Como a Lei de Resiliência Operacional Digital (DORA) impactará minha organização?
A Lei de Resiliência Operacional Digital define limites de criticidade para serviços prestados a instituições financeiras. Se uma organização for prestadora direta de serviços a uma instituição financeira e os seus serviços cumprirem estes limites, a empresa estará sujeita à DORA. Isto significa que a organização será supervisionada diretamente pelo regulador financeiro relevante.
Para as organizações cujos serviços não cumprem os limiares DORA, o regulamento continua a aplicar-se, mas não é necessária supervisão direta. Em vez disso, os clientes da organização serão obrigados a exigir determinados termos contratuais para alcançar a Conformidade com os requisitos da DORA.
Por exemplo, a Lei de Resiliência Operacional Digital (DORA) exige que as instituições financeiras comuniquem violações de dados aos reguladores dentro de um determinado período de descoberta. As instituições financeiras serão obrigadas a impor os mesmos requisitos de comunicação de violações aos seus fornecedores e prestadores de serviços, bem como parte das suas obrigações contratuais. Se uma organização não estiver disposta a aceitar estes termos, a DORA proíbe a instituição financeira de fazer negócios com ela.
A Lei de Resiliência Operacional Digital dita os termos que as instituições financeiras exigirão dos seus fornecedores e os controlos de segurança que estes fornecedores devem ter em vigor. Uma vez que a DORA se destina a melhorar a resiliência de todo o setor financeiro, é provável que estas obrigações e requisitos sejam transmitidos a toda a cadeia de abastecimento.
Os Requisitos Primários da Lei de Resiliência Operacional Digital (DORA)
O principal objetivo da DORA é garantir a resiliência operacional do setor financeiro. Como parte disto, as organizações abrangidas pela Lei de Resiliência Operacional Digital precisam de implementar processos de gestão de riscos que ajudem a identificar potenciais vulnerabilidades a ameaças cibernéticas plausíveis e a implementar políticas e controlos de segurança para proteger contra esses riscos.
A DORA cria um quadro de regras que as instituições financeiras e os seus fornecedores precisam de seguir para obter resiliência operacional. Alguns dos principais objetivos e requisitos incluem:
- Gestão de Risco e Governança: DORA estabelece estruturas e diretrizes para gestão de risco no setor financeiro. Estas diretrizes destinam-se a ajudar as organizações a construir programas de gestão de riscos mais maduros e a melhorar a resiliência operacional.
- Testes de resiliência: A DORA sugere que as organizações abrangidas implementem programas de testes de resiliência com base nas suas avaliações de risco. Isto ajuda a identificar e corrigir quaisquer problemas antes que representem uma ameaça às operações.
- Compartilhamento de inteligência: muitos atores de ameaças cibernéticas que trabalham no setor financeiro terão como alvo diversas organizações ao mesmo tempo. Ao incentivar a partilha de inteligência de ameaça, a DORA ajuda toda a indústria a tornar-se mais consciente e preparada para enfrentar as ameaças cibernéticas contínuas.
- Gestão da Cadeia de Abastecimento: A DORA impõe requisitos às relações contratuais das instituições financeiras com os seus fornecedores. Além disso, as instituições financeiras são obrigadas a ter estratégias para gerir os riscos que estes fornecedores criam, incluindo o potencial de saída de relacionamentos e de mudança para substitutos.
- Relatório de Incidentes: DORA expande o escopo do relatório de incidentes e tenta agilizar o processo de relatório. Ao exigir relatórios mais rápidos, a DORA também incentiva a investigação e resposta rápida a incidentes, o que ajuda a mitigar o impacto de uma violação. Além disso, relatórios de violação podem ser usados para ajudar a detectar invasões desconhecidas em outras redes.
- Acesso à auditoria: O regulamento DORA permite que os reguladores (e as instituições financeiras, no caso dos fornecedores) realizem auditorias em toda a cadeia de abastecimento do setor financeiro. Isto ajuda a impulsionar a Conformidade, mas significa que as organizações devem ter a capacidade de gerar relatórios sob demanda.
- Análise retrospectiva: A maioria das organizações tenta aprender com os seus próprios incidentes internos, mas a DORA também incentiva o estudo e a revisão de políticas com base em incidentes externos. O objetivo é evitar que várias organizações sejam vítimas dos mesmos tipos de ataques.
Os requisitos exatos da Lei de Resiliência Operacional Digital são desconhecidos, pois ainda está em fase de rascunho. No entanto, iniciar hoje o processo para atender a esses requisitos simplificará a Conformidade assim que a lei for aprovada.
Como a Check Point Solutions ajuda na Conformidade DORA
A DORA ainda não foi aprovada, mas espera-se que se torne lei em 2022. Isto significa que as organizações que possam ser impactadas pela DORA devem começar a trabalhar em prol da Conformidade hoje.
Para se preparar para a Lei de Resiliência Operacional Digital, uma das etapas mais importantes que uma organização pode tomar é simplificar e agilizar a sua arquitetura de segurança. A DORA exige relatórios rápidos de incidentes de segurança cibernética, visibilidade das dependências de terceiros de uma organização e capacidade de responder a solicitações de auditoria de reguladores ou clientes.
O Check Point Harmony Suite fornece proteção consolidada em toda a infraestrutura de TI de uma organização, incluindo suporte para endpoint, dispositivos móveis, nuvem e e-mail. Ao simplificar e agilizar a infraestrutura de segurança de uma organização, o Harmony Suite facilita a proteção contra ameaças cibernéticas e atende aos requisitos de relatórios da DORA. Para saber mais sobre como as soluções da Check Point podem ajudar na Conformidade e outras regulamentações, entre em contato conosco.
Opinião