DORA, a Lei de Resiliência Operacional Digital, é um projeto de lei concebido para melhorar a segurança cibernética e a resiliência operacional do setor de serviços financeiros . Complementa as leis existentes, como a Diretiva Rede e Segurança da Informação (NISD) e o Regulamento Geral de Proteção de Dados (GDPR). Embora a DORA ainda esteja a avançar no processo legislativo, espera-se que seja aprovada em 2022.
A Lei de Resiliência Operacional Digital define limites de criticidade para serviços prestados a instituições financeiras. Se uma organização for prestadora direta de serviços a uma instituição financeira e os seus serviços cumprirem estes limites, a empresa estará sujeita à DORA. Isto significa que a organização será supervisionada diretamente pelo regulador financeiro relevante.
Para as organizações cujos serviços não cumprem os limiares DORA, o regulamento continua a aplicar-se, mas não é necessária supervisão direta. Em vez disso, os clientes da organização serão obrigados a exigir determinados termos contratuais para alcançar a Conformidade com os requisitos da DORA.
Por exemplo, a Lei de Resiliência Operacional Digital (DORA) exige que as instituições financeiras comuniquem violações de dados aos reguladores dentro de um determinado período de descoberta. As instituições financeiras serão obrigadas a impor os mesmos requisitos de comunicação de violações aos seus fornecedores e prestadores de serviços, bem como parte das suas obrigações contratuais. Se uma organização não estiver disposta a aceitar estes termos, a DORA proíbe a instituição financeira de fazer negócios com ela.
A Lei de Resiliência Operacional Digital dita os termos que as instituições financeiras exigirão dos seus fornecedores e os controlos de segurança que estes fornecedores devem ter em vigor. Uma vez que a DORA se destina a melhorar a resiliência de todo o setor financeiro, é provável que estas obrigações e requisitos sejam transmitidos a toda a cadeia de abastecimento.
O principal objetivo da DORA é garantir a resiliência operacional do setor financeiro. Como parte disto, as organizações abrangidas pela Lei de Resiliência Operacional Digital precisam de implementar processos de gestão de riscos que ajudem a identificar potenciais vulnerabilidades a ameaças cibernéticas plausíveis e a implementar políticas e controlos de segurança para proteger contra esses riscos.
A DORA cria um quadro de regras que as instituições financeiras e os seus fornecedores precisam de seguir para obter resiliência operacional. Alguns dos principais objetivos e requisitos incluem:
Os requisitos exatos da Lei de Resiliência Operacional Digital são desconhecidos, pois ainda está em fase de rascunho. No entanto, iniciar hoje o processo para atender a esses requisitos simplificará a Conformidade assim que a lei for aprovada.
A DORA ainda não foi aprovada, mas espera-se que se torne lei em 2022. Isto significa que as organizações que possam ser impactadas pela DORA devem começar a trabalhar em prol da Conformidade hoje.
Para se preparar para a Lei de Resiliência Operacional Digital, uma das etapas mais importantes que uma organização pode tomar é simplificar e agilizar a sua arquitetura de segurança. A DORA exige relatórios rápidos de incidentes de segurança cibernética, visibilidade das dependências de terceiros de uma organização e capacidade de responder a solicitações de auditoria de reguladores ou clientes.
O Check Point Harmony Suite fornece proteção consolidada em toda a infraestrutura de TI de uma organização, incluindo suporte para endpoint, dispositivos móveis, nuvem e e-mail. Ao simplificar e agilizar a infraestrutura de segurança de uma organização, o Harmony Suite facilita a proteção contra ameaças cibernéticas e atende aos requisitos de relatórios da DORA. Para saber mais sobre como as soluções da Check Point podem ajudar na Conformidade e outras regulamentações, entre em contato conosco.