DORA – Reforçar a resiliência operacional digital no setor financeiro
O Regulamento (UE) 2022/2554, conhecido como DORA – Digital Operational Resilience Act, estabelece novas regras para reforçar a resiliência operacional digital das entidades financeiras. Com aplicação obrigatória a partir de 2025, este regulamento tem como objetivo garantir que as organizações do setor financeiro são capazes de prevenir, responder e recuperar de incidentes que afetem os seus sistemas e serviços tecnológicos críticos. Deixa de estar em causa apenas a proteção de dados ou sistemas: o foco passa a estar na continuidade do negócio e na estabilidade de todo o ecossistema financeiro.
Num setor altamente digitalizado e exposto a riscos tecnológicos e cibernéticos, o DORA surge como um quadro regulatório harmonizado, aplicável a todos os Estados-Membros da União Europeia. Estabelece requisitos claros e exigentes para bancos, companhias de seguros, sociedades gestoras, empresas de investimento, fintechs e prestadores de serviços TIC críticos, em matéria de:
- Gestão de riscos relacionados com TIC;
- Notificação de incidentes significativos;
- Testes de resiliência operacional;
- Gestão da exposição a terceiros prestadores de serviços TIC;
- Partilha de informações entre entidades do setor.
O DORA visa uniformizar e reforçar os mecanismos de resiliência digital no setor financeiro europeu, contribuindo para:
- Reduzir o impacto de falhas tecnológicas;
- Prevenir e mitigar ciberameaças;
- Promover a estabilidade do sistema financeiro;
- Reforçar a confiança dos clientes e reguladores.
Uma das formas de dar resposta às exigências do DORA é através da adoção de normas internacionais reconhecidas, como a ISO/IEC 27001, que define os requisitos para um Sistema de Gestão da Segurança da Informação. Esta norma ajuda na gestão de risco TIC, na proteção de ativos críticos, na resposta a incidentes e na continuidade de negócio — áreas fundamentais no âmbito do DORA. De forma complementar, outras normas como a ISO/IEC 22301 (Gestão da Continuidade de Negócio), ISO/IEC 20000-1 (Gestão de Serviços de TI), ISO/IEC 27701 (Sistema de Gestão de Informação de Privacidade (PIMS)) e ISO/IEC 27018 (Proteção de dados pessoais em ambientes cloud) podem ser aplicadas consoante o contexto e a exposição tecnológica da organização. A integração destes referenciais permite reforçar a resiliência operacional e evidenciar, perante as autoridades reguladoras, um compromisso claro com a segurança, conformidade e melhoria contínua.
Com o objetivo de apoiar as organizações na interpretação e aplicação eficaz dos requisitos do regulamento, a APCER disponibiliza a formação "DORA – Implementação da Resiliência Operacional Digital". Esta ação formativa proporciona uma abordagem estruturada e prática sobre as obrigações previstas no DORA, promovendo a capacitação dos profissionais responsáveis pela conformidade regulatória, gestão de risco e continuidade de negócio. Além de conhecimento necessário para lidar com as exigências do DORA, os formandos ficam a conhecer ferramentas para contribuir ativamente para a construção de uma cultura de resiliência, segurança e confiança.
Saiba mais e inscreva-se aqui!
