Outros sites Medialivre
Notícia

DORA fortalece ecossistema contra os ciberataques

O Digital Operational Resilience Act entra em vigor a 17 de janeiro de 2025. Alguns requisitos técnicos foram divulgados em outubro de 2024, e surgiram dois regulamentos delegados, ainda em fase de consulta, que estabelecerão requisitos de última hora.

06 de Dezembro de 2024 às 14:00
Mariline Alves
  • Partilhar artigo
  • ...

Foto em cima: Carlos Marçalo, Nuno Sousa, Manuel Requicha Ferreira, e Vítor Viana Lopes, no debate "Inovação e Compliance: Pilares do Futuro Financeiro".


"Temos que olhar para o setor financeiro na sua totalidade, porque o DORA (Digital Operational Resilience Act) é o grande diferenciador desta regulação que atinge o setor financeiro e o ecossistema de entidades que gravitam à volta deste setor", disse Vítor Viana Lopes, partner e líder do Setor de Banca da Deloitte Portugal, durante a mesa-redonda "Inovação e Compliance: Pilares do Futuro Financeiro", que se realizou no âmbito da conferência O Futuro da Banca, organizada pelo Negócios.



Na sua análise, destaca-se a abordagem sistémica, com os bancos e os operadores a identificarem os seus parceiros críticos "não só na contratação, mas também no acompanhamento operacional das atividades que têm com eles, nos testes de ameaça que fazem e nos planos de remediação, ou seja, na aplicação dos mesmos requisitos". No segundo ponto, os conselhos de administração, os comités ou os órgãos executivos têm na sua agenda a gestão deste dossiê, diz Vítor Viana Lopes, que acrescenta que "não é um tema da implementação da regulação, mas contínuo, o que faz com que sejam informados sobre insuficiências, breaches, dificuldades na sua resiliência operacional, incluindo nos seus grandes projetos de investimento."


Bitola europeia

"A banca tradicional está preparada e tem reforçado os seus sistemas para poder cumprir com as exigências que resultarão da DORA, que entra em vigor a 17 de janeiro de 2025. Vai ser uma evolução sem roturas", afirmou Manuel Requicha Ferreira, sócio e co-coordenador pela área de Finanças, Banca e Mercado de Capitais da Cuatrecasas. Já havia muita regulação bancária e instruções da EBA (European Banking Authority) e do Banco de Portugal sobre este tema, que a maioria dos bancos já cumpria. Em setores como os seguros, o mercado de valores e as instituições de pagamento, "as exigências e os desafios com o DORA vão ser maiores do que no setor bancário, e será mais complexo", adverte Manuel Requicha Ferreira.


"O DORA podia ter sido mais concreto e mais objetivo, a informação que foi partilhada permite muitas interpretações e isso leva a que haja dificuldades para os outros operadores, como os fundos de investimento e as seguradoras, porque a banca tem mais capacidade e está mais habituada", é um dos aspetos negativos encontrados por Nuno Sousa, Financial Services director da Claranet. Na sua opinião, o DORA "normaliza e define uma bitola europeia para como os bancos se devem proteger, e como devem recuperar após um ciberataque".


Formação para todos

Como aspetos positivos do DORA, Nuno Sousa encontra a obrigatoriedade de ligar o risco, nomeadamente, à recuperação, ao desastre, à continuidade de negócio com o plano de segurança, que "vão ter de ser revistos e unificados". Depois, as áreas de risco, compliance, IT e de segurança passam a funcionar com equipas multidisciplinares "para ter uma visão global de como recuperamos após um ciberataque". Existe ainda uma padronização na resposta ao ciberataque, no reporte e na partilha de informação com as diversas entidades, como, por exemplo, os outros bancos, e as medidas de remediação.


Nuno Sousa aludiu ainda aos testes Tiber "que são testes de penetração, que têm bem definido como se faz, não só em termos tecnológicos, mas o processo para uma uniformização".

Mais notícias