Num mundo cada vez mais digital, as entidades financeiras estão expostas a riscos tecnológicos e ciberameaças que podem ter impacto grave nas suas operações, clientes ou contrapartes. Para responder a esse risco, o Regulamento DORA estabelece obrigações específicas de comunicação de incidentes de carácter severo relacionados com as TIC, bem como a possibilidade de notificação voluntária de ciberameaças significativas. Este artigo descreve como essas obrigações funcionam, quem deve comunicar a quem, quais os prazos e o que deve ser comunicado aos clientes e ao público.
COMUNICAÇÃO DE INCIDENTES DE CARÁCTER SEVERO RELACIONADOS COM AS TIC
1 – Obrigação de notificação às autoridades competentes
As entidades financeiras devem comunicar à autoridade competente relevante todos os incidentes de carácter severo relacionados com as tecnologias da informação e comunicação (TIC).
Se uma entidade estiver sujeita à supervisão de mais do que uma autoridade nacional competente, o Estado‑Membro designa uma única autoridade como “entidade competente pertinente”.
No caso de instituições de crédito classificadas como “significativas”, o relatório inicial é enviado à autoridade nacional competente designada, que, por sua vez, o transmite imediatamente ao Banco Central Europeu (BCE).
2 – Modelos, prazos e conteúdo da notificação
Após recolher e analisar toda a informação relevante, a entidade financeira elabora uma notificação inicial e os respetivos relatórios, através dos modelos previstos no DORA.
Caso exista uma impossibilidade técnica de usar o modelo, a entidade deve informar a autoridade competente por meios alternativos.
A notificação inicial e os relatórios têm de conter informação suficiente para que a autoridade competente avalie a gravidade do incidente e possíveis impactos transfronteiriços.
As entidades devem enviar à autoridade competente:
(a) A notificação inicial;
(b) Um relatório intermédio, sempre que o estado do incidente ou o seu tratamento sofra alteração significativa, ou mediante pedido da autoridade competente;
(c) Um relatório final, após análise das causas, quando os valores reais do impacto estejam disponíveis.
3 – Notificação aos clientes afetados
Se o incidente severo tiver impacto sobre os interesses financeiros dos clientes, a entidade deve informar os seus clientes sem demora indevida, assim que toma conhecimento do incidente, e explicar as medidas tomadas para mitigar os efeitos adversos.
4 – Transmissão de informações entre autoridades
Após receção da notificação, a autoridade competente comunica, em tempo útil, os pormenores do incidente a órgãos como:
- European Banking Authority (EBA), European Securities and Markets Authority (ESMA) ou European Insurance and Occupational Pensions Authority (EIOPA);
- BCE (em certos casos);
- Autoridades competentes de outros Estados‑Membros, pontos de contacto únicos ou CSIRT designados.
Estas comunicações visam permitir uma resposta coordenada em caso de impacto sistémico ou transfronteiriço.
NOTIFICAÇÃO VOLUNTÁRIA DE CIBERAMEAÇAS SIGNIFICATIVAS
Além dos incidentes já materializados, as entidades financeiras podem notificar voluntariamente ciberameaças significativas à autoridade competente quando consideram que tais ameaças são relevantes para o sistema financeiro, para utilizadores ou para clientes.
Para instituições de crédito consideradas “significativas”, a notificação voluntária pode igualmente ser enviada à autoridade nacional competente e transmitida ao BCE.
Os Estados‑Membros podem determinar que entidades financeiras que façam essa notificação voluntária transfiram-na também para as CSIRT designadas.
No caso de ciberameaças significativas, as entidades devem, se for o caso, informar os clientes potencialmente afetados sobre as medidas de proteção que estes podem ponderar tomar.
CONSIDERAÇÕES PRÁTICAS PARA IMPLEMENTAÇÃO
- Garantir que existe um responsável interno pela comunicação de incidentes (como exigido noutras partes do DORA) e que este está preparado para lidar com autoridades, clientes e meios de comunicação.
- Preparar modelos de notificação internos que correspondam aos modelos oficiais que serão exigidos.
- Estabelecer processos internos para rapidamente classificar um incidente como “severo”, recolher dados, preencher o formulário e notificar dentro dos prazos exigidos.
- Definir protocolos para informar clientes afetados de forma clara, com transparência sobre o que ocorreu e medidas mitigadoras.
- Implementar políticas para monitorizar e avaliar ciberameaças, com capacidade de escalonamento para notificação voluntária se necessário.
CONCLUSÃO
A comunicação de incidentes severos TIC e a notificação voluntária de ciberameaças relevantes são partes essenciais do regime de resiliência operacional digital estabelecido pelo DORA. Ao preparar‑se para cumprir estas obrigações (através de modelos, processos internos e formação) as entidades financeiras não apenas cumprem a regulação, como também reforçam a confiança dos clientes, protegem a reputação e promovem uma resposta ágil a crises tecnológicas.
