Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
O Regulamento (UE) 2022/2554 estabelece regras uniformes sobre a segurança das redes e dos sistemas de informação das entidades financeiras, tais como bancos, companhias de seguros e empresas de investimento.
Abrange um vasto leque de entidades financeiras regulamentadas da União Europeia (UE), exigindo-lhes que resistam, respondam e recuperem de qualquer perturbação ou ameaça no domínio das tecnologias da informação e da comunicação (TIC).
instituições de crédito, de pagamento, de moeda eletrónica e de pensões profissionais;
prestadores de serviços de informação sobre contas, de criptoativos, de comunicação de dados, de financiamento colaborativo; bem como Terceiros prestadores de serviços de TIC;
empresas de investimento, fundos de investimento alternativos, sociedades gestoras, agências de notação de crédito e administradores de índices de referência críticos;
repositórios de transações e de titularização, centrais de valores mobiliários, contrapartes centrais e plataformas de negociação;
empresas de seguros, mediadores de seguros e empresas de resseguros.
Gestão do risco associado às TIC
As entidades financeiras, com exceção das microempresas, devem:
implantar medidas de governação interna e de controlo que garantam uma gestão eficaz e prudente do risco associado às TIC;
assegurar-se que o seu órgão de administração define, aprova, fiscaliza e é responsável pela aplicação de todas as disposições pertinentes;
dispor de um quadro de gestão do risco associado às TIC sólido, abrangente e bem documentado, com as estratégias, políticas, procedimentos, protocolos e instrumentos necessários para permitir uma resposta rápida e eficiente;
utilizar e conservar sistemas, protocolos e ferramentas de TIC atualizados que sejam adequados, fiáveis, e tecnologicamente resilientes e que tenham capacidade suficiente;
identificar, classificar e documentar adequadamente todas as funções operacionais, os papeis e as responsabilidades apoiadas pelas TIC e os rever cenários de risco;
monitorizar continuamente a segurança e o funcionamento dos sistemas e das ferramentas de TIC para minimizar o impacto de risco associado às TIC;
detetar rapidamente atividades anómalas e identificar as potenciais falhas pontuais;
aplicar uma política global abrangente de continuidade das atividades no domínio das TIC através de medidas, planos, procedimentos e mecanismos dedicados, adequados;
desenvolver e documentar políticas de salvaguarda e procedimentos de restauração e recuperação;
mobilizar recursos e pessoal para avaliar vulnerabilidades e ciberameaças, incidentes relacionados com as TIC, especialmente ciberataques, e analisar o seu potencial impacto na resiliência operacional digital da entidade;
elaborar planos de comunicação de crises para divulgar, pelo menos, os incidentes de caráter severo relacionados com as TIC ou as vulnerabilidades aos clientes e às contrapartes, bem como ao público.
Gestão, classificação e comunicação de informações sobre incidentes relacionados com as TIC
As entidades financeiras devem:
definir, estabelecer e aplicar medidas para detetar, gerir, registar e notificar os incidentes relacionados com as TIC;
classificar os incidentes e determinar o seu impacto através da utilização de critérios como o número de clientes e contrapartes afetados, a duração, a distribuição geográfica e as perdas de dados;
comunicar os incidentes de caráter severo relacionados com as TIC à sua autoridade competente designada, que os encaminha para um organismo superior, como o Banco Central Europeu ou a Autoridade Bancária Europeia.
Testes de resiliência operacional digital
As entidades financeiras, com exceção das microempresas, devem:
estabelecer, manter e rever um programa de testes operacionais digitais sólido e abrangente, munido das avaliações, testes, metodologias, práticas e ferramentas necessárias;
realizar, pelo menos de três em três anos, testes de penetração baseados em ameaças, de acordo com o seu perfil de risco e tendo em conta as circunstâncias operacionais, e utilizar apenas testadores certificados, que possuam as competências e a idoneidade necessárias e que estejam cobertos por um seguro de indemnização profissional.
Gestão do risco associado às TIC devido a terceiros
As entidades financeiras devem:
gerir o risco devido a terceiros como parte integrante da sua gestão global do risco associado às TIC;
estabelecer disposições contratuais para os serviços de TIC, a fim de executar as suas operações comerciais em plena conformidade com a legislação pertinente;
ter em conta a natureza, a escala, a complexidade e a importância das dependências relacionadas com as TIC e quaisquer riscos potenciais;
ponderar os benefícios e os custos de soluções alternativas ao identificarem e avaliarem os riscos envolvidos;
incluir no contrato os direitos e obrigações de cada parte e o acordo de serviço.
Quadro de superintendência dos terceiros prestadores de serviços de TIC críticos
designar, com base em critérios claros, os terceiros prestadores de serviços de TIC considerados críticos para as entidades financeiras,
nomeia, como autoridade fiscalizadora principal para cada terceiro prestador de serviços de TIC críticos, a AES responsável pela entidade financeira em causa;
cria um fórum de superintendência para:
debater os desenvolvimentos relevantes em matéria de riscos e vulnerabilidades das TIC e promover uma abordagem coerente de monitorização da UE,
avaliar anualmente as atividades de superintendência, promover medidas para aumentar a resiliência operacional digital e fomentar as melhores práticas,
apresentar parâmetros de referência abrangentes para os terceiros prestadores de serviços de TIC críticos;
mandata a autoridade fiscalizadora principal para:
ser o principal ponto de contacto dos terceiros prestadores de serviços de TIC críticos,
avaliar se cada prestador de serviços críticos dispõe de regras, procedimentos, mecanismos e disposições abrangentes, sólidos e eficazes,
solicitar todas as informações e documentação relevantes, realizar investigações e inspeções (incluindo em países não pertencentes à UE), especificar medidas corretivas e emitir recomendações;
Critérios para a designação de fornecedores críticos
Ao abrigo do Regulamento Delegado (UE) 2024/1502, os prestadores terceiros de serviços de TIC podem ser designados como críticos e colocados sob a supervisão direta das AES na sequência de uma avaliação em duas fases.
Etapa1— critérios quantitativos
O prestador deve cumprir limiares mensuráveis, tais como:
o número de entidades financeiras, ou a parte dos seus ativos totais, que dependem dos serviços do prestador;
se os seus serviços podem ser substituídos ou se a mudança para outro prestador seria difícil ou onerosa.
Etapa2— critérios qualitativos
Os prestadores que cumpram a etapa 1 são posteriormente avaliados tendo em conta considerações mais amplas, incluindo:
o impacto sistémico potencial em caso de perturbação dos seus serviços;
o grau de interdependência entre as entidades financeiras que utilizam o mesmo prestador;
a criticidade das funções suportadas;
dependência de subcontratantes comuns.
Um prestador de serviços é designado como crítico apenas quando cumpre os critérios em ambos os passos.
Acordos de partilha de informações
As entidades financeiras podem partilhar entre si dados e informações sobre ciberameaças, desde que esse intercâmbio:
tenha por objetivo reforçar a sua resiliência operacional digital;
ocorra no âmbito das suas comunidades de confiança;
proteja o sigilo comercial e os dados pessoais e respeite as regras da política de concorrência.
Sanções e medidas corretivas
As autoridades competentes:
dispõem de todos os poderes de supervisão, de investigação e de aplicação de sanções necessários ao exercício das suas funções;
impõem, e publicam nos seus sítios Web, as sanções administrativas e as medidas corretivas determinadas pela legislação nacional.
As AES delineiam normas técnicas regulamentares para os instrumentos de gestão dos riscos das TIC, a classificação e a comunicação de incidentes relacionados com as TIC e a realização de atividades de superintendência.
A Comissão:
está habilitada a adotar atos delegados;
apresenta, até , uma revisão do regulamento, após consulta das AES e do Comité Europeu do Risco Sistémico, ao Parlamento e ao Conselho.
As reformas que se seguiram à crise financeira de 2008 reforçaram sobretudo a estabilidade financeira do setor. Os riscos das TIC só foram abordados indiretamente em alguns domínios e continuaram a representar um desafio para a resiliência operacional, o desempenho e a estabilidade do sistema financeiro da UE.
O regulamento, conhecido como DORA, faz parte de um pacote mais vasto de financiamento digital destinado a promover o desenvolvimento tecnológico e a garantir a estabilidade financeira e a proteção dos consumidores. Os seus restantes elementos abrangem uma estratégia de financiamento digital, mercados de criptoativos e tecnologia de registo distribuído.
Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho de relativo à resiliência operacional digital do setor financeiro e que altera os Regulamentos (CE) n.º 1060/2009, (UE) n.º 648/2012, (UE) n.º 600/2014, (UE) n.º 909/2014 e (UE) 2016/1011 (JO L 333 de , pp. 1-79).
As sucessivas alterações do Regulamento (UE) 2022/2554 foram integradas no texto de base. A versão consolidada tem apenas valor documental.
DOCUMENTOS RELACIONADOS
Regulamento Delegado (UE) 2024/1502 da Comissão, de , que complementa o Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho especificando os critérios para a designação dos terceiros prestadores de serviços de TIC críticos para as entidades financeiras (JO L, 2024/1502, ).
Comunicação da Comissão ao Parlamento Europeu, ao Conselho, ao Comité Económico e Social Europeu e ao Comité das Regiões sobre uma Estratégia em matéria de Financiamento Digital para a UE (COM(2020) 591 final de ).
Regulamento (UE) 2016/1011 do Parlamento Europeu e do Conselho, de , relativo aos índices utilizados como índices de referência no quadro de instrumentos e contratos financeiros ou para aferir o desempenho de fundos de investimento e que altera as Diretivas 2008/48/CE e 2014/17/UE e o Regulamento (UE) n.º 596/2014 (JO L 171 de , pp. 1-65).
Regulamento (UE) n.º 909/2014 do Parlamento Europeu e do Conselho, de , relativo à melhoria da liquidação de valores mobiliários na União Europeia e às Centrais de Valores Mobiliários (CSD) e que altera as Diretivas 98/26/CE e 2014/65/UE e o Regulamento (UE) n.º 236/2012 (JO L 257 de , pp. 1-72).
Regulamento (UE) n.º 600/2014 do Parlamento Europeu e do Conselho, de , relativo aos mercados de instrumentos financeiros e que altera o Regulamento (UE) n.º 648/2012 (JO L 173 de , pp. 84-148).
Regulamento (UE) n.º 648/2012 do Parlamento Europeu e do Conselho, de , relativo aos derivados do mercado de balcão, às contrapartes centrais e aos repositórios de transações (JO L 201, , pp. 1-59).