A União Europeia está sempre na vanguarda quando o assunto é proteção de dados e ninguém pode negar essa afirmação. Afinal, basta lembrar que foi dela que surgiu a General Data Protection Regulation (GDPR), legislação que foi a base para a nossa brasileira LGPD. E, provando mais uma vez o seu ineditismo, a UE finalmente começa a aplicar, neste dia 17 de janeiro de 2025, o Digital Operational Resilience Act (DORA).
O framework foi aprovado e sancionado em janeiro de 2023, mas a união deu dois anos para que as corporações tivessem tempo de se adaptar às novas normas antes que sanções e multas começassem a ser aplicadas. Mas, no fim das contas, o que é a DORA, qual é a sua importância e por qual motivo as empresas brasileiras também precisam conhecer a legislação?
Embora o nome não diga muito, a Digital Operational Resilience Act (Lei de Resiliência Operacional Digital) é um conjunto de diretrizes criada pela União Europeia e que deve ser adotada por instituições financeiras de seus estados-membros. Isso inclui não apenas bancos, mas também bandeiras de cartões de pagamento, empresas de investimentos, instituições de crédito, provedores de serviços de criptoativos e assim por diante.
O objetivo é garantir que todos esses empreendimentos sejam capazes de resistir, responder e se recuperar de incidentes cibernéticos e falhas operacionais tecnológicas. Em um cenário em que as ameaças cibernéticas estão em crescimento, a DORA busca garantir que as organizações financeiras tenham uma abordagem robusta para proteger seus sistemas e dados, minimizando riscos que possam afetar a estabilidade do mercado.
O regulamento exige que as empresas financeiras adotem medidas preventivas para identificar vulnerabilidades e implementar planos de continuidade de negócios em caso de interrupções. Além disso, a DORA impõe requisitos para que as instituições monitorem continuamente seus fornecedores de serviços de tecnologia (third-parties), garantindo que terceiros também estejam em conformidade com as exigências de segurança, já que muitas ameaças podem surgir de falhas nos serviços contratados.
Embora a Digital Operational Resilience Act tenha sido proposta em 2020, ela caminhou um longo percurso até se tornar o que é hoje. Um dos incidentes que mais amadureceu e agilizou a entrada da DORA em vigor foi o "apagão" da CrowdStrike, ocorrido em julho de 2024. Na ocasião, a fornecedora de segurança causou o travamento de diversos sistemas ao redor do mundo após emitir uma atualização defeituosa de seu software.
Como resultado, diversas instituições financeiras — como JPMorgan Chase, Santander, Visa e Charles Schwab — ficaram impossibilitadas de prestar serviços aos seus clientes durante horas, causando uma série de danos em cadeia. O objetivo é que, a partir de agora, as companhias sejam responsabilizadas e penalizadas por esse tipo de incidente, enfrentando sanções e multas que podem chegar a 2% de seu faturamento anual.
“Esses provedores terceirizados agora devem fazer parte do processo de teste e relatórios, o que significa que as empresas de serviços financeiros precisam adotar soluções que as ajudem a descobrir e mapear essas dependências, às vezes ocultas, com os provedores”, apontou Joe Vaccaro, gerente geral da ThousandEyes, em entrevista à CNBC.
Embora a DORA não possua abrangência para empresas que operem no Brasil, o framework é um excelente exemplo de boas práticas que o setor financeiro deve adotar para garantir a continuidade dos negócios e aumentar a sua resiliência operacional. Vale lembrar que as instituições brasileiras já precisam lidar com a PCI DSS, mas é sempre interessante ver novas iniciativas no ramo.
O fator humano, como sempre, presta um papel importantíssimo nos controles de segurança a serem implementados em uma estratégia de resiliência. Na Eskive, possuímos não apenas uma metodologia exclusiva para conscientizar colaboradores e reduzir o risco humano, mas também módulos educacionais específicos para abordar os desafios do setor financeiro.