O Digital Operational Resilience Act (DORA), novo regulamento da União Europeia, passa a ser aplicável a partir de 17 de janeiro de 2025. O DORA estabelece requisitos rigorosos para fortalecer a resiliência operacional digital de instituições financeiras e fornecedores de serviços críticos, garantindo que estejam preparadas para lidar com ameaças cibernéticas e interrupções operacionais.
Publicado no Jornal Oficial da União Europeia em dezembro de 2022, o regulamento é parte do Digital Finance Package, uma estratégia da UE para modernizar o setor financeiro e assegurar a sua estabilidade num ambiente digital cada vez mais complexo.
Origem e Contexto
A criação do DORA foi motivada pelo aumento das ciberameaças no setor financeiro, a dependência crescente de provedores tecnológicos e a necessidade de harmonizar as regulamentações entre os Estados-membros.
De acordo com a Comissão Europeia, falhas nos sistemas digitais podem comprometer a estabilidade financeira de forma significativa, afetando não apenas instituições individuais, mas também consumidores e mercados financeiros como um todo.
O DORA insere-se num esforço para garantir que o setor financeiro europeu seja mais robusto e seguro, ao mesmo tempo que fomenta a confiança dos consumidores e investidores.
Objetivos do Regulamento
O DORA tem como principais objetivos:
- Fortalecer a resiliência operacional digital das instituições financeiras, permitindo que resistam, respondam e recuperem rapidamente de incidentes cibernéticos.
- Harmonizar os requisitos de gestão de riscos digitais em todos os países da União Europeia, criando um quadro regulatório uniforme.
- Estabelecer supervisão direta sobre provedores de serviços críticos de TIC, como empresas de cloud computing e cibersegurança.
Principais Disposições do DORA
- Gestão de Riscos Digitais:
- As instituições devem implementar políticas e sistemas para identificar, mitigar e monitorar riscos tecnológicos.
- Testes de Resiliência:
- Entidades financeiras serão obrigadas a realizar testes regulares, incluindo simulações de ciberataques, para avaliar sua capacidade de resposta.
- Relatórios de Incidentes:
- Qualquer incidente significativo relacionado a cibersegurança deverá ser reportado às autoridades competentes.
- Supervisão de Provedores de TIC:
- Prestadores de serviços tecnológicos essenciais estarão sob supervisão direta das autoridades reguladoras da UE.
Abrangência e Impacto
O regulamento aplica-se a uma ampla gama de entidades financeiras, incluindo:
- Bancos
- Empresas de seguros
- Corretoras
- Fintechs
- Provedores de serviços tecnológicos críticos, como plataformas de cloud computing e cibersegurança.
Com a entrada em vigor do DORA, espera-se um aumento na conformidade regulatória, com investimentos adicionais em tecnologias de resiliência digital e cibersegurança.
Próximos Passos
As entidades financeiras têm até 17 de janeiro de 2025 para ajustar suas operações e atender às exigências do DORA. Autoridades como a Autoridade Bancária Europeia (EBA), a Autoridade Europeia de Valores Mobiliários (ESMA) e a Autoridade Europeia de Seguros e Pensões (EIOPA) supervisionarão a implementação do regulamento em conjunto com reguladores nacionais.
Sobre o DORA
- Publicação: Dezembro de 2022
- Data de Aplicação: 17 de janeiro de 2025
- Objetivo: Garantir resiliência digital no setor financeiro europeu
- Abrangência: Bancos, fintechs, seguradoras e prestadores de serviços tecnológicos
Fonte: União Europeia, Jornal Oficial da UE.