Digital Operational Resilience Act (DORA)
O Digital Operational Resilience Act é um regulamento europeu que impõe requisitos rigorosos de resiliência operacional digital às entidades financeiras. Aplicável desde 17 de janeiro de 2025, abrange a gestão de riscos TIC, a notificação de incidentes, os testes de resiliência e a supervisão de prestadores terceiros críticos.
O DORA responde à crescente dependência do setor financeiro em relação às tecnologias digitais, estabelecendo um quadro harmonizado de resiliência operacional à escala da União Europeia. O regulamento aplica-se a mais de 20 categorias de entidades financeiras: bancos, seguradoras, sociedades gestoras de ativos, plataformas de negociação, prestadores de serviços de pagamento e também prestadores TIC terceiros considerados críticos.
O texto assenta em cinco pilares: gestão de riscos TIC (governação, quadro de gestão, políticas de segurança); notificação de incidentes TIC graves às autoridades competentes; testes de resiliência operacional digital, incluindo testes de penetração avançados para entidades significativas; gestão de riscos de terceiros TIC; e partilha de informações sobre ciberameaças entre entidades financeiras.
Para os prestadores de serviços KYC e de verificação documental, o DORA tem implicações diretas: enquanto fornecedores TIC do setor financeiro, podem ser classificados como prestadores críticos e ficar sujeitos à supervisão direta das autoridades europeias de supervisão. Devem garantir a continuidade do serviço, a segurança dos dados tratados e a capacidade de resistir a ciberataques.
Regulações
Exemplos concretos
- 1.Um banco europeu deve mapear todos os seus prestadores TIC, incluindo o seu fornecedor de verificação de identidade remota, e avaliar o risco de concentração se esse fornecedor suportar múltiplas funções críticas.
- 2.Uma seguradora realiza testes de penetração avançados no seu sistema de subscrição online, incluindo o módulo KYC, para validar a sua capacidade de resistir a um cenário de ciberataque dirigido.
- 3.Um prestador de serviços de pagamento notifica um incidente TIC grave à autoridade de supervisão no prazo de 4 horas após a deteção de uma interrupção no seu serviço de verificação de identidade que afeta a integração de novos clientes.