DORA, E AGORA?

O Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho de 14 de dezembro de 2022 relativo à resiliência operacional digital do setor financeiro (DORA) foi publicado em 27 de dezembro de 2022 e é diretamente aplicável em todos os Estados-Membros da União Europeia a partir de 17 de janeiro de 2025. Certamente, a maioria dos leitores tomou conhecimento desta informação nos últimos dois anos e rapidamente chegou o dia 17 de Janeiro de 2025, a data de produção de efeitos do pacote legislativo DORA. Este milestone marca um passo significativo na definição de um quadro harmonizado para resiliência digital em todo o setor financeiro, estando assim, a partir de agora, as entidades supervisionadas (incluindo as Empresas de seguros e de resseguros, e os Mediadores de seguros, de resseguros e de seguros a título acessório) obrigadas a cumprir os requisitos dispostos nas diversas peças que constituem este pacote legislativo.

Apesar de a data de referência já ter sido ultrapassada e de as Autoridades de Supervisão terem oferecido alguma clarificação, persistem ainda muitas dúvidas e questões, especialmente no que diz respeito a:

1. Muitos atos delegados do pacote legislativo DORA ainda não estão fechados – carecem ainda de aprovação por parte da Comissão Europeia e consequente publicação em Jornal Oficial. Este tema toma ainda maior relevância quando temos assistido a diversos ajustes nos atos delegados ao longo do seu ciclo de vida;
2. Ainda não é conhecido o Diploma Nacional de execução do Regulamento DORA – compete ao Governo e à Assembleia da República aprovar e publicar o diploma legal que defina o regime sancionatório, nomeie as autoridades competentes e decida a posição em questões de discricionariedade nacional, nomeadamente, sobre a identificação de autoridade única responsável pelos TLPT, autoridade que recebe os reportes de incidentes quando exista mais do que uma e outras questões operacionais; e
3. A convivência (ou não) das atuais Normas Regulamentares da ASF e Orientações da EIOPA com os requisitos DORA – carece de clarificação que Normas ou Orientações serão alteradas ou revogadas de forma a assegurar a coerência entre todas as peças.

É neste leque de dúvidas e incertezas que as entidades abrangidas pelo DORA estão a iniciar esta nova fase. Por um lado, com o que são as expectativas rígidas das Autoridades de Supervisão para o cumprimento integral dos requisitos e, por outro, com os desafios inerentes à implementação e concretização desses próprios requisitos por parte das Companhias.

Sobre este último, a abrangência dos requisitos e baixo nível de proporcionalidade existente – concretizado pela visão das Autoridades de Supervisão de mesmo setor de atividade, exposição aos mesmos riscos e aplicação do mesmo nível de controlo – leva a que existam, à data, muitas disparidades no grau de cumprimento dos requisitos exigidos. Se por um lado as grandes Companhias, com maior número de recursos humanos, técnicos e financeiros, estão com os seus processos em “velocidade cruzeiro”, as Companhias de dimensão mais reduzida enfrentam os desafios inerentes em dar resposta a um quadro bastante complexo e exigente.

Muito recentemente, foi realizado um inquérito junto de entidades nacionais abrangidas pelo DORA com o objetivo de identificar lacunas e desafios na jornada de conformidade DORA. Em síntese, concluiu-se que:

– Os principais desafios identificados foram a escassez de recursos (técnicos, humanos e financeiros) e a renegociação de contratos com terceiros; e

– As principais lacunas identificadas são na política de gestão do risco de terceiros e framework de gestão do risco TIC.

Um denominador comum nesta síntese é o pilar de Gestão de Risco de Terceiros. Não obstante já existir um alinhamento deste tema com o disposto na Norma Regulamentar da ASF n.º 6/2022 e as EIOPA-BoS-20-002, pese embora as orientações se apliquem somente à subcontratação de prestadores de serviços de computação em nuvem, enquanto o DORA se aplica a todos os acordos de serviços de TIC com terceiros prestadores de serviços de TIC, o DORA traz um conjunto de requisitos bastante exigentes nesta temática e que têm levado à necessidade de uma transformação das organizações neste domínio. Mais do que a renegociação dos contratos, os requisitos de práticas de gestão de risco de terceiros (prévios à contratação e durante a vigência do contrato) bem como a produção do registo de contratos de TIC em alinhamento com os requisitos DORA, tem sido um foco de atenção de todas as Companhias e também das Autoridades de Supervisão – este será seguramente um dos temas sobre os quais serão efetuadas as primeiras ações de supervisão prudencial.

Não perca tempo e atue em conformidade. Torne a sua Companhia mais resiliente!