- Partilhar artigo
- ...
Foto em cima: Manuel Domingues, António Henriques, Nuno Sousa, e Carlos Silva.
No início do próximo ano termina o prazo para a implementação de um conjunto de novas regras que regulamentam o setor financeiro. No pequeno-almoço e debate dedicado à Banca do Futuro, promovido pelo Negócios e pela Claranet, o Digital Operational Resilience Act (DORA) não podia deixar de ser abordado. Nesse sentido, Manuel Domingues admite que poucas (ou nenhuma) empresas estarão completamente prontas para o DORA, a nova legislação europeia para a Resiliência Operacional Digital. "A 17 de janeiro, dificilmente algum banco vai poder dizer que é completamente compliance".
O Novo Banco deve alcançar essa data muito próximo disso, ou seja, com uma avaliação realizada e um plano em execução para as implementações que não tiverem sido concluídas até essa data. "Estamos preparados. Temos gaps identificados, como todas as instituições; aquelas que afirmam não ter gaps provavelmente ainda não os identificaram - e estamos a preparar planos para endereçar esses gaps", assegura o CIO do Novo Banco.
O setor está convicto de que os reguladores criarão espaço e tempo para este tipo de adaptações finais. Embora os princípios gerais do regulamento sejam públicos há quatro anos atrás, e a maior parte das alterações necessárias para o cumprir tenha vindo a ser feita paulatinamente, os regulamentos que especificam os princípios de implementação só foram conhecidos há alguns meses.
As empresas tiveram de realizar várias alterações técnicas para a implementação, o que demanda tempo. Como detalhou Manuel Domingues, neste contexto, incluem-se aspetos que afetam a arquitetura de contratos, os serviços em nuvem e a lógica de continuidade de negócios, sempre numa perspetiva de relações com fornecedores, o que torna a exigência mais complexa.
O setor precisava de mais esta regulação?
Para os intervenientes neste evento, a resposta é sim. Ultrapassada a fase de investimento e as dificuldades técnicas inerentes à implementação, todos sairão a ganhar com a mudança: tanto os clientes como os bancos.
O DORA "vai contribuir para um ecossistema mais equilibrado nos vários países europeus", defendeu Manuel Domingues. Vai criar uma lógica de maior integração e preparar melhor a região para agir como um bloco. "A longo prazo vai criar outras condições de competitividade no espaço europeu". Vai dar às empresas uma base comum de trabalho e de ação que vai favorecer a concorrência e contribuir para acabar com as diferenças que continuam a existir entre países, uma necessidade que é amplamente referida pelo relatório Draghi para vários setores, como também foi lembrado no evento.
Formato de regulamento acelera implementação
Para Carlos Silva, esta, como outras regras impostas à banca, têm tido o mérito de tornar o setor mais resiliente do que outros. No DORA, o diretor de segurança e proteção de dados do Banco CTT destaca que este é o ‘primeiro regulamento com obrigações para o próprio regulador’. Nem tudo está feito do lado do regulador, lembrou, mas o trabalho está a avançar. Positivo, na mesma perspetiva, é o facto de a Comissão Europeia ter optado por introduzir mudanças à lei com um regulamento e não com uma diretiva, o que agiliza a adoção e a consequente implementação em cada país.
Financial Services Director da Claranet Portugal
António Henriques também aplaude a chegada do DORA, lembrando que muitas das práticas de resiliência previstas já foram incorporadas pelo setor e deixando algumas notas. Lembrou que a "regulação é inimiga do legado dos bancos", que, como afeta sobretudo a banca tradicional, cria muitas vezes uma vantagem para os novos bancos, que entram no mercado fortalecidos pelas novas regras, mais depressa e com menos esforço.
Prestadores de serviços também estão a fazer alterações
Para os prestadores de serviços ao setor financeiro, o DORA traz obrigações e requisitos a cumprir. Nuno Sousa, Financial Services Director da Claranet Portugal, explicou que, no caso da empresa, embora já existisse um trabalho significativo na partilha de informações com os clientes, foi necessário normalizar os formatos de reporte dessas informações e adaptá-los aos requisitos técnicos. Esta tarefa deve ser concluída até ao início do próximo mês.
Tem havido também investimento tecnológico associado. "Estruturalmente, tivemos de fazer algumas adaptações." Houve um reforço da infraestrutura tecnológica em áreas como a encriptação. "Estamos agora a trabalhar noutro paradigma: como podemos cooperar em caso de um ataque. Preparar isto também implica investimento tecnológico, porque é necessário que haja uma infraestrutura isolada." Paralelamente, a Claranet já estava a investir em IA para reforçar a capacidade de deteção de ameaças nos seus centros de cibersegurança. Nuno Sousa afirma que a aposta, que representa uma mais-valia para o ambiente da nova regulação, irá continuar, e o objetivo a curto prazo é que a camada de IA, que já deteta ameaças nos seus Security Operation Centers (SOC), passe a ser capaz de lhes dar resposta.
O DORA reforça as obrigações de comunicação de incidentes, impõe testes de penetração regulares e impõe às empresas a definição de procedimentos claros de gestão de risco e continuidade de negócios. Os prestadores de serviços devem ser envolvidos de forma abrangente, muito além de um simples compromisso contratual, que também é necessário. No caso de um ataque informático, por exemplo, bancos e parceiros de TI têm de ter planos de contingência alinhados, demonstráveis antes de qualquer evento e capazes de mitigar efeitos sistémicos.
Muitas destas novas regras já faziam parte de recomendações para o setor de diferentes entidades; outras já são práticas comuns, com a realização de testes de segurança internos para avaliar a resiliência dos sistemas. O DORA vem conferir força de lei a estas questões e estabelecer procedimentos e requisitos comuns, num contexto em que a migração para a cloud expandiu o perímetro de segurança dos bancos e resultou na dispersão dos dados armazenados em diferentes locais.