REGULAMENTO DORA
A Lei da Resiliência Operacional Digital (DORA) foi concebida para melhorar a resiliência operacional, reduzir as ameaças informáticas e aumentar a capacidade das empresas financeiras da UE para prevenir e lidar com incidentes relacionados com as TIC.
Entra em vigor em 17 de janeiro de 2025, como parte dos esforços da UE para regulamentar o sector digital. O DORA aplica-se a todas as instituições financeiras da UE e, para algumas empresas, exigirá medidas adicionais de segurança informática, mesmo que já estejam em conformidade com quadros como a ISO 27001 ou o COBIT.
COMPREENDER O DORA: O QUE AS EMPRESAS PRECISAM DE SABER
O DORA aplica-se às instituições financeiras, incluindo (mas não se limitando a) instituições de crédito e de pagamento, empresas de investimento, companhias de seguros e intermediários, fundos de pensões e plataformas de negociação. O regulamento estabelece um quadro regulamentar sobre a resiliência operacional digital, abrangendo a gestão do risco informático, a comunicação obrigatória de incidentes, a documentação dos planos de teste, a gestão do risco de terceiros, bem como a formação e a governação. A conformidade garantirá que as empresas disponham dos sistemas correctos para resistir, responder e recuperar de todos os tipos de perturbações e ameaças relacionadas com as TIC, incluindo as que provêm de terceiros.
As obrigações das empresas afetadas podem ser divididas, grosso modo, em cinco grupos:
- Gestão dos riscos
- Testes e auditorias
- Gestão da segurança dos fornecedores de serviços informáticos
- Gestão de incidentes
Troca de informações
-
Formação dos gestores sobre o regulamento DORA
O DORA exige que os directores recebam formação para demonstrarem uma governação eficaz em relação às questões de cibersegurança. Em parceria com a De Clercq Lawyers, desenvolvemos uma formação para os directores sobre o DORA, fornecendo informações sobre as medidas de gestão de risco que as organizações devem tomar, no mínimo, ao abrigo do DORA. Este curso de um dia pode ser ministrado no local da sua escolha.
-
Avaliação das lacunas do DORA
A nossa equipa dedicada pode efetuar uma avaliação das lacunas do DORA, fornecendo uma visão detalhada do seu nível atual de maturidade de segurança e dos passos que precisa de dar para se tornar compatível com o DORA. Este serviço baseia-se na nossa comprovada Avaliação da Maturidade da Segurança.
-
Serviços de implementação DORA
Também oferecemos uma gama de serviços para ajudar a implementar o DORA na sua organização. O âmbito específico da nossa solução dependerá do resultado da sua análise de lacunas DORA, mas pode incluir o nosso serviço de segurança CyberCare, gestão de segurança, sensibilização e apoio comportamental, resposta a incidentes e serviços de segurança de fornecedores.
Os nossos especialistas da Secura, uma empresa do Bureau Veritas, oferecem uma gama de serviços para apoiar a conformidade com a DORA, onde quer que esteja na sua jornada de cibersegurança.
A IMPORTÂNCIA DA CONFORMIDADE COM O DORA PARA AS ORGANIZAÇÕES
Embora o DORA seja um regulamento da UE, também afecta os fornecedores terceiros de TIC. O DORA só permite que as empresas celebrem contratos com fornecedores que cumpram os requisitos de segurança da informação estabelecidos no quadro. Isto inclui serviços de nuvem, serviços de rede, serviços de hardware e consultoria em TIC.
O DORA é um regulamento complexo que aumenta as obrigações de muitas organizações. Uma abordagem apressada ou desinformada pode não só deixar a sua organização vulnerável, mas também colocá-la em risco de sanções legais e financeiras.
Qualquer incumprimento dos requisitos pode levar a uma coima até 2% do volume de negócios anual total a nível mundial, ou até 1% do volume de negócios diário médio a nível mundial da empresa.
PASSOS PARA ATINGIR A CONFORMIDADE COM A DORA
Se já sabe que a sua organização está sujeita ao DORA, é importante começar a preparar-se para a conformidade desde cedo. Fale com os nossos especialistas em cibersegurança para saber mais sobre a avaliação e o planeamento iniciais do DORA, bem como sobre a forma de implementar as estratégias e soluções de que necessita para gerir o risco e alcançar a conformidade.
QUAIS SÃO OS BENEFÍCIOS DA CONFORMIDADE COM O DORA?
A conformidade é obrigatória para algumas organizações, mas a conformidade com o DORA também oferecerá outros benefícios, incluindo
- Melhoria da ciber-resiliência e melhor planeamento das ameaças às TIC.
- Maior compreensão dos riscos das TIC em toda a organização
- Melhoria do controlo das cadeias de abastecimento das TIC
- Melhoria da comunicação de incidentes e da partilha de informações
POR QUE ESCOLHER A BUREAU VERITAS PARA SUAS NECESSIDADES DE CONFORMIDADE COM A DORA?
- Equipa experiente com décadas de experiência em governação, risco e conformidade
- Uma gama de serviços desenvolvidos especificamente para satisfazer as suas necessidades de DORA e ajudá-lo a cumprir com DORA
- Especialistas em cibersegurança no domínio das pessoas, dos processos e da tecnologia
- Um único ponto de contacto e uma abordagem de parceria comprovada
- Um roteiro claro para se tornar e manter a conformidade com o DORA
- Com o apoio da experiência global do Bureau Veritas, líder mundial em serviços de teste, inspeção e certificação
-
QUAL É A SUA RELAÇÃO COM OS QUADROS EXISTENTES, COMO A NORMA ISO 27001?
As estruturas de risco existentes, como a NIST e a ISO 27001, fornecem orientações sobre como cumprir várias leis através de processos como a formação de pessoal, a realização de auditorias e testes, a utilização da gestão de incidentes e a gestão do risco da cadeia de fornecimento. Estes tipos de estruturas de risco são um bom complemento à DORA, mas o cumprimento destas normas não significa que esteja automaticamente em conformidade com a DORA, que é um regulamento por direito próprio.
-
COMO É QUE VAI ALTERAR OS REQUISITOS DE RESPOSTA A INCIDENTES?
A gestão de incidentes é um aspeto fundamental para garantir a segurança e a continuidade dos serviços. Nos termos do DORA, as empresas devem dispor de planos para comunicar com o pessoal, as partes interessadas externas, os meios de comunicação social e os clientes em caso de incidente. Devem também existir procedimentos internos de escalonamento. Além disso, os incidentes graves devem ser comunicados aos quadros superiores e ao “órgão de gestão” relevantes, com uma explicação do impacto, da resposta e dos controlos adicionais que serão postos em prática na sequência do incidente.
-
QUAL É O CALENDÁRIO DO DORA?
A primeira política DORA foi publicado em 17 de janeiro de 2024 e o DORA aplica-se a partir de 17 de janeiro de 2025.
Precisa de mais informações sobre como a NORA se aplica à sua empresa?
Contacte os nossos especialistas em cibersegurança