A CIBERSEGURANÇA NO SETOR SEGURADOR: COMO O REGULAMENTO RELATIVO À RESILIÊNCIA OPERACIONAL DIGITAL DO SETOR FINANCEIRO ESTÁ A MOLDAR O FUTURO
O setor segurador da União Europeia (UE) está em contagem decrescente para a adoção de um importante diploma legal destinado a abordar as preocupações em matéria de cibersegurança.
Desde a consolidação da era digital, a cibersegurança tem sido alvo de uma atenção sem precedentes, estando a UE a trabalhar no sentido de estabelecer um quadro sólido que envolva todos os intervenientes no mercado e que, a nível global, exija uma abordagem proactiva e adaptativa aos perigos crescentes, evolutivos e desafiantes das ciberameaças.
É neste contexto que, no âmbito da Estratégia de Cibersegurança da UE, se assumiu como prioridade a necessidade de regulamentar as preocupações com o ciberespaço no setor financeiro – um setor altamente regulado que lida habitualmente com informação de alto risco, depende cada vez mais de soluções tecnológicas inovadoras e quem sido alvo recorrente e crescente de ameaças cibernéticas.
O Regulamento relativo à Resiliência Operacional Digital do Sector Financeiro (Digital Operational Resilience Act – “DORA”), que foi aprovado em dezembro de 2022, entrou em vigor em janeiro de 2023 e será aplicável em toda a UE a partir de 17 de janeiro de 2025.
O DORA aplica-se a um vasto leque de entidades, incluindo empresas de seguros e de resseguros, mediadores de seguros, mediadores de resseguros e mediadores de seguros a título acessório, sociedades gestoras, instituições de crédito, agências de notação de crédito, revisores oficiais de contas e empresas de auditoria e prestadores de serviços de TIC.
Ao criar um quadro de governação e gestão de riscos TIC, prevendo a responsabilidade do órgão de administração, o DORA coloca definitivamente a cibersegurança na agenda “C level executives”.
Os Pilares do DORA
O DORA é estruturado em torno de 5 pilares principais, que, juntamente com 13 RTS (Regulatory Technical Standards) e ITS (Implementing Technical Standards) em fase final de aprovação, estabelecem um exigente quadro de obrigações e responsabilidades para as organizações, das quais se destacam as seguintes:
- Gestão do risco associado às TIC: As organizações devem implementar quadros de governação e controlo internos para gerir eficazmente os riscos de TIC. Isso inclui a criação de funções de controlo e a adaptação do papel dos órgãos de administração, que são diretamente responsáveis pela definição, aprovação e supervisão das disposições relacionadas com a gestão dos riscos de TIC.
- Gestão de incidentes relacionados com as TIC: É necessário estabelecer processos para detetar, gerir, monitorizar e notificar incidentes de TIC, classificando-os com base em critérios específicos e comunicando os principais incidentes às autoridades reguladoras e aos clientes afetados.
- Testes de resiliência operacional digital: As organizações devem preparar um programa de testes de resiliência operacional digital, incorporando testes e avaliações de vulnerabilidade baseados no risco.
- Gestão de risco associado às TIC devido a terceiros: O DORA exige a integração do risco de terceiros como parte do risco de TIC geral, incluindo um dever de diligência adicional na seleção de prestadores, a necessidade de inclusão de disposições contratuais específicas e a monitorização dos terceiros.
- Partilha de informações: As organizações são encorajadas a trocar informações sobre ciberameaças para aumentar a resiliência operacional digital, desde que ocorra dentro de uma comunidade de confiança e sob acordos que protejam a natureza sensível das informações.
O que fazer?
Quando faltam pouco mais de seis meses para a aplicação do DORA, as organizações devem, naturalmente, dominar o novo quadro legal e adaptar os procedimentos internos de avaliação de risco, por forma a permitir uma análise cuidada das obrigações e do nível de risco cibernético.
Esta análise passará, entre outros aspetos, pela identificação das obrigações que impendem sobre a organização, pela avaliação da adequação das medidas adotadas (técnicas, legais e operacionais) e das salvaguardas contratuais adotadas em caso de externalização de serviços core da organização.
Não existem uma receita mágica e única para a implementação do DORA. Cada organização tem as suas especificidades e diferentes níveis de maturidade e preparação. Em qualquer caso, o DORA pressupõe, necessariamente, uma abordagem multidisciplinar na sua implementação, que inclua desde logo:
- Equipa multidisciplinar: Formação de um grupo de trabalho DORA com decisores-chave para garantir uma abordagem transversal, considerando os impactos jurídico, operacional e tecnológico do DORA. Esta equipa deve avaliar o estado de preparação e cumprimento dos requisitos pela organização e, com base numa avaliação dos diferentes riscos, identificar as medidas a adotar.
- Governance: Definir e/ou adaptar o modelo de governance, de forma a garantir a gestão de riscos TIC.
- Políticas e procedimentos: Identificar e preparar a documentação necessária, incluindo políticas internas e revisão/adaptação de procedimentos internos da organização (desde logo, de gestão de incidentes, avaliação de terceiros, monitorização do funcionamento de sistemas e ferramentas TIC e planos de testes).
- Acordos com Terceiros: Mapear os prestadores TIC e preparar, ajustar ou renegociar contratos com estes terceiros.
- Tecnologia: Mapear as ferramentas existentes e identificar soluções tecnológicas adequadas.
- Sensibilização e formação: Implementar programas de formação interna.
- Incorporação do ecossistema jurídico: Assegurar que a estratégia de conformidade com o DORA é compatível com outros instrumentos jurídicos aplicáveis.
É inegável que o DORA representa uma mudança de paradigma na resiliência digital do setor segurador, exigindo uma atitude proativa e adaptativa em relação às ciberameaças.
Nesta reta final de implementação, as organizações devem estar conscientes, preparadas e prontas para a aplicação do DORA, implementando um programa de conformidade individualizado e ajustado às necessidades específicas da organização.