O regulamento DORA, que entrou em vigor há apenas algumas semanas, representa um ponto de inflexão para a solidez do sistema financeiro contra as ciberameaças, mas também exige preparação e recursos por parte das entidades, sejam bancos, seguradoras, gestoras de ativos ou entidades de gestão patrimonial. Os especialistas reconhecem que sua implementação ajudará a construir um setor mais protegido contra ataques cibernéticos e roubo de dados, além de melhorar a gestão de riscos derivados da digitalização e dos fornecedores tecnológicos, gerando, assim, mais confiança.
No entanto, também apontam desafios, como as capacidades e recursos das entidades de menor porte, os custos de implementação, as sanções às quais as empresas estão sujeitas e, acima de tudo, o fator tempo, já que os especialistas defendem a necessidade de uma abordagem contínua de supervisão e inovação para combater novas formas de ataques.
“A implementação do regulamento DORA (Digital Operational Resilience Act) representa um passo importante para o fortalecimento da resiliência operacional do setor financeiro na Europa. Em um ambiente cada vez mais digitalizado, onde os incidentes cibernéticos são mais frequentes e sofisticados, o DORA busca enfrentar os desafios dos riscos associados à cibersegurança e garantir a estabilidade e confiança no sistema financeiro. Esse marco regulatório permitirá que as entidades financeiras tenham procedimentos claros para a gestão de incidentes, sua notificação ao órgão regulador e uma resposta rápida, melhorando sua capacidade de reação a ciberameaças e outros problemas operacionais. Além disso, ajudará a fortalecer o programa de testes de resiliência operacional, bem como a gestão de riscos relacionados a terceiros (dentro da cadeia de suprimentos) que fornecem serviços de TI, um aspecto crítico para a continuidade operacional em algumas ocasiões”, destaca Félix Rodríguez, diretor de Segurança do Triodos Bank NV SE.
José Antonio Lozano, Head of AI & Business Innovation da Tokiot, também menciona os riscos relacionados aos fornecedores, ciberameaças e o potencial roubo de dados: “O regulamento DORA impõe novas exigências às entidades bancárias e financeiras para gerenciar riscos tecnológicos, como ciberameaças ou roubos de dados, garantindo sua resiliência operacional diante de ataques. Além disso, estabelece uma supervisão mais rigorosa sobre fornecedores externos de serviços tecnológicos críticos.”
Segundo María Luisa Paradinas, diretora de Desenvolvimento de Negócios da Innova-tsn, “a Lei de Resiliência Operacional Digital será um marco para todas as entidades financeiras, mas, dependendo do tipo, o impacto será mais sentido em algumas áreas do que em outras. No entanto, todas compartilharão o mesmo objetivo principal da diretriz: garantir a segurança das infraestruturas e sistemas digitais contra possíveis ciberameaças.” No caso dos bancos, será necessário reforçar a proteção de seus sistemas críticos contra ataques cibernéticos, supervisionar rigorosamente seus fornecedores tecnológicos e garantir uma resposta rápida a incidentes. “Os bancos sempre estiveram na vanguarda da inovação tecnológica e digital, bem como na implementação de medidas de proteção e antifraude, tanto de forma proativa quanto por obrigação regulatória. Ainda assim, o DORA impõe um aumento significativo no esforço dedicado à gestão do risco de um ciberataque e na necessidade de relatar certos incidentes”, explica. Da mesma forma, as seguradoras também precisarão implementar controles mais rígidos para proteger os dados sensíveis dos clientes e desenvolver planos de contingência para interrupções operacionais.
No caso das gestoras de ativos e bancos privados, a especialista destaca que “o DORA exigirá maior controle sobre fornecedores externos e medidas avançadas de cibersegurança para proteger informações financeiras sensíveis, além da obrigatoriedade de reportar certas incidências. As gestoras de ativos deverão garantir a continuidade operacional por meio de testes periódicos de recuperação, enquanto os bancos privados precisarão demonstrar altos padrões de segurança para manter a confiança de seus clientes mais exigentes”, acrescenta.
Em preparação
As entidades já estão trabalhando nisso, reforçando seus sistemas de gestão de riscos tecnológicos e seus controles. “As empresas precisam aumentar seus esforços, aprimorando seus sistemas de gestão de riscos tecnológicos, implementando controles avançados de cibersegurança e garantindo que tudo funcione em caso de um ataque ou falha no sistema. Ter um plano claro para reagir rapidamente caso algo dê errado e melhorar a cultura de segurança de todos os funcionários é essencial”, explica Lozano.
A normativa entrou em vigor no último dia 17 de janeiro, mas, anteriormente, todas as entidades financeiras tiveram um período de dois anos para realizar um exercício de introspecção e análise para medir a resiliência operacional de seus sistemas e infraestruturas digitais, relembra Paradinas. Para cumprir o DORA, a especialista enfatiza que “é fundamental que as empresas e seus fornecedores de serviços tecnológicos possuam os recursos técnicos e humanos necessários para manter a continuidade e qualidade dos serviços, mesmo diante de situações que ameacem a confidencialidade, disponibilidade, integridade ou autenticidade das informações.”
O DORA estabelece obrigações específicas para fornecedores de serviços tecnológicos e de processamento de dados que trabalham com entidades financeiras, pois, caso contrário, a terceirização de serviços poderia comprometer a resiliência digital, explica a especialista. “Embora isso signifique que os fornecedores de TI precisem se adaptar, aqueles que já possuem processos rigorosos de cibersegurança já avançaram nesse caminho. Normas internacionais como as ISO 27001 e 27701, voltadas para a segurança e privacidade da informação, já ofereciam um arcabouço para gerenciar riscos, melhorar a resiliência digital e garantir a excelência operacional. Embora o DORA introduza requisitos mais detalhados e específicos para a indústria financeira, com caráter legalmente vinculante, essas bases prévias fornecem um ponto de partida sólido para construção”, afirma.
“Nesse sentido, entidades como o Banco da Espanha e a Comissão Nacional do Mercado de Valores atuaram como guias durante todo o processo. Essas organizações publicaram, de forma recorrente, boletins e formulários adaptados a cada fase da preparação. Esse suporte foi fundamental para que as instituições financeiras aprimorassem sua infraestrutura digital, otimizassem a gestão de riscos e fortalecessem a confiança nos serviços financeiros digitais na Europa”, acrescenta.
Desafios e oportunidades
A normativa oferece às entidades a oportunidade de se tornarem mais fortes em um ambiente cada vez mais vulnerável a ataques cibernéticos, algo que ajudará a gerar mais confiança entre os clientes e até impulsionar contratações. “Era um passo necessário. A sociedade está caminhando de forma irreversível para um ecossistema totalmente digital, onde a totalidade dos nossos ativos financeiros estará nesse formato. Portanto, bancos e outras organizações que lidam com esses bens precisam garantir a máxima proteção contra as ameaças digitais. Dessa forma, todas as entidades financeiras terão seus processos reforçados e poderão garantir um serviço adequado, minimizando a probabilidade e o impacto de um ataque”, explica Paradinas.
“Eu destacaria duas grandes oportunidades: o fortalecimento da confiança dos clientes e a vantagem competitiva de aprimorar a segurança e a inovação”, acrescenta Lozano. Para Rodríguez, o DORA também pode impulsionar a contratação de profissionais de tecnologia, pois há demanda por especialistas qualificados. “Além disso, pode ser um incentivo para que as entidades invistam na capacitação e desenvolvimento profissional dos funcionários da área”, afirma.
Mas também há desafios, especialmente para entidades menores, devido à necessidade de dispor de recursos técnicos e humanos adequados, além do conhecimento sobre a regulamentação. “Em outras palavras, fatores como tamanho, conhecimento, capacidades, recursos financeiros e organizacionais de cada entidade terão um impacto direto no sucesso da implementação do DORA”, explica o especialista. “Por isso, o apoio e a colaboração do regulador serão fundamentais, assim como sua flexibilidade para garantir que, a médio prazo, o regulamento esteja plenamente implementado no setor”, acrescenta.
Ao falar de desafios, Lozano destaca “os altos custos da implementação desses controles avançados de cibersegurança, além das sanções que qualquer entidade pode enfrentar caso não cumpra as exigências.”
Paradinas ressalta, ao falar de desafios, que “essa diretiva surge para minimizar ao máximo os riscos enfrentados pelas entidades financeiras em um ecossistema que avança a passos largos rumo à digitalização completa. Afinal, isso é uma consequência do processo de transformação digital no qual estamos imersos como sociedade.” No entanto, reconhece que o maior desafio para as empresas será o fator tempo: “Garantir, de forma constante e eficiente, a operação de todos os serviços representa uma tarefa complexa que vai além dos custos, envolvendo também infraestrutura, logística e recursos. Além disso, os métodos de fraude e as modalidades de ciberataques estão em constante evolução, com os atacantes desenvolvendo novas estratégias. A longo prazo, apenas uma abordagem baseada em supervisão contínua e inovação permanente permitirá alcançar e manter o nível de segurança necessário. DORA obriga as empresas a adotar essa mentalidade”, conclui.
Por Pedro Pligher