+55 (21) 2505-9393
+55 (21) 99731-6528
contato@acpdbrasil.com

Qual é a Diferença Entre DORA e GDPR?

Conformidade, Proteção e Privacidade de Dados

O que é DORA? DORA é o Digital Operational Resilience Act, ou o Ato de Resiliência Operacional Digital, que chega como um marco transformador na regulação financeira. Publicado no the Official Journal of the European Union, em 27 de dezembro de 2022, o DORA entrou oficialmente em vigor em 16 de janeiro de 2023, com sua implementação completa prevista para 17 de janeiro de 2025.

Muitas pequenas e médias entidades financeiras ainda não começaram a se preparar para o novo Ato de Resiliência Operacional Digital Europeu: DORA, publicado como Regulamento (UE) 2022/2554. O objetivo do DORA é garantir que empresas e instituições ativas no setor financeiro da UE estejam preparadas para suportar interrupções operacionais e ciberataques.

As autoridades europeias de supervisão financeira – ESMA, EIOPA e EBA – ainda têm que desenvolver os conjuntos relevantes de normas técnicas regulatórias (RTSs). No entanto, o DORA entrará em vigor até 17 de janeiro de 2025 e o que precisa ser implementado até então não é apenas complexo, mas também envolve um grau de mudança em termos de cultura e formas de trabalhar, e requer cooperação entre vários departamentos, como Risco (ISM, BCM), TI, Legal, aquisições e gestão central de terceirização. Por último, mas não menos importante, todas as mudanças necessárias para o DORA se somam aos projetos em curso e às iniciativas de mudança existentes das entidades financeiras e seus fornecedores (críticos).

Especialmente as entidades financeiras mencionadas anteriormente, portanto, não devem esperar pelos vários RTSs, mas fariam bem em analisar a situação atual e começar a fazer melhorias práticas agora. É por isso que neste artigo fornecemos algumas dicas para começar com o DORA hoje na forma de ‘movimentos sem arrependimentos’ e vitórias rápidas.

A Comissão Europeia propôs inicialmente este quadro regulamentar de olhar para o futuro em setembro de 2020. Isso sinalizou uma mudança significativa na abordagem à gestão de riscos digitais para entidades financeiras e provedores de serviços ICT selecionados.

A missão de DORA é clara: aumentar a resiliência digital dentro do setor financeiro. Ao contrário de seus antecessores, como o General Data Protection Regulation (GDPR), o DORA desvia da legislação baseada em princípios, oferecendo em vez disso um conjunto abrangente de requisitos detalhados meticulosamente elaborados para elevar as capacidades operacionais e de segurança das entidades financeiras.

Componentes Chave do DORA

Tirando partido das regulamentações existentes da União Europeia (UE), orientações das autoridades de supervisão e padrões globais em segurança e gestão de riscos ICT, o DORA busca harmonizar critérios qualitativos para a gestão de riscos ICT. Isso é alcançado por meio de um conjunto de regulamentações e padrões que abordam facetas críticas da resiliência digital, incluindo:

  • Gestão de Riscos ICT O cerne da estratégia de DORA envolve uma robusta gestão de riscos ICT. Coloca a responsabilidade final pela gestão de riscos ICT diretamente sobre os ombros do corpo diretivo dentro das entidades financeiras abrangidas por DORA. Sob as diretrizes de DORA, as equipes de gestão são encarregadas de um conjunto específico de deveres e obrigações. Estes incluem cultivar e nutrir sua compreensão do risco ICT, que agora é considerado fundamental. As EFs também devem identificar o intricado panorama de riscos ICT que enfrentam. A regulamentação bancária de DORA exige que implementem um sistema de gestão de segurança da informação reconhecido internacionalmente, a menos que se qualifiquem como microempresas. Estas medidas fornecem uma abordagem multifacetada para mitigar os riscos ICT, melhorando a resiliência do setor.
  • Supervisão de Provedores Críticos de ICT Terceirizados DORA reconhece o papel crítico desempenhado por terceiros provedores de ICT no ecossistema financeiro. Como tal, exige uma supervisão vigilante desses provedores de serviços. As EFs devem monitorar de perto os riscos associados à terceirização de serviços ICT. Além disso, espera-se que os contratos com esses provedores de terceiros incluam disposições abrangentes, garantindo que os riscos ICT sejam gerenciados adequadamente. Uma abordagem regulatória consistente entre as autoridades de supervisão é essencial para harmonizar os esforços do setor.
  • Relatórios e Compartilhamento de Informações de Incidentes ICT Para aumentar a resiliência digital, DORA institui um processo de gestão de incidentes que permite às EFs monitorar, classificar e relatar efetivamente os incidentes relacionados à ICT. Grandes incidentes devem ser redigidos de acordo com um procedimento padronizado e modelos. Essa abordagem padronizada simplifica a gestão e o relatório de incidentes, reforçando a capacidade do setor financeiro de responder rapidamente às ameaças digitais.
  • Testes e Auditorias de Sistemas e Processos ICT DORA introduz um regime de testes de resiliência operacional digital. Esses testes, projetados para serem proporcionais ao tamanho, negócio e perfil de risco da entidade, são um componente crítico dos requisitos de DORA. Eles abrangem avaliações de vulnerabilidades, análises de código-fonte aberto e avaliações de segurança de rede, garantindo que os sistemas ICT do setor permaneçam robustos e resilientes.

DORA é Semelhante ao GDPR?

Ao desenvolver o DORA, os legisladores da UE se inspiraram no GDPR. É importante notar, no entanto, que DORA e GDPR são complementares, não mutuamente exclusivos. Ambas as regulamentações compartilham o mesmo objetivo geral: salvaguardar a segurança, confidencialidade e integridade dos dados, bem como os direitos e liberdades dos titulares de dados no domínio digital.

Entretanto, o DORA não pretende substituir os regulamentos existentes de proteção de dados e privacidade da UE; ao invés disso, busca complementá-los. O DORA e o GDPR se alinham na busca pela segurança e privacidade, embora definam escopos, papéis e responsabilidades específicas. Garantir harmonia e coordenação entre esses dois quadros legislativos será imperativo enquanto o setor financeiro lida com sua implementação simultânea.

A aplicação iminente do DORA está programada para ter um impacto substancial em entidades financeiras e provedores de serviços ICT. Essas entidades devem embarcar em jornadas de conformidade mapeando as obrigações que DORA impõe a elas. Uma abordagem holística para conformidade, considerando não apenas o DORA, mas também outras obrigações de segurança e proteção de dados, é o caminho prudente a seguir.

Onde DORA e GDPR se Cruzam?

Uma área onde DORA e GDPR se cruzam é no domínio de violações de dados pessoais e incidentes relacionados à ICT. Sob o GDPR, as organizações devem relatar violações de dados pessoais, enquanto sob o DORA, o foco está na comunicação de incidentes relacionados à ICT.

Existem semelhanças nos dois requisitos de relatório, mas existem algumas diferenças em sua aplicação. Por exemplo, se uma organização passa por um incidente, ela deve relatá-lo à autoridade competente sob o DORA e à autoridade competente de proteção de dados sob o GDPR.

As notificações envolvem prazos diferentes em cada lei respectiva. O GDPR permite que as organizações tenham até 72 horas para notificar após tomarem conhecimento de uma violação de dados, enquanto o DORA estabelece um prazo geral para notificações.

Os requisitos do DORA são geralmente mais amplos e, em muitos casos, cumprir com eles também significará conformidade com os regulamentos do GDPR. No entanto, é essencial reconhecer que as organizações devem avaliar a conformidade com cada regulamentação separadamente, pois cada lei visa aspectos específicos de assuntos semelhantes.

Os Cinco Pilares do DORA

O DORA é ancorado em cinco pilares-chave, cada um abordando vários aspectos de ICT e de cibersegurança para criar um quadro abrangente de resiliência digital. Esses pilares incluem:

  • Gestão de Riscos ICT: Este pilar concentra-se em estabelecer sistemas e ferramentas ICT resilientes capazes de minimizar o impacto do risco ICT. Envolve políticas abrangentes de continuidade de negócios e planos de recuperação de desastres. Um destaque para reunir informações de eventos externos e incidentes ICT das EFs fortalece o framework de gestão de riscos;
  • Relato de Incidentes Relacionados à ICT: O resumo do Ato de Resiliência Operacional Digital exige a implementação de um processo de gestão para monitorar e registrar incidentes relacionados à ICT. Os incidentes são classificados com base em critérios especificados pelas autoridades de supervisão relevantes, garantindo uma abordagem padronizada para o tratamento de incidentes;
  • Teste de Resiliência Operacional Digital: As entidades são obrigadas a realizar testes periódicos de seu framework de gestão de riscos ICT para identificar vulnerabilidades. O aprofundamento destes testes são proporcionais ao tamanho, negócio e perfil de risco da entidade.
  • Risco de Terceiros ICT: Para monitorar os riscos decorrentes dos serviços ICT terceirizados, as entidades devem adotar uma estratégia sobre o risco de terceiros ICT. Uma abordagem regulatória abrangente é encorajada para garantir consistência entre as autoridades de supervisão.
  • Compartilhamento de Informações: O DORA promove o compartilhamento de informações relevantes dentro do setor financeiro para aumentar a resiliência operacional digital. O compartilhamento pretende aumentar a conscientização sobre os riscos ICT, minimizar a disseminação de ameaças e fortalecer técnicas defensivas e de detecção. Acordos de compartilhamento de informações com comunidades confiáveis desempenham um papel fundamental na disseminação de inteligência de ameaças cibernéticas.

Conclusão

O DORA é um importante ato para a UE, especialmente com todos os ciberataques e tumultos políticos ocorrendo no mundo atualmente. Seguramente, ele servirá de fundamento para outras legislações mundo afora. Portanto, é esperado que o DORA se torne aplicável no início de janeiro de 2025. Dito isso, levará muito tempo para que os diversos conjuntos de normas técnicas regulatórias sejam finalizados.

 

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Open chat
Olá 👋
Como podemos te ajudar?