O Pacote “Financiamento Digital”[1], inclui, entre muitas outras propostas legislativas, medidas para reforçar a resiliência operacional digital no setor financeiro, nomeadamente para prevenir ciberataques e reforçar os poderes de supervisão sobre os serviços relacionados com tecnologias da informação e comunicação (“TIC”) que sejam externalizados (outsourcing) pelas entidades financeiras para empresas tecnológicas. Se é verdade que a evolução digital gera muitas oportunidades para o setor financeiro, na outra face da moeda estão também novos riscos que devem ser muito bem compreendidos e geridos pelos profissionais responsáveis por temas de compliance e gestão de riscos.
Assim, a proposta de Regulamento relativo à resiliência operacional digital do setor financeiro (Digital Operational Resilience Act ou DORA)[2] parte de anteriores iniciativas europeias[3] que introduziram requisitos para a gestão de risco das TIC, mas vai mais além para robustecer e harmonizar esses requisitos a nível europeu e assegurar que as entidades financeiras dispõem de um sistema de controlo abrangente de riscos TIC. Sumariamente, os novos requisitos propostos pelo DORA podem agrupar-se nas seguintes áreas:
- Estabelecimento de processos adequados para uma gestão de riscos TIC consistente e integrada;
- harmonização dos modelos de identificação, classificação e reporte de incidentes, permitindo um acompanhamento mais eficaz dos riscos emergentes;
- inclusão das entidades prestadoras de serviços tecnológicos críticos (incluindo serviços de computação em nuvem) no perímetro de supervisão;
- harmonização de regras destinadas a reforçar a resiliência operacional digital das entidades financeiras, nomeadamente ao nível da realização de testes de stress, da implementação de protocolos, ferramentas e processos e de requisitos mínimos para acordos com fornecedores e parceiros tecnológicos (como por exemplo exit strategies e direitos de acesso e auditoria).
Antecipa-se que a negociação deste regulamento não esteja concluída antes de 2023. Embora os bancos já estejam familiarizados com algumas destas regras por via de outros diplomas; outras entidades do setor financeiro sofrerão um maior impacto com a entrada em vigor deste regulamento, pelo que se recomenda uma avaliação atempada desse impacto e o arranque dos preparativos para a implementação de um novo modelo de gestão de riscos TIC.
_________________________________
[1] O Pacote “Financiamento Digital” foi aprovado em 24 de setembro de 2020 pela Comissão Europeia e baseia-se nos trabalhos realizados no contexto do Plano de Ação para a Tecnologia Financeira (FinTech) de 2018 e no trabalho do Parlamento Europeu, das Autoridades Europeias de Supervisão (ESA) e de outros peritos.
[2] A Proposta de REGULAMENTO DO PARLAMENTO EUROPEU E DO CONSELHO relativo à resiliência operacional digital no setor financeiro e que altera os Regulamentos (CE) Nº 1060/2009, (UE) Nº 648/2012, (UE) Nº 600/2014 e (UE) Nº 909/2014 (COM/2020/595 final) está neste momento em discussão antecipando-se que possa vir a sofrer algumas alterações face à sua redação atual.
[3] Entre as iniciativas europeias neste âmbito destacamos: (i) a Diretiva (UE) 2015/2366, relativa aos serviços de pagamento no mercado interno (DSP2), transposta para o ordenamento nacional através do Decreto-Lei n.º 91/2018 (Regime Jurídico dos Serviços de Pagamento e da Moeda Eletrónica), no âmbito da qual os prestadores de serviços de pagamento devem implementar procedimentos internos eficazes de gestão de incidentes, que assegurem a deteção e classificação de incidentes operacionais e de segurança de carácter severo e a sua subsequente comunicação às autoridades competentes; (ii) a Diretiva (UE) 2016/1148 (Diretiva NIS/SRI), relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União e que foi transposta para o ordenamento nacional pela Lei n.º 46/2018; (iii) as orientações EBA/GL/2017/10 (alteradas pelas orientações EBA/GL/2021/03) as quais definem os critérios para a classificação de incidentes operacionais ou de segurança de caráter severo, bem como o formato e os procedimentos para a comunicação de tais incidentes e que foram implementadas em Portugal pela Instrução do Banco de Portugal nº 1/2019; (iv) as orientações relativas à subcontratação (EBA/GL/2019/04); e (v) as orientações relativas à gestão dos riscos associados às TIC e à segurança (EBA/GL/2019/04).
