Compartilhar via

O que é o DORA?

  • Artigo

A partir de 17 de janeiro de 2025, as entidades financeiras da União Europeia (UE) e os prestadores de serviços de terceiros designados como "críticos" pelas Autoridades Europeias de Supervisão têm de estar prontos para cumprir a Lei de Resiliência Operacional Digital da UE (Regulamento (UE) 2022/2554 - "DORA"). O DORA uniformiza a forma como as entidades financeiras reportam incidentes de cibersegurança, testam a sua resiliência operacional digital e gerem o risco de terceiros nas TIC no sector dos serviços financeiros e nos Estados-Membros da UE.

Além de estabelecer expetativas claras para o papel dos fornecedores de TIC, o DORA fornece às Autoridades Europeias de Supervisão (AES) poderes de supervisão directos sobre os fornecedores de TIC críticos designados. A Microsoft prepara-se para ser designada como um "fornecedor de serviços crítico de TIC de terceiros" e irá cumprir as disposições aplicáveis ao abrigo do DORA e ajudar as instituições financeiras regulamentadas a cumprir os seus próprios requisitos.

Arquitetura regulamentar

O DORA tem como objetivo proporcionar uma abordagem harmonizada para alcançar "um elevado nível de resiliência operacional digital" da indústria de serviços financeiros (FSI), garantindo que as empresas podem resistir e adaptar-se a uma vasta gama de ameaças e perturbações, incluindo ciberataques, falhas de TI e outros riscos operacionais. O DORA aplica-se a uma vasta gama de entidades FSI, incluindo bancos, instituições de seguros, bolsas de valores e plataformas comerciais. Também designará, pela primeira vez, "prestadores de serviços críticos de TIC de terceiros" ou CTPPs considerados críticos para o sistema financeiro, fornecendo serviços críticos às entidades de FSI, resultando numa supervisão regulamentar directa dessas empresas designadas.

Principais pontos

  1. Objetivo do DORA: o DORA procura melhorar a resiliência e a estabilidade do setor de FSI, garantindo que as entidades de FSI têm em vigor medidas eficazes para gerir e mitigar riscos operacionais, incluindo riscos cibernéticos. Visa proteger os consumidores, os investidores e o sistema de FSI mais vasto das consequências potencialmente graves de grandes perturbações ou falhas no sector
  2. Âmbito: O DORA aplica-se às entidades FSI que operam na União Europeia e aos seus fornecedores terceiros de TIC que prestam serviços na UE, independentemente de onde estes operam. Aplica-se igualmente aos Fornecedores Críticos de Terceiros (CTPPs) designados pelos ESAs, confiados à supervisão diária de um dos três ESAs, ou seja, EBA, EIOPA ou ESMA.
  3. Disposições-chave: o DORA inclui principalmente três requisitos: (i) requisitos aplicáveis às entidades FSI (incluindo em áreas de Gestão de Riscos de TIC, notificação de incidentes de TIC principais e testes de resiliência operacional (Nomeadamente Testes de Penetração Liderados por Ameaças)), (ii) requisitos relativos aos acordos contratuais concluídos entre fornecedores de serviços de terceiros de TIC designados e entidades FSI e (iii) regras para o estabelecimento e a conduta do Framework de Supervisão para Fornecedores de TIC (CTPPs) críticos ao fornecer serviços a entidades FSI.
  4. Conformidade: a Microsoft cumprirá todas as leis e regulamentos que lhe são aplicáveis na prestação dos seus serviços, sujeitos aos requisitos que lhe são aplicados como CTPP. As entidades FSI que tenham em vigor disposições contratuais para a utilização da Microsoft serviços online para executar as suas funções críticas ou importantes permanecerão responsáveis pelo cumprimento de todas as obrigações ao abrigo do DORA e dos requisitos regulamentares dos serviços financeiros aplicáveis. A Microsoft irá suportar entidades FSI para ativar as suas obrigações de conformidade e cumprir os requisitos aplicáveis.
  5. Serviços cloud e fornecedores: o DORA é neutro em termos de tecnologia e os requisitos ao abrigo do DORA aplicam-se não só a entidades FSI, mas também a fornecedores de terceiros de serviços de TIC designados como CTTPs. É provável que determinados serviços cloud do Microsoft Azure (por exemplo, IAAS) e determinados serviços do Microsoft 365, como o Exchange e o Teams, sejam abrangidos pelo DORA, mas isso ainda não foi determinado.
  6. Compromissos contratuais: o DORA determina determinados requisitos contratuais entre os fornecedores de serviços de terceiros de TIC e as entidades FSI. A Microsoft garantirá que as suas disposições contratuais estão em conformidade com o requisito ao abrigo do DORA, conforme adequado. Além disso, a Microsoft já está alinhada com os requisitos emitidos ao abrigo das orientações EBA, ESMA e EIOPA – e essa orientação em si serve como uma estrutura de linha de base para os requisitos no âmbito do DORA.
  7. Supervisão: o DORA não alivia as entidades de FSI da supervisão dos fornecedores de tecnologia, incluindo em auditorias. A Microsoft tem uma experiência substancial de suporte aos clientes na execução de auditorias e no fornecimento de um nível de transparência e garantia para a supervisão e monitorização contínuas dos seus serviços cloud.

O DORA tem como objetivo reforçar a resiliência operacional do sector da FSI e procura reforçar a gestão de riscos para que as empresas possam resistir e adaptar-se a uma vasta gama de ameaças e perturbações. A Microsoft cumprirá todas as leis e regulamentos aplicáveis ao fornecimento dos respetivos serviços cloud, sujeitos aos requisitos que lhe são aplicados como CTTP. As entidades FSI que tenham em vigor disposições contratuais para a utilização de serviços de terceiros de TIC permanecerão responsáveis pelo cumprimento de todas as obrigações ao abrigo do DORA e dos requisitos regulamentares dos serviços financeiros aplicáveis, aos quais a Microsoft irá suportar conforme necessário.

Áreas primárias para consideração do cliente no DORA

Arquitetura de gestão de riscos de TIC

A Lei de Resiliência Operacional Digital (DORA) estabelece um mecanismo de gestão abrangente de riscos de TIC com os quais as entidades financeiras serão obrigadas a cumprir, incluindo a identificação, proteção e prevenção, deteção, resposta e recuperação desses riscos no âmbito. As entidades financeiras têm de estabelecer um quadro de governação e controlo internos para a gestão de riscos de TIC e envolver-se na monitorização contínua dos riscos de TIC. Estes requisitos de gestão e monitorização de riscos de TIC expandem-se à utilização de serviços de TIC fornecidos por fornecedores de terceiros.

Os elementos desta arquitetura de gestão de riscos de TIC abrangem amplamente:

  • Quadro interno de governação e controlo para a gestão de riscos de TIC: as entidades financeiras têm de ter um quadro de governação e controlo interno que garanta uma gestão eficaz e prudente do risco de TIC.
  • Componentes e requisitos da estrutura de gestão de riscos de TIC: a estrutura de gestão de riscos de TIC tem de incluir estratégias, políticas, procedimentos, protocolos de TIC e ferramentas necessárias para proteger e garantir a resiliência, continuidade e disponibilidade de sistemas de TIC, recursos de informação e dados.
  • Especificações de sistemas, protocolos e ferramentas de TIC: as entidades financeiras têm de utilizar e manter sistemas de TIC atualizados, protocolos e ferramentas adequados, fiáveis, resilientes e capazes de processar os dados necessários para as suas atividades e serviços. Também têm de implementar políticas de segurança de TIC, procedimentos, protocolos e ferramentas que visam garantir a segurança das redes e dos dados e impedir incidentes relacionados com as TIC.
  • Identificação de dependências e origens de risco de TIC: as entidades financeiras têm de identificar, classificar e documentar todas as funções empresariais suportadas por TIC, recursos de informação e recursos de TIC, bem como as respetivas funções e dependências em relação ao risco de TIC. Também têm de identificar todas as fontes de risco de TIC, ameaças cibernéticas e vulnerabilidades de TIC e avaliar o impacto potencial das perturbações das TIC.
  • Deteção de anomalias e incidentes relacionados com TIC: as entidades financeiras têm de ter mecanismos para detetar prontamente atividades anómalas, problemas de desempenho da rede de TIC e incidentes relacionados com as TIC e identificar potenciais pontos únicos de falha. Também têm de definir limiares e critérios de alerta para acionar e iniciar processos de resposta a incidentes relacionados com TIC.
  • Resposta e recuperação de incidentes relacionados com TIC: as entidades financeiras têm de ter uma política abrangente de continuidade de negócio de TIC e planos de resposta e recuperação de TIC associados que visam garantir a continuidade de funções críticas ou importantes, de forma rápida e eficaz resolve incidentes relacionados com TIC e minimizar danos e perdas. Devem igualmente testar, rever e actualizar regularmente os seus planos e medidas e apresentar relatórios às autoridades competentes, conforme necessário.

Como a Microsoft ajuda na gestão de riscos

A Microsoft já fornece um vasto conjunto de capacidades de gestão de riscos de TIC incorporadas nos nossos serviços atualmente. Isto inclui, a título de exemplo: Microsoft Defender para a Cloud, Dashboard do Estado de Funcionamento do Serviço do Microsoft 365, Classificação de Segurança da Microsoft, Azure Service Health, Microsoft Purview e Gestor de Conformidade do Microsoft Purview.

TIC – Gestão, classificação e relatórios de incidentes relacionados

São necessários vários requisitos para as entidades financeiras da UE relativamente à gestão, classificação e relatórios de incidentes de TIC, incluindo o seguinte:

  • Processo de gestão de incidentes relacionado com TIC: as entidades financeiras têm de ter um processo para detetar, gerir e notificar incidentes relacionados com as TIC e registá-los de acordo com a sua prioridade e gravidade.
  • Classificação de incidentes relacionados com TIC e ameaças cibernéticas: as entidades financeiras têm de classificar os incidentes relacionados com as TIC e as ameaças cibernéticas com base em critérios como o número de clientes afetados, a duração, a propagação geográfica, as perdas de dados, a importância dos serviços e o impacto económico.
  • Relatório de incidentes importantes relacionados com TIC e notificação voluntária de ameaças cibernéticas significativas: as entidades financeiras devem comunicar incidentes importantes relacionados com as TIC à autoridade competente relevante através de formulários e modelos padrão e informar os seus clientes sobre o incidente e as medidas de mitigação. As entidades financeiras também podem notificar voluntariamente ameaças cibernéticas significativas à autoridade competente relevante.
  • Harmonização do conteúdo e dos modelos de relatórios: os ESAs, através do Comité Misto e em consulta com a ENISA e o BCE, desenvolverão projectos de regulamentação comuns e implementarão normas técnicas para especificar o conteúdo, os limites de tempo e o formato dos relatórios e notificações relativos a incidentes relacionados com TIC e ameaças cibernéticas.
  • Centralização da comunicação dos principais incidentes relacionados com as TIC: as AE, através do Comité Misto, e em consulta com o BCE e a ENISA, prepararão um relatório conjunto que avalie a viabilidade de centralizar ainda mais os relatórios de incidentes através da criação de um único Hub da UE para relatórios de incidentes importantes relacionados com as TIC por parte de entidades financeiras.

Teste de resiliência operacional digital

O DORA introduz testes operacionais digitais que devem ser realizados em aplicações e sistemas de TIC críticos numa base anual para trienal através de testes de penetração liderados por ameaças (TLPT). Esta nova abordagem de teste reforça as capacidades de teste das entidades financeiras, promovendo a recuperação oportuna e a continuidade do negócio. A Microsoft já permite que os clientes o façam através do nosso programa de testes de penetração. Saiba mais sobre as Regras de Interação dos Testes de Penetração na Cloud da Microsoft e os nossos programas Bug Bounty . A Microsoft irá continuar a trabalhar e suportar os requisitos de teste para cumprir os requisitos neste regime de teste, conforme exigido no DORA, em conformidade com os princípios de garantir a segurança, integridade, segurança e resiliência operacional da Microsoft Cloud.

Como a Microsoft ajuda com os testes de resiliência operacional

A Microsoft realiza regularmente testes de penetração internos e de terceiros para identificar potenciais vulnerabilidades nos sistemas que fornecem a nossa serviços online. Os relatórios de testes de penetração de terceiros para os Serviços Online da Microsoft aplicáveis estão disponíveis para transferência no Portal de Confiança do Serviço.

Além dos testes de vulnerabilidades, a Microsoft testa a resiliência dos seus Serviços Online , pelo menos, anualmente. A Microsoft fornece Relatórios de Validação do Plano de Continuidade de Negócio e Recuperação Após Desastre no Portal de Confiança do Serviço que descrevem a validação e manutenção dos planos BCDR para serviços online selecionados.

Princípios-chave para uma boa gestão do risco de terceiros de TIC

Espera-se que as entidades financeiras façam a gestão do risco de terceiros das TIC como parte do respetivo quadro de gestão de riscos de TIC, adotem uma estratégia e uma política sobre a utilização de serviços de TIC que suportem funções críticas ou importantes e mantenham um registo de informações sobre todos os acordos contratuais com fornecedores de serviços de TIC de terceiros.

  • Avaliação preliminar antes de entrar em contratos: as entidades financeiras devem avaliar os riscos de contratação com fornecedores de serviços de terceiros chave de TIC.
  • Disposições contratuais fundamentais: as entidades financeiras devem garantir que as disposições contratuais incluam, entre outras coisas, uma descrição das funções e serviços, as localizações de processamento e armazenamento de dados, a gestão e a supervisão dos subcontratantes-chave que sustentam a prestação de serviços críticos, as medidas de proteção e segurança de dados, as descrições do nível de serviço e os objetivos de desempenho, os direitos de cessação e as estratégias de saída, e os direitos de acesso, inspecção e auditoria da entidade financeira e das autoridades competentes.

Como a Microsoft ajuda com a gestão de riscos de terceiros

A Microsoft já fornece compromissos contratuais substanciais que estão em conformidade com as orientações dos respetivos ESAs e em conformidade com as disposições nos termos do artigo 30.º do DORA. A Adenda à Proteção de Dados dos Produtos e Serviços microsoft, os Termos do Produto e a Emenda dos Serviços Financeiros abrangem estes elementos-chave. Vamos trabalhar com os clientes para continuar a responder às necessidades futuras dos clientes.

O compromisso da Microsoft de ativar a conformidade no DORA

A Microsoft prepara-se para cumprir os requisitos do DORA, conforme aplicável, e os principais serviços que fornece às entidades financeiras que utilizam os seus serviços cloud para funções críticas ou importantes. Há mais de uma década que a Microsoft investe significativamente em ajudar as instituições financeiras a cumprir as suas obrigações regulamentares ao utilizar os serviços cloud da Microsoft , desde os contratos comerciais que disponibilizamos de forma consistente com as diretrizes do ESAs sobre o outsourcing, até à transparência e garantia dos nossos serviços cloud através do Portal de Confiança do Serviço e de outros recursos, até à inúmera funcionalidades de segurança incorporadas nos nossos serviços cloud. Juntamente com a amplitude das capacidades que oferecemos para ajudar os clientes a gerir o risco e supervisionar a utilização dos nossos serviços cloud continuamente, os elementos do DORA são um passo natural para manter a resiliência operacional e utilizar os serviços cloud da Microsoft com confiança. Também estamos a trabalhar com outros reguladores em jurisdições como o Reino Unido que estão a implementar medidas semelhantes à DORA e que se preparam para cumprir esses requisitos também.