A Partir de Hoje, o que irá Mudar para o Setor Financeiro e Prestadores de Serviço de TIC?
Hoje, dia 17 de janeiro de 2025 marca-se o início da implementação de obrigações do Regulamento DORA (Regulamento (UE) 2022/2554), que estabelece um quadro regulador para a gestão de riscos operacionais relacionados com as tecnologias da informação no setor financeiro, com o objetivo de garantir a resiliência operacional das entidades financeiras e a proteção da continuidade dos serviços essenciais.
- Em termos de aplicação, abrange uma vasta gama de entidades financeiras, como bancos, instituições de moeda eletrónica, empresas e mediadores de seguros, plataformas de pagamento, entre outros prestadores de serviços financeiros que operam com tecnologias da informação para a prestação de serviços essenciais. A sua aplicação é crucial para assegurar que as entidades possam gerir adequadamente os riscos operacionais derivados da utilização de TI, nomeadamente em cenários de crise ou incidentes graves que possam afetar a prestação de serviços.
O Regulamento DORA impõe obrigações rigorosas às entidades financeiras no que respeita à gestão de riscos tecnológicos e à garantia de continuidade dos negócios, especialmente no que concerne aos serviços críticos de TI. Em particular, as entidades devem implementar medidas de gestão de riscos adequadas, de forma a prevenir, identificar e mitigar incidentes relacionados com as tecnologias da informação. Para além disso, devem desenvolver planos de continuidade para assegurar uma recuperação rápida e eficaz em caso de falhas operacionais ou ciberataques, minimizando os impactos para os seus clientes e para o sistema financeiro.
Por outro lado, exige também que estas entidades realizem auditorias regulares e testes de resiliência para garantir que as suas infraestruturas tecnológicas e os seus planos de contingência são robustos. Estes testes devem ser realizados em colaboração com os seus fornecedores de serviços críticos de TI, os quais também são abrangidos por esta regulamentação. Nesse sentido, o regulamento obriga-as a avaliar e monitorizar os riscos associados a estes fornecedores, garantindo que cumpram com os requisitos de resiliência estabelecidos.
- O incumprimento das obrigações impostas pelo Regulamento DORA poderá resultar em sanções severas, que pode ir desde uma injunção que exija à pessoa singular ou coletiva que cesse a conduta que constitui uma violação do regulamento e se abstenha de a repetir, ou a cessação temporária ou permanente de qualquer prática, até à sanção pecuniária a um terceiro prestador de serviço de TIC, que podem ascender a 1 % do seu volume de negócios mundial médio no exercício anterior.
Em síntese, a aplicação do Regulamento DORA representa um marco importante para melhorar a resiliência operacional e a gestão de riscos tecnológicos no setor financeiro, impondo novas exigências regulatórias que exigem uma adaptação por parte das entidades e dos seus fornecedores.
por Ana Bastos e Ana Catarina Silva, Área de Prática – TMT/ Privacidade e Cibersegurança
