Resiliência operacional digital do setor financeiro

SÍNTESE DE:

Regulamento (UE) 2022/2554 relativo à resiliência operacional digital do setor financeiro

QUAL É O OBJETIVO DESTE REGULAMENTO?

O regulamento estabelece regras uniformes sobre a segurança das redes e dos sistemas de informação das entidades financeiras, tais como bancos, companhias de seguros e empresas de investimento.

Abrange um vasto leque de entidades financeiras regulamentadas da União Europeia (UE), exigindo-lhes que resistam, respondam e recuperem de qualquer perturbação ou ameaça no domínio das tecnologias da informação e da comunicação (TIC).

PONTOS-CHAVE

Âmbito de aplicação

O regulamento abrange:

• instituições de crédito, de pagamento, de moeda eletrónica e de pensões profissionais;
• prestadores de serviços de informação sobre contas, de criptoativos, de comunicação de dados, de financiamento colaborativo; bem como Terceiros prestadores de serviços de TIC;
• empresas de investimento, fundos de investimento alternativos, sociedades gestoras, agências de notação de crédito e administradores de índices de referência críticos;
• repositórios de transações e de titularização, centrais de valores mobiliários, contrapartes centrais e plataformas de negociação;
• empresas de seguros, mediadores de seguros e empresas de resseguros.

Gestão do risco associado às TIC

As entidades financeiras, com exceção das microempresas, devem:

• implantar medidas de governação interna e de controlo que garantam uma gestão eficaz e prudente do risco associado às TIC;
• assegurar-se que o seu órgão de administração define, aprova, fiscaliza e é responsável pela aplicação de todas as disposições pertinentes;
• dispor de um quadro de gestão do risco associado às TIC sólido, abrangente e bem documentado, com as estratégias, políticas, procedimentos, protocolos e instrumentos necessários para permitir uma resposta rápida e eficiente;
• utilizar e conservar sistemas, protocolos e ferramentas de TIC atualizados que sejam adequados, fiáveis, tecnologicamente resilientes e com capacidade suficiente;
• identificar, classificar e documentar adequadamente todas as funções operacionais, os papeis e as responsabilidades apoiadas pelas TIC e os rever cenários de risco;
• monitorizar continuamente a segurança e o funcionamento dos sistemas e das ferramentas de TIC para minimizar o impacto de risco associado às TIC;
• detetar rapidamente atividades anómalas e identificar as potenciais falhas pontuais;
• aplicar uma política global abrangente de continuidade das atividades no domínio das TIC através de medidas, planos, procedimentos e mecanismos dedicados, adequados;
• desenvolver e documentar políticas de salvaguarda e procedimentos de restauração e recuperação;
• mobilizar recursos e pessoal para avaliar vulnerabilidades e ciberameaças, incidentes relacionados com as TIC, especialmente ciberataques, e analisar o seu potencial impacto na resiliência operacional digital da entidade;
• elaborar planos de comunicação de crises para divulgar, pelo menos, os incidentes de caráter severo relacionados com as TIC ou as vulnerabilidades aos clientes e às contrapartes, bem como ao público.

Gestão, classificação e comunicação de informações sobre incidentes relacionados com as TIC

As entidades financeiras devem:

• definir, estabelecer e aplicar medidas para detetar, gerir, registar e notificar os incidentes relacionados com as TIC;
• classificar os incidentes e determinar o seu impacto através da utilização de critérios como o número de clientes e contrapartes afetados, a duração, a distribuição geográfica e as perdas de dados;
• comunicar os incidentes de caráter severo relacionados com as TIC à sua autoridade competente designada, que o transmite a um organismo superior, como o Banco Central Europeu ou a Autoridade Bancária Europeia.

Testes de resiliência operacional digital

As entidades financeiras, com exceção das microempresas, devem:

• estabelecer, manter e rever um programa de testes operacionais digitais sólido e abrangente, munido das avaliações, testes, metodologias, práticas e ferramentas necessárias;
• realizar, pelo menos de três em três anos, testes de penetração baseados em ameaças, de acordo com o seu perfil de risco e tendo em conta as circunstâncias operacionais — e utilizar apenas testadores certificados, que possuam as competências e a idoneidade necessárias e que estejam cobertos por um seguro de indemnização profissional.

Gestão do risco associado às TIC devido a terceiros

As entidades financeiras devem:

• gerir o risco devido a terceiros como parte integrante da sua gestão global do risco associado às TIC;
• estabelecer disposições contratuais para os serviços de TIC, a fim de executar as suas operações comerciais em plena conformidade com a legislação pertinente;
• ter em conta a natureza, a escala, a complexidade e a importância das dependências relacionadas com as TIC e quaisquer riscos potenciais;
• ponderar os benefícios e os custos de soluções alternativas ao identificarem e avaliarem os riscos envolvidos;
• incluir no contrato os direitos e obrigações de cada parte e o acordo de serviço.

Quadro de superintendência dos terceiros prestadores de serviços de TIC críticos

O quadro:

• encarrega as Autoridades Europeias de Supervisão (AES) de:
  • designar, com base em critérios claros, os terceiros prestadores de serviços de TIC considerados críticos para as entidades financeiras,
  • nomeia, como autoridade fiscalizadora principal para cada terceiro prestador de serviços de TIC críticos, a AES responsável pela entidade financeira em causa;
• cria um fórum de superintendência para:
  • debater os desenvolvimentos relevantes em matéria de riscos e vulnerabilidades das TIC e promover uma abordagem coerente de monitorização da UE,
  • avaliar anualmente as atividades de superintendência, promover medidas para aumentar a resiliência operacional digital e fomentar as melhores práticas,
  • apresentar parâmetros de referência abrangentes para os terceiros prestadores de serviços de TIC críticos;
• mandata a autoridade fiscalizadora principal para:
  • ser o principal ponto de contacto dos terceiros prestadores de serviços de TIC críticos,
  • avaliar se cada prestador de serviços críticos dispõe de regras, procedimentos, mecanismos e disposições abrangentes, sólidos e eficazes,
  • solicitar todas as informações e documentação relevantes, realizar investigações e inspeções (incluindo em países não pertencentes à UE), especificar medidas corretivas e emitir recomendações;
• permite que a Autoridade Bancária Europeia, a Autoridade Europeia dos Seguros e Pensões Complementares de Reforma e a Autoridade Europeia dos Valores Mobiliários e dos Mercados trabalhem com as autoridades de regulamentação e de supervisão de países não pertencentes à UE sobre o r risco associados às TIC devido a terceiros;
• exige que as AES apresentem, de cinco em cinco anos, um relatório confidencial ao Parlamento Europeu, ao Conselho da União Europeia e à Comissão Europeia sobre as suas relações com as autoridades de países não pertencentes à UE.

Acordos de partilha de informações

As entidades financeiras podem partilhar entre si dados e informações sobre ciberameaças, desde que esse intercâmbio:

• tenha por objetivo reforçar a sua resiliência operacional digital;
• ocorra no âmbito das suas comunidades de confiança;
• proteja o sigilo comercial e os dados pessoais e respeite as regras da política de concorrência.

Sanções e medidas corretivas

As autoridades competentes:

• dispõem de todos os poderes de supervisão, de investigação e de aplicação de sanções necessários ao exercício das suas funções;
• impõem, e publicam nos seus sítios Web, as sanções administrativas e as medidas corretivas determinadas pela legislação nacional.

As AES delineiam normas técnicas regulamentares para os instrumentos de gestão dos riscos das TIC, a classificação e a comunicação de incidentes relacionados com as TIC e a realização de atividades de superintendência.

A Comissão:

• está habilitada a adotar atos delegados;
• apresenta, até 17 de janeiro de 2028, uma revisão do regulamento, após consulta das AES e do Comité Europeu do Risco Sistémico, ao Parlamento e ao Conselho.

O regulamento altera os Regulamentos (CE) n.^o 1060/2009, (UE) n.^o 648/2012, (UE) n.^o 909/2014, (UE) n.^o 600/2014 e (UE) 2016/1011

A PARTIR DE QUANDO É APLICÁVEL O REGULAMENTO?

O regulamento é aplicável a partir de 17 de janeiro de 2025.

CONTEXTO

As reformas que se seguiram à crise financeira de 2008 reforçaram sobretudo a estabilidade financeira do setor. Os riscos das TIC só foram abordados indiretamente em alguns domínios e continuaram a representar um desafio para a resiliência operacional, o desempenho e a estabilidade do sistema financeiro da UE.

O regulamento, conhecido como DORA, faz parte de um pacote mais vasto de financiamento digital destinado a promover o desenvolvimento tecnológico e a garantir a estabilidade financeira e a proteção dos consumidores. Os seus restantes elementos abrangem uma estratégia de financiamento digital, mercados de criptoativos e tecnologia de registo distribuído.

Para mais informações, consultar:

• Pacote de financiamento digital (Comissão Europeia).

PRINCIPAL DOCUMENTO

Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, relativo à resiliência operacional digital do setor financeiro e que altera os Regulamentos (CE) n.^o 1060/2009, (UE) n.^o 648/2012, (UE) n.^o 600/2014, (UE) n.^o 909/2014 e (UE) 2016/1011 (JO L 333 de 27.12.2022, p. 1-79).

DOCUMENTOS RELACIONADOS

Comunicação da Comissão ao Parlamento Europeu, ao Conselho, ao Comité Económico e Social Europeu e ao Comité das Regiões sobre uma Estratégia em matéria de Financiamento Digital para a UE [COM(2020) 591 final de 24.9.2020].

Regulamento (UE) 2016/1011 do Parlamento Europeu e do Conselho, de 8 de junho de 2016, relativo aos índices utilizados como índices de referência no quadro de instrumentos e contratos financeiros ou para aferir o desempenho de fundos de investimento e que altera as Diretivas 2008/48/CE e 2014/17/UE e o Regulamento (UE) n.^o 596/2014 (JO L 171 de 29.6.2016, p. 1-65).

As sucessivas alterações do Regulamento (UE) 2016/1011 foram integradas no texto de base. A versão consolidada tem apenas valor documental.

Regulamento (UE) n.^o 909/2014 do Parlamento Europeu e do Conselho, de 23 de julho de 2014, relativo à melhoria da liquidação de valores mobiliários na União Europeia e às Centrais de Valores Mobiliários (CSDs) e que altera as Diretivas 98/26/CE e 2014/65/UE e o Regulamento (UE) n.^o 236/2012 (JO L 257 de 28.8.2014, p. 1-72).

Ver versão consolidada.

Regulamento (UE) n.^o 600/2014 do Parlamento Europeu e do Conselho, de 15 de maio de 2014, relativo aos mercados de instrumentos financeiros e que altera o Regulamento (UE) n.^o 648/2012 (JO L 173 de 12.6.2014, p. 84-148).

Ver versão consolidada.

Regulamento (UE) n.^o 648/2012 do Parlamento Europeu e do Conselho, de 4 de julho de 2012, relativo aos derivados do mercado de balcão, às contrapartes centrais e aos repositórios de transações (JO L 201 de 27.7.2012, p. 1-59).

Ver versão consolidada.

Regulamento (CE) n.^o 1060/2009 do Parlamento Europeu e do Conselho, de 16 de setembro de 2009, relativo às agências de notação de risco (JO L 302 de 17.11.2009, p. 1-31).

Ver versão consolidada.

última atualização 10.01.2024