No passado dia 17 de janeiro de 2023, entrou em vigor o novo regulamento DORA (Digital Operational Resilience Act), Lei de Resiliência Operativa Digital, uma normativa da UE que procura melhorar a segurança e a resiliência das entidades financeiras e dos seus fornecedores de serviços TIC face às ameaças e perturbações digitais. A norma será aplicável a todas as entidades financeiras que operam na UE, incluindo bancos, empresas de investimento, plataformas de negociação, contrapartes centrais e outras infraestruturas dos mercados financeiros.

O novo regulamento será obrigatório a partir de 17 de janeiro de 2025, data a partir da qual se abre um período de dois anos para a adaptação aos requisitos estabelecidos na norma. De forma global, os objetivos que a diretiva procura são:

• Estabelecer requisitos uniformes para a gestão do risco, a governabilidade, a supervisão, a notificação, as provas e a auditoria das entidades financeiras e dos seus fornecedores de serviços TIC de funções essenciais.

• Aumentar o grau de resiliência das instituições financeiras, colocando o foco na implementação de estratégias integrais para a continuidade de negócio que garantam a prestação de serviços ao cliente face a eventos disruptivos. As entidades devem reforçar os seus planos de recuperação e os seus sistemas de contingência e de salvaguarda de dados perante incidentes.

• Criação de um mecanismo de supervisão coordenada para as organizações e fornecedores de serviços TIC críticos que operam em vários Estados-Membros, com o objetivo de evitar duplicidades e garantir uma aplicação coerente. As autoridades competentes irão assegurar o cumprimento do quadro normativo estabelecido, auditando as organizações e devendo estas últimas notificar periodicamente face a qualquer incidente ou evento relevante.

• Reforçar o intercâmbio de informação e a cooperação entre as autoridades competentes e os organismos da UE em matéria de cibersegurança e resiliência operativa digital.

Para a GMV, as implicações e desafios que derivam de DORA vão ter um forte papel transformador na arquitetura de processos e sistemas das entidades financeiras. Entre outros, cabe destacar os seguintes aspetos:

• Integração do risco TIC ao mais alto nível de Direção, estabelecendo um modelo de cálculo deste perante qualquer alteração nos processos, sistemas e fornecedores TIC da organização.

• Reformulação integral das estratégias de continuidade:

  • Processos e capacidades de resposta específicos em função da tipologia do incidente.

  • Modelo de cálculo de custos diretos e indiretos do impacto do incidente e obrigação de reportá-los à autoridade competente.

  • Registo de atividade antes, durante e após o incidente.

  • Novas estratégias de segmentação e desconexão imediata de redes e ativos.

  • Plano estruturado de provas de todo o conjunto, auditável e acompanhado de um plano de melhoria contínua.

• Inventário alargado de ativos e serviços críticos, mapeando o suporte de fornecedores e sistemas externos e identificando fontes de risco.

• Grande aposta pela formação e sensibilização para a resiliência e a cibersegurança. Programas integrais e auditados que deverão abranger todos os coletivos da organização.

• Novo modelo de relação com os fornecedores TIC essenciais. Devem identificar-se claramente as cadeias de subcontratação e dependências e informar a autoridade competente sobre mudanças nos contratos estabelecidos. As organizações estarão obrigadas ao desenvolvimento e implementação de estratégias de saída e de redundância para os fornecedores que sustentem uma ou várias das funções essenciais.  Irá também existir um conjunto de requisitos para a homologação destes fornecedores essenciais, no âmbito do quadro europeu, que ajudará a uma melhoria global da resiliência do setor financeiro segundo a perspetiva TIC.

• Esquemas estruturados e homogeneizados para a gestão de operações. Serão estabelecidos modelos comuns para a classificação, registo, cálculo de impacto e notificação de incidentes, existindo a obrigação de comunicar tais eventos à autoridade competente e de partilhá-los com outras entidades do setor, no caso de a gravidade do incidente o exigir. Poderão ser necessárias novas estratégias de monitorização.

• Foco na comunicação e gestão de crises, estabelecendo figuras e responsabilidades dedicadas e potenciando os mecanismos de automatização, incluindo as notificações aos próprios clientes da entidade.

Para a GMV, tendo em vista incrementar o êxito no trabalho de adequação a DORA, considera-se indispensável a adoção de três alavancas-chave. A primeira é a adoção de um framework integral de processos que incorpore a segurança e as operações TIC de forma natural, permitindo ao mesmo tempo a adoção de soluções GRC globais para o seguimento do risco. A segunda advoga por colocar o foco no Dado, mediante a criação de um Data Lake de Resiliência que permita integrar fontes de informação e a aplicação de IA para a tomada de decisões. A terceira, e não menos importante, é a potenciação da hiperautomatização em todas as atividades e sistemas relacionados com a ativação dos Planos de Recuperação e Resiliência.

DORA, longe de ser um mero instrumento de cumprimento normativo, pode representar uma grande oportunidade para a melhoria da Customer eXperience, ajudando a melhorar a qualidade, disponibilidade e segurança dos serviços e, ao mesmo tempo, a potenciar a confiança e o engagement do cliente final. O seu impacto irá também representar um salto qualitativo e de maturidade na prestação de serviços TIC, introduzindo mecanismos de competitividade e melhoria contínua que, sem dúvida, irão resultar no crescimento de todos os players implicados.

A aposta pela GMV neste âmbito é clara: inovação, compromisso e uma grande expertise, apoiada por uma abrangente trajetória em tecnologia e segurança da informação.

**Este artigo foi publicado pela primeira vez na edição online de Comunicaciones Hoy.

Ángel García-Madrid Velázquez
Head of GMV's Resilience Services
Business Continuity Manager