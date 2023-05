Em matéria de gestão de risco de TIC, o DORA tem sobreposições com a Norma n.º 6 da ASF, o que pode facilitar o processo de conformidade.

Nos últimos anos, temos assistido ao uso crescente das tecnologias de informação e comunicação (TIC) como parte basilar do negócio das organizações. Nesse sentido, a gestão dos riscos das TIC tem-se assumido como um desafio, originando que as entidades supervisoras, especialmente no setor segurador, venham emitindo diretrizes mais recentemente, neste âmbito.

Deste modo, surge o Digital Operational Resilience Act (DORA), lançado pela Comissão Europeia no final de 2022, com o objetivo de melhorar a Resiliência Digital no setor dos serviços financeiros, abrangendo também os seus prestadores de serviços de TIC. O DORA tem conformidade obrigatória em janeiro de 2025 para todos os estados-membros da UE, e é suportado por uma maior exposição aos riscos das TIC por parte das organizações e por uma supervisão fragmentada do setor financeiro assente em inconsistências e requisitos duplicados.

Em particular, e no que à gestão de risco de IT diz respeito, a recente publicação da Norma Regulamentar n.º 6/2022-R da ASF apresenta sobreposições com o DORA, das quais se destaca:

1. O órgão de administração é responsável por i) estabelecer um sistema de gestão dos riscos de TIC; ii) definir os respetivos níveis de tolerância; e iii) assegurar o controlo e a monitorização contínuos da gestão de risco das TIC

2. As organizações devem i) implementar um sistema de gestão de risco de fornecedores de TIC, suportado numa estratégia de risco para fornecedores neste âmbito; ii) assegurar que os contratos existentes e futuros contratos incluem requisitos contratuais obrigatórios, definidos no regulamento; iii) garantir o registo atualizado de todos os acordos contratuais com terceiros no domínio das TIC, incluindo os fornecedores que cobrem funções críticas do negócio; e iv) monitorizar as atividades dos prestadores de serviço de TIC durante as várias fases da relação

3. Definir e atribuir investimentos e formações adequados, sendo necessária a formação relativamente a segurança de informação e continuidade de negócio

4. Implementar uma Política de Continuidade de Negócio e procedimentos de recuperação de desastre, bem como de comunicação de incidentes aos stakeholders relevantes

Neste sentido, apesar de o DORA poder parecer mais um regulamento, com um esforço acrescido aparentemente significativo, a tentativa de harmonização dos requisitos regulamentares já existentes pode significar que as organizações já estão em conformidade de forma parcial se já tiverem endereçado outras peças regulamentares que o DORA propõe uniformizar.

Por outro lado, o DORA também introduz novos requisitos no âmbito da gestão de risco de TIC que não são abrangidos pela Norma n.º 6 da ASF, dos quais se destaca:

1. Gestão do ciclo de vida do risco, nomeadamente a definição e implementação de uma framework de gestão do risco das TIC, em alinhamento com a ISO 27005

2. Definição de uma estratégia de resiliência operacional, que assegure a definição de controlos-chave, os mapeie com as funções críticas identificadas, e que garanta o teste frequente dos sistemas de TIC críticos para o negócio

As entidades do setor segurador devem assegurar que se encontram em conformidade com o regulamento, através da análise de possíveis gaps e consequentemente implementação dos requisitos definidos, preparando assim a próxima fase do DORA, nomeadamente a emissão de requisitos técnicos nas matérias já anunciadas, e assegurar as futuras exigências de conformidade.

Dora Pires Alves, Senior Manager EY, Consulting Financial Services.