Uma falha de comunicação pode ser tão prejudicial quanto uma falha técnica. No contexto do Regulamento DORA, comunicar corretamente durante uma crise tecnológica é um requisito legal e uma medida de proteção da confiança pública.
Neste artigo, explicamos como as entidades financeiras devem estruturar a sua estratégia de comunicação para incidentes severos relacionados com as TIC.
COMUNICAÇÃO COMO PARTE DA GESTÃO DE RISCO TIC
O DORA determina que a comunicação durante incidentes tecnológicos não é opcional, sendo parte integrante do quadro de gestão do risco associado às TIC.
As entidades financeiras devem:
- Elaborar planos de comunicação de crises TIC;
- Divulgar de forma responsável incidentes severos ou vulnerabilidades;
- Diferenciar mensagens para públicos internos e externos.
Estes planos devem estar prontos para ativação imediata quando ocorre um ciberataque ou falha crítica.
A QUEM SE DEVE COMUNICAR?
As políticas de comunicação devem abranger diferentes públicos:
- Clientes e contrapartes: devem ser informados sempre que houver impacto relevante ou exposição;
- Público em geral: a comunicação pública é exigida “se for caso disso”, especialmente quando há risco reputacional ou sistémico;
- Colaboradores: devem receber instruções claras sobre o seu papel durante a crise.
É necessário distinguir entre equipa de resposta TIC e pessoal que apenas deve ser informado.
RESPONSÁVEL PELA COMUNICAÇÃO EXTERNA
O DORA exige que pelo menos uma pessoa seja nomeada oficialmente como responsável pela comunicação pública em caso de incidentes TIC.
Essa pessoa deve ser treinada para lidar com comunicação de crise, falar com os meios de comunicação social e garantir que as mensagens sejam claras, corretas e coerentes com a resposta operacional.
BOAS PRÁTICAS PARA IMPLEMENTAR A POLÍTICA DE COMUNICAÇÃO
- Criar um plano detalhado com fluxos de aprovação rápida;
- Definir modelos de mensagens pré-validadas para diferentes cenários;
- Estabelecer canais dedicados e seguros para comunicação com autoridades, clientes e imprensa;
- Realizar simulações periódicas de resposta com treino de comunicação;
- Documentar todas as comunicações feitas durante o incidente.
COMUNICAÇÃO COMO PARTE DA RESPOSTA E RECUPERAÇÃO
A comunicação deve estar alinhada com os planos de resposta e recuperação, de forma a evitar o pânico e a desinformação; manter a confiança das partes interessadas; e facilitar a coordenação com reguladores e outros stakeholders.
Além disso, deve ser usada para promover transparência e responsabilização, mesmo após o incidente ser resolvido.
CONCLUSÃO
A comunicação durante incidentes tecnológicos é um componente vital da resiliência operacional exigida pelo DORA.
Mais do que informar, trata-se de proteger a reputação da entidade, garantir transparência com os reguladores e manter a confiança dos clientes e do mercado.
Implementar um plano de comunicação robusto, treinado e testado é uma medida de conformidade e de liderança.
