5 passos para cumprir com o regulamento DORA

5 passos para cumprir com o regulamento DORA: Resiliência empresarial face a ciberataques e ameaças

16/01/2025 - Blog
  • De acordo com a Formalize, desde agosto de 2024, registou-se um aumento de 57% nas empresas que procuram cumprir a Lei da Resiliência Digital.
  • Verificar o estado dos “serviços críticos” da empresa ou implementar controlos de risco cibernético e gestão da conformidade são algumas das medidas que as empresas devem tomar para cumprir a DORA.

No dia 17 de janeiro, entrará em vigor a Lei da Resiliência Operacional Digital (DORA), que visa garantir a resiliência das instituições financeiras às ciberameaças. Nesse dia, todas as empresas do setor financeiro e fornecedores de TIC terão de cumprir este regulamento e, de acordo com a plataforma de conformidade Formalize, desde agosto de 2024, houve um aumento de 57% nas empresas que procuram cumpri-lo.

Assim, a knowmad mood, consultora tecnológica líder em soluções de transformação digital, apresenta 5 passos fundamentais para que estas empresas garantam o cumprimento da legislação.

Verificar o estado dos “serviços críticos” da sua empresa.

Um primeiro passo para cumprir a legislação relativa à resiliência digital é determinar se a organização presta serviços “críticos” ou importantes – serviços financeiros essenciais, plataformas TIC ou serviços dependentes de infraestruturas tecnológicas, entre outros – analisando cuidadosamente o texto da legislação e procurando aconselhamento jurídico. Estes têm requisitos mais rigorosos, pelo que, se a organização cumprir estes critérios, será forçada a estabelecer padrões mais elevados para a continuidade do seu negócio, o planeamento das ciberameaças e outras medidas de resiliência operacional.

Implementar controlos de risco cibernético e gestão da conformidade

DORA, a Lei da Resiliência Digital, sublinha a importância da gestão dos riscos das TIC e de terceiros. Para cumprir este regulamento, é essencial que a empresa tenha um quadro de conformidade interno bem estruturado e um conjunto documentado de controlos de cibersegurança em vigor em todos os níveis da organização. Uma boa prática consiste em criar ou adaptar políticas baseadas em normas de cibersegurança reconhecidas, como a ISO 27001. Após a implementação, será necessário auditar a organização em função destas normas, uma vez que as normas DORA irão provavelmente basear-se numa abordagem semelhante.

Implementar a gestão do risco de terceiros

A DORA tem como objetivo tornar as instituições financeiras mais resilientes ao risco de TIC de terceiros e por isso introduz requisitos explícitos para monitorizar e avaliar regularmente os principais fornecedores terceiros. Caso a empresa não disponha de uma política para gerir estes riscos, a entrada em vigor desta lei será uma boa altura para implementá-la – os requisitos e orientações incluídos na DORA podem ajudar as empresas a fazê-lo. Se, por outro lado, já estiver a ser utilizado software orientado para a gestão do risco, a empresa apenas terá de garantir que os relatórios dos sistemas são válidos e atualizados, uma vez que constituirão uma prova sólida numa auditoria DORA.

Reforçar a gestão de incidentes.

Entre os requisitos da DORA, existem alguns para os relatórios de incidentes para empresas financeiras e prestadores de serviços de TIC. Exige a apresentação de relatórios de ciberataques com informações pormenorizadas sobre as causas e a raiz dos incidentes, a resposta dada e o tempo de inatividade, entre outros. Por conseguinte, no caso de cumprir com os requisitos DORA, a frequência destes relatórios é suscetível de aumentar. Por conseguinte, as organizações que dispõem de ferramentas de automatização destes serviços terão mais vantagens neste aspeto, pois não só poupam tempo, como também garantem o rigor e a rastreabilidade no cumprimento destes relatórios. Isto significa que aqueles que o implementarem antes da entrada em vigor do regulamento poderão tirar partido desta poupança de tempo.

Escolher plataformas que apoiem a continuidade do negócio

Outro objetivo do DORA é tornar as empresas mais resistentes aos ciberataques. Para recuperar rapidamente após um incidente, ao mesmo tempo que se mantêm em conformidade com a regulamentação, as organizações podem optar por plataformas “as a service” na cloud, que oferecem não só planos detalhados de continuidade do negócio, mas também garantias de tempo de atividade.

O cumprimento do regulamento DORA permite não só cumprir os requisitos de cibersegurança e proteção de dados da UE, mas também melhorar a resiliência da sua própria empresa. Mas para consegui-lo, é essencial ter o apoio de especialistas como a knowmad mood, que põe à sua disposição ferramentas que facilitam a gestão proactiva de riscos e reduzem o tempo de inatividade devido a incidentes de cibersegurança. Sem dúvida, com o apoio adequado e as ferramentas corretas, as empresas estarão preparadas para enfrentar qualquer desafio”., diz Roberto Liesa, Head of Cloud da knowmad mood.

Tags:
,