A União Europeia (UE) Lei de Resiliência Operacional Digital ou DORA é um marco fundamental para o futuro da nuvem em serviços financeiros. Reconhece o papel vital que a tecnologia da nuvem desempenha na prestação de serviços bancários modernos. Ao mesmo tempo, a DORA destaca o risco catastrófico que uma interrupção do serviço pode representar não apenas para os clientes de um banco individual, mas para toda a economia.
A UE não deve ser questionada aqui – multas massivas do GDPR estabeleceram um precedente e as empresas de tecnologia devem ser cautelosas. Com uma lista de fornecedores ainda a ser finalizada, mas crescente, entendemos a extensão disso na NetApp.
A partir de 2025, inúmeras organizações enfrentarão um risco muito real de multas incapacitantes caso sejam culpadas. As empresas devem começar a pensar nisto agora, uma vez que as sanções se estenderão até aos fornecedores de TIC. As multas propostas por não conformidade incluem o pagamento periódico de 1% da média diária do volume de negócios mundial.
Então, o que é DORA? O que isso significa para uma empresa e como ela pode evitar ser apanhada quando entrar em vigor?
Compreendendo DORA
Simplificando, a DORA procura abordar a gestão do risco das TIC nos serviços financeiros e trabalhar em conjunto com os regulamentos existentes de gestão do risco das TIC já em vigor em toda a UE.
DORA visa estabelecer bases universais e fornecer uma estrutura para gerenciar e mitigar riscos. Fá-lo-á eliminando as lacunas, duplicações e quaisquer conflitos que possam surgir entre vários regulamentos já em vigor.
Ao produzir um conjunto partilhado de regras, a DORA deverá facilitar a vida às organizações que operam na periferia dos serviços financeiros. Se for bem sucedido, o cumprimento reforçará a resiliência do sistema financeiro da UE e fará com que todas as instituições cumpram os mesmos padrões.
No entanto, até agora, os regulamentos de gestão de risco para as instituições financeiras na UE centraram-se principalmente em garantir que as empresas tenham recursos e capital suficientes para cobrir os riscos operacionais. Apesar de algumas medidas proativas dos reguladores da UE, como a publicação de diretrizes sobre gestão de riscos de segurança e TIC, estas não se aplicaram igualmente a todas as empresas de serviços financeiros. Isto fez com que os reguladores dependessem frequentemente de princípios gerais, em vez de normas técnicas exatas e acordadas.
Além do mais, com lacunas na regulamentação, assistimos até a nações individuais da UE emitirem os seus próprios requisitos. Embora isto não seja ideal do ponto de vista regulamentar, regulamentações mal consideradas ou corrigidas tornaram difícil para as organizações do setor de serviços financeiros navegar nesta área com confiança.
Preparando-se para DORA
O âmbito da DORA afeta todas as instituições financeiras da UE. Nomeadamente, também se estende àqueles que têm sido normalmente excluídos dos regulamentos financeiros – nomeadamente prestadores de serviços ou sistemas de TIC terceiros que apoiam organizações de serviços financeiros, bem como soluções de gestão e fornecedores de nuvem.
Pode ser dividido em cinco pilares principais, que serão aplicados proporcionalmente; 1) gestão de riscos de TIC, 2) comunicação de incidentes relacionados com TIC, 3) testes de resiliência de operações digitais, 4) risco de terceiros de TIC e 5) partilha de informações.
Embora isto possa parecer assustador à primeira vista, é importante notar que as entidades mais pequenas não serão sujeitas aos mesmos padrões que as grandes instituições financeiras. O compartilhamento de informações também é incentivado, mas não obrigatório. Esta é realmente uma mudança significativa não apenas para a indústria, mas também para os fornecedores.
O resultado? As empresas financeiras enfrentam um novo conjunto de desafios e riscos à medida que se preparam para a aplicação da DORA em 2025.
O que isto significa?
Bem, estes cinco pilares cobrem essencialmente duas áreas principais: resiliência e nuvem.
Para a resiliência cibernética, a DORA pretende minimizar a ameaça de ataques e perguntar às organizações como podem garantir a disponibilidade e a comunicação dos serviços. Outro aspecto importante é como eles podem garantir a recuperação. Assistimos a um número crescente de ataques cibernéticos, como o ransomware, que deixam as entidades financeiras no limbo.
Uma abordagem integral à resiliência da DORA será a partilha de informações tanto com os reguladores como com os pares. Isto é regido pela premissa de que quanto mais informação partilhamos, mais podemos aumentar a consciencialização e proteger-nos contra ameaças possíveis e emergentes. Isto será familiar e desconfortável para o setor. As entidades financeiras estão mais do que habituadas a partilhar informações com os reguladores e menos com os concorrentes.
A segunda área central é o risco de concentração da nuvem na indústria. Isto é particularmente interessante, pois são os reguladores que aceitam a nuvem como uma plataforma eficaz para serviços financeiros. Só devemos comparar isto com a época em que as pessoas temiam colocar os dados dos clientes na nuvem – hoje, os reguladores estão a aceitar que as tecnologias da nuvem vieram para ficar.
Talvez o mais importante seja que a DORA pretende estabelecer controlos para minimizar os riscos de interrupções nos fornecedores de cloud. Por sua vez, a esperança é evitar quaisquer impactos na economia de uma nação.
Como as organizações podem abordar isso corretamente?
A DORA foi aprovada pelo Parlamento Europeu e as organizações têm pouco mais de um ano até que a legislação entre em vigor em 2025. As organizações devem, portanto, utilizar este tempo de forma eficaz e concentrar-se no amadurecimento do seu Quadro de Resiliência Digital. Para tal, devem desenvolver as suas capacidades e processos para garantir que estão prontos para realizar as avaliações, testes e relatórios anuais necessários.
A DORA tornar-se-á a “lex specialis” nesta área, o que significa que terá precedência sobre quaisquer regulamentos sobrepostos, como o NIS ou o ESA diretrizes. Para as empresas, isto significa que devem utilizar a DORA como principal referência para evitar quaisquer lacunas nos processos antes da entrada em vigor deste regulamento. Depois disso, as melhores práticas para garantir a resiliência e a conformidade serão encontrar um equilíbrio entre ver a DORA tanto como um desafio técnico como organizacional.
Isto significa que DORA é cultural e processual. Depende do compartilhamento de informações e de diferentes equipes. A DORA não pode ser apenas uma questão de TIC, pois as equipas devem estar envolvidas para recolher e partilhar bem a informação. Isso melhorará suas comunicações, tanto interna quanto externamente. Isto é imperativo, uma vez que uma melhor colaboração e consulta entre as equipas sustentará uma navegação bem-sucedida no DORA. As equipes de risco, segurança e TI precisarão trabalhar juntas em conjunto. Na verdade, alcançar o nível necessário de cooperação interna pode ser potencialmente um desafio maior do que a elaboração de relatórios externos.
O investimento no aperfeiçoamento das práticas de governação interna também pode ajudar. As organizações com menor maturidade nesta frente necessitarão de investir mais recursos e dinheiro para adquirir a capacidade e capacidade para alcançar a conformidade com a DORA. Abordar esta questão mais cedo ou mais tarde é o foco por enquanto. Se as empresas não conseguirem adoptar uma atitude de cultura preventiva, uma abordagem reactiva será provavelmente dispendiosa.
Steve Rackham é diretor de tecnologia (CTO) de serviços financeiros da NetApp