O Cecabank participou na análise do impacto da nova regulamentação obrigatória promovida pela União Europeia para abordar a cibersegurança financeira.
Decorridos dois anos de preparativos, o Regulamento Resiliência Operacional Digital (DORA), estabelecido pela UE em 16 de janeiro de 2023, começa a ser aplicado amanhã na União Europeia. O DORA visa reforçar a segurança informática de pouco mais de 10 000 entidades financeiras europeias - incluindo bancos, companhias de seguros e empresas de investimento - e garantir que o setor financeiro europeu é resiliente em caso de ciberataques que tentem comprometer a segurança das suas operações.
O DORA harmoniza as normas para a resiliência operacional do setor financeiro e aplica-se a 20 tipos diferentes de entidades financeiras e fornecedores de serviços baseados nas tecnologias da informação e da comunicação (TIC) a terceiros.
A multinacional norte-americana Kyndryl fornecedora de serviços de infraestrutura de TIC criada em 2021 como cisão do negócio de serviços de infraestrutura da IBM, organizou esta manhã uma reunião informativa para anunciar a implementação do regulamento, na qual foi apresentado o Relatório DORA, que analisa o impacto e os principais desafios colocados pela implementação deste regulamento nas entidades financeiras.
O relatório em questão, elaborado pela empresa espanhola de consultoria financeira, económica e tecnológica Analistas Financieros Internacionales (AFI) por conta da Kyndryl, foi realizado através de entrevistas confidenciais e anónimas com organizações e entidades financeiras como o Banco de Espanha, INCIBE, Banca March, Laboral Kutxa, Bankinter, Santander, Mapfre, Cecabank, Unicaja, Sanitas, CaixaBank, Sabadell e BBVA.
Na sequência das intervenções de David Soto, Presidente da Kyndryl Espanha e Portugal, e de Borja Foncillas, Presidente e CEO da AFI, que explicaram a importância do DORA no âmbito da transformação digital das entidades financeiras, Esteban Sánchez Pajares, Managing Partner da AFI, resumiu as principais conclusões do relatório, entre as quais destacou o trabalho que está a ser desenvolvido pelas entidades para reforçar a sua ciberresiliência. Depois, Kris Lovejoy, Global Security and Resilience Practice Leader da Kyndryl, entrevistou Silvia Senabre, Chefe do Grupo de Riscos Tecnológicos da Direção-Geral de Supervisão do Banco de Espanha, seguindo-se o núcleo do evento: uma mesa redonda na qual participaram representantes de várias empresas e organizações entrevistadas para o relatório - a já referida Senabre; Òscar Domènech, Diretor de Continuidade de Negócios do CaixaBank; Roberto Rodriguez, Diretor de Resiliência Operacional do Santander Guillermo Llorente, Diretor Corporativo de Segurança da MAPFRE, e Ricardo López, Diretor de Riscos Não Financeiros e Compliance do Cecabank, deram sua opinião sobre esse novo marco regulatório.
O chefe do Grupo de Risco Tecnológico da Direção-Geral de Supervisão do Banco de Espanha salientou que “o DORA não é algo que deva ser visto como algo que as empresas têm de 'preencher caixas’ para que o supervisor não me sancione. O objetivo é que as empresas criem resiliência na sua atividade. Estas empresas precisam de tecnologia resiliente que apoie o negócio a toda a hora, porque o negócio e a tecnologia devem andar de mãos dadas. Em todas as fases da empresa, tem de pensar na sua capacidade de resistência. Tem de ser incorporado a todos os níveis. E todos na organização, desde o zelador até ao diretor executivo, têm de trabalhar para a resiliência. O DORA não é mais um regulamento, não é mais um pedido do supervisor, é exatamente o contrário: uma ajuda, embora, evidentemente, também gere muito trabalho. E o que é que nos resta! Porque amanhã posso celebrar o facto de o regulamento estar a ser aplicado, mas amanhã o trabalho está longe de estar terminado.
A opinião das empresas regulamentadas foi proativa. Para Òscar Domènech, “a principal ideia é que a resiliência é a cultura da empresa”. Para ele, o DORA vem “simplificar ou, pelo menos, posicionar-se como um núcleo coeso de vários regulamentos, mas vai continuar a haver diferentes regulamentos e vamos continuar a ter de prestar contas a diferentes reguladores, dependendo da nossa atividade, e vai continuar a haver atualizações regulamentares. A regulamentação é um ser vivo. Caso se adapte ou cumpra a regulamentação apenas por uma questão de conformidade e o faça “por inspeção” ou por atualização da norma, isso constitui uma perturbação para a sua organização e para os seus processos, porque provoca sempre um estrangulamento e um esforço. A partir do momento em que integra a resiliência na cultura empresarial dos seus processos regulares, as regras ajudam-no a ver para onde precisa de ir e o esforço é muito menor”.
Segundo Roberto Rodríguez, “as entidades financeiras têm sido historicamente muito regulamentadas, pelo que o DORA faz parte de um processo quase contínuo. E o facto de outros tipos de intervenientes estarem incluídos no regulamento, como os fornecedores de tecnologia, penso que ajuda, porque o objetivo final é tornar o setor mais residente e isso garante que vamos oferecer um melhor serviço aos clientes. Nesse sentido, ter essas regras comuns e uma linguagem comum está a ajudar-nos".
Guillermo Llorente, representante de uma das maiores seguradoras multinacionais, sublinhou que “todos nós temos vindo a aplicar medidas de resiliência muito antes da chegada do DORA, caso contrário não estaríamos aqui vivos. Todos nós queremos oferecer aos nossos clientes o melhor serviço possível, sejam quais forem as circunstâncias, por exemplo, no caso de um DANA. Não é o DORA que nos faz oferecer o melhor serviço, mas somos multinacionais e o que o DORA nos oferece é um padrão comum de homogeneidade face à dispersão regulamentar internacional, pelo menos num território geográfico muito vasto".
Por último, Ricardo López salientou que “os aspetos fundamentais do DORA são, por um lado, que não se trata de ter aspetos marginais como a continuidade, as contingências, a deteção de incidentes, a notificação, etc. abrangidos. mas coordenar todos estes elementos, e é isso que é realmente complicado: é o quadro de gestão dos riscos. Em contrapartida, o DORA é uma ferramenta que lhe permite pôr permanentemente em causa o seu modelo de resiliência operacional, pois trata-se de uma norma universalmente reconhecida”.
Em suma
O setor financeiro está cada vez mais dependente da tecnologia e das empresas tecnológicas para fornecer serviços financeiros. Esta situação torna as entidades financeiras vulneráveis a ciberataques ou incidentes e há anos que estabelecem protocolos e medidas de segurança informática, mas a situação de ameaça está a aumentar constantemente. Através do Regulamento Resiliência Operacional Digital (DORA), a UE fornece um quadro para ajudar a criar ciberresiliência de uma forma abrangente, dado que, quando não são corretamente geridos, os riscos das TIC podem levar a perturbações (ou mesmo ao colapso) dos serviços financeiros transnacionais. Tal pode, por sua vez, afetar, como um dominó, outras empresas, setores e mesmo a economia no seu todo, o que sublinha a importância da resiliência operacional digital do setor financeiro. É neste contexto que surge o DORA, que, embora regule inicialmente a atividade das entidades financeiras e dos prestadores de serviços baseados em tecnologias de informação e comunicação, é mais do que provável que, no futuro, venha a ser obrigatório noutros setores, aos quais se aplicará a mesma regulamentação ou regulamentação semelhante.
O DORA aborda especificamente as atuais vulnerabilidades em matéria de TIC, segurança e gestão de riscos nos fornecedores de serviços financeiros e de TIC. Mas estas vulnerabilidades também podem ocorrer em organizações de outros setores. É, portanto, provável que, no futuro, se aplique uma regulamentação semelhante a estes setores, especialmente para as empresas que trabalham em áreas sensíveis como as infraestruturas críticas, que devem familiarizar-se com os principais aspetos do DORA numa fase inicial.
