O que é DORA (Lei de Resiliência Operacional Digital)?

DORA é um regulamento da UE que afeta o setor de serviços financeiros. O DORA se refere explicitamente aos serviços financeiros da UE, com foco na manutenção da resiliência da cibersegurança.

O DORA entrou em vigor em 16 de janeiro de 2023 e se aplica a partir de 17 de janeiro de 2025.

Fabio Panetta, da UE (União Europeia), descreveu o cenário de ciberameaças da seguinte forma: "As ameaças estão se tornando cada vez mais complexas. Ataques recentes exigem vigilância constante em nível operacional e reavaliação contínua de quadros regulatórios e de supervisão para ver se elas precisam ser atualizadas." O regulamento DORA foi elaborado para harmonizar as diretrizes de cibersegurança em todo o setor financeiro e considerar o cenário de ameaças em constante mudança.

Como o GDPR, que harmoniza a regulamentação de privacidade de dados, o DORA consolida e atualiza o gerenciamento de riscos de TIC e o gerenciamento de risco cibernético em serviços financeiros.

O DORA tem como objetivo mitigar os riscos provenientes da transformação digital do setor e promover a resiliência cibernética no ecossistema de serviços financeiros, ajudando os bancos, o setor financeiro e os sistemas financeiros a prevenir, responder e se recuperar de um incidente de cibersegurança. Para isso, o DORA estabelece requisitos uniformes relativos à segurança da rede e dos sistemas de informação que apoiam os processos de negócios das entidades financeiras. Os requisitos incluem gerenciamento de riscos de TIC, relatórios de incidentes graves relacionados a TIC, testes de resiliência operacional digital, compartilhamento de informações e medidas e requisitos relacionados ao uso de serviços de terceiros de TIC.

O DORA é uma medida legislativa que se aplica às organizações financeiras que operam atividades financeiras na UE no âmbito das 21 categorias em abrangência. As organizações que atuam nos setores financeiros afetados pelo DORA incluem, entre outros:

• Instituições de crédito
• Instituições de pagamento
• Instituições de dinheiro eletrônico 
• Empresas de investimento
• Prestadores de serviços de criptoativos 
• Fundos de investimento alternativos
• Gerentes de seguros 
• Provedores de serviços terceirizados de TIC

O elemento Zero Trust da plataforma da Akamai oferece visibilidade significativa de ativos, controles de acesso e fluxos de rede, com aplicação granular da política de segurança. A visibilidade da Akamai em seus ativos, acesso e fluxos de rede é a pedra fundamental de sua estratégia de segurança Zero Trust que se estende ao gerenciamento de risco de terceiros de TIC. E nossa equipe de busca a ameaças pode ajudar você a buscar as ameaças mais evasivas e limitar o movimento lateral em caso de violação.

A plataforma global da Akamai pode ajudar uma organização a detectar e prevenir ameaças existentes e emergentes e a se adaptar ao cenário de segurança em constante mudança.

Os requisitos do DORA concentram-se na resiliência cibernética dos sistemas de TIC. Os benchmarks do DORA incluem:

• As partes independentes devem realizar testes anuais de resiliência e vulnerabilidade. Testes regulares de penetração conduzidos por ameaças também são um requisito.
• O DORA requer medidas de proteção abrangentes e baseadas em risco. As medidas de segurança da DORA incluem: adotar uma abordagem baseada em risco para gerenciamento de rede e infraestrutura; implementação de políticas apropriadas e abrangentes para vulnerabilidades, como patches e atualizações; usando mecanismos de autenticação robustos; e limitar o acesso físico e virtual aos recursos e dados do sistema de TIC.
• Os procedimentos são necessários para "detectar, gerenciar e notificar incidentes relacionados à TIC e devem colocar em prática indicadores de alerta antecipados como alertas".
• A geração de relatórios de incidentes de cibersegurança é facilitada por processos para monitorar, descrever e relatar incidentes significativos baseados em TIC às autoridades do DORA.
• Os requisitos do DORA em matéria de gestão e responsabilidade em matéria de segurança abrangem a gestão essencial da cibersegurança e a resposta para o compartilhamento de informações.

DORA e serviços financeiros

O Fundo Monetário Internacional (FMI) solicitou que fossem utilizadas medidas de segurança urgentes no setor financeiro após um inquérito do FMI ter demonstrado que o setor estava em risco devido a defesas fracas. O Banco da Inglaterra determinou, na pesquisa de risco sistêmico de H2 do banco, que 74% dos entrevistados consideram os ataques cibernéticos o mais alto risco para o setor financeiro.

Quadros regulatórios e orientações como o DORA são vitais para ajudar as instituições financeiras e os fornecedores associados, como fornecedores de TIC, a entender como gerenciar os riscos. A pesquisa do Verizon 2022 Data Breach Investigations Report (DBIR) registrou as ciberameaças mais significativas no setor financeiro, como violações de dados, DDoS e ransomware. O relatório aponta que as credenciais roubadas são parte integrante do sucesso da maioria dos ataques cibernéticos do setor. O Comissão de Comércio de futuros de mercadorias, em uma pesquisa recente realizada em 2022 com 130 instituições financeiras globais, descobriu que 74% tinham pelo menos um incidente de ataque de ransomware no ano anterior.

DORA e fornecedores de TIC

Um aspeto fundamental do DORA é a gestão de riscos de terceiros. De acordo com o Verizon 2022 DBIR, o setor financeiro foi o segundo alvo mais popular para ataques à cadeia de suprimentos. A conformidade do DORA começa a mudar isso e a prevenir ataques cibernéticos a fornecedores e instituições financeiras. O European Union Agency for Cybersecurity, (ENISA), agência da União Europeia de segurança cibernética, relatou o aumento da sofisticação e do volume de ataques à cadeia de fornecimento, com invasores que visam a cadeia de fornecimento para roubar dados e ativos financeiros. O DORA coordena requisitos usando os quadros regulatórios existentes, como as Diretrizes de Terceirização da EBA (European Banking Authority).

Qualquer fornecedor de TIC designado como "crítico" por uma Autoridade Europeia de Supervisão estará sujeito a um quadro de supervisão com regras rigorosas sob a supervisão direta de um supervisor-chefe nomeado.

As soluções Zero Trust oferecem visibilidade em toda a rede estendida de fornecedores, incluindo fornecedores de TIC. A aplicação de medidas de segurança, como o privilégio mínimo e o controle proativo de áreas e dados confidenciais, impede violações de dados e infeção por ransomware.

A Akamai oferece uma família abrangente de soluções que abrange determinados requisitos que podem ajudar a alcançar resiliência operacional no setor financeiro. As principais soluções de segurança da Akamai são reconhecidas como as melhores da categoria por nossos clientes que usam a Akamai para proteger ativos críticos. Nosso portfólio de segurança passou de uma coleção de soluções pontuais para uma plataforma Zero Trust abrangente e poderosa. As soluções de classe mundial da Akamai oferecem os controles necessários para ajudar a atender a requisitos rigorosos, incluindo o gerenciamento do risco de provedores de TIC e a proteção de ativos críticos. A segurança Zero Trust da Akamai oferece o tipo de cobertura abrangente necessário para cobrir todos os tipos  de ambientes de TI, independentemente do tipo de ativo, tipo de tráfego (norte-sul, leste-oeste) ou dispositivos legados. A Akamai oferece visibilidade abrangente do ambiente de TI, ativos críticos, requisitos de acesso e fluxos de rede em toda a sua infraestrutura.

O DORA baseia-se no trabalho anterior da EIOPA (Autoridade Europeia de Seguros e Pensões Profissionais), da Autoridade Bancária Europeia e da Autoridade Europeia dos Valores Mobiliários e dos Mercados (compondo as Autoridades Europeias de Supervisão, ou ESAs). O DORA é importante devido à transformação digital em toda a cadeia de valor financeiro e de seguros. Os requisitos regulamentares do DORA são necessários para gerir estes novos e emergentes riscos e para obter o tipo certo de medidas e salvaguardas em vigor para prevenir ataques cibernéticos.

A comunicação de incidentes de segurança cibernética por entidades cobertas é um aspeto importante do DORA. As entidades cobertas devem ter processos em vigor para monitorar, descrever e relatar incidentes significativos baseados em TIC às autoridades DORA.

Além disso, as regras de relatório para provedores críticos de TIC são rigorosas e incluem fazer uma notificação inicial às autoridades seguida de um relatório intermediário sobre como a resolução de incidentes está progredindo e um relatório final após a realização da análise da causa raiz. Diretrizes sobre classificação de incidentes, incidentes de relatórios obrigatórios e prazos de relatórios estão sendo desenvolvidos atualmente pelas ESAs.

O DORA será aplicado a partir de 17 de janeiro de 2025 e, por isso, durante esse período, as entidades financeiras e os prestadores terceirizados de serviços críticos de TIC devem passar a aderir à legislação. Para preparar sua organização para a adesão à legislação do DORA, as entidades cobertas devem realizar uma análise de lacunas para ver se as medidas implantadas existentes atendem a alguns ou todos os requisitos aplicáveis.