O que é o DORA?

A partir de 17 de janeiro de 2025, as entidades financeiras da União Europeia (UE) e, logo que designados, os prestadores de serviços de terceiros das TIC designados como "críticos" pelas autoridades de supervisão europeias devem estar prontos para cumprir a Lei de Resiliência Operacional Digital da UE (Regulamento (UE) 2022/2554 - "DORA"). O DORA uniformiza a forma como as entidades financeiras reportam incidentes de cibersegurança, testam a sua resiliência operacional digital e gerem o risco de terceiros nas TIC no sector dos serviços financeiros e nos Estados-Membros da UE.

Além de estabelecer expetativas claras para o papel dos fornecedores de TIC, o DORA fornece às Autoridades Europeias de Supervisão (AES) poderes de supervisão directos sobre os fornecedores de TIC críticos designados. A Microsoft está preparada para ser designada como um "fornecedor de serviços crítico de TIC de terceiros" em conformidade com as disposições aplicáveis ao abrigo do DORA e ajudará as instituições financeiras regulamentadas a cumprirem os seus próprios requisitos.

O DORA tem como objetivo proporcionar uma abordagem harmonizada para alcançar "um elevado nível de resiliência operacional digital" da indústria de serviços financeiros (FSI), garantindo que as empresas podem resistir e adaptar-se a uma vasta gama de ameaças e perturbações, incluindo ciberataques, falhas de TI e outros riscos operacionais. O DORA aplica-se a uma vasta gama de entidades FSI, incluindo bancos, instituições de seguros, bolsas de valores e plataformas comerciais.

Principais pontos

1. Objetivo do DORA: o DORA procura melhorar a resiliência e a estabilidade do setor de FSI, garantindo que as entidades de FSI têm em vigor medidas eficazes para gerir e mitigar riscos operacionais, incluindo riscos cibernéticos. Visa proteger os consumidores, os investidores e o sistema de FSI mais vasto das consequências potencialmente graves de grandes perturbações ou falhas no sector.
2. Âmbito: O DORA aplica-se às entidades de FSI que operam na União Europeia e aos seus fornecedores de TIC terceiros que prestam serviços na UE, independentemente de onde estas operem. Aplica-se igualmente aos Fornecedores Críticos de Terceiros (CTPPs) designados pelos ESAs, confiados à supervisão diária de um dos três ESAs, ou seja, EBA, EIOPA ou ESMA.
3. Aprovisionamentos principais: o DORA inclui principalmente três requisitos:
   1. Requisitos aplicáveis a entidades FSI, incluindo em áreas de Gestão de Riscos de TIC, notificação de incidentes de TIC principais e testes de resiliência operacional, como testes de penetração liderados por ameaças.
   2. Requisitos relativos aos acordos contratuais concluídos entre fornecedores de serviços de terceiros designados de TIC e entidades FSI
   3. Regras para o estabelecimento e a condução do quadro de supervisão para Fornecedores de TIC Críticos de Terceiros (CTPPs) ao fornecer serviços a entidades FSI.
4. Conformidade: a Microsoft cumpre todas as leis e regulamentos que lhe são aplicáveis na prestação dos seus serviços, sujeito a requisitos que lhe sejam aplicados como CTPP, bem como aos requisitos do DORA que a Microsoft deverá cumprir ao serviço de entidades FSI com o serviço de TIC normal e também crítico. As entidades FSI que tenham em vigor disposições contratuais para a utilização da Microsoft serviços online para executar as suas funções críticas ou importantes permanecerão responsáveis pelo cumprimento de todas as obrigações ao abrigo do DORA e dos requisitos regulamentares dos serviços financeiros aplicáveis. A Microsoft suporta entidades FSI para ativar as suas obrigações de conformidade e cumprir os requisitos aplicáveis.
5. Serviços cloud e fornecedores: o DORA foi concebido para ser neutro em termos de tecnologia e os requisitos ao abrigo do DORA aplicam-se não só a entidades FSI, mas também a fornecedores terceiros de serviços de TIC.
6. Compromissos contratuais: o DORA determina determinados requisitos contratuais entre os fornecedores de serviços de terceiros de TIC e as entidades FSI. A Microsoft garante que as suas disposições contratuais estão em conformidade com o requisito ao abrigo do DORA, conforme adequado. Além disso, a Microsoft já está alinhada com os requisitos emitidos ao abrigo da documentação de orientação EBA, ESMA e EIOPA - e essa orientação em si serve como uma estrutura de linha de base para os requisitos no âmbito do DORA.
7. Supervisão: o DORA não alivia as entidades de FSI da supervisão dos fornecedores de tecnologia, incluindo auditorias, se considerado um requisito. A Microsoft fornece uma grande quantidade de informações de garantia aos clientes, como atestados de terceiros, dados de desempenho, informações de incidentes, relatórios anuais e trimestrais que podem ajudar a avaliar a Microsoft como fornecedor de tecnologia. O Programa de Conformidade para Microsoft Cloud (CPMC) é um serviço de suporte premium que pode ajudar a resolver cenários mais específicos e complicados que os membros podem enfrentar. Se necessário, a Microsoft tem uma experiência substancial de suporte aos clientes na execução de auditorias e no fornecimento de um nível de transparência e garantia para a supervisão e monitorização contínuas dos seus serviços cloud.

O DORA tem como objetivo reforçar a resiliência operacional do sector da FSI e procura reforçar a gestão de riscos para que as empresas possam resistir e adaptar-se a uma vasta gama de ameaças e perturbações. A Microsoft cumpre todas as leis e regulamentos aplicáveis ao fornecimento dos respetivos serviços cloud, sujeitos aos requisitos que lhe são aplicados como CTPP. As entidades FSI que tenham em vigor disposições contratuais para a utilização de serviços de terceiros de TIC permanecerão responsáveis pelo cumprimento de todas as obrigações ao abrigo do DORA e dos requisitos regulamentares dos serviços financeiros aplicáveis, aos quais a Microsoft irá suportar conforme necessário.

Áreas primárias para consideração do cliente no DORA

Arquitetura de gestão de riscos de TIC

A Lei de Resiliência Operacional Digital (DORA) estabelece um mecanismo de gestão abrangente de riscos de TIC com o qual as entidades financeiras serão obrigadas a cumprir, incluindo a identificação, proteção e prevenção, deteção, resposta e recuperação desses riscos no âmbito. As entidades financeiras têm de estabelecer um quadro de governação e controlo internos para a gestão de riscos de TIC e envolver-se na monitorização contínua dos riscos de TIC. Estes requisitos de gestão e monitorização de riscos de TIC expandem-se à utilização de serviços de TIC fornecidos por fornecedores de terceiros.

Os elementos desta arquitetura de gestão de riscos de TIC abrangem amplamente:

• Quadro interno de governação e controlo para a gestão de riscos de TIC: as entidades financeiras têm de ter um quadro de governação e controlo interno que garanta uma gestão eficaz e prudente do risco de TIC.
• Componentes e requisitos da estrutura de gestão de riscos de TIC: a estrutura de gestão de riscos de TIC tem de incluir estratégias, políticas, procedimentos, protocolos de TIC e ferramentas necessárias para proteger e garantir a resiliência, continuidade e disponibilidade de sistemas de TIC, recursos de informação e dados.
• Especificações de sistemas, protocolos e ferramentas de TIC: as entidades financeiras têm de utilizar e manter sistemas de TIC atualizados, protocolos e ferramentas adequados, fiáveis, resilientes e capazes de processar os dados necessários para as suas atividades e serviços. Também têm de implementar políticas de segurança de TIC, procedimentos, protocolos e ferramentas que visam garantir a segurança das redes e dos dados e impedir incidentes relacionados com as TIC.
• Identificação de dependências e origens de risco de TIC: as entidades financeiras têm de identificar, classificar e documentar todas as funções empresariais suportadas por TIC, recursos de informação e recursos de TIC, bem como as respetivas funções e dependências em relação ao risco de TIC. Também têm de identificar todas as fontes de risco de TIC, ameaças cibernéticas e vulnerabilidades de TIC e avaliar o impacto potencial das perturbações das TIC.
• Deteção de anomalias e incidentes relacionados com TIC: as entidades financeiras têm de ter mecanismos para detetar prontamente atividades anómalas, problemas de desempenho da rede de TIC e incidentes relacionados com as TIC e identificar potenciais pontos únicos de falha. Também têm de definir limiares e critérios de alerta para acionar e iniciar processos de resposta a incidentes relacionados com TIC.
• Resposta e recuperação de incidentes relacionados com TIC: as entidades financeiras têm de ter uma política abrangente de continuidade de negócio de TIC e planos de resposta e recuperação de TIC associados que visam garantir a continuidade de funções críticas ou importantes, de forma rápida e eficaz resolve incidentes relacionados com TIC e minimizar danos e perdas. Devem igualmente testar, rever e actualizar regularmente os seus planos e medidas e apresentar relatórios às autoridades competentes, conforme necessário.

Como a Microsoft ajuda na gestão de riscos

A Microsoft já fornece um vasto conjunto de capacidades de gestão de riscos de TIC incorporadas nos nossos serviços atualmente, incluindo:

• Microsoft Defender para Nuvem
• Dashboard do Estado de Funcionamento do Serviço do Microsoft 365
• Microsoft Secure Score
• Azure Service Health
• Microsoft Purview
• Gerenciador de Conformidade do Microsoft Purview

A CPMC também fornece suporte para avaliações de riscos, ajudando os membros a mapear as respetivas arquiteturas de controlo e requisitos para as implementações da Microsoft.

A Microsoft fornece soluções adicionais para entidades financeiras para ajudar na gestão de riscos de forma mais abrangente, incluindo:

• Microsoft Entra fornece gestão integrada de identidades, acessos e autorizações com capacidades de proteção melhoradas e sustenta os serviços Microsoft Cloud. Certifique-se de que marcar a nossa documentação de orientação detalhada do DORA para Microsoft Entra.
• Microsoft Defender fornece deteção integrada, deteção de ameaças entre domínios, proteção e resposta em várias clouds, e-mail, plataformas de colaboração, identidade e pontos finais.
• O Microsoft 365 Purview oferece um conjunto abrangente de soluções de conformidade e segurança de dados, incluindo Prevenção de Perda de Dados, Proteção de Informações, Barreiras de Informação, Gestão de Riscos Internos, Conformidade de Comunicações, Deteção de Dados Eletrónicos, Ciclo de Vida dos Dados e Gestão de Registos.
• Microsoft Intune gere e protege pontos finais ligados à cloud em sistemas operativos Windows, Android, macOS, iOS e Linux.
• Microsoft Copilot para Segurança tira partido da assistência gerada com tecnologia de IA para proteger e responder a ameaças em escala e à velocidade da IA.
• O Microsoft Purview e o Azure Arc ajudam-no a governar, proteger e gerir o património de dados em ambientes no local, do Azure e de várias clouds. Além disso, expande ainda mais a governação de dados de forma totalmente integrada para o Microsoft 365 SaaS.
• Backup do Azure, Site Recovery do Azure e Centro de Continuidade de Negócios do Azure fornecem soluções específicas para a continuidade e recuperação do negócio através dos recursos do Azure implementados. Backup do Microsoft 365 é a cópia de segurança para dados não estruturados.

Princípios-chave para uma boa gestão do risco de terceiros de TIC

Espera-se que as entidades financeiras façam a gestão do risco de terceiros das TIC como parte do respetivo quadro de gestão de riscos de TIC, adotem uma estratégia e uma política sobre a utilização de serviços de TIC que suportem funções críticas ou importantes e mantenham um registo de informações sobre todos os acordos contratuais com fornecedores de serviços de TIC de terceiros.

• Avaliação preliminar antes de entrar em contratos: as entidades financeiras devem avaliar os riscos de contratação com fornecedores de serviços de terceiros chave de TIC.
• Disposições contratuais fundamentais: as entidades financeiras devem garantir que as disposições contratuais incluam, entre outras coisas, uma descrição das funções e serviços, as localizações de processamento e armazenamento de dados, a gestão e a supervisão dos subcontratantes-chave que sustentam a prestação de serviços críticos, as medidas de proteção e segurança de dados, as descrições do nível de serviço e os objetivos de desempenho, os direitos de cessação e as estratégias de saída, e os direitos de acesso, inspecção e auditoria da entidade financeira e das autoridades competentes.

A Microsoft, sendo fornecedora de serviços de terceiros de TIC para o setor, suporta os clientes na resolução destes requisitos.

Como a Microsoft ajuda com a gestão de riscos de terceiros

A Microsoft fornece compromissos contratuais substanciais que se alinham com as orientações dos ESAs e estão em conformidade com as disposições do DORA, incluindo o artigo 30.º. O seu contrato contratual connosco, que pode incluir os nossos Contratos Enterprise, a Adenda à Proteção de Dados (DPA) de Produtos e Serviços da Microsoft, secções aplicáveis dos nossos Termos de Produto e, para entidades financeiras reguladas, a nossa Emenda dos Serviços Financeiros, abrange os elementos necessários ao abrigo do DORA. Foram feitos ajustes para ajudar os clientes a cumprir os requisitos do DORA. O nosso documento de mapeamento DORA, disponível mediante pedido através do seu contacto da Microsoft, esclarece como os nossos compromissos contratuais se alinham com o DORA. Continuaremos a trabalhar com os clientes para responder às suas necessidades para garantir a conformidade contínua.

A gestão de riscos de terceiros de TIC ao abrigo do DORA estende-se para além da Microsoft e abrange também outros terceiros do ponto de vista da entidade financeira. Existem algumas soluções que oferecemos para ajudar a lidar com riscos de terceiros de forma mais abrangente, incluindo:

• Microsoft Defender para Aplicativos de Nuvem fornece capacidades abrangentes de visibilidade, controlo e avaliação para aplicações e serviços de terceiros, mitigando riscos associados a fornecedores de TIC externos. A deteção de aplicações na cloud pode detetar aplicações de terceiros em utilização (TI sombra) e fornecer relatórios de avaliação de riscos.
• O Microsoft Purview ajuda na governação de dados unificada para além das soluções na cloud da Microsoft. Também pode governar, proteger e gerir o seu património de dados em clouds de terceiros.
• O Gestor de Conformidade do Microsoft Purview ajuda em avaliações de risco de terceiros e gestão de conformidade do fornecedor em relação a mais de 300 normas, diretrizes e regulamentos, oferecendo informações e ações para identificar lacunas e mitigar riscos para a Cloud da Microsoft, bem como para ambientes híbridos e multicloud. Também inclui modelos de avaliação para outros fornecedores de cloud.

A Microsoft também disponibiliza listas de verificação no Portal de Confiança do Serviço para clientes do setor de serviços financeiros que procuram orientações regionais e específicas do país.

TIC – Gestão, classificação e relatórios de incidentes relacionados

São necessários vários requisitos para as entidades financeiras da UE relativamente à gestão, classificação e relatórios de incidentes de TIC, incluindo o seguinte:

• Processo de gestão de incidentes relacionado com TIC: as entidades financeiras têm de ter um processo para detetar, gerir e notificar incidentes relacionados com as TIC e registá-los de acordo com a sua prioridade e gravidade.
• Classificação de incidentes relacionados com TIC e ameaças cibernéticas: as entidades financeiras têm de classificar os incidentes relacionados com as TIC e as ameaças cibernéticas com base em critérios como o número de clientes afetados, a duração, a propagação geográfica, as perdas de dados, a importância dos serviços e o impacto económico.
• Relatório de incidentes importantes relacionados com TIC e notificação voluntária de ameaças cibernéticas significativas: as entidades financeiras devem comunicar incidentes importantes relacionados com as TIC à autoridade competente relevante através de formulários e modelos padrão e informar os seus clientes sobre o incidente e as medidas de mitigação. As entidades financeiras também podem notificar voluntariamente ameaças cibernéticas significativas à autoridade competente relevante.
• Harmonização do conteúdo e dos modelos de relatórios: os ESAs, através do Comité Misto e em consulta com a ENISA e o BCE, desenvolverão projectos de regulamentação comuns e implementarão normas técnicas para especificar o conteúdo, os limites de tempo e o formato dos relatórios e notificações relativos a incidentes relacionados com TIC e ameaças cibernéticas.
• Centralização da comunicação dos principais incidentes relacionados com as TIC: as AE, através do Comité Misto, e em consulta com o BCE e a ENISA, prepararão um relatório conjunto que avalie a viabilidade de centralizar ainda mais os relatórios de incidentes através da criação de um único Hub da UE para relatórios de incidentes importantes relacionados com as TIC por parte de entidades financeiras.

A Microsoft pode ajudar a estabelecer uma arquitetura abrangente de gestão de riscos de TIC para identificar, proteger, detetar, responder e recuperar de interrupções relacionadas com as TIC:

• Microsoft Sentinel é um sistema SIEM nativo da cloud que permite análise, deteção e resposta em tempo real a ameaças de segurança, facilitando a conformidade com os requisitos de relatório de incidentes.
• Microsoft Defender XDR ajuda a priorizar, gerir e responder a incidentes.
• Gerenciamento de Risco Interno do Microsoft Purview fornece uma plataforma ponto a ponto para cobrir riscos internos com políticas, acionadores e alertas sobre comportamentos de risco por parte dos utilizadores.

Para os Serviços Online da Microsoft, pode monitorizar o estado de funcionamento e configurar notificações se forem interrupções diretamente no serviço:

• Dashboard do Estado de Funcionamento do Serviço do Microsoft 365: pode ver o estado de funcionamento dos seus serviços Microsoft, incluindo Office na Web, Microsoft Teams, Exchange Online e Microsoft Dynamics 365 na página Estado de Funcionamento do Serviço no Centro de administração do Microsoft 365.
• Azure Service Health: o Azure oferece um conjunto de experiências para mantê-lo informado sobre o estado de funcionamento dos seus recursos na cloud. Estas informações incluem problemas atuais e futuros, como eventos com impacto no serviço, manutenção planeada e outras alterações que podem afetar a sua disponibilidade.

Teste de resiliência operacional digital

O DORA introduz testes operacionais digitais que devem ser realizados em aplicações e sistemas de TIC críticos numa base anual para trienal através de testes de penetração liderados por ameaças (TLPT). Esta nova abordagem de teste reforça as capacidades de teste das entidades financeiras, promovendo a recuperação oportuna e a continuidade do negócio. A Microsoft já permite que os clientes o façam através do nosso programa de testes de penetração. Saiba mais sobre as Regras de Interação dos Testes de Penetração na Cloud da Microsoft e os nossos programas Bug Bounty . A Microsoft irá continuar a trabalhar e suportar os requisitos de teste para cumprir os requisitos neste regime de teste, conforme exigido no DORA, em conformidade com os princípios de garantir a segurança, integridade, segurança e resiliência operacional da Microsoft Cloud.

Como a Microsoft ajuda com os testes de resiliência operacional

A Microsoft realiza regularmente testes de penetração internos e de terceiros para identificar potenciais vulnerabilidades nos sistemas que fornecem a nossa serviços online. Os relatórios de testes de penetração de terceiros para os Serviços Online da Microsoft aplicáveis estão disponíveis para transferência no Portal de Confiança do Serviço.

Além dos testes de vulnerabilidades, a Microsoft testa a resiliência dos seus Serviços Online , pelo menos, anualmente. A Microsoft fornece Relatórios de Validação do Plano de Continuidade de Negócio e Recuperação Após Desastre no Portal de Confiança do Serviço que descrevem a validação e manutenção dos planos BCDR para serviços online selecionados.

O compromisso da Microsoft de ativar a conformidade no DORA

A Microsoft prepara-se para cumprir os requisitos do DORA, conforme aplicável, e os principais serviços que fornece às entidades financeiras que utilizam os seus serviços cloud para funções críticas ou importantes. Durante mais de uma década, a Microsoft investiu significativamente em ajudar as instituições financeiras a cumprir as suas obrigações regulamentares ao utilizar os serviços cloud da Microsoft , desde os contratos comerciais que disponibilizamos de forma consistente com as diretrizes do ESAs sobre o outsourcing, até à transparência e garantia dos nossos serviços cloud através do Portal de Confiança do Serviço e de outros recursos, até à miríade de funcionalidades de segurança incorporadas nos nossos serviços cloud. Juntamente com a amplitude das capacidades que oferecemos para ajudar os clientes a gerir o risco e supervisionar a utilização dos nossos serviços cloud continuamente, os elementos do DORA são um passo natural para manter a resiliência operacional e utilizar os serviços cloud da Microsoft com confiança. Também estamos a trabalhar com outros reguladores em jurisdições como o Reino Unido que estão a implementar medidas semelhantes à DORA e que se preparam para cumprir esses requisitos também.

O fortalecimento da resiliência operacional é um tópico abrangente que se estende para além de simplesmente garantir a conformidade do DORA ou abordar os riscos de fornecedor e concentração, e requer uma estratégia e visão que liga a gestão de riscos com uma visão sobre como implementar tecnologia e otimizar processos com resiliência em mente. Acreditamos que a tecnologia da cloud e as inovações, como a IA, têm um papel importante a desempenhar, uma vez que é fundamental ajudar a reforçar as proteções contra falhas inesperadas, aumentar a fiabilidade global dos serviços e operações e reforçar a cibersegurança. Como passo seguinte, considere rever o E-Book da Lei de Resiliência Operacional Digital (DORA) da Microsoft, que descreve seis passos que pode seguir para criar resiliência operacional.