedores terceirizados de TIC.
   • Registro de Informações: Mantenha um registro detalhado de todos os contratos de serviços de terceiros de TIC.
   • Due Diligence: Realize avaliações rigorosas de segurança e resiliência antes de contratar provedores de TIC.
   • Requisitos Contratuais (Art. 30): Garanta que os contratos incluam cláusulas obrigatórias cobrindo padrões de segurança, direitos de auditoria, cooperação para relatórios de incidentes, descrições claras de serviços, locais de processamento de dados e estratégias de saída.
   • Supervisão de Provedores Críticos (CTPPs): Coopere com as ESAs durante as atividades de supervisão direta dos CTPPs designados.
   • Risco de Concentração: Avalie e gerencie os riscos associados à dependência excessiva de um único ou poucos provedores.
5. Compartilhamento de Informações (Art. 45):
   
   • Participar (voluntariamente) de acordos para compartilhamento de Threat Intelligence e informações sobre ameaças cibernéticas, garantindo a conformidade com o GDPR.

A implementação exige governança robusta, recursos dedicados, colaboração interdepartamental (TI, Segurança, Risco, Jurídico, Compras) e, frequentemente, um investimento significativo em tecnologia e expertise.

Erros Comuns a Evitar

Entidades que implementam DORA devem evitar estes erros comuns:

1. Atraso na Implementação: Esperar demais para iniciar o trabalho extensivo necessário para análise de lacunas, desenvolvimento de framework, implementação de testes e remediação de contratos de terceiros antes do prazo de janeiro de 2025.
2. Subestimar o Escopo/Esforço: Não compreender a amplitude dos requisitos da DORA em todos os cinco pilares e subfinanciar o esforço de conformidade.
3. Tratá-lo Apenas como TI/Segurança: Não envolver suficientemente as áreas de Risco, Jurídico, Compras e a alta gerência, especialmente no que diz respeito à estrutura de risco de TIC e à gestão de risco de terceiros.
4. Gestão Insuficiente de Riscos de Terceiros: Falha em realizar a devida diligência adequada, atualizar contratos com cláusulas obrigatórias ou gerenciar o risco de concentração relacionado a provedores de TIC.
5. Teste de Resiliência Inadequado: Realizar apenas varredura básica de vulnerabilidades em vez dos testes abrangentes e baseados em risco (incluindo TLPT quando exigido) mandatados pela DORA.
6. Baixa Preparação para Relatórios de Incidentes: Falta de monitoramento técnico ou processos internos para classificar e relatar incidentes graves com precisão e dentro dos prazos exigidos.
7. Assumindo que Outros Frameworks São Suficientes: Confiar apenas na conformidade ISO 27001 existente ou outras sem realizar uma análise de lacunas específica contra os requisitos detalhados da DORA, especialmente em relação ao risco de terceiros e testes de resiliência.

O que Auditores/Reguladores Podem Perguntar (Foco no Desenvolvedor)

As autoridades de supervisão que verificam a conformidade com o DORA terão amplos poderes. As perguntas que impactam as equipes de desenvolvimento podem focar em resiliência, segurança por design, testes e suporte a incidentes:

• (Gestão de Riscos de TIC) "Como os requisitos de segurança e resiliência são incorporados ao ciclo de vida de desenvolvimento de software?"
• (Gerenciamento de Riscos de TIC) "Apresentar evidências de práticas de codificação segura e gerenciamento de vulnerabilidades no desenvolvimento."
• (Gestão de Incidentes) "Como o registro (logging) da aplicação facilita a detecção, análise e comunicação de incidentes relacionados à TIC?"
• (Teste de Resiliência) "Que testes de segurança (estáticos, dinâmicos, de componentes) são realizados na aplicação? Forneça resultados recentes."
• (Teste de Resiliência) "Como a aplicação é projetada para suportar falhas ou alta carga (por exemplo, redundância, escalabilidade, mecanismos de failover)?"
• (Teste de Resiliência) "Você pode demonstrar o processo de restauração da aplicação e seus dados a partir de backups?"
• (Risco de Terceiros) "Como você gerencia os riscos de segurança relacionados a componentes de software de terceiros ou APIs integradas à aplicação?"

Os reguladores esperarão arcabouços documentados, políticas, procedimentos, resultados de testes, registros de incidentes e evidências de que a resiliência está incorporada nos sistemas e processos.

Ganhos Rápidos para Equipes de Desenvolvimento

Embora a conformidade total com o DORA seja complexa, as equipes de desenvolvimento podem contribuir por meio de práticas fundamentais:

1. Melhore o Registro de Logs da Aplicação: Aprimore os logs da aplicação para capturar eventos e erros relevantes para a segurança, úteis para análise de incidentes. Garanta que os logs sejam centralizados.
2. Integrar SAST/SCA: Incorporar varredura de segurança automatizada para código e dependências no início do pipeline de CI/CD.
3. Foco em Padrões de Resiliência: Enfatize práticas de codificação que melhoram a resiliência (por exemplo, tratamento adequado de erros, timeouts, retentativas, ausência de estado sempre que possível).
4. Documentar Dependências: Manter uma lista de materiais de software (SBOM) precisa para aplicações.
5. Cenários de Falha de Teste: Inclua testes para como a aplicação se comporta sob condições de falha (ex: dependência indisponível, alta carga).
6. Configuração Segura: Garanta que os aplicativos tenham configurações padrão seguras e externalize as configurações de forma apropriada.

Ignore Isso E... (Consequências da Não Conformidade)

DORA concede às autoridades competentes poderes significativos de supervisão e fiscalização. A não conformidade pode resultar em:

• Penalidades Administrativas/Multas: Embora o DORA em si não estabeleça valores de multa específicos de forma geral (deixando parte da implementação para os Estados Membros), a não conformidade com as diretivas/regulamentos subjacentes que ele reforça, ou a falha em seguir ordens de autoridades competentes, pode levar a multas substanciais (potencialmente até 1-2% do faturamento global ou valores específicos como €10M, dependendo da implementação nacional e das violações específicas). Correção: Algumas fontes mencionam pagamentos de multas periódicas de até 1% do faturamento diário mundial médio para provedores terceirizados críticos diretamente supervisionados pelas ESAs. As penalidades nacionais para as próprias entidades financeiras variarão, mas espera-se que sejam significativas.
• Medidas Corretivas: As autoridades podem ordenar que as entidades cessem a conduta, implementem medidas de remediação específicas ou forneçam informações específicas.
• Notificações Públicas: As autoridades podem emitir notificações públicas identificando a entidade não-conforme e a natureza da infração.
• Retirada de Autorização: Em casos graves, a autorização da entidade financeira poderia ser retirada.
• Sanções à Gestão: Potenciais penalidades administrativas ou proibições temporárias para membros do órgão de gestão responsáveis por infrações.
• Dano à Reputação: A divulgação pública de não conformidade ou incidentes resultantes dela prejudica severamente a confiança no setor financeiro.
• Restrições Operacionais: As autoridades podem impor limitações às operações até que a conformidade seja restaurada.

FAQ

Quem precisa cumprir o DORA?

DORA aplica-se a uma ampla gama de entidades financeiras da UE, incluindo bancos, instituições de crédito, instituições de pagamento, empresas de investimento, empresas de seguros/resseguros, prestadores de serviços de criptoativos, plataformas de crowdfunding, contrapartes centrais (CCPs), repositórios de transações, gestores de fundos de investimento alternativos (AIFMs), sociedades gestoras de UCITS, e também prestadores de serviços de TIC terceirizados críticos designados pelas Autoridades Europeias de Supervisão.

Qual é o prazo para a conformidade com o DORA?

Entidades financeiras devem estar totalmente em conformidade com DORA até 17 de janeiro de 2025.

Como o DORA se relaciona com o NIS2?

DORA constitui lex specialis para o setor financeiro. Isso significa que as entidades financeiras abrangidas tanto pela DORA quanto pela NIS2 seguem prioritariamente os requisitos mais específicos da DORA em relação à gestão de riscos de TIC, relato de incidentes, testes de resiliência e risco de terceiros. A NIS2 ainda se aplica para aspectos não abrangidos pela DORA.

O que é o Teste de Penetração Orientado por Ameaças (TLPT) sob o DORA?

O TLPT é uma forma avançada de teste de resiliência mandatado para entidades financeiras significativas sob o DORA (Artigo 26). Ele envolve a simulação das táticas, técnicas e procedimentos (TTPs) de atores de ameaças do mundo real visando as funções críticas da entidade e os sistemas subjacentes. É baseado em frameworks como o TIBER-EU e exige testadores externos certificados.

A DORA se aplica a provedores de Cloud?

Sim, significativamente. Provedores de serviços Cloud são considerados provedores de serviços terceirizados de TIC sob o DORA. Entidades financeiras que utilizam serviços Cloud devem aplicar requisitos rigorosos de gestão de riscos de terceiros (Art. 28-30). Além disso, provedores Cloud considerados "críticos" pelas Autoridades Supervisoras Europeias estarão sujeitos a supervisão direta e potenciais penalidades (Art. 31-44).

Quais são os principais pilares do DORA?

Os cinco pilares centrais são:

1. Gerenciamento de Riscos de TIC
2. Gerenciamento e Relato de Incidentes Relacionados a TIC
3. Testes de Resiliência Operacional Digital
4. Gerenciamento de Riscos de Terceiros de TIC
5. Arranjos de Compartilhamento de Informações

Existe uma certificação para DORA?

Não, a própria DORA não estabelece um esquema de certificação. A conformidade é supervisionada e aplicada por autoridades nacionais competentes e pelas Autoridades Supervisoras Europeias (para provedores críticos de TIC terceirizados). As entidades demonstram conformidade por meio de suas estruturas implementadas, políticas, resultados de testes, relatórios de incidentes e cooperação com os supervisores.