O Regulamento DORA (Digital Operational Resilience Act) e a recente comunicação do Banco de Portugal sobre o pacote legislativo relativo à resiliência operacional digital do setor financeiro sublinham a importância crescente da ciber-resiliência no contexto financeiro. Este regulamento, que entrou em vigor a 17 de janeiro deste ano, representa uma mudança significativa no quadro regulamentar aplicável às instituições financeiras, com o objetivo de harmonizar as obrigações das entidades e elevar a exigência dos requisitos de resiliência operacional digital.
Acredito que o DORA surge num momento crítico, em que a frequência e a severidade dos incidentes operacionais e de segurança têm aumentado exponencialmente. A interligação entre instituições financeiras e a dependência de sistemas de TIC (Tecnologias de Informação e Comunicação) criam vulnerabilidades significativas, e a crescente terceirização de serviços tecnológicos torna as instituições financeiras mais vulneráveis a ciberataques e falhas operacionais. Neste contexto, o DORA estabelece um conjunto de normas técnicas e de execução que visam reforçar a segurança e estabilidade do sistema financeiro europeu.
O relatório do Comité Europeu do Risco Sistémico (CERS) sublinha, ainda, que a interdependência dos sistemas de TIC pode facilitar a propagação de incidentes cibernéticos. Este cenário exige uma abordagem coordenada e abrangente para mitigar riscos e garantir a continuidade das operações financeiras. O documento destaca a necessidade de supervisão mais rigorosa dos fornecedores de serviços tecnológicos, que desempenham um papel crítico na infraestrutura digital do setor. O DORA enfatiza a necessidade de uma gestão rigorosa dos riscos associados a estes fornecedores, incluindo auditorias contínuas e avaliações de eficácia.
Para mim, um dos pontos fortes do DORA é a implementação de testes de resiliência operacional digital. Estes testes são essenciais para identificar vulnerabilidades e garantir que as instituições estão preparadas para responder a incidentes cibernéticos de forma eficaz. No entanto, a sua aplicação é restrita a entidades financeiras que cumpram critérios específicos definidos no regulamento. A colaboração com fornecedores críticos e a troca de informações sobre ciberameaças são pilares fundamentais do DORA. Esta abordagem colaborativa fortalece a capacidade de resposta a incidentes e promove uma cultura de cibersegurança mais robusta.
Em Portugal, a implementação do DORA está a ser acompanhada de perto pelo Banco de Portugal, que tem sublinhado a importância de uma adaptação rigorosa e atempada às novas exigências. As entidades financeiras supervisionadas devem observar os deveres relativos à gestão do risco associado às TIC, conforme previsto no regulamento. Isto inclui a necessidade de manter, atualizar e disponibilizar às autoridades competentes um registo de informações sobre todos os acordos contratuais com prestadores de serviços externos na área tecnológica.
O Banco de Portugal destaca a importância da colaboração e da troca de informações sobre ciberameaças entre as instituições financeiras e os seus fornecedores críticos. Esta abordagem colaborativa não só fortalece a capacidade de resposta a incidentes, como também permite antecipar ameaças emergentes e implementar medidas preventivas de forma mais eficaz.
É certo que o Regulamento DORA representa um avanço significativo na proteção do setor financeiro contra as ameaças da cibersegurança. A sua implementação não só reforça a resiliência operacional das instituições, mas também promove uma cultura de segurança que é essencial num mundo cada vez mais digital e interconectado. Em Portugal, a adoção destas normas poderá também representar uma vantagem competitiva, fortalecendo a confiança dos clientes e a resiliência das empresas, garantindo que estão preparadas para enfrentar os desafios do futuro digital.
Senior Consultant em Cibersegurança na Minsait em Portugal (Indra Group)
