O dia de hoje, 17 de janeiro de 2025, marca o início da aplicação do Digital Operational Resilience Act (DORA), um regulamento da União Europeia que define requisitos específicos para robustecer a resiliência digital do setor financeiro. Segundo este, os Órgãos de Administração das entidades abrangidas assumem um papel central: garantir a robustez operacional das suas organizações e assumir a responsabilidade última pelos riscos associados às TIC. Assim, o que devem ter em conta para enfrentar este desafio da melhor forma?
As tecnologias de informação têm sido um motor de transformação no setor financeiro, impulsionando inovação, eficiência e novas formas de interação com os clientes. Contudo, este progresso tem trazido consigo grandes desafios, como a crescente complexidade dos sistemas e serviços digitais, a dependência de terceiros e a ameaça constante de ciberataques. Estes riscos, não sendo adequadamente geridos, podem comprometer a estabilidade do setor e a confiança no mesmo, sendo por isso fundamental assegurar uma resiliência operacional transversal para enfrentar as exigências de um ambiente cada vez mais digital e interligado.
Foi neste contexto que a União Europeia lançou o DORA, uma regulamentação que entra em aplicação no dia de hoje, 17 de janeiro de 2025. Este regulamento tem como objetivo estabelecer um conjunto de requisitos uniformes para a gestão de riscos tecnológicos e garantir a resiliência operacional digital das entidades financeiras, assegurando uma maior proteção contra interrupções e ameaças informáticas.
Para melhor compreender as nuances do DORA importa dizer que este assenta em cinco pilares fundamentais:
- A gestão de riscos associados às TIC;
- A capacidades de gestão, classificação e reporte de incidentes;
- Testes periódicos de resiliência digital operacional;
- Gestão e supervisão dos riscos de terceiros que fornecem serviços TIC; e
- Partilha coordenada de informações sobre ciberameaças.
De notar que estes pilares são temas que se relacionam e complementam vários outros regulamentos, recomendações e normas em tópicos como finanças digitais, cibersegurança, dados e serviços digitais (RGPD, NIS 2, Digital Services Act, orientações EBA e EIOPA, standards ISO, NIST, etc.). Neste sentido, cada vez mais estes temas assumem uma relevância reforçada dentro das organizações sendo integrados no dia-a-dia das mesmas. Para assegurar que são endereçados de forma eficaz, torna-se crucial que exista a promoção do compromisso com os mesmos e a sua responsabilização ao mais alto-nível nas organizações. Assim, é cada vez mais expectável uma atenção e participação ativa dos Órgãos de Administração. Qual é então o seu papel esperado e o que devem ter em conta para passar o Regulamento da teoria à prática?
Os Órgãos de Administração desempenham um papel fundamental e ativo para assegurar a resiliência operacional digital
De acordo com o DORA, os Órgãos de Administração têm a responsabilidade última pelo risco relacionado com as TIC, sendo no regulamento enunciado um conjunto de responsabilidades específicas que o materializam. Para cumprimento das suas responsabilidades devem:
- Ter um papel ativo: orientar o quadro de gestão de risco das TIC e a estratégia de resiliência operacional digital das suas organizações, pelo que a responsabilidade nesta matéria deve traduzir-se num envolvimento contínuo.
- Ir além da resiliência dos sistemas TIC: assegurar que se adotam medidas focadas em pessoas e processos, através de um conjunto de políticas que cultivam, em cada nível corporativo, e para todos, uma forte consciência sobre os riscos de cibersegurança.
- Garantir orçamento e capacidade de investimento para as TIC: assegurar que, para alcançar um alto nível de resiliência operacional digital, existe investimento contínuo no reforço das medidas organizacionais e técnicas de segurança.
- Garantir a adoção de uma estratégia dedicada de mitigação de risco de terceiros em TIC: cultivar uma triagem contínua de todas as dependências de terceiros de TIC.
Mas que princípios devem os Órgãos de Administração ter em conta para melhor endereçar o seu papel no âmbito do DORA?
Tirar partido do seu contexto atual de forma simples, prática e convergente
Aproveitar as ferramentas atuais de governação, nomeadamente órgãos e estruturas de governação executiva estabelecidos, comités, canais de comunicação e procedimentos, pode desempenhar um importante papel na adoção da regulamentação.
O DORA estabelece ações explícitas relativas a aprovações, visibilidade sobre informação e canais de reporte. No entanto, não interfere diretamente nas bases de governo uma vez que temas de estratégia, políticas, risco, auditorias e incidentes são já tipicamente sujeitos a escrutínio ao nível dos Órgãos de Administração. Assim, as responsabilidades relacionadas com a DORA devem convergir com outros quadros e normas regulamentares, evoluindo o modelo de governação executiva atual de forma simples e eficiente.
Abordar a resiliência operacional digital com proporcionalidade e progresso iterativo
A extensão da supervisão e do envolvimento dos Órgãos de Administração nos temas enquadrados no DORA depende da apetência da organização ao risco. A frequência e granularidade de reporte devem seguir o princípio da proporcionalidade, garantindo eficiência e foco. Devem surgir novos indicadores-chave de risco, embora integrados no âmbito da atual gestão de risco. Os esforços e a profundidade de ação dos Órgãos de Administração devem ser calibrados de acordo com o apetite ao risco.
Os Órgãos de Administração devem concentrar-se em tópicos que estarão no topo das agendas dos supervisores, especialmente aqueles que envolvem resultados regulares que podem ser objeto de escrutínio da supervisão.
De notar que os esforços de conformidade com o DORA são contínuos e não terminam com a sua entrada em aplicação. A abordagem ao nível do governo executivo deve evoluir de forma iterativa e flexível, à medida que as condições internas e externas variam, até porque não existem atualmente melhores práticas para o DORA.
Incorporar a resiliência operacional digital no dia-a-dia organizacional cultivando uma cultura top-down de conformidade
A construção de uma organização resiliente e orientada para a conformidade começa com o compromisso dos Órgãos de Administração com a sua própria formação e a sensibilização, estabelecendo um tom proativo desde o topo.
A resiliência operacional digital by design depende de uma mudança cultural incorporada em todos os níveis da organização, exigindo um esforço diário onde todos estão conscientes, treinados e envolvidos, contando muito para tal a liderança pelo exemplo dos Órgãos de Administração.
O DORA é uma evolução, não uma revolução
O DORA surge com o objetivo de harmonizar um conjunto de requisitos para assegurar a resiliência operacional digital do setor financeiro. Sendo uma harmonização de requisitos, estes não se revelam totalmente novos para as organizações, estando alinhados com muitos dos esforços que estas têm vindo a pôr em prática nos últimos anos no domínio da segurança e continuidade de negócio ao nível das TIC.
Apesar do DORA ser mais uma evolução do que uma revolução, os Órgãos de Administração devem abraçar as suas novas responsabilidades como um complemento ou especialização de temas que, em bom rigor, há já algum tempo habitam as suas agendas com diferentes graus de profundidade. Devem assim aplicar os princípios da reutilização e convergência de práticas de governo que tenham implementadas, simplificando a forma como endereçam os temas do DORA. Isso implica assegurar a proporcionalidade na abordagem aos temas, tendo em conta a sua apetência ao risco, com a perspetiva de progressão à medida que o tema evolui, e assegurando a incorporação de uma cultura para a resiliência através da consciencialização ativa e comprometida.