Preparando-se para a conformidade com a DORA: chaves para instituições financeiras

A Lei de Resiliência Operacional Digital (DORA) da União Europeia foi criada para melhorar a resiliência operacional digital do setor financeiro. Essa legislação, que entrará em vigor em janeiro de 2025, estabelece novos requisitos e padrões para que as instituições financeiras gerenciem com eficácia os riscos tecnológicos e garantam a continuidade de seus serviços. À medida que o prazo se aproxima, as instituições financeiras devem começar a implementar medidas para cumprir a DORA. Neste artigo, explicaremos as principais etapas que as organizações devem seguir para se prepararem.

1. revisar e atualizar as políticas internas de gerenciamento de riscos tecnológicos

As instituições financeiras devem avaliar os riscos que afetam suas infraestruturas de tecnologia, incluindo a análise de possíveis ameaças cibernéticas, falhas operacionais ou vulnerabilidades em seus sistemas.
As políticas internas devem incluir uma abordagem proativa, não apenas para evitar ataques cibernéticos, mas também para garantir que as organizações possam responder rapidamente a qualquer tipo de incidente.

2. Teste de resiliência digital e continuidade de serviços

O Regulamento DORA exige que as instituições financeiras realizem testes periódicos de resiliência operacional digital. Esses testes devem simular situações extremas, como ataques cibernéticos em massa ou falhas tecnológicas significativas, para avaliar a capacidade da organização de manter a continuidade dos serviços. É essencial que esses testes sejam abrangentes e cubram tanto os sistemas internos quanto os dos prestadores de serviços de tecnologia.

3. Gerenciamento dos prestadores de serviços de tecnologia

As entidades devem exigir que seus provedores implementem medidas de segurança adequadas, garantindo que estejam preparados para lidar com incidentes e que possam colaborar de forma eficiente durante situações de crise. A transparência e a colaboração no gerenciamento de riscos entre as instituições financeiras e seus provedores são fundamentais para atender aos requisitos do DORA.

4. Notificação oportuna de incidentes

O DORA estabelece prazos rigorosos para a notificação de incidentes graves relacionados a TIC. As instituições financeiras devem informar as autoridades competentes dentro de um prazo especificado no caso de um incidente significativo. Essa obrigação não visa apenas aumentar a transparência, mas também facilitar uma resposta coordenada às ameaças.
É essencial que as instituições desenvolvam sistemas internos para detectar e relatar incidentes de forma rápida e eficaz.

5. Fortalecimento da conscientização e do treinamento em segurança cibernética

A cultura organizacional deve promover uma mentalidade de resiliência, em que todos os funcionários estejam cientes dos riscos tecnológicos e da importância de seguir os procedimentos de segurança estabelecidos.

6. Colaboração e compartilhamento de informações.

As plataformas de compartilhamento de informações devem ser seguras e permitir que as instituições colaborem de forma eficiente sem comprometer a confidencialidade de seus dados. A criação de redes de colaboração entre instituições financeiras ajudará a fortalecer a segurança coletiva do setor e a melhorar os recursos de resposta a incidentes.