Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Resiliência operacional digital do setor financeiro

SÍNTESE DE:

Regulamento (UE) 2022/2554 relativo à resiliência operacional digital do setor financeiro

QUAL É O OBJETIVO DESTE REGULAMENTO?

O Regulamento (UE) 2022/2554 estabelece regras uniformes sobre a segurança das redes e dos sistemas de informação das entidades financeiras, tais como bancos, companhias de seguros e empresas de investimento.

Abrange um vasto leque de entidades financeiras regulamentadas da União Europeia (UE), exigindo-lhes que resistam, respondam e recuperem de qualquer perturbação ou ameaça no domínio das tecnologias da informação e da comunicação (TIC).

PONTOS-CHAVE

Âmbito de aplicação

O regulamento abrange:

  • instituições de crédito, de pagamento, de moeda eletrónica e de pensões profissionais;
  • prestadores de serviços de informação sobre contas, de criptoativos, de comunicação de dados, de financiamento colaborativo; bem como Terceiros prestadores de serviços de TIC;
  • empresas de investimento, fundos de investimento alternativos, sociedades gestoras, agências de notação de crédito e administradores de índices de referência críticos;
  • repositórios de transações e de titularização, centrais de valores mobiliários, contrapartes centrais e plataformas de negociação;
  • empresas de seguros, mediadores de seguros e empresas de resseguros.

Gestão do risco associado às TIC

As entidades financeiras, com exceção das microempresas, devem:

  • implantar medidas de governação interna e de controlo que garantam uma gestão eficaz e prudente do risco associado às TIC;
  • assegurar-se que o seu órgão de administração define, aprova, fiscaliza e é responsável pela aplicação de todas as disposições pertinentes;
  • dispor de um quadro de gestão do risco associado às TIC sólido, abrangente e bem documentado, com as estratégias, políticas, procedimentos, protocolos e instrumentos necessários para permitir uma resposta rápida e eficiente;
  • utilizar e conservar sistemas, protocolos e ferramentas de TIC atualizados que sejam adequados, fiáveis, e tecnologicamente resilientes e que tenham capacidade suficiente;
  • identificar, classificar e documentar adequadamente todas as funções operacionais, os papeis e as responsabilidades apoiadas pelas TIC e os rever cenários de risco;
  • monitorizar continuamente a segurança e o funcionamento dos sistemas e das ferramentas de TIC para minimizar o impacto de risco associado às TIC;
  • detetar rapidamente atividades anómalas e identificar as potenciais falhas pontuais;
  • aplicar uma política global abrangente de continuidade das atividades no domínio das TIC através de medidas, planos, procedimentos e mecanismos dedicados, adequados;
  • desenvolver e documentar políticas de salvaguarda e procedimentos de restauração e recuperação;
  • mobilizar recursos e pessoal para avaliar vulnerabilidades e ciberameaças, incidentes relacionados com as TIC, especialmente ciberataques, e analisar o seu potencial impacto na resiliência operacional digital da entidade;
  • elaborar planos de comunicação de crises para divulgar, pelo menos, os incidentes de caráter severo relacionados com as TIC ou as vulnerabilidades aos clientes e às contrapartes, bem como ao público.

Gestão, classificação e comunicação de informações sobre incidentes relacionados com as TIC

As entidades financeiras devem:

  • definir, estabelecer e aplicar medidas para detetar, gerir, registar e notificar os incidentes relacionados com as TIC;
  • classificar os incidentes e determinar o seu impacto através da utilização de critérios como o número de clientes e contrapartes afetados, a duração, a distribuição geográfica e as perdas de dados;
  • comunicar os incidentes de caráter severo relacionados com as TIC à sua autoridade competente designada, que os encaminha para um organismo superior, como o Banco Central Europeu ou a Autoridade Bancária Europeia.

Testes de resiliência operacional digital

As entidades financeiras, com exceção das microempresas, devem:

  • estabelecer, manter e rever um programa de testes operacionais digitais sólido e abrangente, munido das avaliações, testes, metodologias, práticas e ferramentas necessárias;
  • realizar, pelo menos de três em três anos, testes de penetração baseados em ameaças, de acordo com o seu perfil de risco e tendo em conta as circunstâncias operacionais, e utilizar apenas testadores certificados, que possuam as competências e a idoneidade necessárias e que estejam cobertos por um seguro de indemnização profissional.

Gestão do risco associado às TIC devido a terceiros

As entidades financeiras devem:

  • gerir o risco devido a terceiros como parte integrante da sua gestão global do risco associado às TIC;
  • estabelecer disposições contratuais para os serviços de TIC, a fim de executar as suas operações comerciais em plena conformidade com a legislação pertinente;
  • ter em conta a natureza, a escala, a complexidade e a importância das dependências relacionadas com as TIC e quaisquer riscos potenciais;
  • ponderar os benefícios e os custos de soluções alternativas ao identificarem e avaliarem os riscos envolvidos;
  • incluir no contrato os direitos e obrigações de cada parte e o acordo de serviço.

Quadro de superintendência dos terceiros prestadores de serviços de TIC críticos

O quadro:

  • encarrega as Autoridades Europeias de Supervisão (AES) de:
    • designar, com base em critérios claros, os terceiros prestadores de serviços de TIC considerados críticos para as entidades financeiras,
    • nomeia, como autoridade fiscalizadora principal para cada terceiro prestador de serviços de TIC críticos, a AES responsável pela entidade financeira em causa;
  • cria um fórum de superintendência para:
    • debater os desenvolvimentos relevantes em matéria de riscos e vulnerabilidades das TIC e promover uma abordagem coerente de monitorização da UE,
    • avaliar anualmente as atividades de superintendência, promover medidas para aumentar a resiliência operacional digital e fomentar as melhores práticas,
    • apresentar parâmetros de referência abrangentes para os terceiros prestadores de serviços de TIC críticos;
  • mandata a autoridade fiscalizadora principal para:
    • ser o principal ponto de contacto dos terceiros prestadores de serviços de TIC críticos,
    • avaliar se cada prestador de serviços críticos dispõe de regras, procedimentos, mecanismos e disposições abrangentes, sólidos e eficazes,
    • solicitar todas as informações e documentação relevantes, realizar investigações e inspeções (incluindo em países não pertencentes à UE), especificar medidas corretivas e emitir recomendações;
  • permite que a Autoridade Bancária Europeia, a Autoridade Europeia dos Seguros e Pensões Complementares de Reforma e a Autoridade Europeia dos Valores Mobiliários e dos Mercados trabalhem com as autoridades de regulamentação e de supervisão de países não pertencentes à UE em matéria de riscos de terceiros no domínio das TIC;
  • exige que as AES apresentem, de cinco em cinco anos, um relatório confidencial ao Parlamento Europeu, ao Conselho da União Europeia e à Comissão Europeia sobre as suas relações com as autoridades de países não pertencentes à UE.

Critérios para a designação de fornecedores críticos

Ao abrigo do Regulamento Delegado (UE) 2024/1502, os prestadores terceiros de serviços de TIC podem ser designados como críticos e colocados sob a supervisão direta das AES na sequência de uma avaliação em duas fases.

  • Etapa 1 — critérios quantitativos

O prestador deve cumprir limiares mensuráveis, tais como:

  • Etapa 2 — critérios qualitativos

Os prestadores que cumpram a etapa 1 são posteriormente avaliados tendo em conta considerações mais amplas, incluindo:

  • o impacto sistémico potencial em caso de perturbação dos seus serviços;
  • o grau de interdependência entre as entidades financeiras que utilizam o mesmo prestador;
  • a criticidade das funções suportadas;
  • dependência de subcontratantes comuns.

Um prestador de serviços é designado como crítico apenas quando cumpre os critérios em ambos os passos.

Acordos de partilha de informações

As entidades financeiras podem partilhar entre si dados e informações sobre ciberameaças, desde que esse intercâmbio:

  • tenha por objetivo reforçar a sua resiliência operacional digital;
  • ocorra no âmbito das suas comunidades de confiança;
  • proteja o sigilo comercial e os dados pessoais e respeite as regras da política de concorrência.

Sanções e medidas corretivas

As autoridades competentes:

  • dispõem de todos os poderes de supervisão, de investigação e de aplicação de sanções necessários ao exercício das suas funções;
  • impõem, e publicam nos seus sítios Web, as sanções administrativas e as medidas corretivas determinadas pela legislação nacional.

As AES delineiam normas técnicas regulamentares para os instrumentos de gestão dos riscos das TIC, a classificação e a comunicação de incidentes relacionados com as TIC e a realização de atividades de superintendência.

A Comissão:

  • está habilitada a adotar atos delegados;
  • apresenta, até , uma revisão do regulamento, após consulta das AES e do Comité Europeu do Risco Sistémico, ao Parlamento e ao Conselho.

O regulamento altera o Regulamento (CE) n.º 1060/2009, os Regulamentos (UE) n.os 648/2012, 909/2014 e 600/2014 e o Regulamento (UE) 2016/1011.

A PARTIR DE QUANDO É APLICÁVEL O REGULAMENTO?

O regulamento é aplicável a partir de .

CONTEXTO

As reformas que se seguiram à crise financeira de 2008 reforçaram sobretudo a estabilidade financeira do setor. Os riscos das TIC só foram abordados indiretamente em alguns domínios e continuaram a representar um desafio para a resiliência operacional, o desempenho e a estabilidade do sistema financeiro da UE.

O regulamento, conhecido como DORA, faz parte de um pacote mais vasto de financiamento digital destinado a promover o desenvolvimento tecnológico e a garantir a estabilidade financeira e a proteção dos consumidores. Os seus restantes elementos abrangem uma estratégia de financiamento digital, mercados de criptoativos e tecnologia de registo distribuído.

Para mais informações, consultar:

PRINCIPAL DOCUMENTO

Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho de relativo à resiliência operacional digital do setor financeiro e que altera os Regulamentos (CE) n.º 1060/2009, (UE) n.º 648/2012, (UE) n.º 600/2014, (UE) n.º 909/2014 e (UE) 2016/1011 (JO L 333 de , pp. 1-79).

As sucessivas alterações do Regulamento (UE) 2022/2554 foram integradas no texto de base. A versão consolidada tem apenas valor documental.

última atualização

Top