No contexto da crescente dependência das instituições financeiras em serviços externos de Tecnologia da Informação e Comunicação (TIC), o DORA (Digital Operational Resilience Act) exige uma abordagem rigorosa para gerir o risco associado às TIC devido a terceiros. As entidades financeiras devem integrar esse risco no seu quadro de gestão de risco das TIC, aplicando princípios que assegurem responsabilidade, proporcionalidade, monitorização e resiliência.
PRINCÍPIOS GERAIS PARA A BOA GESTÃO DO RISCO DE TIC DE TERCEIROS
1. Responsabilidade final da entidade financeira
Mesmo quando serviços de TIC são prestados por terceiros, a entidade financeira mantém sempre a responsabilidade pelo cumprimento de todas as obrigações previstas no DORA e na legislação dos serviços financeiros aplicável. Em suma: a subcontratação não exime de responsabilidade.
As entidades financeiras mantêm sempre a responsabilidade pelo cumprimento e observância de todas as obrigações previstas no DORA.
2. Proporcionalidade na gestão do risco
A abordagem deve respeitar o princípio da proporcionalidade, tendo em conta:
- A natureza, dimensão, complexidade e importância das dependências de TIC;
- Os riscos dos contratos com terceiros prestadores de serviços TIC, especialmente se apoiam funções críticas ou importantes e podem afetar a continuidade ou disponibilidade dos serviços financeiros.
Assim, quanto mais crítica for a função ou o prestador, maior o escrutínio e exigência.
3. Estratégia de risco específica para terceiros
As entidades financeiras devem manter e rever periodicamente uma estratégia dedicada ao risco de TIC de terceiros, que inclua:
- Uma política de utilização de serviços de TIC prestados por terceiros para funções críticas ou importantes;
- Aplicação individual, subconsolidada e consolidada, conforme o grupo ou entidade;
- Revisão pelo órgão de administração, baseada no perfil global de risco, escala e complexidade dos serviços.
Este mecanismo garante supervisão a nível estratégico.
4. Registo de acordos contratuais
No âmbito do risco de terceiros, as entidades mantêm e atualizam um registo de informações que abrange todos os contratos relativos à utilização de serviços de TIC por terceiros, nos níveis entidade, subconsolidado e consolidado.
Os contratos devem distinguir entre aqueles que apoiam funções críticas/importantes e os que não o fazem.
A existência deste registo permite transparência, monitorização e intervenção oportuna.
5. Comunicação e notificação à autoridade competente
As entidades devem comunicar anualmente à autoridade competente o número de novos contratos TIC com terceiros, as categorias de prestadores, o tipo de contratos e os serviços prestados e as funções realizadas.
Adicionalmente, devem disponibilizar, a pedido, o registo completo ou partes dele, para permitir supervisão eficaz.
Devem ainda informar atempadamente sobre contratos previstos que apoiem funções críticas ou importantes, ou quando uma função passe a ser considerada crítica.
6. Processo de contratação e due diligence
Antes de celebrar um contrato de TIC com terceiro, a entidade financeira deve:
a) Avaliar se o prestador apoiará funções críticas ou importantes;
b) Verificar se as condições de supervisão relativas à subcontratação estão satisfeitas;
c) Identificar e avaliar os riscos, incluindo risco de concentração;
d) Realizar diligência pré‑contratual devida ao prestador de serviços;
e) Avaliar potenciais conflitos de interesse.
Estes passos são determinantes para garantir que o terceiro prestador é adequado e a relação controlada.
7. Normas de segurança da informação para terceiros
As entidades só podem contratar terceiros que cumpram normas adequadas de segurança da informação.
Para serviços de TIC associados a funções críticas ou importantes, devem exigir os padrões mais rigorosos de segurança antes da celebração dos contratos.
8. Auditoria, inspeção e supervisão contínua
As entidades garantem que exercem direitos de acesso, inspeção e auditoria sobre os prestadores de serviços. A frequência e as áreas a auditar são definidas com base numa abordagem baseada no risco e aderem a normas de auditoria aceites.
Se o contrato TIC for de elevada complexidade técnica, a entidade verifica se os auditores internos ou externos têm aptidões técnicas adequadas.
9. Direitos de rescisão e estratégias de saída
Os contratos com terceiros prestadores de TIC devem prever rescisão nos seguintes casos:
a) Violação significativa pelo prestador de legislação, regulamentação ou contrato;
b) Alterações materiais que afectem o desempenho das funções;
c) Deficiências comprovadas do prestador na gestão do risco TIC;
d) Incapacidade da autoridade competente de supervisionar eficazmente a entidade em consequência do contrato.
Para funções críticas ou importantes, as entidades financeiras devem também prever estratégias de saída que permitam migração ou reincorporação dos serviços sem perturbar operações ou comprometer requisitos regulatórios.
Os planos de saída devem ser abrangentes, documentados, testados e revistos. Devem incluir identificação de soluções alternativas e planos de transição segura dos dados.
CONCLUSÃO
A gestão eficaz do risco associado às TIC devido a terceiros é um pilar essencial do DORA e da resiliência operacional das entidades financeiras. Aplicar os princípios de responsabilidade, proporcionalidade, organização contratual, auditoria e plano de saída permite não só cumprir a regulação europeia, mas também fortalecer a confiança, a continuidade das operações e a segurança dos serviços prestados aos clientes.
As entidades que adotarem estes princípios estarão mais bem preparadas para lidar com um ecossistema TIC cada vez mais externo, interligado e desafiante.
