Quando falamos em cibersegurança e gestão de riscos tecnológicos, prevenir não é suficiente. É essencial que as entidades financeiras estejam também preparadas para responder e recuperar rapidamente de incidentes.
O Regulamento DORA impõe uma abordagem rigorosa de continuidade de atividades, resposta a incidentes e recuperação tecnológica, exigindo políticas, testes e auditorias documentadas.
Neste artigo, explicamos o que o DORA exige em termos de resposta e recuperação no domínio das TIC, e como as entidades podem estruturar esses mecanismos para cumprir a lei e proteger as suas operações.
O QUE O DORA EXIGE EM TERMOS DE RESPOSTA E RECUPERAÇÃO?
O DORA determina que todas as entidades financeiras, com exceção das microempresas, disponham de:
- Uma política de continuidade das atividades no domínio das TIC;
- Planos de resposta e recuperação específicos e testados;
- Uma função de gestão de crises com protocolos de comunicação;
- Mecanismos para registar eventos e estimar perdas.
Essas estruturas devem permitir responder rapidamente a qualquer incidente tecnológico, minimizar danos e impactos operacionais, relançar funções críticas com agilidade e notificar autoridades competentes e partes interessadas.
ELEMENTOS FUNDAMENTAIS DOS PLANOS DE RESPOSTA E RECUPERAÇÃO
- Política de continuidade das atividades TIC: pode ser um documento próprio ou parte da política geral da empresa e deve incluir medidas específicas para funções críticas, incluindo externalizadas;
- Planos operacionais de resposta: devem prever ativação imediata em caso de incidentem, incluir processos de contenção, mitigação e restauro; estimar rapidamente os danos e definir ações de recuperação;
- Planos de comunicação de crise: destinados a informar internamente as equipas relevantes, comunicar externamente com stakeholders e reguladores, devendo ser testados e atualizados com regularidade.
A IMPORTÂNCIA DA ANÁLISE DE IMPACTO NO NEGÓCIO (BIA)
O DORA exige que as entidades realizem uma Business Impact Analysis (BIA), com base em cenários de perturbações graves, dados internos e externos e avaliação de funções críticas, ativos e interdependências.
A BIA serve como base para:
- Definir níveis aceitáveis de interrupção;
- Planejar redundância de sistemas críticos;
- Priorizar ações de recuperação de acordo com o risco real.
TESTES, AUDITORIAS E ATUALIZAÇÃO CONTÍNUA
As entidades devem:
- Testar os planos pelo menos uma vez por ano;
- Repetir os testes após alterações substanciais em sistemas TIC;
- Rever os planos com base nos resultados dos testes e auditorias;
- Assegurar que os testes incluam funções externalizadas e prestadores de TIC.
As centrais de valores mobiliários devem enviar às autoridades os resultados dos testes, e todas as entidades (exceto microempresas) devem comunicar estimativas anuais de perdas causadas por incidentes severos.
REGISTO E DOCUMENTAÇÃO
Durante incidentes, as entidades devem manter registos acessíveis e auditáveis, incluindo: atividades antes, durante e após o evento; ações executadas segundo os planos de resposta; comunicação interna e externa realizada.
Esse registo é essencial para prestação de contas e para a melhoria contínua da resposta.
CONCLUSÃO
Ter políticas de resposta e recuperação bem definidas, testadas e auditadas é um requisito obrigatório no DORA, mas é também uma poderosa ferramenta de resiliência estratégica.
As entidades que estruturarem corretamente estes planos estarão mais preparadas para lidar com crises, proteger os seus ativos e manter a confiança do mercado e dos reguladores.
