5 passos que você precisa seguir para estar preparado para o prazo do próximo ano
O DORA está definido para transformar o setor de serviços financeiros, aprimorando a segurança cibernética e a resiliência operacional em toda a UE. Stephen McDermid, da Okta, explica o que o DORA significa para o setor financeiro e por que muitas empresas estão recorrendo à automação para gerenciar as complexas camadas de regulamentação e conformidade.
Empresas de serviços financeiros em toda a Europa estão contando os meses e dias até que o DORA — o Regulamento de Resiliência Operacional Digital da Comissão Europeia — entre em vigor.
Em 17th de janeiro de 2025, o período de preparação de 24 meses terminará e todas as empresas de serviços financeiros precisarão cumprir o regulamento DORA.
O que é DORA?
Introduzida em resposta ao aumento das ameaças cibernéticas, a DORA visa garantir que as instituições financeiras possam resistir, responder e se recuperar de interrupções digitais, protegendo o sistema financeiro mais amplo. A DORA foi projetada para harmonizar os programas de governança existentes sob um único guarda-chuva de supervisão em toda a UE.
O impacto da DORA
Tendo trabalhado em estreita colaboração com equipes de segurança de serviços financeiros e reguladores, observei uma mudança na forma como as empresas abordam a resiliência cibernética e a proteção, principalmente à luz do Digital Operational Resilience Act (DORA).
Hoje, há um foco necessário em minimizar o risco em todas as cadeias de suprimentos digitais. Precisamos garantir que a gestão e a governança estejam bem preparadas para abordar as preocupações em torno da segurança cibernética, possíveis violações e vulnerabilidades.
Esta é uma grande mudança e chega no momento certo. Incidentes recentes de segurança cibernética destacam os riscos críticos associados a comprometimentos da cadeia de suprimentos e acesso de terceiros.
O DORA está definido para trazer essas questões para um foco mais nítido para conselhos e CFOs, tornando fundamental que eles tenham as estruturas de governança certas em vigor e, mais importante, a capacidade de responder efetivamente quando os incidentes ocorrem.
Camadas complexas de regulamentações a serem gerenciadas
Vivemos e operamos em um ambiente regulatório cada vez mais complexo. O DORA é apenas uma das várias regulamentações que estão por vir, incluindo NIS2 e o Cyber Resilience Act (CRA). O gerenciamento da conformidade é um desafio, e as empresas agora estão recorrendo à automação para gerenciar o crescente fardo de análise, validação e auditoria necessárias. Em nosso recente relatório Businesses at Work 2024, vimos o crescimento de ferramentas de conformidade de dados atingir 120% ano após ano.
Como avançar em direção à conformidade com o DORA
Quando se trata de identificar falhas importantes em suas cadeias de suprimentos digitais, as empresas reconhecem cada vez mais que, embora a prevenção seja vital, é igualmente importante ter testes e validação robustos de controles em vigor. Incidentes acontecerão, e a chave para mitigar seu impacto reside em uma preparação completa.
Aqui estão minhas dicas sobre como se preparar para a conformidade com a DORA:
- Identifique os principais fornecedores e colabore com eles por meio do planejamento de cenários e simulações. Tais esforços ajudam as organizações a entender os impactos potenciais e a desenvolver planos de contingência.
- Teste e aprimore continuamente seus planos de contingência por meio da análise de dados e benchmarking em relação aos padrões da indústria.
- Certifique-se de ter resiliência operacional e programas de risco de terceiros em vigor. Alinhe esses programas existentes com os regulamentos da DORA e identifique quaisquer lacunas.
- Mantenha-se a par das consultas e elabore documentos que circulem em preparação para estes requisitos das Normas Técnicas Regulamentares (Regulatory Technical Standards, RTS).
- Agora c3 A9 o momento de interagir com parceiros e colegas para entender como outros estão enfrentando esses desafios, facilitando o compartilhamento de conhecimento e a colaboração.
A conformidade é crucial
As instituições financeiras que não cumprirem o DORA enfrentam penalidades pesadas, incluindo multas, exigências para conceder acesso a dados para investigação e até mesmo mandatos para interromper as operações.
Para provedores terceirizados críticos que atendem a instituições de serviços financeiros, os riscos são igualmente altos. A não conformidade pode resultar em pagamentos de multa de 1% do volume de negócios diário mundial médio do provedor do ano anterior, aplicado diariamente até que a conformidade seja alcançada — por uma duração máxima de seis meses.
E, é claro, ataques cibernéticos e violações podem afetar negativamente a confiança do seu investidor e a reputação do mercado. A confiança leva anos para ser construída, mas pode ser perdida em um instante.
O DORA representa um marco regulatório para empresas de serviços financeiros, obrigando você a adotar uma abordagem mais abrangente e integrada à resiliência cibernética e à governança operacional. Desnecessário dizer que o DORA é rigoroso, mas rigoroso por muito boas razões. Embora o investimento na conformidade com o DORA possa ser grande e exigir recursos consideráveis, as repercussões de errar podem ser exponencialmente maiores.
Saiba mais sobre Identidade Digital e DORA
A Identidade Digital é fundamental para o DORA. Para estar em conformidade com o DORA, as organizações de serviços financeiros precisam implementar ferramentas robustas de gerenciamento de identidade e autenticação para melhorar o controle de acesso e reforçar a segurança das operações e transações. Com incríveis 86% dos ataques de aplicativos da web sendo rastreados até credenciais comprometidas, é fácil entender o porquê.
Para descobrir como a Identidade Digital impacta a DORA, sua segurança e a segurança de seus clientes, leia o whitepaper da Okta “O papel da Identidade Digital na DORA”.
