Com o avanço da transformação digital, o setor financeiro tornou-se altamente dependente de tecnologia para conduzir operações, oferecer serviços e manter competitividade. Mas essa mesma dependência trouxe novos riscos: ciberataques, falhas operacionais e interrupções potencialmente devastadoras para a continuidade dos negócios. Nesse contexto, a União Europeia lançou o Digital Operational Resilience Act (DORA), uma regulamentação inovadora projetada para fortalecer a resiliência digital das instituições financeiras e seus provedores de tecnologia.

DORA entrou em vigor em 16 de janeiro de 2023 e será obrigatório para todas as entidades financeiras a partir de 17 de janeiro de 2025. Bancos, seguradoras, gestoras de investimento, fintechs e, especialmente, seus fornecedores de tecnologia já começam a se ajustar às novas exigências para garantir conformidade e competitividade nesse cenário regulatório mais rígido.

 

Por que o DORA é Tão Importante no Cenário Atual?

O setor financeiro tem sido um dos mais impactados pela transformação digital, com o uso intenso de tecnologias como computação em nuvem, inteligência artificial e análise de dados. Se, por um lado, isso trouxe grande agilidade e inovação, por outro, também aumentou a exposição a riscos tecnológicos e cibernéticos.

Alguns dados ajudam a entender essa urgência:

• A frequência e a sofisticação dos ataques cibernéticos em instituições financeiras crescem exponencialmente.
• Falhas operacionais em sistemas tecnológicos podem paralisar operações globais, gerando prejuízos milionários.
• A confiança do consumidor em serviços financeiros está diretamente ligada à segurança e resiliência digital.

DORA foi criado com o objetivo de garantir que instituições financeiras estejam preparadas para lidar com os riscos operacionais que acompanham a digitalização. Ele não apenas protege essas empresas, mas também mantém a estabilidade do sistema financeiro como um todo, beneficiando mercados e consumidores.

 

Os Principais Requisitos do DORA

O DORA estabelece um conjunto de práticas obrigatórias e abrangentes para gerenciar os riscos digitais. Aqui estão os pontos principais:

1. Gestão de Riscos de Tecnologia da Informação e Comunicação (TIC)

• Instituições devem implementar uma estrutura robusta para identificar, monitorar, proteger e mitigar riscos associados à tecnologia.
• Controle e monitoramento contínuos contra vulnerabilidades em sistemas digitais são essenciais.

2. Relatórios e Respostas a Incidentes

• Falhas cibernéticas, violações de dados e outros incidentes digitais devem ser relatados às autoridades reguladoras dentro dos prazos estabelecidos, permitindo uma reação rápida e coordenada ao impacto.

3. Testes de Resiliência Digital

• Organizações precisam realizar testes periódicos de vulnerabilidades, incluindo simulações de ciberataques (como exercícios de “red team”), para avaliar a segurança dos sistemas.

4. Supervisão de Provedores de Tecnologia

• O DORA introduz regras específicas para provedores críticos de tecnologia, como serviços de computação em nuvem e segurança cibernética, que passam a ser monitorados para cumprimento das normas de resiliência digital.

5. Contratos com Fornecedores

• As empresas financeiras devem incluir cláusulas contratuais específicas que garantam segurança, transparência e planejamento de continuidade com seus fornecedores de tecnologia.

Esses requisitos evidenciam que o DORA vai muito além de regulamentações tradicionais, consolidando um arcabouço robusto para proteger o setor financeiro em um ambiente cada vez mais digitalizado.

 

Impactos no Setor Financeiro e nas Empresas de Tecnologia

A implementação do DORA exigirá adaptações significativas das instituições financeiras e de seus provedores de tecnologia. O impacto pode ser analisado em duas frentes principais:

1. Empresas Financeiras

• Investimentos em infraestrutura: Bancos, seguradoras e fintechs devem revisar e aprimorar seus processos de segurança digital, muitas vezes ampliando investimentos para atender aos novos requisitos regulatórios.
• Adaptação de processos: A gestão de riscos tecnológicos será integrada ao core das operações, exigindo maior controle interno e relatórios precisos sobre vulnerabilidades e incidentes detectados.
• Desafios com fornecedores: A relação com provedores de TI será reestruturada, com maior supervisão e exigências em contratos para garantir conformidade.

2. Provedores de Tecnologia

• Empresas que oferecem serviços críticos, como computação em nuvem, serão supervisionadas diretamente por reguladores financeiros, precisando provar sua capacidade de operar dentro das novas diretrizes.
• Fornecedores menores podem enfrentar desafios para atender aos novos padrões de compliance, mas aqueles que se adaptarem terão vantagens competitivas ao oferecer serviços compatíveis com o DORA.

 

Como as Empresas Podem se Preparar para o DORA?

A preparação para a obrigatoriedade do DORA em 2025 deve começar agora. Algumas ações práticas incluem:

1. Revisar Estruturas de Gestão de Riscos: Certificar-se de que processos digitais estão alinhados às boas práticas de identificação, monitoramento e mitigação de vulnerabilidades.
2. Fortalecer Respostas a Incidentes: Investir em sistemas que permitam detecção precoce de ataques e capacidade de recuperação imediata.
3. Supervisão de Terceiros: Monitorar fornecedores de serviços tecnológicos e garantir que suas operações sejam seguras e compatíveis com as regulamentações.
4. Treinamento de Equipes: Preparar colaboradores e times de TI para cumprirem as exigências regulatórias do DORA, promovendo uma gestão de riscos mais robusta e consciente.

 

O DORA e Sua Influência Global

Embora sua implementação seja obrigatória apenas na União Europeia, o impacto do DORA vai além das fronteiras da Europa. Países como Estados Unidos e Reino Unido já analisam regulamentações semelhantes para fortalecer suas seguranças digitais no setor financeiro.

Para organizações globais, o alinhamento com diretrizes semelhantes às estabelecidas no DORA será essencial para manter operações internacionais e evitar restrições ao fazer negócios com parceiros em mercados regulamentados.

 

Conclusão: Transformando a Resiliência Digital no Financeiro

O Digital Operational Resilience Act representa um marco no fortalecimento da segurança digital para o setor financeiro, inserindo o gerenciamento de riscos como uma prioridade estratégica.

Empresas que se adaptarem prontamente às exigências não apenas estarão em conformidade, mas também garantirão maior competitividade e confiança do mercado, atraindo parceiros e consumidores em um ambiente digital cada vez mais dinâmico.

 

A Centralmaster, atenta às mudanças regulatórias e às transformações do setor, está pronta para ajudar empresas a navegar nessa complexidade, oferecendo soluções personalizadas para garantir segurança e resiliência nas operações.

 

#DigitalResilience #DORA #SegurancaDigital #SetorFinanceiro #TecnologiaEInovacao #Centralmaster