Porque o DORA é importante para o setor financeiro e de seguros?

O DORA é crucial devido ao aumento de ciberataques no setor financeiro e de seguros, representando 19% dos incidentes em Portugal. Ele promove a resiliência operacional através de monitorização contínua, resposta a incidentes e testes regulares.

Quais são os principais pilares do DORA?

Os seis pilares do DORA são: Governança, Gestão de Riscos nas TIC, Reporte de Incidentes, Testes de Resiliência Operacional Digital, Gestão de Riscos de Terceiros e Partilha de Informações.

Qual é o impacto do DORA no setor de seguros?

O DORA desafia as corretoras de seguros a proteger os seus sistemas TIC e a apoiar os clientes no cumprimento da regulamentação. Além disso, destaca a importância de seguros cibernéticos para continuidade de negócios e proteção de dados.

Como as empresas podem implementar os pilares do DORA?

As empresas podem implementar o DORA criando quadros de governança eficazes, realizando testes regulares de resiliência, assegurando a gestão de riscos de terceiros e promovendo o intercâmbio de informações sobre ciberameaças.

>> Voltar à página principal do blogue <<

DORA: Como o Novo Regulamento de Resiliência Digital Está a Transformar o Setor Financeiro em Portugal

Sabemos que a digitalização tem vindo a moldar rapidamente todos os setores, e o financeiro não é exceção. Contudo, a crescente dependência da tecnologia também trouxe novos desafios, como ciberataques, falhas de sistemas e a vulnerabilidade perante fornecedores externos. Para enfrentar esses riscos, a União Europeia introduziu o Regulamento de Resiliência Operacional Digital (DORA), que procura criar um quadro harmonizado de segurança tecnológica para o setor financeiro.

Este regulamento, que entrou em vigor a 16 de janeiro de 2023 e plenamente aplicável desde 17 de janeiro de 2025, estabelece um conjunto de normas que se aplicam a mais de 22.000 entidades financeiras e fornecedores de serviços de TIC em toda a União Europeia. Em Portugal, a implementação do DORA no setor de seguros será supervisionada pela Autoridade de Supervisão de Seguros e Fundos de Pensões (ASF).

O Que é o Regulamento DORA?

O Digital Operational Resilience Act (DORA) surge da necessidade de estabelecer regras mínimas para a segurança das redes e sistemas de informação no setor financeiro europeu. À medida que as tecnologias de informação e comunicação (TIC) ganham importância nos serviços financeiros, torna-se crucial criar ferramentas normativas que minimizem os riscos associados à crescente digitalização.

O DORA exige que as entidades financeiras desenvolvam e mantenham sistemas robustos de TIC para prevenir e mitigar ciberameaças, garantindo a continuidade das suas operações. Este regulamento é complementado por outros atos legislativos, como a Diretiva NIS2 e outras diretrizes relacionadas com a gestão de riscos de terceiros e a segurança digital.

Porque o DORA é muito importante para o setor financeiro e seguros?

O Digital Operational Resilience Act (DORA) é crucial para o setor financeiro e de seguros devido ao crescimento exponencial dos cibercrimes e à vulnerabilidade intrínseca destas áreas. Dados recentes do CERT.PT e relatórios globais apontam para um aumento alarmante de incidentes de cibersegurança, onde os setores de banca e seguros estão entre os mais visados, representando 19% dos ataques em Portugal e 21% globalmente.

Cibercrime: A Ameaça Persistente

Os cibercriminosos têm utilizado estratégias cada vez mais sofisticadas, como phishing, ransomware e esquemas de engenharia social, para explorar vulnerabilidades em sistemas financeiros e de seguros. Estes ataques têm impactos profundos:

Exposição de Dados Sensíveis: Afeta diretamente a privacidade dos clientes e a conformidade regulatória das empresas.
Interrupção de Serviços: Pode levar à paralisação de operações críticas, como processamento de apólices ou transações financeiras.
Perdas Financeiras e Reputacionais: A confiança dos consumidores é abalada, colocando em risco a estabilidade das organizações.

Num contexto onde 37% dos ataques envolvem phishing e os incidentes de ransomware duplicaram em apenas um ano, o DORA surge como um regulamento essencial para proteger o setor. Ao exigir que as empresas implementem sistemas de monitorização contínua, planos de resposta a incidentes e testes regulares de resiliência digital, o DORA reduz significativamente os riscos associados às ciberameaças.

Além disso, o regulamento aborda outro ponto crítico: a dependência de infraestruturas digitais e fornecedores de TIC. Ao impor uma gestão rigorosa dos riscos de terceiros, o DORA garante que os fornecedores também estão alinhados com os mais altos padrões de cibersegurança, minimizando potenciais brechas na cadeia de operações.

O Setor Financeiro e de Seguros como Alvo Principal

De acordo com o estudo da Marsh de 2023, as organizações financeiras e de seguros lideram a lista de setores mais atacados, seguidas pelas indústrias de tecnologia e comunicação. Esta preferência deve-se ao elevado volume de dados sensíveis e transações financeiras envolvidas, tornando estas organizações alvos lucrativos para cibercriminosos.

O relatório IBM X-Force 2024 revela que 71% dos ataques cibernéticos ocorrem através de contas autênticas de funcionários, devido ao roubo de credenciais por meio de phishing e outras técnicas. Estes números reforçam a necessidade de medidas robustas como as exigidas pelo DORA.

Quais os Principais Pilares do DORA?

O DORA baseia-se em seis pilares fundamentais que todas as entidades abrangidas devem implementar:

Governação: As entidades devem implementar um quadro de governação interno eficaz para identificar, mitigar e responder rapidamente aos riscos das TIC. O órgão de administração assume a responsabilidade pela supervisão dos riscos tecnológicos e cibernéticos.
Gestão de Riscos nas TIC: Devem ser adotados sistemas e processos para identificar e controlar riscos associados à tecnologia.
Reporte de Incidentes: As entidades devem reportar incidentes graves relacionados com as TIC às autoridades competentes (em Portugal, à ASF) num prazo máximo de 24 horas.
Testes de Resiliência Operacional Digital: As empresas devem realizar testes regulares para garantir que conseguem resistir a ciberataques ou outras perturbações tecnológicas.
Gestão de Riscos de Terceiros: O DORA exige um controlo rigoroso sobre os fornecedores externos, como serviços de cloud ou outras tecnologias subcontratadas.
Partilha de Informações: O regulamento promove a cooperação entre entidades e autoridades para melhorar a resposta às ciberameaças.

A que empresas se aplica o DORA?

A normativa DORA vem introduzir requisitos específicos para os participantes do mercado financeiro e é aplicável a mais de 22.000 entidades financeiras e provedores de serviços de TIC que operam na União Europeia, por exemplo:

Instituições de crédito;
Instituições de pagamento;
Instituições de moeda eletrónica;
Empresas de investimento;
Prestadores de serviços de criptoativos, emitentes de criptoativos, emitentes de criptofichas referenciadas a ativos e emitentes de criptofichas referenciadas a ativos significativas;
Centrais de valores mobiliários;
Contrapartes centrais;
Plataformas de negociação;
Repositórios de transações;
Gestores de fundos de investimento alternativos;
Sociedades gestoras;
Prestadores de serviços de comunicação de dados;
Empresas de seguros e de resseguros;
Mediadores de seguros, mediadores de resseguros e mediadores de seguros a título acessório;
Instituições de realização de planos de pensões profissionais
Agências de notação de risco;
Revisores oficiais de contas e sociedades de revisores oficiais de contas;
Administradores de índices de referência críticos;
Prestadores de serviços de financiamento colaborativo;
Repositórios de titularizações; e
Terceiros prestadores de serviços de TIC.

Impacto do DORA no Setor de Seguros

Para os brokers de seguros, como a C1 Broker, o DORA apresenta novos desafios e oportunidades. Para além de proteger os próprios sistemas tecnológicos, os brokers têm a responsabilidade de apoiar os seus clientes e parceiros na adaptação a esta nova regulamentação. Os seguros cibernéticos assumem aqui um papel crucial, não apenas para proteger os dados das empresas, mas também para garantir a continuidade dos negócios em caso de um incidente.

Além disso, o DORA exige uma supervisão mais rigorosa dos fornecedores tecnológicos utilizados pelas empresas de seguros, como plataformas de gestão de dados ou serviços em cloud. Esta responsabilidade adicional sublinha a importância de trabalhar com parceiros tecnológicos que cumpram os mais altos padrões de segurança.

C1 Broker: Um Parceiro de Confiança para Enfrentar os Desafios do DORA

Na C1 Broker, temos uma longa experiência a apoiar empresas na gestão de riscos digitais. A chegada do DORA reforça o nosso compromisso em oferecer soluções de seguros cibernéticos que não só assegurem a conformidade com a regulamentação, mas também proporcionem tranquilidade às empresas nos momentos mais críticos.

Oferecemos seguros ciber adaptados às necessidades de qualquer negócio, assim como apólices específicas para empresas tecnológicas, que enfrentam desafios únicos neste âmbito. Se tem dúvidas sobre como o DORA pode impactar a sua empresa ou precisa de aconselhamento em matéria de seguros cibernéticos, estamos aqui para ajudar.

Conclusão

O DORA não é apenas mais uma regulamentação; é um apelo à ação para todos os que operam no setor financeiro. Desafia-nos a ser mais responsáveis, resilientes e preparados para enfrentar os riscos tecnológicos. Na C1 Broker, estamos prontos para acompanhar a sua empresa neste caminho, garantindo que está preparada para o futuro digital.
.

Quer saber mais sobre como proteger o seu negócio contra ciberameaças? Visite a nossa página: Seguro de Ciberriscos