DORA – Reforçar e Harmonizar a Resiliência Operacional em toda a UE. 

Veja o artigo completo em https://cjcit.com/insight/dora-navigating-the-eus-operativeal-resilience-landscape/

A DORA da UE é inevitável e terá efeitos de propagação fora da União. Ele substitui as diretrizes anteriores de resiliência operacional específicas do setor e supera as disparidades nacionais, harmonizando as diretrizes para as principais áreas de foco em todo o setor financeiro.
cadeia de valor da indústria para estabelecer um quadro comum em toda a união. Esta visão explora os impactos macro da DORA, resumindo as principais seções do texto completo da DORA para definir:

1. O que é DORA e suas 5 áreas de foco?
2. Por que DORA é importante?
3. A quem DORA se aplica?
4. Conformidade DORA vs. Não Conformidade.

As tecnologias digitais são fundamentais para que as empresas financeiras e dos mercados de capitais globais apoiem sistemas complexos, sendo críticas para a prestação de funções empresariais típicas e atividades geradoras de receitas. Digitalização e a interconectividade resultante
permitir uma maior eficiência e poupança de custos, mas também amplificar os riscos das tecnologias da informação e comunicação (TIC) e aumentar a vulnerabilidade do sistema financeiro a ameaças ou perturbações cibernéticas.

Apesar das iniciativas políticas e legislativas específicas a nível nacional, a União Europeia (UE) reconhece a necessidade crítica de harmonizar e reforçar a resiliência operacional nos seus estados membros para proteger a integridade e a eficiência do sistema interno.
mercado, especialmente considerando as crescentes ameaças cibernéticas1 e perturbação
incidentes2. Uma visão recentemente compartilhada pela Liquidnet3:

“A indústria é tão forte quanto o seu elo mais fraco […] 2024 não representará apenas um maior escrutínio regulamentar de conformidade, riscos e controlos, bem como interoperabilidade tecnológica, mas também responsabilidade individual em fazer com que o ecossistema funcione de forma otimizada.”

Para dar resposta aos atuais desafios de resiliência, a UE introduziu a Lei da Resiliência Operacional Digital (DORA) para fortalecer a segurança das TIC e a robustez operacional das entidades financeiras.

O que é DORA e suas 5 áreas de foco?

A DORA foi adotada pelo Parlamento Europeu e pelo Conselho em 14 de dezembro de 2022, com conformidade exigida até 17 de janeiro de 2025. O regulamento visa consolidar e aumentar a resiliência operacional digital em todo o cenário financeiro que tem,
até ao momento, foram abordados separadamente em vários atos jurídicos da União através de um quadro comum4 para a resiliência operacional digital
das entidades financeiras para melhor resistir e recuperar de violações e incidentes de TIC.

As 5 áreas de foco da DORA:

1. Gestão de riscos de TIC.
2. Gerenciamento, classificação e relatórios de incidentes relacionados às TIC.
3. Teste de resiliência operacional digital.
4. Gestão de riscos de terceiros em TIC.
5. Acordos de Compartilhamento de Informações.

Por que DORA é importante?

A DORA baseia-se e substitui diretrizes anteriores específicas do setor para superar disparidades e consolida consistentemente diretrizes para áreas-chave em toda a cadeia de valor. É único porque introduz um quadro de supervisão comum a nível sindical sobre
fornecedores terceirizados de TIC críticos, conforme designados pelas Autoridades Europeias de Supervisão (ESAs)5.

Com o setor financeiro dependente de sistemas digitais de TIC e à medida que a interconectividade cresce, os riscos e vulnerabilidades das TIC terão um impacto transfronteiriço cada vez mais perturbador em toda a União, o que amplifica o efeito das perturbações operacionais e da cibersegurança.
ameaças às empresas financeiras. DORA reconhece que a digitalização abrange agora funções financeiras críticas6 como
pagamentos, compensação de títulos, negociação algorítmica e operações de back-office. Visa reforçar a resiliência operacional destas funções para manter a estabilidade financeira global e proteger a confiança dos consumidores nos mercados internos. DORA pretende preservar
confiança do mercado, garantindo a prestação contínua de serviços financeiros, mesmo em cenários desafiadores.

A quem DORA se aplica?

A DORA aplica-se a todas as instituições financeiras da UE e aos prestadores de serviços terceiros de TIC que prestam serviços para as apoiar. Uma visão recente10 endereçado
esse. O regulamento DORA da UE introduz requisitos específicos e prescritivos para todos os participantes no mercado financeiro.

DORA – Entidades Financeiras

Para cumprir a DORA, as entidades financeiras devem melhorar as práticas de gestão relacionadas com os riscos das TIC, que incluem a identificação, avaliação e mitigação dos riscos associados às operações digitais. A DORA também introduz obrigações de notificação imediata de incidentes de TIC ao
autoridades competentes em caso de perturbações críticas de funções. Além disso, as instituições devem simular regularmente várias perturbações para testar a resiliência operacional e as capacidades de recuperação.

Nomeadamente, a DORA sublinha que as entidades financeiras devem avaliar e gerir o risco de TIC de terceiros dos seus prestadores de serviços e garantir que as disposições contratuais abordem a resiliência operacional. Isto está relacionado com a concentração de risco (DORA Artigo 29.º11)
e segue incidentes como a interrupção do OPRA12e crimes cibernéticos direcionados a fornecedores críticos
na cadeia de abastecimento financeiro, como o hack do Ion Group no ano passado13 or
fornecedores de computação em nuvem14, onde um
um único incidente impacta potencialmente diversas entidades financeiras.

Deve-se notar que o impacto das interrupções não se limita às empresas e aos utilizadores finais, com repercussões potencialmente transbordando para as finanças pessoais, como demonstrado pelo banco DBS15 mais cedo
este ano.

DORA – Dependências de Terceiros e Resiliência Operacional

As entidades financeiras têm dependido cada vez mais de fornecedores terceiros para fornecer partes críticas das suas operações e serviços e, subsequentemente, a DORA também afeta significativamente as dependências de terceiros. Esses terceiros incluem provedores de serviços em nuvem,
fornecedores de dados, desenvolvedores de software e outros parceiros de tecnologia. A terceirização de certas funções pode aumentar a eficiência e reduzir custos, mas, como vimos com o Ion, também introduz novos riscos. As autoridades devem agora olhar para além da resiliência das organizações regulamentadas individuais.
empresas e avaliar a resiliência operacional mais ampla do setor.

A DORA sublinha a importância de práticas robustas de gestão de risco para dependências de terceiros, com o objetivo de reforçar a resiliência global do setor financeiro na era digital. Esses incluem:

1. Amplo escopo do risco de terceiros nas TIC – Para aumentar a resiliência operacional em todo o setor de serviços financeiros, a DORA lança uma ampla rede para definir o risco de terceiros nas TIC. Por exemplo, DORA Artigo 3 (18)16 define
   Risco de TIC de terceiros como qualquer risco de TIC – Artigo 3 (5)17 – que pode surgir para uma entidade financeira resultante da utilização dos serviços de TIC fornecidos
   por um prestador de serviços terceirizado, subcontratados ou acordos de terceirização.
2. Práticas de gestão de risco para fornecedores terceirizados – A DORA exige práticas apropriadas de gestão de risco para fornecedores terceirizados para reduzir os riscos operacionais associados a relacionamentos com terceiros e garantir resiliência. Pretende também implementar um sistema harmonizado
   quadro regulamentar para a gestão de riscos de fornecedores terceiros em toda a UE (artigo 15.º18).
3. Provedores terceirizados de TIC essenciais – A DORA reconhece o papel crítico dos provedores de serviços de TIC em serviços financeiros. Se um terceiro for considerado crítico, como a CJC em alguns casos, deverá cumprir os requisitos da DORA. Notavelmente, terceiros críticos
   fora da UE são obrigados a estabelecer uma subsidiária dentro da UE – Artigo 31 (12)19 – embora preâmbulo (82)20 notas
   o requisito “não deve impedir que terceiros prestadores de serviços de TIC críticos forneçam serviços de TIC e apoio técnico conexo a partir de instalações e infraestruturas localizadas fora da União”.

Falando sobre resiliência operacional e conformidade DORA, Gina Wee, Diretora de Informações da CJC disse: “Desde a implementação de criptografia robusta e controle de acesso rigoroso até a realização de auditorias regulares, a CJC mantém altos níveis de conformidade para garantir que os dados
segurança. Combinado com planejamento proativo, procedimentos adaptativos e uma cultura de melhoria contínua, garantimos serviços ininterruptos aos nossos clientes. Esperamos que o nosso compromisso com a segurança da informação, a resiliência operacional e a responsabilização proporcionem aos nossos
tranquilidade e confiança dos clientes em nossos serviços gerenciados.”

Conformidade DORA vs. Não Conformidade

O risco de não conformidade

O não cumprimento da DORA pode causar danos à reputação, perdas financeiras e penalidades regulatórias. As empresas que não cumpram os requisitos da DORA correm o risco de perturbações operacionais, insatisfação dos clientes e potenciais consequências jurídicas.

Conformidade DORA – 3 Considerações e Melhores Práticas

Para cumprir a DORA, as instituições financeiras devem mapear de forma abrangente as dependências existentes de terceiros e envolver a compreensão dos serviços de funções terceirizadas para identificar dependências críticas. A etapa 2 avalia a resiliência das dependências mapeadas
para avaliar as capacidades operacionais, medidas de segurança e planos de recuperação de desastres do seu fornecedor de serviços. Finalmente, os acordos contratuais com terceiros devem abordar especificamente os requisitos de resiliência operacional. Isto inclui provisões para incidentes
objetivos de relatórios, continuidade de negócios e tempo de recuperação.

Para permanecerem em conformidade, as instituições financeiras podem tomar várias medidas para implementar as melhores práticas para garantir a conformidade contínua com a DORA. Esses incluem:

1. Due Diligence – Ao selecionar fornecedores terceirizados, realize uma devida diligência completa, considerando seu histórico de realizações, estabilidade financeira e resiliência operacional.
2. Teste de cenário – Simule vários cenários com terceiros para testar a eficácia dos planos de recuperação. Isto deve incluir ataques cibernéticos, falhas de sistema e desastres naturais.
3. Monitoramento Contínuo – Monitore regularmente o desempenho e a conformidade de terceiros, estando preparado para se adaptar caso as posturas de resiliência mudem.

Palavras finais:

A DORA não é apenas um regulamento; é uma oportunidade estratégica para aumentar a sua resiliência operacional e construir confiança na era digital. Como principal consultora e fornecedora de serviços de tecnologia de dados de mercado para os mercados financeiros globais, a CJC trata a sua posição
como um fornecedor terceirizado crítico de serviços gerenciados por dados de mercado para a comunidade do mercado de capitais. Não importa o nível de serviço, os padrões e a transparência em conformidade com a DORA estão prontos para uso da CJC, que fornece consultoria premiada,
serviços gerenciados, soluções em nuvem, observabilidade e serviços profissionais de gerenciamento comercial para sistemas de dados de mercado de missão crítica. A CJC é neutra em termos de fornecedor e tem certificação ISO 27001, permitindo aos parceiros da CJC a liberdade de se concentrarem no seu negócio principal.

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• Fonte: https://www.finextra.com/blogposting/26024/dora–navigating-the-eus-operational-resilience-landscape?utm_medium=rssfinextra&utm_source=finextrablogs