DORA: O Digital Operational Resilience Act e seu Impacto na Privacidade e Proteção de Dados

A resiliência operacional digital tornou-se um fator crítico para empresas do setor financeiro, especialmente diante do aumento de ameaças cibernéticas e requisitos regulatórios mais rigorosos.

O DORA (Digital Operational Resilience Act surge como uma regulamentação da União Europeia projetada para fortalecer a segurança cibernética e a resiliência operacional de instituições financeiras e seus prestadores de serviços.

Entenda seus conceitos, objetivos e consequências para empresas brasileiras neste artigo, além de sua relação com a GDPR e LGPD.

DORA: O que é a resiliência operacional?

Para entendermos a regulamentação, precisamos entender seus conceitos mais fundamentais. Quando falamos de resiliência operacional estamos nos referindo à capacidade de uma organização de se preparar, responder e se recuperar de incidentes disruptivos, garantindo a continuidade das operações críticas.

Isso envolve a implementação de processos robustos de gestão de risco, segurança cibernética, testes de estresse e estratégias eficazes de resposta a incidentes.

No ambiente digital, a resiliência operacional é essencial para minimizar impactos de falhas tecnológicas, ataques cibernéticos e outras ameaças que possam comprometer a estabilidade das operações empresariais, além de colocar em risco, a privacidade de titulares.

O que é o DORA e qual seu histórico?

Os quatro domínios do DORA

O DORA é estruturado em quatro domínios principais com requisitos técnicos básicos nas seguintes áreas:

• Gerenciamento de riscos tecnológicos – As instituições devem implementar políticas robustas para identificar, avaliar e mitigar riscos associados a seus sistemas e infraestrutura tecnológica.
• Relato de incidentes de tecnologia e telecomunicações – Estabelece obrigações rigorosas de comunicação e reporte de incidentes cibernéticos às autoridades reguladoras, garantindo maior transparência e rapidez na resposta a crises.
• Testes de resiliência operacional digital – Impõe a realização de testes regulares, incluindo simulações de ataques cibernéticos, para avaliar a eficácia das medidas de segurança e recuperação.
• Gestão de terceiros críticos de TIC – Regula a relação com fornecedores e prestadores de serviços essenciais e necessários para o pleno funcionamento da instituição financeira, exigindo que as empresas avaliem e monitorem os riscos associados à sua cadeia de fornecimento/suprimentos digital.

Importância do DORA e sua relação com outras normas

O DORA é essencial para aumentar a robustez dos serviços tecnológicos e capacidade de recuperação das instituições financeiras e, consequentemente, proteger os dados dos clientes. Sua interface com a GDPR (“General Data Protection Regulation”) é clara, pois ambas regulamentações priorizam a segurança e a proteção contra incidentes cibernéticos. Enquanto a GDPR foca na proteção dos dados pessoais e nos direitos dos titulares, o DORA se concentra na resiliência operacional das instituições que processam esses dados, direta ou indiretamente.

Alguns frameworks conhecidos possuem interseções com o DORA, como a ISO/IEC 27001 (gestão de segurança da informação), o NIST Cybersecurity Framework.

Nos Estados Unidos, o Federal Reserve também conta com políticas de resiliência operacional e regras de cibersegurança. Aqui no Brasil, vemos pequenas ramificações com a Lei de Proteção de Dados Pessoais (LGPD).

No Brasil, por exemplo, a LGPD já estabelece requisitos para a proteção de dados, mas não há um regulamento específico equivalente ao DORA. Entretanto, o Banco Central tem avançado em suas decisões como a Resolução 4.658/2018 e normativas relacionadas ao Open Banking, que abordam segurança cibernética e continuidade de negócio.

Desta forma, empresas brasileiras podem se inspirar no DORA para aprimorar seus programas de tecnologia, cibersegurança, estratégias de contingência e processos de recuperação de negócio, adotando boas práticas como:

• Implementação de frameworks de segurança baseados em padrões internacionais;
• Testes regulares de resposta a incidentes e gestão de crises;
• Parcerias com provedores de tecnologia para garantir segurança na cadeia de fornecimento;
• Desenvolvimento de programas de conscientização e treinamento em privacidade e proteção de dados.
  

Sendo possível esperar que, em algum momento, a regulamentação europeia seja cascateada para o Brasil, assim como a GDPR inspirou a LGPD.

Enquanto o DORA é específico para provedores do mercado financeiro, o NIS2 abrange outros segmentos críticos e também foca nos aspectos de cibersegurança e proteção de ameaças externas. Confira aqui uma comparação entre NIS2 e DORA.

E se extrapolarmos os conceitos do DORA e sua importância, percebemos que seus princípios podem ser aplicados a diversas indústrias e mercados que dependem fortemente de tecnologia para suas operações. Empresas de qualquer segmento que buscam garantir continuidade de negócios e proteger dados sensíveis podem implementar frameworks semelhantes para fortalecer sua postura de segurança digital, em diferentes níveis de complexidade.

Aplicabilidade do DORA para startups e empresas brasileiras

Startups e empresas brasileiras que prestam serviços para instituições financeiras localizadas na União Europeia devem estar atentas às exigências do DORA. Assim como acontece com a GDPR, o DORA possui um impacto extraterritorial, ou seja, se uma empresa brasileira fornece soluções tecnológicas para bancos ou fintechs europeias, ela estará obrigada a cumprir os requisitos de resiliência operacional estabelecidos pela regulamentação.

Isso significa que precisarão investir recursos para adotar medidas de proteção rebuscadas, que atendam aos requisitos da regulamentação. Essa conformidade não apenas evita sanções, mas também pode ser um diferencial competitivo, garantindo credibilidade e maior segurança para seus clientes internacionais.

Importante ressaltar de que é sempre importante verificar as regulamentações, leis e políticas locais antes de promover produtos e serviços aos mercados internacionais.

Equipes multidisciplinares e a resiliência operacional

Assim como a privacidade, a resiliência operacional não é uma responsabilidade isolada da equipe de TI ou de segurança da informação. É fundamental a formação de equipes multidisciplinares que incluam:

• Especialistas em segurança cibernética;
• Profissionais de compliance e regulação;
• Representantes do negócio para mitigar riscos operacionais;
• Juristas especializados em proteção de dados e regulamentações financeiras.

A integração dessas equipes permite uma abordagem holística para a gestão de riscos, com resultados mais ricos, promovendo uma cultura organizacional mais preparada para lidar com incidentes.

O papel do DPO frente ao DORA

O Data Protection Officer (DPO) desempenha um papel crucial na interface entre GDPR e DORA. Ele deve colaborar com equipes de segurança cibernética para garantir que os requisitos de proteção de dados sejam incorporados nas estratégias de resiliência operacional. Entre suas responsabilidades, destacam-se:

• Assegurar que os processos de gerenciamento de risco considerem os riscos cibernéticos aos dados pessoais;
• Trabalhar com os Chief Information Security Officers (CISOs) para alinhar conformidade e segurança da informação;
• Participar de testes de resiliência, auditorias e avaliações de impacto;
• Garantir a comunicação eficaz com autoridades reguladoras em caso de incidentes;
• Auxiliar na ponte com times jurídicos para avaliar requisitos e interações com outras leis e regulamentações de outros mercados, entidades e organizações.

O DORA representa um avanço significativo nas posturas de segurança da informação e na capacidade de recuperação de negócios, garantindo que instituições financeiras possam operar de maneira segura diante de ameaças cibernéticas. Seu alinhamento com outras regulamentações, como a GDPR, destaca a importância de uma abordagem integrada de segurança e proteção de dados.

No Brasil, ainda que não haja uma regulamentação idêntica, existe uma grande oportunidade para empresas adotarem as melhores práticas inspiradas no DORA e fortalecerem sua segurança e conformidade digital através de seus programas de privacidade, com o apoio de equipes lideradas por um DPO preparado e experiente.

Treinamentos e Melhorias de Posturas em Segurança da Informação

Nunca é demais ressaltar que treinamento de colaboradores é uma das principais ferramentas para fortalecer a cultura de proteção de dados e de privacidade. Cursos internos regulares capacitam as equipes a reconhecerem e tratarem ameaças, além de criar uma cultura de privacidade e é um passo preparatório em quaisquer projetos desta magnitude.

Soluções da Macher Tecnologia para a LGPD e Gestão de Riscos

CIOs, CTOs e líderes jurídicos e de compliance desempenham papéis fundamentais na segurança e privacidade das informações. A colaboração com um DPO eficiente e o investimento em treinamentos e ferramentas adequadas garantem que a organização não apenas atenda às exigências legais, mas também se posicione de forma competitiva em um mercado cada vez mais voltado à proteção de dados.

A Macher Tecnologia oferece serviços especializados para auxiliar estes profissionais e suas organizações na implementação de iniciativas de LGPD, manutenção da conformidade e gestão de riscos. Dentre as soluções oferecidas, destacam-se:

DPO-as-a-Service: Um serviço flexível e eficiente que garante a presença de um time multidisciplinar de especialistas em proteção de dados na organização, sem a necessidade de alocação de recursos internos exclusivos.

Profissionais especializados: Alocação de consultores em governança de TI e dados, gestão de projetos e gestão de riscos de tecnologia (PMI-RMP), permitindo uma abordagem abrangente e personalizada para atender às demandas específicas de cada organização.

Ferramentas próprias: Soluções como o DPO Helper e a Academia LGPD capacitam as empresas a implementarem práticas consistentes e a disseminarem conhecimento internamente.

Auditorias spot-check: Auditamos seus processos, melhorando a preparação para incidentes cibernéticos.

Se você busca soluções completas para privacidade, proteção de dados e cybersecurity, entre em contato conosco. Nossa equipe está pronta para ajudar sua empresa a navegar pelos requerimentos e oportunidades da LGPD e implementar práticas eficazes de segurança e conformidade.

Converse com nossos consultores agora!