Jeferson D'Addario
fevereiro 4, 2025
VIEWS:
14

DORA: Garantindo Resiliência Digital no setor financeiro.

A crescente dependência de tecnologias digitais transformou o setor financeiro, trazendo tanto oportunidades quanto desafios, exigindo das instituições um robusto Plano de Continuidade de Negócios (PCN) para enfrentar possíveis interrupções. O Digital Operational Resilience Act (DORA), implementado pela União Europeia, surge como uma resposta à necessidade de proteger o setor contra ameaças cibernéticas e falhas…

O que é o DORA?

O DORA é uma legislação abrangente que visa padronizar a gestão de riscos digitais no setor financeiro. Ele abrange bancos, seguradoras, gestoras de ativos e provedores de serviços críticos, como prestadores de serviços de TI. Seu objetivo é assegurar que essas organizações sejam capazes de prevenir, detectar, conter e responder eficazmente a incidentes digitais que possam ameaçar a estabilidade financeira.

1.1. Principais pontos do DORA:

  • Governança e gestão de riscos digitais:As instituições financeiras devem estabelecer políticas e procedimentos robustos, incluindo um eficaz Planejamento de Continuidade de Negócios, para identificar e gerenciar riscos digitais.
  • Teste de resiliência: A legislação exige que as organizações realizem testes regulares de sua infraestrutura digital, simulando cenários de ataques cibernéticos.
  • Relatório de incidentes: Instituições devem relatar eventos significativos de risco digital para as autoridades competentes em tempo hábil.
  • Supervisão de fornecedores terceirizados: As empresas são obrigadas a monitorar e gerenciar os riscos de seus prestadores de serviços críticos, garantindo que eles atendam aos mesmos padrões de resiliência digital.

1.2. Por que o DORA é necessário?

Estudos indicam que a frequência e o impacto dos ataques cibernéticos estão aumentando. De acordo com o Relatório Anual de Cibersegurança da Accenture de 2023, o custo médio de um ataque cibernético para organizações financeiras foi de US$ 18,5 milhões. Além disso, um levantamento da IBM Security revelou que o tempo médio para identificar e conter uma violação de dados no setor é de 287 dias, o que pode comprometer significativamente a confiança dos clientes.

1.3. Impacto esperado

O DORA promete aumentar a resiliência do setor financeiro, criando um ecossistema mais seguro e preparado para os desafios digitais. Além disso, ele harmoniza as regras em toda a União Europeia, reduzindo a fragmentação regulatória e promovendo a cooperação entre as instituições.

1.4. Relacionamento com outras normas e iniciativas

O DORA não opera isoladamente. Ele se complementa e dialoga com outros frameworks e normas internacionais, incluindo:

  • NIST Cybersecurity Framework: Assim como o DORA, o NIST oferece um guia abrangente para gestão de riscos cibernéticos, ajudando as organizações a identificar, proteger, detectar, responder e recuperar-se de ameaças.
  • ISO 22301: Norma focada em gestão de continuidade de negócios, alinhando-se ao DORA na garantia de que serviços financeiros essenciais sejam mantidos em cenários de crise, reforçando a importância de um sólido Plano de Continuidade de Negócios (PCN).
  • ISO 31000: Oferece princípios e diretrizes para a gestão de riscos, garantindo uma abordagem sistemática e abrangente para identificar e mitigar riscos operacionais e digitais.
  • ISO 27001: Focada em segurança da informação, esta norma complementa o DORA ao estruturar políticas e controles que protegem dados e sistemas críticos.

1.5. Outras referências e iniciativas relacionadas

  • Relatório de Resiliência Operacional do Banco da Inglaterra: Uma iniciativa que destaca a importância de garantir a continuidade dos serviços financeiros em cenários de crise.

Esses frameworks e normas juntos criam uma base robusta para a resiliência operacional e cibernética, oferecendo aos executivos ferramentas complementares para lidar com os desafios digitais.

1.6. Impacto no Mercado Financeiro

O DORA afeta mais de 22.000 entidades financeiras e provedores de serviços de TIC que operam na União Europeia.

Ao padronizar a gestão de riscos digitais, o DORA visa fortalecer a resiliência operacional, reduzir a fragmentação regulatória e promover a cooperação entre as instituições financeiras. Isso resulta em um ecossistema financeiro mais seguro e preparado para os desafios digitais.

2. Comparação entre DORA e CMMC

Nos Estados Unidos, o Cybersecurity Maturity Model Certification (CMMC) é um programa desenvolvido pelo Departamento de Defesa para aprimorar a segurança cibernética na cadeia de suprimentos do setor de defesa. Embora tanto o DORA quanto o CMMC busquem fortalecer a resiliência cibernética, eles diferem em escopo e aplicação:

  • Setor alvo: O DORA abrange o setor financeiro, enquanto o CMMC é direcionado ao setor de defesa.
  • Âmbito geográfico: O DORA aplica-se a entidades dentro da União Europeia, ao passo que o CMMC é relevante para empresas que fazem negócios com o Departamento de Defesa dos EUA.
  • Abordagem de conformidade: O DORA estabelece requisitos uniformes para a segurança das redes e sistemas de informação, enquanto o CMMC implementa um modelo de certificação de maturidade em cibersegurança, com diferentes níveis de conformidade.

Ambas as iniciativas compartilham o objetivo de proteger informações sensíveis e gerenciar riscos cibernéticos, mas suas abordagens e requisitos específicos variam conforme os setores e regiões que atendem.

2.1. Semelhanças e diferenças

Objetivo comum: Ambos visam melhorar a resiliência cibernética e proteger contra ameaças digitais.

  • Abordagem: O DORA foca na padronização regulatória no setor financeiro, enquanto o CMMC utiliza um modelo de maturidade para avaliar e certificar práticas de cibersegurança no setor de defesa.
  • Implementação: O DORA impõe requisitos legais para entidades financeiras na UE, enquanto o CMMC exige certificação para fornecedores do Departamento de Defesa dos EUA.

Em resumo, embora o DORA e o CMMC compartilhem objetivos semelhantes de fortalecer a resiliência cibernética, eles diferem em termos de escopo, setor alvo e abordagem de conformidade, refletindo as necessidades específicas de suas respectivas jurisdições e indústrias.

Para aprofundar seu entendimento sobre o Digital Operational Resilience Act (DORA) e o Cybersecurity Maturity Model Certification (CMMC), considere as seguintes referências:

DORA:

  • Regulamento Oficial da UE sobre Resiliência Operacional Digital: Este documento detalha os requisitos legais estabelecidos pela União Europeia para fortalecer a resiliência digital no setor financeiro. Acesse aqui
  • Autoridade Europeia dos Valores Mobiliários e dos Mercados (ESMA): Informações sobre a aplicação do DORA e seu impacto nas entidades financeiras. Leia mais 
  • Autoridade Europeia dos Seguros e Pensões Complementares de Reforma (EIOPA): Detalhes sobre a implementação do DORA no setor de seguros. Saiba mais 

CMMC:

  • Programa de Certificação de Maturidade em Cibersegurança 2.0: Informações atualizadas sobre o modelo CMMC e seus níveis de certificação. Conheça os detalhes 
  • Departamento de Defesa dos EUA: Visão geral do CMMC e sua aplicação nos contratos de defesa. Mais informações 
  • Registro Federal dos EUA: Publicação oficial da regra final do programa CMMC. Consulte aqui 

3. Conclusão

O DORA representa um marco regulatório na União Europeia e serve como exemplo para outras regiões, destacando a necessidade de um abrangente Planejamento de Continuidade de Negócios para assegurar a resiliência operacional.

Explore mais:

Para mergulhar ainda mais na inteligência de ameaças cibernéticas, descubra o MBA em Gestão e Tecnologia em Segurança da Informação oferecido pelo Instituto Daryus. Além disso, acesse os recursos gratuitos do site e acompanhe o conteúdo em vídeo através dos Daryus Talks no YouTube.

14

Também pode lhe interessar