Regulamento DORA: 5 passos para cumprir a legislação da UE
Na União Europeia, a cibersegurança e a proteção de dados estão sempre no centro das atenções. Desde o Regulamento Geral sobre a Proteção de Dados (RGPD) até à Diretiva NIS e à sua atualização NIS2, a UE lidera o caminho. O quadro regulamentar mais recente é a Lei da Resiliência Operacional Digital, conhecida como DORA.
O que é o Regulamento DORA?
O Regulamento DORA (Digital Operational Resilience Act) procura garantir que as instituições financeiras sejam resilientes a ciberataques e outras ameaças. Embora tenha sido adotada em novembro de 2022, entrará em vigor a 17 de janeiro de 2025. Nessa altura, todas as empresas do sector financeiro da UE e os seus fornecedores de TIC terão de cumprir esta legislação. E sim, isto também inclui terceiros fora da UE que prestem serviços de TIC a empresas europeias.
A sua empresa está preparada para o prazo da DORA em janeiro de 2025?
Eis os 5 passos fundamentais para garantir a conformidade com esta legislação.
Passo 1: Verifique o estado dos “serviços críticos” da sua empresa
O primeiro passo para cumprir a DORA é determinar se a sua empresa presta “serviços críticos ou importantes”. De acordo com a DORA, estas empresas estão sujeitas a requisitos mais rigorosos. Para verificar se a sua empresa se enquadra nesta categoria, consulte atentamente o texto da legislação DORA e procure aconselhamento jurídico.
Se determinar que a sua empresa preenche os critérios para serviços críticos, terá de seguir normas mais rigorosas em matéria de continuidade da atividade, planeamento de ameaças cibernéticas e outras medidas de resiliência operacional.
Passo 2: Implemente controlos de risco cibernético e gestão de conformidade
A DORA coloca uma forte ênfase na gestão do risco das TIC e de terceiros. Para estar em conformidade, a sua empresa deve ter um conjunto bem documentado de controlos de risco cibernético e uma estrutura interna de gestão da conformidade.
Uma boa prática é criar ou adaptar as suas políticas em função de normas de cibersegurança comprovadas, como a ISO 27001. Uma vez implementadas, audite a sua empresa em função destas normas, uma vez que as auditorias de DORA seguirão provavelmente uma abordagem semelhante.
Passo 3: Pratique a gestão de risco de terceiros
No centro do DORA está a fortificação das instituições financeiras face ao risco TIC de terceiros. Se a sua empresa não tem uma política de gestão de riscos de terceiros para avaliar os fornecedores de serviços e vendedores externos, chegou a altura de desenvolver uma.
Consulte os requisitos e orientações listados no DORA para ajudá-lo a desenvolver os seus procedimentos de gestão de riscos de terceiros. Se a sua empresa já utiliza software de gestão de riscos, estará em boa posição para cumprir com o DORA. Certifique-se apenas de que os relatórios dos sistemas são valiosos e estão atualizados, uma vez que constituirão uma prova sólida numa auditoria de DORA.
Passo 4: Reforce a sua gestão de incidentes
O DORA acrescenta vários requisitos de comunicação de incidentes para empresas financeiras e fornecedores de serviços de TIC. O DORA exige a apresentação de relatórios de ciberataques com informações pormenorizadas sobre as causas de raiz, a resposta da sua empresa, o tempo de inatividade e muito mais. Se a sua empresa está sujeita aos requisitos do DORA, é provável que tenha de apresentar relatórios de incidentes com maior frequência do que anteriormente.
As empresas com ferramentas automatizadas de gestão de incidentes terão uma vantagem neste aspeto da regulamentação, uma vez que é menos provável que sejam sobrecarregadas com papelada. Se conseguir implementar um sistema deste tipo antes de janeiro de 2025, também ajudará a poupar tempo à sua equipa com a comunicação de incidentes.
Passo 5: Escolha plataformas que ajudem na continuidade da atividade da empresa
Um dos principais objetivos do DORA é melhorar a continuidade das empresas face aos ciberataques. As modernas plataformas “as-a-service” na cloud, oferecem garantias de tempo de atividade e planos detalhados de continuidade do negócio. Opte por estas plataformas para recuperar rapidamente após um ataque e cumprir com DORA.
Conclusões
O prazo para o cumprimento do regulamento DORA está a aproximar-se rapidamente. Tem até janeiro de 2025 para analisar a situação atual da sua empresa e tomar as medidas necessárias para cumprir os requisitos da UE em matéria de cibersegurança e proteção de dados. Se seguir estes passos, pode cumprir o regulamento e evitar sanções.
Para consegui-lo, precisará do apoio de especialistas e de ferramentas que facilitem uma gestão proactiva dos riscos. A HYCU R-Cloud é a primeira e única plataforma de Proteção de Dados SaaS que reduz o tempo de inatividade devido a incidentes de cibersegurança para apenas alguns minutos. Saiba mais sobre a HYCU e inicie o seu teste gratuito clicando aqui.
Comece hoje mesmo o seu teste gratuito e prepare-se para cumprir com o DORA EU. Com o apoio certo e as ferramentas adequadas, estará preparado para enfrentar qualquer desafio.