Preparação para a conformidade com o DORA: chaves para as instituições financeiras

A Lei de Resiliência Operacional Digital (DORA) da União Europeia foi concebida para melhorar a resiliência operacional digital do sector financeiro. Esta legislação, que entrará em vigor em janeiro de 2025, estabelece novos requisitos e normas para que as instituições financeiras possam gerir eficazmente os riscos tecnológicos e garantir a continuidade dos seus serviços. À medida que o prazo se aproxima, as instituições financeiras devem começar a implementar medidas para cumprir a DORA. Neste artigo, explicaremos as principais medidas que as organizações devem tomar para se prepararem.

1. rever e atualizar as políticas internas de gestão de riscos tecnológicos

As instituições financeiras devem avaliar os riscos que afectam as suas infra-estruturas tecnológicas, incluindo a análise de potenciais ameaças cibernéticas, falhas operacionais ou vulnerabilidades nos seus sistemas.
As políticas internas devem incluir uma abordagem proactiva, não só para prevenir ciberataques, mas também para garantir que as organizações possam responder rapidamente a qualquer tipo de incidente.

2. Testes de resiliência digital e de continuidade dos serviços

O Regulamento DORA exige que as instituições financeiras efectuem testes periódicos de resiliência operacional digital. Estes testes devem simular situações extremas, como ciberataques maciços ou falhas tecnológicas significativas, para avaliar a capacidade da organização para manter a continuidade dos serviços. É essencial que estes testes sejam exaustivos e abranjam tanto os sistemas internos como os dos prestadores de serviços tecnológicos.

3. Gestão dos prestadores de serviços tecnológicos

As entidades devem exigir que os seus fornecedores implementem medidas de segurança adequadas, assegurando que estão preparados para lidar com incidentes e que podem colaborar eficazmente em situações de crise. A transparência e a colaboração na gestão de riscos entre as instituições financeiras e os seus fornecedores são fundamentais para cumprir os requisitos do DORA.

4. Notificação atempada de incidentes

O DORA estabelece prazos rigorosos para a notificação de incidentes graves relacionados com as TIC. As instituições financeiras devem informar as autoridades competentes dentro de um prazo especificado em caso de incidente significativo. Esta obrigação tem como objetivo não só melhorar a transparência, mas também facilitar uma resposta coordenada às ameaças.
É essencial que as instituições concebam sistemas internos para detetar e comunicar os incidentes de forma rápida e eficaz.

5. Reforçar a sensibilização e a formação em matéria de cibersegurança

A cultura organizacional deve promover uma mentalidade de resiliência, em que todos os funcionários estejam conscientes dos riscos tecnológicos e da importância de seguir os procedimentos de segurança estabelecidos.

6. Colaboração e partilha de informações.

As plataformas de partilha de informações devem ser seguras e permitir que as instituições colaborem de forma eficiente sem comprometer a confidencialidade dos seus dados. A criação de redes de colaboração entre instituições financeiras ajudará a reforçar a segurança colectiva do sector e a melhorar as capacidades de resposta a incidentes.