A digitalização do sector financeiro trouxe benefícios significativos, mas também expôs as empresas a riscos tecnológicos crescentes, incluindo ciberataques, interrupções do sistema e falhas nas tecnologias de informação e comunicação (TIC) de terceiros. Para garantir que as instituições financeiras (IF) se mantêm resilientes face a estas ameaças, a Lei da Resiliência Operacional Digital (DORA) da União Europeia estabelece requisitos pormenorizados para que as IF sediadas na UE protejam os seus principais processos empresariais (ver barra lateral “Âmbito de aplicação da DORA”). Embora o DORA tenha alguma sobreposição com outros regulamentos (como o BAIT e o VAIT na Alemanha), é o primeiro regulamento do género a centrar-se na resiliência digital em todo o ecossistema financeiro europeu.
À medida que a data de aplicação do DORA, 17 de janeiro de 2025, se aproxima (alguns requisitos regulamentares ainda não estão finalizados), a McKinsey realizou um inquérito junto das principais instituições financeiras europeias e de terceiros críticos em matéria de TIC para compreender o seu progresso na obtenção da conformidade com o DORA.
Os resultados são díspares: a maioria das instituições iniciou o percurso, mas muitas terão de fazer mais para cumprir as suas obrigações a tempo. Num artigo publicado pela empresa, são apresentadas algumas das questões mais prementes destacadas no inquérito e medidas que colocaram algumas instituições num caminho de conformidade com o DORA mais promissor do que o dos seus pares.
Implementação do DORA: Qual é a situação do sector?
As IF europeias e os fornecedores de serviços críticos de TIC ainda têm tempo para alinhar as suas capacidades de resiliência com os requisitos do DORA – mas a janela está a fechar-se, diz a McKinsey. O inquérito revela que 94% das IF estão totalmente empenhadas em compreender os requisitos detalhados da legislação; a maioria está a fazê-lo através de um programa DORA dedicado, com o DORA como um ponto da agenda ao nível do conselho de administração (ver barra lateral “Como uma grande empresa financeira europeia enfrentou o desafio DORA”).
A partir de Abril de 2024, a maioria das organizações afirma ter concluído uma análise de lacunas e estar no processo de projectar ou implantar programas de implementação. No entanto, todas as organizações relatam alguma incerteza – por exemplo, em relação aos requisitos exactos da legislação.
Em particular, os inquiridos apontam para dois desafios:
- clareza limitada quanto ao âmbito de aplicação de elementos-chave (por exemplo, as definições de funções críticas ou importantes [CIF] e de fornecedores terceiros de TIC críticos)
- preocupação com o calendário de implementação, considerando que o segundo de dois lotes de normas técnicas regulamentares (RTS) das Autoridades Europeias de Supervisão só deverá ser finalizado em Julho de 2024, e que alguns requisitos regulamentares (por exemplo, a actualização de todos os contratos relevantes de terceiros) exigem um prazo de implementação significativo
Como é que uma grande empresa financeira europeia enfrentou o desafio DORA
Relativamente ao primeiro desafio, um director de segurança da informação afirmou: “A amplitude do programa DORA, dada a vasta gama de tópicos, é inevitável. No entanto, a profundidade escolhida para a definição do âmbito tem um impacto significativo na dimensão do esforço necessário para atingir a conformidade.”
Nalgumas instituições, a incerteza quanto à definição do âmbito levou a um aumento das dotações orçamentais. Normalmente, uma instituição pode ter reservado entre 5 e 15 milhões de euros para a estratégia, o planeamento, a concepção e a orquestração do seu programa DORA. Mas as primeiras estimativas dos custos totais de implementação estão a ser cinco a dez vezes superiores a esse valor.
Uma grande Instituição Financeira – IF comunicou que os gastos finais previstos com a implementação do DORA em todo o grupo ascendiam a quase 100 milhões de euros, repartidos entre a orquestração do programa e as actualizações do controlo tecnológico. De acordo com a McKinsey, segundo outras IFs, são esperados múltiplos semelhantes em todo o sector financeiro – especialmente nas grandes empresas ou naquelas que têm dificuldade em adoptar uma abordagem baseada no risco para a definição do escopo.
A direção do programa é uma engrenagem vital na máquina de implementação, mas a pesquisa dá pouca indicação de que o sector tenha chegado a uma abordagem padronizada. Em cerca de 50% das instituições pesquisadas, a organização de TI conduz a implementação do DORA, enquanto no grupo restante, uma mistura de funções de negócios e de supervisão geralmente assume o controlo. A distribuição predominante da propriedade sugere que muitas organizações ainda vêem a resiliência digital como um “problema de TI” e não como uma preocupação de todo o grupo.
A conformidade com a regulamentação raramente é barata e a maioria dos inquiridos considera que manter a conformidade com o DORA implicará custos contínuos. Entre os inquiridos, 70 por cento afirmam que continuar a cumprir os requisitos DORA resultará em custos de execução permanentemente mais elevados para a tecnologia e o controlo da tecnologia.
Desafios enfrentados pelos participantes no sector e pelos fornecedores de serviços TIC
Dos muitos desafios que as instituições enfrentam, um que se destaca nas respostas ao nosso inquérito é a gestão do risco de terceiros das TIC. Para gerir eficazmente o risco de terceiros, as instituições financeiras têm de envidar esforços significativos em duas frentes: assegurar uma supervisão abrangente de todos os fornecedores de serviços TIC e do risco associado e gerir proactivamente o risco digital associado a fornecedores críticos de serviços TIC de terceiros. Para atingir estes objectivos de uma forma rentável e completa, as principais IF adoptam uma abordagem holística e baseada no risco, o que, por sua vez, exige processos e tecnologias dedicados.
Um factor importante na tomada de decisões de correcção é a forma de definir um prestador de serviços de TIC “crítico”. Nos termos do artigo 31.º do DORA, os critérios a considerar incluem o impacto sistémico na estabilidade, continuidade e qualidade da prestação de serviços financeiros, o número de instituições que dependem do fornecedor e as interdependências entre instituições. As organizações devem trabalhar em estreita colaboração com o aconselhamento jurídico para determinar qual a interpretação dessa definição que melhor cumpre os requisitos da DORA e aumenta a resiliência digital.
Em termos de envolvimento com terceiros, muitas IF relatam desafios ao negociar com entidades mais pequenas. Uma dificuldade é que os terceiros mais pequenos muitas vezes não têm talento ou recursos suficientes para alcançar a conformidade total com o DORA e, portanto, podem ter dificuldade em cumprir os requisitos a tempo. Estas variações de capacidades entre as organizações são susceptíveis de prolongar o prazo de alguns programas de implementação.
Um desafio estrutural comum para uma instituição financeira é o seu duplo papel de se envolver com fornecedores e ser um fornecedor para outros. Por exemplo, uma instituição financeira pode oferecer serviços de pagamentos em nome de outra instituição financeira, ao mesmo tempo que recorre a terceiros para apoiar os seus próprios serviços comerciais. Esta dupla dinâmica pode expor a instituição a um controlo regulamentar de dois ângulos: pode ser necessário iniciar e responder a exercícios de correção dos contratos.
Em todo o sector, é provável que o tempo seja uma preocupação significativa nos próximos meses. No inquérito, apenas cerca de um terço das instituições financeiras manifestam confiança de que podem cumprir todas as expectativas regulamentares do DORA até Janeiro de 2025.
Além disso, todas esperam que pelo menos alguns esforços do DORA continuem após essa data. Mesmo aquelas que acreditam que podem atingir a conformidade até Janeiro de 2025 afirmam que a implementação e o lançamento do “business as usual” em todas as regiões geográficas continuarão após a data de aplicação legal.
