A transformação digital dos serviços financeiros trouxe consigo uma crescente dependência de prestadores de serviços de tecnologias de informação e comunicação (TIC). No contexto do Regulamento DORA, as entidades financeiras são obrigadas a adotar medidas rigorosas para gerir o risco associado às TIC, incluindo uma avaliação cuidadosa do risco de concentração. Este artigo explora os requisitos e boas práticas para essa avaliação, com enfoque em acordos contratuais relacionados a funções críticas ou importantes.
O QUE É O RISCO DE CONCENTRAÇÃO NAS TIC?
O risco de concentração refere-se à dependência excessiva de um único ou de poucos prestadores de serviços TIC, o que pode comprometer a continuidade operacional em caso de falha. Este risco é particularmente sensível quando envolve funções críticas ou importantes da entidade financeira.
AVALIAÇÃO PRELIMINAR: FATORES A CONSIDERAR
Durante a identificação e avaliação deste risco, as entidades financeiras devem analisar se os contratos propostos conduzem a Contratação de prestadores não facilmente substituíveis e a uma multiplicidade de contratos com o mesmo fornecedor ou com fornecedores interligados.
A análise deve considerar os benefícios e custos de soluções alternativas, incluindo a diversificação de fornecedores, à luz da estratégia de resiliência digital da entidade.
RISCOS ADICIONAIS ASSOCIADOS À SUBCONTRATAÇÃO
Sempre que os contratos prevejam a subcontratação, especialmente para funções críticas, devem ser considerados:
- Os riscos da subcontratação transfronteiriça, sobretudo em países terceiros;
- A possibilidade de insolvência do prestador de serviços e os respetivos impactos legais;
- A dificuldade de recuperação de dados em cenários de falência;
- A complexidade das cadeias de subcontratação e o impacto na supervisão e monitorização eficazes.
CONFORMIDADE LEGAL E SEGURANÇA DOS DADOS
Em contratos com prestadores estabelecidos fora da União Europeia, deve ser assegurado o cumprimento das normas da UE relativas à proteção de dados, bem como a existência de mecanismos legais eficazes nesse país terceiro.
CONCLUSÃO
A avaliação preliminar do risco de concentração no domínio das TIC é essencial para garantir a continuidade operacional das entidades financeiras e cumprir os requisitos do DORA. Ao identificar riscos potenciais, diversificar fornecedores e analisar cuidadosamente os contratos de subcontratação, as entidades financeiras podem proteger-se contra interrupções significativas e reforçar a sua resiliência digital.
