A segurança informática e a cibersegurança têm estado na ordem do dia e estão seguramente no topo das agendas dos reguladores, dos gestores de topo e de todos os outros stakeholders. Em particular a contínua evolução e crescente complexidade das tecnologias de informação e comunicação (information and communication technology “ICT”) e a dependência deste recurso para a sua atividade, expôs as organizações a novos riscos, materializados num crescente número de ciberataques e outros incidentes de segurança conhecidos nos últimos anos [1], incluindo a possibilidade de impactos sistémicos [2].
A European Banking Authority (EBA) publicou no passado dia 28 de novembro novas orientações endereçando este tema [3] (“Orientações”), que serão aplicáveis a partir de 30 de junho de 2020 e que substituirão as orientações existentes sobre a mesma temática [4], as quais têm um escopo limitado aos prestadores de serviços de pagamento. A grande novidade das Orientações, é a extensão dos mesmos princípios às restantes atividades prestadas pelo grupo mais alargado de instituições de crédito e empresas de investimento.
As Orientações estabelecem princípios de boa governança na prevenção, gestão e mitigação dos riscos relacionados com segurança e ICT (“Riscos ICT”), nomeadamente prescrevendo o papel central do órgão de administração na promoção de um plano de continuidade de negócio (precedido de uma análise de impacto para o negócio); na alocação de funções específicas e linhas de reporte para temas de ICT; na atribuição de um orçamento para estas funções que garanta formação contínua e adequada para todos os colaboradores; e na determinação e implementação de uma estratégia dinâmica de ICT alinhada com a estratégia global do negócio da instituição, a qual integre a evolução da estrutura organizacional, objetivos de segurança, processos internos, alterações aos sistemas lógicos e subcontratação de serviços a terceiros. No que diz respeito à subcontratação, consagra-se a necessidade de formalização de acordos e da articulação com as orientações existentes nesta matéria [5].
Os Riscos ICT deverão ser objeto de identificação e tratamento autónomo por parte de uma função de controlo, enquadrados por um modelo de apetite pelo risco e pela implementação de medidas de mitigação específicas, e de revisão independente e regular pela terceira linha de defesa da instituição.
As Orientações estabelecem ainda best practices na gestão de Riscos ICT, nomeadamente o mapeamento e inventário de ativos, sistemas, processos, interdependências e fornecedores; uma abrangente política de classificação de informação e demais normativo interno relevante sobre segurança e procedimentos que envolvam ICT; planos de recuperação e de reação a incidentes; uma reavaliação regular dos riscos e respetivo reporte tempestivo ao órgão de administração e reguladores, se aplicável. São igualmente prescritas medidas de segurança física e lógica, respetivos testes e monitorização.
___________________________________________
[1] Cf. INTSIGHTS, “Banking & Financial Services, Cyber Threat Landscape Report” (April 2019).
[2] Cf. BANK OF ENGLAND, “Quarterly Bulletin (2018 Q4), Could a cyber attack cause a systemic impact in the financial sector?”.
[3] EBA Guidelines on ICT and security risk management (EBA/GL/2019/04).
[4] EBA Guidelines on the security measures for operational and security risks of payment services under Directive (EU) 2015/2366 (PSD2) (EBA/GL/2017/17).
[5] EBA Guidelines on outsourcing arrangements(EBA/GL/2019/02).