Navegar no DORA: o regulamento da UE para a resiliência digital no sector financeiro

Siarhei Sukhadolski

12 de maio de 2025 10 min de leitura

Desde a sua aplicação, a Lei da Resiliência Operacional Digital (DORA) tornou-se uma força definidora da forma como o sector financeiro aborda o risco das TIC, a segurança e as dependências de terceiros. Embora o significado do DORA seja claro na teoria - um quadro unificado para reforçar a resiliência digital - a sua aplicação em sistemas, fornecedores e operações ainda deixa muitas instituições a navegar na incerteza.

Este não é apenas mais um resumo do regulamento DORA. Já sabe o que está em causa. A verdadeira questão é: os seus sistemas, parceiros e controlos internos estão verdadeiramente alinhados com a estrutura DORA e qual é a sua estratégia para uma conformidade sustentável e a longo prazo?

Por isso, sente-se - vou explicar-lhe o que a DORA realmente espera da sua empresa e, mais importante, como satisfazer essas expectativas sem abrandar.

O quadro DORA e o impulso para uma governação unificada do risco digital

DORA, formalmente conhecida como Regulamento (UE) 2022/2554é um regulamento vinculativo da UE que entrou em vigor em 16 de janeiro de 2023 e se tornou aplicável em 17 de janeiro de 2025. O seu lançamento não foi uma medida teórica. Foi uma resposta direta à escalada das ameaças cibernéticas no sector financeiro. À medida que as instituições financeiras dependem cada vez mais de infra-estruturas em nuvem, plataformas SaaS e outros parceiros externos para prestar serviços digitais, tornaram-se também mais vulneráveis a riscos interligados que são difíceis de prever, conter e recuperar.

Os números falam por si: em 2024, o custo médio de uma violação de dados no sector financeiro atingirá $6,08 milhões, que é 22% superior do que a média global de $4,88 milhões em todos os sectores.

Os incidentes do mundo real apenas reforçaram a necessidade de uma maior resiliência. Em 2018, o TSB tentou efetuar uma importante migração da plataforma bancária central. Uma má gestão do risco, testes inadequados e um tratamento ineficaz dos incidentes conduziram a interrupções generalizadas, impedindo milhares de clientes de acederem às suas contas. Como resultado, os reguladores aplicaram uma coima de TSB £48,65 milhões para riscos operacionais e falhas de governação.

Do mesmo modo, em 2019, A Capital One sofreu uma violação maciça devido a uma firewall mal configurada na sua infraestrutura de nuvem, expondo dados de mais de 100 milhões de clientes. As consequências incluíram $80 milhões em sanções e custos de reparação importantes.

Os problemas não se ficaram por aqui. Os Interrupção do CrowdStrike em julho de 2024 tornou a interconexão das infra-estruturas digitais dolorosamente óbvia. Desencadeada por uma atualização defeituosa, a crise repercutiu-se em sistemas críticos - impedindo voos, congelando operações bancárias e interrompendo serviços profissionais. Não se tratou apenas de uma falha técnica, mas sim de uma crise de continuidade de negócios em grande escala, demonstrando como as falhas de TIC de terceiros podem ter consequências sistémicas.

Assim, o DORA surgiu como a resposta da UE: um regulamento abrangente e aplicável, criado para colmatar a lacuna da resiliência digital com uma responsabilidade clara, normas harmonizadas e um quadro adequado à economia interligada de hoje.

Porque é que a conformidade com o DORA é agora uma prioridade crítica para a empresa

Pense da seguinte forma: a cibersegurança costumava ser algo que se verificava com auditorias anuais, alguns manuais de incidentes e um punhado de políticas isoladas no canto das TI. Mas com a DORA, esse modelo já não é suficiente. Agora, a segurança DORA é responsabilidade de todos - dos engenheiros aos executivos.

Não se trata apenas de provar que tem uma firewall - trata-se de provar que toda a sua cadeia de fornecimento digital pode ser afetada e continuar a funcionar. A DORA traz a cibersegurança da sombra para a sala de reuniões, forçando as empresas a tratar o risco digital como uma questão crítica para o negócio e não apenas como uma questão técnica.

Quem deve cumprir?

O regulamento DORA da UE aplica-se a mais de 20 categorias de entidades financeiras em toda a UE, incluindo

Bancos, seguradoras e empresas de investimento
Instituições de pagamento e de moeda eletrónica
Fornecedores de serviços de activos criptográficos
Plataformas de negociação, câmaras de compensação e centrais de depósito de valores mobiliários
Agências de notação de crédito, plataformas de financiamento coletivo e muito mais

Mas o significado do DORA vai para além das finanças tradicionais. O regulamento também coloca os fornecedores de serviços TIC críticos sob o foco da conformidade. Isso significa que se está a fornecer tecnologia que suporta qualquer função central de uma entidade financeira - quer se trate de infraestrutura de nuvem, análise de dados, SaaS para pagamentos ou onboarding, ferramentas KYC/AML, deteção de fraude baseada em IA ou mesmo plataformas API que ligam sistemas centrais - agora faz parte da cadeia de conformidade.

Os riscos de incumprimento

O incumprimento das normas DORA constitui um risco para as suas operações, a sua reputação e a sua estratégia a longo prazo. Ao abrigo da DORA, o Autoridades Europeias de Supervisão (EBA, ESMA, e EIOPA) têm agora o poder de emitir sanções financeiras, repreensões públicas e medidas de correção vinculativas. Mais importante ainda, nos casos em que um fornecedor terceiro de TIC é considerado uma ameaça à estabilidade operacional, a DORA permite que os reguladores forcem a rescisão de contratos, mesmo com os fornecedores que fornecem infra-estruturas de base ou serviços digitais essenciais.

Mas as consequências regulamentares são apenas uma parte do quadro. O custo real da não-conformidade é multidimensional:

Reputação regulamentar: As instituições que não cumprem os requisitos da DORA podem ser assinaladas como de alto risco, o que conduz a uma supervisão mais rigorosa, a mais inspecções e a uma menor flexibilidade nas interações regulamentares.
Reputação regulamentar: As instituições que não cumprem os requisitos da DORA podem ser assinaladas como de alto risco, o que conduz a uma supervisão mais rigorosa, a mais inspecções e a uma menor flexibilidade nas interações regulamentares.
Responsabilidade a nível da direção: A DORA enquadra a resiliência operacional como uma questão de governação. Os conselhos de administração devem definir os limiares de risco, aprovar os quadros das TIC e supervisionar o tratamento dos riscos, com potencial responsabilidade pessoal em caso de falhas graves.
Continuidade das actividades: Uma única falha nas TIC, seja interna ou de terceiros, pode causar perturbações generalizadas e violações da conformidade, que prejudicam a confiança e a reputação.
Controlo dos investidores e dos meios de comunicação social: Os fracassos públicos das TIC podem ser notícia e valorizados, com efeitos duradouros na confiança dos clientes, no sentimento dos investidores e na moral das equipas.

É por isso que as instituições financeiras não estão apenas à procura de fornecedores - estão à procura de parceiros de resiliência. Pretendem fornecedores de tecnologia que compreendam os requisitos de conformidade DORA, ofereçam soluções auditáveis e partilhem a responsabilidade através de SLAs sólidos, processos transparentes e testes colaborativos.

Proteja a sua empresa. Alcance a conformidade com o DORA com confiança.

A verdadeira vantagem do regulamento financeiro DORA

Para as instituições financeiras, a estrutura DORA marca uma mudança fundamental na forma como a resiliência operacional define a liderança de mercado. A conformidade, por si só, já não é suficiente. O DORA obriga as empresas financeiras a provar que podem manter serviços críticos durante perturbações graves das TIC - mesmo quando as falhas ocorrem em ecossistemas externalizados fora do seu controlo direto.

É aqui que surge o valor estratégico:

A resiliência como uma credencial de mercado: As instituições que se alinham com as normas DORA e podem demonstrar uma verdadeira resiliência operacional - testada, auditável e continuamente monitorizada - estão melhor posicionadas para ganhar a confiança dos clientes, assegurar parcerias B2B e atrair a confiança dos investidores. Num sector financeiro cada vez mais definido pela experiência e continuidade digitais, a resiliência comprovada torna-se um diferenciador tão poderoso como a inovação de preços ou produtos.
Uma recuperação mais rápida como vantagem estratégica: Consideremos dois prestadores de serviços de pagamento afectados pela mesma falha de serviço na nuvem. A empresa que reencaminha as transacções em minutos, graças a sistemas de failover testados e a um forte planeamento de contingência de terceiros, mantém os clientes e a reputação no mercado. A empresa que demora horas a recuperar arrisca-se a perder clientes, a sofrer sanções regulamentares e a ser alvo de escrutínio público.
O controlo por terceiros como estabilidade operacional: O DORA obriga as empresas a alargar a governação das funções TIC externalizadas e exige plenos direitos contratuais para auditar, monitorizar e intervir em operações de terceiros. As instituições que gerem proactivamente estas dependências podem evitar os graves riscos decorrentes de relações não estruturadas com os fornecedores.
A integração a nível da direção como sinal de confiança: A resiliência já não é uma função de TI enterrada nos departamentos técnicos. De acordo com o regulamento DORA da UE, os conselhos de administração devem gerir ativamente os riscos das TIC. As instituições que integram os KPIs de resiliência nas estruturas de risco empresarial, juntamente com o capital, a liquidez e o risco de crédito, demonstram aos reguladores, clientes e parceiros que levam a sério a durabilidade operacional.

Com efeito, a regulamentação financeira DORA transforma a resiliência de um exercício de conformidade defensivo numa estratégia comercial proactiva. As instituições que tratam o DORA como uma oportunidade serão mais rápidas, recuperarão melhor e criarão uma confiança mais profunda do que os concorrentes que ainda se concentram apenas em medidas técnicas de segurança.

"Na Innowise, analisámos minuciosamente os requisitos da DORA e reforçámos o nosso compromisso com a resiliência digital a todos os níveis. Quer necessite de consultoria, integração DevSecOps, testes de resiliência ou apoio total à conformidade, temos a experiência necessária para o manter na vanguarda. Também trazemos as ferramentas certas e a disciplina operacional para o ajudar a construir o futuro das finanças seguras."

Dzianis Kryvitski

Gestor de entregas em FinTech

Normas DORA vs. quadros de cibersegurança existentes

Poderá estar a perguntar-se: se regulamentos como a NIS (Diretiva relativa à segurança das redes e da informação) 2 e o GDPR (Regulamento Geral sobre a Proteção de Dados) já estavam em vigor, porque é que o DORA era necessário? Bem visto - e, de facto, a NIS 2 e o GDPR ainda desempenham papéis importantes no reforço da cibersegurança e da proteção de dados em toda a UE. No entanto, a principal diferença é que o quadro DORA vai para além da proteção da informação. Centra-se em garantir a prestação contínua de serviços financeiros essenciais, mesmo durante graves perturbações das TIC.

Para tornar as distinções claras, compilei as principais diferenças no quadro abaixo:

Descrição	DORA	NIS 2	GDPR
Âmbito de aplicação	Aplica-se a entidades financeiras e a fornecedores terceiros de TIC essenciais em todo o sector financeiro da UE	Aplica-se a entidades essenciais e importantes em sectores críticos na UE	Aplica-se globalmente a organizações que tratam dados pessoais de cidadãos da UE
Objetivo	Reforçar a gestão do risco das TIC, a supervisão por terceiros e a resiliência operacional para uma prestação ininterrupta de serviços financeiros	Melhorar as normas gerais de cibersegurança nos serviços essenciais, incluindo a energia, os transportes, os cuidados de saúde e as infra-estruturas digitais	Para proteger os dados pessoais e os direitos de privacidade dos cidadãos da UE
Comunicação de incidentes	Os incidentes graves relacionados com as TIC devem ser comunicados sem demora injustificada, utilizando modelos normalizados	Os incidentes significativos de cibersegurança devem ser comunicados às autoridades nacionais no prazo de 24 horas	As violações de dados pessoais devem ser comunicadas à autoridade de controlo no prazo de 72 horas
Gestão de riscos por terceiros	Supervisão contratual obrigatória, monitorização e estratégias de saída para fornecedores terceiros de TIC essenciais	A gestão dos riscos de cibersegurança da cadeia de abastecimento é incentivada, mas menos prescritiva do que a DORA	Os subcontratantes de dados devem garantir a segurança dos dados pessoais, mas não estão definidos requisitos de resiliência operacional para os fornecedores
Requisitos de teste e auditoria	Exige a realização periódica de testes de resiliência, incluindo testes avançados de penetração orientados para a ameaça (TLPT) de três em três anos para as entidades críticas	Exige avaliações de risco e medidas gerais de cibersegurança, mas não exige normas obrigatórias de resiliência ou de testes de penetração	Exige medidas de segurança técnicas e organizacionais adequadas, mas não exige testes de resiliência obrigatórios
Governação e responsabilidade	O conselho de administração e o órgão de gestão devem definir, aprovar, supervisionar e ser responsáveis pela gestão do risco das TIC	A administração deve aprovar as medidas de cibersegurança, mas a governação da resiliência operacional é menos pormenorizada	Os responsáveis pelo tratamento de dados e os subcontratantes são responsáveis pela proteção de dados, mas não existe um requisito específico de governação da resiliência operacional
garantias	Não foram definidas sanções fixas; as autoridades de supervisão nacionais e da UE têm autoridade para impor coimas, ordens de correção ou obrigar à rescisão de contratos críticos com terceiros	Entidades essenciais: até 10 milhões de euros ou 2% de volume de negócios global; Entidades importantes: até 7 milhões de euros ou 1,4% do volume de negócios global	Infracções graves: até 20 milhões de euros ou 4% do volume de negócios global; Infracções menos graves: até 10 milhões de euros ou 2% do volume de negócios global

Transformar os requisitos de conformidade DORA em acções comerciais

A conformidade com o DORA assenta em cinco pilares. Juntos, esses pilares desafiam as instituições financeiras a repensar a forma como gerenciam o risco digital como um recurso comercial essencial. Vamos analisar o que é mais importante e como o Innowise pode ajudá-lo a dar os passos certos em direção à conformidade total.

1. Gestão do risco das TIC: reforçar a resiliência digital nas operações principais

O DORA exige que as instituições financeiras criem resiliência digital em todas as partes das suas operações - desde a identificação de riscos até à proteção, deteção, resposta e recuperação. Não se trata de reagir depois que algo dá errado. Trata-se de estar um passo à frente, minimizando as perturbações e reforçando os seus sistemas antes que os problemas surjam.

Como o Innowise pode ajudar

Sistemas críticos e cartografia de riscos: Mapeamos as suas principais funções empresariais e os activos de TIC para detetar pontos fracos antes que se tornem crises.
Deteção de ameaças em tempo real: As nossas equipas configuram e afinam as plataformas SIEM e SOAR para fornecer monitorização contínua alinhada com os princípios de segurança DORA.
Integração da plataforma GRC: Ajudamo-lo a escolher, personalizar e ligar as ferramentas GRC aos seus fluxos de trabalho e a tornar o controlo de riscos parte da sua atividade diária.
Testes e monitorização contínuos dos riscos: Executamos regularmente modelos de ameaças, testes de penetração e análises de código automatizadas para detetar riscos precocemente e reforçar as defesas.
Melhores práticas de DevSecOps: Incorporamos as verificações de segurança diretamente nos seus pipelines de desenvolvimento, pelo que a resiliência é incorporada e não aparafusada.

2. Comunicação de incidentes: simplificar a deteção e as notificações regulamentares

As instituições financeiras têm de detetar, classificar e comunicar rapidamente aos reguladores os incidentes relacionados com as TIC, seguindo modelos e prazos rigorosos. Uma resposta desorganizada ou atrasada pode levar a danos na reputação, sanções regulamentares ou, pior ainda, a uma perda de confiança do mercado. Para satisfazer as exigências da DORA, as empresas precisam de transformar processos ad-hoc em fluxos de trabalho simplificados e auditáveis.

Como o Innowise pode ajudar

Deteção e resposta automatizadas: Criamos sistemas inteligentes que sinalizam, classificam e aumentam os incidentes instantaneamente com base na criticidade.
Ferramentas de elaboração de relatórios preparadas para a regulamentação: Os nossos especialistas criam ou ajustam os seus sistemas de relatórios para gerar automaticamente relatórios que cumprem os requisitos DORA.
Exercícios de simulação e testes de mesa: Organizamos exercícios de fogo real para testar os seus processos de resposta e comunicação de incidentes.
Apoio rápido em caso de incidentes: As nossas equipas estão aqui para o orientar através de escalonamentos de incidentes reais e prazos de comunicação sem pânico.
Deteção de incidentes com prioridade à segurança: Também aconselhamos a implementação de práticas de codificação seguras e monitorização em tempo real para detetar problemas mais cedo e não depois de os danos estarem feitos.

3. Teste de resiliência operacional digital: testar os sistemas antes de falharem

O DORA não exige apenas que as empresas afirmem ter resiliência. Exige que a comprovem através de testes regulares de resiliência operacional digital (TLPT), orientados para as ameaças. As instituições devem submeter os sistemas críticos a cenários extremos e realistas para expor vulnerabilidades ocultas e validar as capacidades de recuperação.

Como o Innowise pode ajudar

Testes de penetração e a formação de equipas vermelhas: Simulamos ciberataques e falhas de sistemas do mundo real para encontrar pontos fracos antes dos atacantes.
Programas de teste orientados para a ameaça: Os nossos especialistas concebem programas TLPT adaptados aos seus riscos empresariais e necessidades regulamentares.
Teste do plano de recuperação de desastres: Realizamos simulações completas de recuperação de desastres e testes de pontos de recuperação para verificar se a sua empresa consegue recuperar quando é necessário. .
Estruturas de teste automatizadas: Ajudamos a automatizar os testes de resiliência e a acompanhar os resultados para que possa mostrar aos reguladores provas reais.
Desenvolvimento seguro e resiliência: Também aconselhamos sobre práticas de desenvolvimento de software seguro, modelação de ameaças e avaliação de riscos para reforçar os sistemas antes de serem testados.

4. Gestão do risco de terceiros no domínio das TIC: controlar os riscos para além do seu perímetro

Ao abrigo do DORA, as instituições financeiras são diretamente responsáveis pela resiliência dos seus fornecedores terceiros de TIC - desde serviços em nuvem e fornecedores de software a parceiros de TI subcontratados. A falha de um fornecedor pode tornar-se instantaneamente numa crise regulamentar para si. É por isso que a regulamentação financeira DORA exige uma supervisão contínua e controlos documentados em todos os parceiros de TIC.

Como o Innowise pode ajudar

Criação de inventário de risco do fornecedor: O Innowise cria sistemas centralizados que rastreiam todos os seus fornecedores de ICT, dependências e lacunas de resiliência.
Auditorias e avaliações efectuadas por terceiros: As nossas equipas realizam auditorias de resiliência detalhadas a fornecedores críticos - desde as defesas de cibersegurança até à prontidão de resposta a incidentes.
Monitorização de terceiros em tempo real: Integramos ferramentas inteligentes que acompanham continuamente os riscos dos fornecedores, o cumprimento dos contratos e os sinais de alerta precoce. .
Contrato de consultoria em matéria de resiliência: Os nossos especialistas analisam e reforçam os contratos de fornecedores de TIC com cláusulas incorporadas de mitigação de riscos, transparência e saída.
Alinhamento DevSecOps de terceiros: Ajudamos a garantir que os seus fornecedores críticos cumprem normas de desenvolvimento e operacionais seguras desde a sua integração.

5. Partilha de informações: reforçar a resiliência de todo o sector de forma colaborativa

O regulamento de cibersegurança DORA incentiva as entidades financeiras a partilharem ativamente informações sobre ciberameaças, vulnerabilidades e incidentes, não como uma formalidade, mas como um mecanismo de defesa estratégico. Ao contribuir para redes de confiança, as organizações reforçam a resiliência colectiva e obtêm informações de alerta precoce que podem evitar grandes perturbações.

Como o Innowise pode ajudar

Configuração da plataforma de informações sobre ameaças: Ligamos os seus sistemas a redes de informações fiáveis e integramos feeds de ameaças nas suas defesas internas.
Fluxos de trabalho seguros de partilha de informações: Os nossos consultores criam formas seguras e conformes de partilhar e receber informações sobre ameaças sem expor dados sensíveis.
Análise de informações cibernéticas: Ajudamos a transformar os feeds de ameaças recebidos em informações claras e acionáveis que melhoram a sua postura de risco..
Apoio à colaboração público-privada: Prestamos assistência com quadros técnicos e legais para trabalhar em estreita colaboração com reguladores e programas de resiliência do sector.
Modelação proactiva do risco: Também ajudamos a modelar os riscos com base em informações sobre ameaças externas, para que se prepare para o que está para vir e não para reagir ao que já aconteceu.

Crie uma resiliência imparável e mantenha-se na vanguarda com o Innowise.

Iniciar a sua viagem rumo à segurança total DORA

O cumprimento dos requisitos de conformidade do DORA exige uma abordagem clara e estruturada que ligue a gestão do risco, a resposta a incidentes, a supervisão de terceiros e os testes operacionais. Mapeei os passos essenciais para o ajudar a passar da conformidade no papel para a resiliência na prática.

Rever o seu quadro de gestão do risco das TIC

Verifique se tem um quadro formal de gestão do risco das TIC. Se não tiver, a primeira coisa a fazer é criar uma. Utilize as normas estabelecidas como base e alinhe-as com o ciclo de vida completo do risco do DORA.

Identificar lacunas em relação aos requisitos DORA

Avalie se o seu quadro atual satisfaz plenamente as expectativas do DORA. Concentre-se em testes de segurançaA sua empresa pode também ser responsável pela gestão de riscos, KPIs de resiliência, gestão de riscos de terceiros e governação para definir as suas prioridades imediatas.

Reforçar a resposta e a comunicação de incidentes

Avalie a sua deteção, escalonamento e comunicação de incidentes. Confirme se cumprem os prazos e os requisitos de conteúdo do DORA. Se necessário, actualize os fluxos de trabalho, os modelos de relatórios e os caminhos de escalonamento.

Criar um programa de testes baseado em ameaças

Crie um plano de testes de resiliência. Defina quais os sistemas que vai testar, com que frequência e como os resultados serão documentados. Inclua testes de penetração, simulações baseadas em cenários e equipas vermelhas, quando relevante.

Desenvolver um roteiro de conformidade DORA

Crie um roteiro estruturado que abranja os investimentos necessários, as actualizações do sistema, as alterações de governação e a formação do pessoal. Dê prioridade às áreas críticas e alinhe os prazos com os marcos regulamentares.

Automatize a monitorização do risco e os relatórios de conformidade

Automatize as avaliações de risco, o acompanhamento de incidentes e os relatórios de conformidade. Software personalizado, práticas de DevSecOps e ferramentas de monitorização integradas tornam a conformidade escalável, repetível e auditável.

01 Rever o seu quadro de gestão do risco das TIC

02 Identificar lacunas em relação aos requisitos DORA

03 Reforçar a resposta e a comunicação de incidentes

04 Criar um programa de testes baseado em ameaças

05 Desenvolver um roteiro de conformidade DORA

06 Automatize a monitorização do risco e os relatórios de conformidade

Embora estes passos constituam um ponto de partida sólido, o caminho de cada empresa para a segurança DORA será um pouco diferente. Poderá precisar de um âmbito mais alargado, de um foco mais profundo ou simplesmente de mais confiança de que nada foi esquecido. Nestes casos, a atitude mais inteligente é ter peritos em cibersegurança ao seu lado - profissionais que o podem orientar ao longo de todo o processo e aprofundar as áreas críticas.

Experiência da Innowise para conformidade com DORA

Atingir a conformidade com o DORA exige experiência comprovada em segurança cibernética, resiliência operacional e prontidão regulamentar. Na Innowise, trazemos uma base sólida de padrões reconhecidos, estruturas e recursos técnicos do mundo real que se alinham diretamente com Requisitos DORA.

A nossa experiência em conformidade e resiliência inclui:

Certificação ISO 27001 (sistema de gestão da segurança da informação)

Aplicamos as melhores práticas da ISO 27001 para criar estruturas sólidas de gestão de riscos, governação e resposta a incidentes, que são as bases essenciais para a conformidade com a DORA.

Alinhamento com o quadro de cibersegurança do NIST

Estruturamos os nossos programas de resiliência em torno dos princípios do NIST, abrangendo a identificação de ameaças, proteção, deteção, resposta e recuperação, totalmente em linha com a abordagem de risco operacional da DORA.

Conformidade SOC 2 Tipo II (para serviços geridos e baseados na nuvem)

Ao fornecer serviços geridos ou em nuvem, a nossa conformidade SOC 2 garante controlos robustos sobre a segurança, disponibilidade e confidencialidade dos dados para apoiar os requisitos de supervisão de terceiros da DORA.

Gestão avançada da postura de segurança Cloud (CSPM)

Utilizamos as principais ferramentas CSPM (como Chef Compliance, tfsec, OpenSCAP, CloudBots) para detetar e corrigir configurações incorrectas em ambientes de nuvem, reduzindo assim o risco operacional.

Monitorização contínua da conformidade e elaboração de relatórios

Ferramentas como ELK, Nagios, Prometheus, Grafana e Kibana nos permitem fornecer status de conformidade em tempo real, insights de incidentes e tendências de resiliência, que são essenciais para as expectativas de monitoramento e relatórios do DORA.

Controlos de conformidade incorporados

As nossas práticas operacionais e de desenvolvimento incorporam controlos de conformidade pré-aprovados através de ferramentas como o Terraform e o Ansible, garantindo a prontidão regulamentar em todas as fases do ciclo de vida da tecnologia.

Auditorias de conformidade automatizadas

Auditorias regulares de resiliência utilizando plataformas como Lynis, Wazuh, Checkov, OpenSCAP e CIS-CAT mantêm as práticas de resiliência operacional actualizadas e prontas para o escrutínio regulamentar.

Prepare a sua conformidade para o futuro com a experiência da Innowise.

DORA e o futuro da cibersegurança financeira

O DORA está a abanar o mundo financeiro - e não de forma silenciosa. O regulamento está agora em pleno andamento, mas para muitas instituições e fornecedores, as coisas ainda parecem um pouco incertas. Ultimamente, tenho tido inúmeras conversas com responsáveis técnicos, equipas de conformidade e membros do conselho de administração que tentam desvendar o significado do DORA em termos reais e operacionais. Por isso, estou a apresentar as perguntas mais comuns que recebo - e como vejo o desenrolar de tudo isto.

DORA está aqui. E agora?

Agora que o DORA está operacional, a maioria das instituições financeiras passou do planeamento à execução. Mas a realidade é a seguinte: muitas empresas ainda não estão a fazer nada. De acordo com um Inquérito McKinsey a partir de meados de 2024, apenas cerca de um terço das empresas se sentia confiante de que cumpriria todos os requisitos do DORA até janeiro de 2025. Mesmo as mais confiantes admitiram que estariam a aperfeiçoar os processos durante este ano. O maior problema? Gerenciar o risco de terceiros em escala. Para muitos, apenas descobrir quais fornecedores contam como "críticos" sob a estrutura DORA tem sido um projeto em si.

Então, o que está realmente a acontecer no terreno? As equipas estão a ficar mais organizadas. As empresas estão a criar programas DORA dedicados, envolvendo pessoas das áreas de TI, jurídica, conformidade e aprovisionamento, e investindo em plataformas que reúnem tudo sob o mesmo teto. Há também uma mudança crescente no tratamento do DORA como "apenas mais uma coisa de TI" para torná-lo uma conversa a nível da direção. Um desafio recorrente é trabalhar com fornecedores de tecnologia mais pequenos que simplesmente não têm os recursos necessários para cumprir todos os requisitos de conformidade. Isto significa que algumas instituições financeiras estão agora a atuar como parceiros de apoio e não apenas como clientes.

E a pressão não está a parar na DORA. Dentro da UE, o NIS 2 está a reforçar as regras para as infra-estruturas críticas e a Lei da Ciber-resiliência está prestes a colocar a segurança ao nível dos produtos sob o microscópio. Entretanto, as entidades reguladoras fora da UE estão a observar atentamente. A FCA e a PRA do Reino Unido já adoptaram as suas próprias regras de resiliência e, nos EUA, a SEC espera agora que as empresas públicas divulguem a forma como lidam com os riscos cibernéticos. Se estiver a pensar a longo prazo, a regulamentação financeira DORA não é apenas uma regra europeia - é um ponto de partida global.

A IA e a automatização tornarão a conformidade menos problemática?

IA para conformidade regulamentar vai definitivamente desempenhar um papel mais importante - não apenas em teoria, mas nas operações do dia a dia. Muitas equipas já estão a utilizar ferramentas de processamento de linguagem natural (PNL) para analisar pilhas enormes de contratos e acordos com fornecedores. Estas ferramentas ajudam a detetar automaticamente sinais de alerta, como direitos de auditoria em falta ou garantias vagas de tempo de recuperação. Em vez de dependerem de advogados ou de responsáveis pela conformidade para analisarem manualmente cada linha, as empresas estão a utilizar a IA para identificar riscos antecipadamente e manter a documentação rigorosa desde o primeiro dia.

No que diz respeito à automatização, as coisas estão a avançar rapidamente. Ferramentas como o SOAR - Orquestração, Automação e Resposta de Segurança - estão a tornar muito mais fácil lidar com incidentes sem o caos. Digamos que algo se avaria. Estas plataformas podem acionar alertas, bloquear as coisas e até gerar o relatório inicial em conformidade com o DORA para os reguladores, tudo isto sem a intervenção de um humano. E as plataformas GRC, como o ServiceNow ou o MetricStream, também estão a subir de nível. Estão a adicionar dashboards inteligentes, testes de resiliência automatizados e bots que lembram as equipas quando devem executar exercícios ou verificar KPIs de terceiros.

Como é que o DORA afecta a externalização do desenvolvimento de software?

A DORA não regula diretamente os fornecedores de tecnologia, mas responsabiliza totalmente as instituições financeiras pela resiliência do software que utilizam. Isso é muito importante. Significa que os bancos, as seguradoras e as fintechs já não podem escolher uma equipa de desenvolvimento com base na velocidade ou no orçamento. Se o seu código acaba em qualquer coisa remotamente crítica - como pagamentos, integração, plataformas de negociação - então o seu cliente precisa de provar que o software é seguro, testado e rastreável de ponta a ponta.

Mas o que é que isso significa na prática? As equipas de compras estão agora a pedir coisas como documentação SDLC segura, registos de testes automatizados e relatórios de análise de vulnerabilidades logo à partida. Os contratos estão a ser actualizados com cláusulas de resiliência que abrangem tudo, desde os tempos de recuperação de cópias de segurança até às responsabilidades de resposta a incidentes. Algumas empresas estão mesmo a realizar sessões de teste conjuntas com os seus fornecedores para testar os tempos de resposta. O resultado final é que se está a construir software financeiro para um cliente, agora faz parte da sua história de conformidade.

Considerações finais

Espero que, ao terminar este artigo, se sinta um pouco mais confiante em relação à DORA - ou, pelo menos, que faça a si próprio as perguntas certas. E, sinceramente, isso já é um grande passo. Quer esteja apenas a começar a desvendar o regulamento ou a implementá-lo até aos joelhos, o caminho para a conformidade não tem de ser esmagador.

Na Innowise, estamos aqui para o ajudar a perceber o labirinto DORA, a criar uma verdadeira resiliência digital e a manter a sua empresa protegida, não só agora, mas para o que vier a seguir.

Partilhar:

Siarhei Sukhadolski

Especialista em FinTech

Siarhei lidera a nossa direção FinTech com um profundo conhecimento do sector e uma visão clara do rumo que as finanças digitais estão a tomar. Ele ajuda os clientes a navegar por regulamentos complexos e escolhas técnicas, moldando soluções que não são apenas seguras - mas construídas para o crescimento.

Índice

Contactar-nos

Marcar uma chamada ou preencha o formulário abaixo e entraremos em contacto consigo assim que tivermos processado o seu

Nome

Empresa

Correio electrónico

Telefone

Mensagem

Envie-nos uma mensagem de voz

Anexar documentos

Enviar ficheiro

Pode anexar um ficheiro com um máximo de 2MB. Formatos de ficheiro válidos: pdf, jpg, jpeg, png.

Ao clicar em Enviar, o utilizador autoriza a Innowise a processar os seus dados pessoais de acordo com a nossa Política de privacidade para lhe fornecer informações relevantes. Ao enviar o seu número de telefone, o utilizador aceita que o possamos contactar através de chamadas de voz, SMS e aplicações de mensagens. Poderão ser aplicadas tarifas de chamadas, mensagens e dados.