Autor: Maurício Baum.
Data: 3 de dezembro de 2024
Se você é uma instituição financeira e opera (ou planeja operar) na Europa ou é um prestador de serviço para uma instituição financeira na Europa, recomendo fortemente que você leia esse post.
DORA (Digital Operational Resilience Act) é uma nova legislação da União Europeia com objetivo de padronizar e estabelecer um alto nível de resiliência digital para o setor financeiro com entrada em vigor dia 17/jan/2025.
Empresas de pagamento, bancos, seguradoras, instituições de investimento, instituições de crédito: esses e muitos outros ramos de atuação estão obrigadas a cumprir o DORA. Raríssimas exceções escaparam.
O DORA possui cinco pilares, sempre com o objetivo de garantir resiliência a ataques cibernéticos e falhas operacionais:
- Gestão do risco e governança de tecnologia,
- Reporte de incidentes,
- Teste de resiliência,
- Gestão de fornecedores e
- Troca de informação.
Sobre o pilar gestão de fornecedores, provocou muitas mudanças aqui na Europa pois o nível de controle exigido no DORA é em geral muito superior ao que as empresas têm atualmente. Contratos com fornecedores estão sendo aditivados com as novas exigências.
No Brasil, todas as empresas que prestam serviços críticos de tecnologia para instituições financeiras precisarão se adaptar ao DORA, pois não adianta, por exemplo, um banco europeu seguir firmemente a legislação, mas seu provedor de core bancário fora da Europa não. O DORA tem um capítulo específico sobre fornecedores fora da EU.
Portanto, a entrada do DORA está exigindo a preparação e adaptação tanto das instituições financeiras Europeias quanto fornecedores ao redor do mundo. Empresas que não se prepararem perderão negócios, licenças, e estarão sujeitas a pesadas multas.
