TL;DR

A DORA (Lei da Resiliência Operacional Digital) visa a resiliência digital do sector financeiro. Se é um banco, uma seguradora, uma fintech ou um fornecedor de tecnologia que os serve, isto afecta-o.

Abrange a gestão do risco das TIC, os testes obrigatórios de ameaças (como o TLPT), a supervisão do risco por terceiros e a comunicação rigorosa de incidentes.

Em vigor desde 17 de janeiro de 2025 - com sanções severas para quem for apanhado desprevenido.

Resumo do quadro de pontuação DORA:

• Esforço do programador: Moderado a elevado (requer a implementação de práticas de codificação seguras e resilientes, o apoio a uma gestão sólida dos riscos das TIC, o registo/comunicação pormenorizados de incidentes e a participação em testes avançados de resiliência).
• Custo dos instrumentos: elevado (é necessário investir em ferramentas de gestão do risco das TIC, ferramentas avançadas de teste da segurança (pentesting, TLPT), monitorização sólida/SIEM, plataformas de gestão do risco de terceiros, soluções de continuidade das actividades/recuperação de catástrofes).
• Impacto no mercado: Crítico (obrigatório para praticamente todas as entidades financeiras da UE e os seus fornecedores críticos de TIC; estabelece uma fasquia elevada para a resiliência operacional).
• Flexibilidade: Moderada (o regulamento especifica os requisitos dos principais pilares, mas permite a proporcionalidade com base na dimensão, no perfil de risco e na natureza/complexidade dos serviços).
• Intensidade da auditoria: Elevada (conformidade supervisionada pelas autoridades nacionais competentes e pelas Autoridades Europeias de Supervisão (AES); implica a demonstração de quadros sólidos, resultados de testes e capacidades de gestão de incidentes).

O que é DORA?

O Ato de Resiliência Operacional Digital (Regulamento (UE) 2022/2554), ou DORA, é uma peça fundamental da legislação da UE que estabelece requisitos uniformes relativos à segurança das redes e dos sistemas de informação que suportam os processos empresariais das entidades financeiras. Cria um quadro vinculativo e abrangente especificamente concebido para reforçar a segurança informática e a resiliência operacional do sector financeiro da UE.

Ao contrário do NIS2, que se aplica de uma forma geral, o DORA centra-se exclusivamente nas entidades financeiras (bancos, seguradoras, empresas de investimento, instituições de pagamento, fornecedores de criptoactivos, etc.) e nos fornecedores terceiros de TIC essenciais (como plataformas de computação em nuvem, fornecedores de software, fornecedores de análise de dados) que as servem.

A DORA assenta em cinco pilares fundamentais:

1. Gestão de riscos de TIC: Exige que as entidades tenham um quadro de gestão do risco das TIC abrangente e bem documentado, incluindo estratégias, políticas, procedimentos, protocolos e ferramentas para identificar, proteger, detetar, responder e recuperar dos riscos das TIC. Os órgãos de gestão são os principais responsáveis.
2. Gestão e comunicação de incidentes relacionados com as TIC: Obriga a processos para detetar, gerir, registar, classificar e comunicar às autoridades competentes os principais incidentes relacionados com as TIC, utilizando modelos e prazos normalizados.
3. Testes de resiliência operacional digital: Exige que as entidades estabeleçam um programa de testes de resiliência operacional digital proporcional e baseado no risco, incluindo avaliações de vulnerabilidade, avaliações de segurança de rede, testes baseados em cenários e, para entidades significativas, testes avançados de penetração liderados por ameaças (TLPT), pelo menos de três em três anos.
4. Gestão do risco de terceiros no domínio das TIC: Impõe regras estritas para a gestão dos riscos associados à dependência de prestadores de serviços terceiros no domínio das TIC. Isto inclui diligências pré-contratuais, disposições contratuais específicas (abrangendo acesso, auditoria, segurança, estratégias de saída), avaliação do risco de concentração e monitorização contínua.
5. Partilha de informações: Incentiva a partilha voluntária de dados e informações sobre ciberameaças entre entidades financeiras, a fim de aumentar a sensibilização colectiva e a resiliência.

O objetivo da DORA é garantir que o sistema financeiro possa permanecer resiliente mesmo em caso de graves perturbações operacionais decorrentes de problemas de TIC ou ciberataques. Entrou em vigor em janeiro de 2023 e as entidades financeiras devem cumpri-la até 17 de janeiro de 2025.

Porque é que é importante?

O DORA é extremamente importante para o sector financeiro da UE e para o seu ecossistema:

• Harmonização: Cria um conjunto único e coerente de regras para a resiliência operacional digital em todos os Estados-Membros da UE, substituindo as abordagens nacionais fragmentadas.
• Estabilidade financeira: Tem por objetivo evitar que os incidentes de TIC desestabilizem empresas financeiras individuais ou o sistema financeiro em geral.
• Aborda o risco sistémico: Reconhece a crescente dependência das TIC e os potenciais riscos sistémicos colocados por falhas, especialmente no que diz respeito a fornecedores terceiros críticos.
• Supervisão direta dos prestadores críticos: Concede exclusivamente às Autoridades Europeias de Supervisão (AES, como a ABE, a AEVMM e a AESPCR) poderes de supervisão direta dos fornecedores críticos de TIC designados (CTPP).
• Conformidade obrigatória: Ao contrário de alguns quadros, o DORA é um regulamento, diretamente aplicável e juridicamente vinculativo para todas as entidades abrangidas.
• Requisitos de resiliência reforçados: Vai além da cibersegurança básica, exigindo testes robustos (incluindo TLPT), gestão detalhada de incidentes e gestão rigorosa de riscos por terceiros.
• Responsabilidade da gestão: Semelhante à NIS2, atribui uma responsabilidade clara ao órgão de gestão pela supervisão do risco das TIC.

Para as entidades financeiras e os seus principais fornecedores de tecnologia, a conformidade com o DORA é essencial para a aprovação regulamentar, o acesso ao mercado e a manutenção da estabilidade operacional na UE.

O que e como implementar (técnica e política)

A implementação do DORA exige um esforço significativo nos seus cinco pilares, envolvendo medidas técnicas e políticas:

1. Quadro de Gestão do Risco das TIC (Art. 5-16):
   
   • Política/Estratégia: Desenvolver e manter um quadro sólido e abrangente de gestão de riscos de TIC, aprovado pela direção.
   • Controlos técnicos: Implementar medidas de segurança com base na avaliação dos riscos - identificação, proteção (configurações seguras, aplicação de patches, segurança da rede, segurança física), deteção (sistemas de monitorização, deteção de anomalias), resposta e recuperação (cópias de segurança, planos de recuperação de desastres). Isto envolve ferramentas como firewalls, SIEM, EDR, gestão de vulnerabilidades, IAM.
   • Documentação: Manter uma documentação exaustiva do quadro, das avaliações de risco, das implementações de controlo e dos testes de eficácia.
2. Gestão e comunicação de incidentes (art. 17.º-23.º):
   
   • Processos: Estabelecer processos para monitorizar, detetar, classificar (com base em critérios definidos nas normas técnicas regulamentares - RTS), gerir, registar e comunicar os principais incidentes de TIC.
   • Apoio técnico: Implementar ferramentas de registo e monitorização (SIEM) capazes de detetar incidentes e recolher os dados necessários para a elaboração de relatórios. Desenvolver fluxos de trabalho para a elaboração de relatórios.
3. Teste de resiliência operacional digital (artigos 24.º a 27.º):
   
   • Programa de testes: Estabelecer um programa baseado no risco, incluindo avaliações de vulnerabilidade, análise de código aberto, avaliações de segurança de rede, revisões de segurança física, testes baseados em cenários e testes de compatibilidade.
   • Ferramentas: Utilizar scanners de vulnerabilidade, scanners de configuração, ferramentas DAST, SAST e SCA.
   • Testes de penetração com base em ameaças (TLPT): Para entidades significativas, efetuar TLPT avançados (como o TIBER-EU) com base em RTS específicos, envolvendo testadores externos certificados que simulam atacantes reais. Requer capacidades de deteção e resposta maduras para ser eficaz.
4. Gestão do risco de terceiros nas TIC (art. 28.º-44.º):
   
   • Estratégia e política: Desenvolver uma estratégia e uma política de gestão dos riscos associados aos fornecedores terceiros de TIC.
   • Registo de informações: Manter um registo pormenorizado de todos os contratos de prestação de serviços de TIC a terceiros.
   • Diligência prévia: Efetuar avaliações rigorosas da segurança e da resiliência antes de celebrar contratos com fornecedores de TIC.
   • Requisitos contratuais (art. 30.º): Garantir que os contratos incluem cláusulas obrigatórias que abrangem normas de segurança, direitos de auditoria, cooperação na comunicação de incidentes, descrições claras dos serviços, locais de tratamento de dados e estratégias de saída.
   • Supervisão dos prestadores de serviços essenciais (CTPP): Cooperar com as ESAs durante as actividades de supervisão direta dos CTPPs designados.
   • Risco de concentração: Avaliar e gerir os riscos associados ao facto de depender fortemente de um único ou de poucos fornecedores.
5. Partilha de informações (artigo 45.º):
   
   • Participar (voluntariamente) em acordos de partilha de informações e inteligência sobre ciberameaças, garantindo a conformidade com o RGPD.

A implementação requer uma governação forte, recursos dedicados, colaboração entre departamentos (TI, segurança, risco, jurídico, aquisições) e, frequentemente, um investimento significativo em tecnologia e conhecimentos especializados.

Erros comuns a evitar

As entidades que implementam o DORA devem evitar estes erros comuns:

1. Atraso na implementação: Esperar demasiado tempo para iniciar o extenso trabalho necessário para a análise de lacunas, desenvolvimento de estruturas, implementação de testes e correção de contratos de terceiros antes do prazo de janeiro de 2025.
2. Subestimar o âmbito/esforço: Não compreender a amplitude dos requisitos do DORA em todos os cinco pilares e sub-recursos para o esforço de conformidade.
3. Tratar a questão apenas como TI/Segurança: Não envolver suficientemente o risco, o departamento jurídico, as aquisições e a gestão de topo, especialmente no que respeita ao quadro de risco das TIC e à gestão do risco de terceiros.
4. Gestão insuficiente do risco de terceiros: Não realização de diligências adequadas, atualização dos contratos com cláusulas obrigatórias ou gestão do risco de concentração relacionado com os fornecedores de TIC.
5. Testes de resiliência inadequados: Efetuar apenas uma análise básica das vulnerabilidades em vez de realizar os testes abrangentes e baseados no risco (incluindo TLPT, quando necessário) exigidos pela DORA.
6. Fraca preparação para a comunicação de incidentes: Falta de monitorização técnica ou de processos internos para classificar e comunicar os principais incidentes com precisão e dentro dos prazos exigidos.
7. Assumir que outras estruturas são suficientes: Confiar apenas na ISO 27001 existente ou noutra conformidade sem efetuar uma análise específica das lacunas em relação aos requisitos detalhados da DORA, especialmente no que diz respeito aos testes de risco e resiliência de terceiros.

O que os auditores/reguladores podem perguntar (foco no desenvolvedor)

As autoridades de controlo que verificam a conformidade com o DORA terão amplos poderes. As questões que afectam as equipas de desenvolvimento poderão centrar-se na resiliência, na segurança desde a conceção, nos testes e no apoio a incidentes:

• (ICT Risk Mgmt) "Como é que os requisitos de segurança e resiliência são incorporados no ciclo de vida do desenvolvimento de software?"
• (Gestão de riscos em TIC) "Apresentar provas de práticas de codificação seguras e de gestão de vulnerabilidades no âmbito do desenvolvimento."
• (Gestão de incidentes) "Como é que o registo da aplicação facilita a deteção, análise e comunicação de incidentes relacionados com as TIC?"
• (Teste de resiliência) "Que testes de segurança (estáticos, dinâmicos, de componentes) são efectuados na aplicação? Forneça resultados recentes."
• (Teste de resiliência) "Como é que a aplicação foi concebida para resistir a falhas ou a uma carga elevada (por exemplo, redundância, escalabilidade, mecanismos de failover)?"
• (Teste de resiliência) "Consegue demonstrar o processo para restaurar a aplicação e os seus dados a partir de cópias de segurança?"
• (Risco de terceiros) "Como é que gere os riscos de segurança relacionados com componentes de software de terceiros ou APIs integradas na aplicação?"

As entidades reguladoras esperam quadros documentados, políticas, procedimentos, resultados de testes, registos de incidentes e provas de que a resiliência está integrada nos sistemas e processos.

Ganhos rápidos para as equipas de desenvolvimento

Embora a conformidade total com o DORA seja complexa, as equipas de desenvolvimento podem contribuir através de práticas fundamentais:

1. Melhorar o registo de aplicações: Melhore os registos das aplicações para capturar eventos e erros relevantes para a segurança, úteis para a análise de incidentes. Assegurar que os registos são centralizados.
2. Integrar SAST/SCA: Incorporar a verificação de segurança automatizada para código e dependências no início do pipeline CI/CD.
3. Foco em padrões de resiliência: Enfatizar as práticas de codificação que melhoram a resiliência (por exemplo, tratamento adequado de erros, timeouts, novas tentativas, ausência de estado sempre que possível).
4. Documentar dependências: Manter uma lista de materiais de software (SBOM) exacta para as aplicações.
5. Testar cenários de falha: Inclua testes sobre como a aplicação se comporta em condições de falha (por exemplo, dependência indisponível, carga elevada).
6. Configuração segura: Assegurar que as aplicações têm configurações predefinidas seguras e externalizar as definições de configuração de forma adequada.

Ignorar isto e... (Consequências do incumprimento)

O DORA confere às autoridades competentes poderes significativos de controlo e de execução. O incumprimento pode resultar em

• Sanções administrativas/multas: Embora a própria DORA não estabeleça montantes específicos para as coimas em geral (deixando alguma implementação para os Estados-Membros), o incumprimento das diretivas/regulamentos subjacentes que reforça, ou o não cumprimento das ordens das autoridades competentes, pode levar a coimas substanciais (potencialmente até 1-2% do volume de negócios global ou montantes específicos como 10 milhões de euros, dependendo da implementação nacional e das violações específicas). Correção: Algumas fontes mencionam sanções pecuniárias compulsórias até 1% do volume de negócios diário médio a nível mundial para os prestadores de serviços críticos diretamente supervisionados pelas AES. As sanções nacionais aplicáveis às próprias entidades financeiras variam, mas deverão ser significativas.
• Medidas corretivas: As autoridades podem ordenar às entidades que cessem a sua conduta, apliquem medidas de correção específicas ou forneçam informações específicas.
• Avisos públicos: As autoridades podem emitir avisos públicos que identifiquem a entidade não conforme e a natureza da infração.
• Revogação da autorização: Em casos graves, a autorização da entidade financeira pode ser retirada.
• Sanções de gestão: Eventuais sanções administrativas ou proibições temporárias para os membros do órgão de gestão responsáveis por infracções.
• Danos à reputação: A divulgação pública de incumprimentos ou de incidentes deles resultantes prejudica gravemente a confiança no sector financeiro.
• Restrições operacionais: As autoridades podem impor limitações às operações até que a conformidade seja restabelecida.

FAQ

Quem tem de cumprir a DORA?

O DORA aplica-se a um vasto leque de entidades financeiras da UE, incluindo bancos, instituições de crédito, instituições de pagamento, empresas de investimento, empresas de seguros/resseguros, prestadores de serviços de activos criptográficos, plataformas de financiamento coletivo, contrapartes centrais (CCP), repositórios de transacções, gestores de fundos de investimento alternativos (AIFM), sociedades gestoras de OICVM e também prestadores de serviços críticos de TIC a terceiros designados pelas autoridades europeias de supervisão.

Qual é o prazo para o cumprimento da DORA?

As entidades financeiras devem estar totalmente em conformidade com a DORA até 17 de janeiro de 2025.

Qual é a relação entre a DORA e o NIS2?

A DORA constitui a lex specialis para o sector financeiro. Isto significa que as entidades financeiras abrangidas tanto pela DORA como pela NIS2 seguem principalmente os requisitos mais específicos da DORA no que respeita à gestão do risco das TIC, à comunicação de incidentes, aos testes de resiliência e ao risco de terceiros. A NIS2 continua a aplicar-se aos aspectos não abrangidos pela DORA.

O que são testes de penetração com base em ameaças (TLPT) ao abrigo do DORA?

O TLPT é uma forma avançada de teste de resiliência obrigatória para entidades financeiras significativas ao abrigo do DORA (artigo 26.º). Envolve a simulação de tácticas, técnicas e procedimentos (TTPs) de agentes de ameaças reais que visam as funções críticas e os sistemas subjacentes da entidade. Baseia-se em estruturas como a TIBER-EU e requer testadores externos certificados.

O DORA aplica-se aos fornecedores de serviços de computação em nuvem?

Sim, significativamente. Os prestadores de serviços de computação em Cloud são considerados prestadores de serviços de terceiros de TIC ao abrigo da DORA. As entidades financeiras que utilizam serviços de computação em nuvem devem aplicar requisitos rigorosos de gestão do risco de terceiros (artigos 28.º a 30.º). Além disso, os fornecedores de serviços de computação em nuvem considerados "críticos" pelas Autoridades Europeias de Supervisão estarão sujeitos a supervisão direta e a eventuais sanções (artigos 31.º a 44.º).

Quais são os principais pilares da DORA?

Os cinco pilares fundamentais são:

1. Gestão do risco das TIC
2. Gestão e comunicação de incidentes relacionados com as TIC
3. Teste de resiliência operacional digital
4. Gestão do risco de terceiros nas TIC
5. Acordos de partilha de informações

Existe uma certificação para a DORA?

Não, o próprio DORA não estabelece um sistema de certificação. A conformidade é supervisionada e aplicada pelas autoridades nacionais competentes e pelas Autoridades Europeias de Supervisão (para fornecedores terceiros de TIC críticos). As entidades demonstram a conformidade através dos seus quadros implementados, políticas, resultados de testes, relatórios de incidentes e cooperação com as autoridades de supervisão.