Desde janeiro, o Digital Operational Resilience Act (DORA) está em vigor e impõe um desafio significativo para CIOs e CISOs de instituições financeiras na União Europeia. O regulamento, que busca fortalecer a resiliência operacional digital, exige medidas rigorosas para mitigar riscos cibernéticos e assegurar a continuidade dos negócios. No entanto, a adaptação tem sido complexa, especialmente no que diz respeito à gestão de fornecedores terceirizados, um dos principais pontos críticos da conformidade.
As principais barreiras para a conformidade com a DORA
O DORA estabelece cinco pilares fundamentais para a segurança e resiliência operacional:
- Gerenciamento de riscos de TIC
- Testes de resiliência operacional
- Gerenciamento e relato de incidentes
- Gestão de riscos de terceiros
- Compartilhamento de informações sobre ameaças (opcional)
Embora o regulamento forneça diretrizes claras, sua implementação tem se mostrado um grande desafio, especialmente para instituições menores, que possuem menos recursos para lidar com requisitos rigorosos. Um dos pontos mais críticos tem sido a necessidade de revisão e renegociação de contratos com fornecedores de tecnologia para garantir que estejam alinhados com as novas exigências regulatórias.
O nó da gestão de fornecedores de TIC
A governança de fornecedores imposta pela DORA exige que instituições financeiras tenham um registro detalhado de todos os terceiros, incluindo os serviços prestados e sua relevância para a infraestrutura da empresa. Essa exigência aumenta a carga administrativa e traz desafios adicionais:
- Obrigação de due diligence contínua as instituições precisam realizar auditorias constantes para garantir que os fornecedores sigam os padrões exigidos.
- Responsabilidade intransferível: mesmo que um fornecedor falhe, a entidade financeira continua responsável por qualquer impacto na resiliência cibernética.
- Revisão contratual rigorosa: cláusulas contratuais precisam ser reformuladas para garantir a conformidade, o que pode levar a renegociações complexas.
Pequenas instituições enfrentam dificuldades adicionais
A adaptação ao DORA tem sido ainda mais difícil para bancos menores e fintechs, que frequentemente dependem da terceirização para suas operações tecnológicas. A exigência de maior controle sobre esses fornecedores impõe custos elevados e demanda um esforço operacional significativo.
A regulamentação não considera proporcionalmente as diferenças entre grandes bancos e instituições menores, tornando a adaptação desafiadora. Além disso, muitas empresas não têm poder de barganha para impor novas cláusulas contratuais a fornecedores estratégicos.
Outro fator que agrava a situação é a ausência completa das Normas Técnicas Regulamentares (NTR), que ainda estão em elaboração. Isso significa que, mesmo após adaptar seus processos, as instituições podem precisar realizar novas mudanças quando as diretrizes finais forem publicadas.
Governança de TI: um pilar essencial
Além da gestão de fornecedores, outro grande desafio imposto pela DORA é o fortalecimento da governança de TI. O regulamento exige a criação de uma função de controle de risco de TIC independente, capaz de monitorar todas as atividades relacionadas à resiliência digital.
Isso significa que CIOs precisam implementar medidas como:
- Mapeamento e análise de riscos regulatórios
- Treinamento especializado para equipes internas
- Implementação de testes de segurança e penetração
- Monitoramento contínuo de ativos digitais
Para empresas menores, esse reforço na governança pode representar altos custos e a necessidade de novas contratações, algo nem sempre viável no curto prazo.
Oportunidades no horizonte
Apesar dos desafios, a adequação ao DORA pode trazer benefícios para as instituições financeiras. Entre eles:
- Fortalecimento da segurança cibernética: a conformidade com a regulamentação melhora a proteção contra ataques e vulnerabilidades.
- Aumento do poder de barganha com fornecedores: pequenas instituições podem negociar melhores contratos, já que as regras estabelecem critérios claros de segurança.
- Automação de processos: a necessidade de maior controle impulsiona a digitalização e automação de operações, reduzindo atividades manuais.
O regulamento pode ajudar bancos digitais a estruturarem melhor seus processos de continuidade de negócios e segurança cibernética.
Próximos passos e desafios futuros
Os próximos meses serão decisivos para as instituições financeiras que buscam a conformidade com a DORA. Especialistas alertam que este primeiro ano será um período de adaptação intensa, com revisões constantes e ajustes regulatórios. A interação entre CIOs, CISOs, equipes jurídicas e de conformidade será fundamental para alinhar as operações às exigências do regulador.
Além disso, as futuras Normas Técnicas Regulamentares (NTR) podem trazer novos desafios, obrigando bancos e fintechs a revisarem novamente suas estratégias.
Com um cenário regulatório dinâmico e exigente, os líderes de TI precisam antecipar desafios, fortalecer suas governanças e encontrar um equilíbrio entre conformidade e inovação.
Siga o Itshow no LinkedIn e assine a nossa News para ficar por dentro de todas as notícias do setor de TI e Telecom!
