Assim é o regulamento DORA, de cumprimento obrigatório para seguradoras e gestoras de fundos

Os ciberataques são cada vez mais sofisticados. De acordo com um relatório da Cybersecurity Ventures, em 2023 ocorreu um ataque a cada 39 segundos, ou seja, mais de 2.200 por dia. A União Europeia eleva o custo anual mundial da cibercriminalidade para mais de 5 trilhões de euros.

Diante deste panorama, a UE, através da Autoridade Bancária Europeia (EBA), da Autoridade Europeia de Seguros e Pensões de Aposentadoria (EIOPA) e da Autoridade Europeia de Valores e Mercados (ESMA), estabeleceu um quadro normativo para que as entidades financeiras possam melhorar sua resiliência operacional e cibersegurança, com o objetivo de melhorar a proteção diante dos riscos derivados do ambiente cibernético e das TIC.

Este quadro legislativo, conhecido como regulamento de Resiliência Operacional Digital ou regulamento DORA, em sua sigla em inglês, entrou em vigor em 16 de janeiro de 2023. A partir dessa data, as entidades financeiras têm dois anos para se adaptar a ele, já que no próximo dia 17 de janeiro de 2025 será de cumprimento obrigatório para todos os atores do setor europeu.

“O setor financeiro depende cada vez mais da tecnologia e das empresas tecnológicas para prestar seus serviços. Isto faz com que as entidades sejam vulneráveis a ciberataques ou incidentes “, explicam na EIOPA. “Quando não são administrados adequadamente, os riscos das TIC podem provocar interrupções na atividade do setor. Isto, por sua vez, pode repercutir em outras empresas, setores e, inclusive, no resto da economia, o que destaca a importância da resistência operacional digital do setor financeiro. É aqui que entra em jogo o regulamento DORA”, acrescentam.

O texto estabelece critérios para a classificação, gestão e notificação de riscos no âmbito das TIC.  Além disso, incorpora testes exaustivos recorrentes para estes sistemas e uma série de requisitos para a gestão e supervisão no setor financeiro dos riscos derivados dos serviços TIC. Assim, fortalece-se a segurança da informação e eliminam-se possíveis lacunas e conflitos que possam surgir dentro das entidades financeiras. 

O alcance do regulamento incorpora todos os atores do âmbito financeiro a nível europeu, entre os quais estão as seguradoras e resseguradoras, os intermediários de seguros ou os gestores de fundos de investimento alternativos e sociedades de gestão.

Essa nova regulamentação amplia o escopo de suas atividades para além das instituições financeiras tradicionais, com ênfase no gerenciamento de serviços de tecnologia por terceiros e organizações, como empresas de seguros e resseguros.

“Os requisitos do regulamento são muito específicos e exigentes, o que, em geral, forçará o setor de seguros a acelerar sua velocidade de melhoria nesse campo, alcançando assim o setor bancário, tradicionalmente mais maduro nessa área, já que foi o primeiro a ser alvo dos cibercriminosos”, explica Jacinto Muñoz Muñoz, diretor de Resiliência Operacional e Gestão de Crises da MAPFRE. “Em termos de oportunidade, o regulamento DORA deve permitir à indústria seguradora melhorar sua maturidade em matéria de cibersegurança e resiliência operacional digital, melhorando sua proteção contra o ciberrisco“, acrescenta.  

No caso específico da Espanha, a Associação Espanhola de Corretoras de Seguros e Resseguros (ADECOSE) excluiu desta regulamentação as pequenas e médias empresas (PMEs) e os intermediários de seguros com menos de 250 funcionários, devido às suas peculiaridades e necessidades nesse setor. 

O regulamento DORA estabelece requerimentos específicos em quatro âmbitos principais:

1. Gestão e governança do risco TIC. As organizações deverão contar com marcos integrais de gestão do risco das TIC nos quais se incorpore a identificação e classificação de ativos críticos. Além disso, devem ser realizadas avaliações periódicas do risco.

2. Notificação de incidentes. É necessário dispor de sistemas para “monitorar, administrar, registrar, classificar e informar” sobre incidentes de cibersegurança relacionados com as TIC.

3. Testes de resiliência operacional e intercâmbio de ameaças. Os sistemas TIC devem ser testados regularmente para avaliar seu funcionamento, identificar vulnerabilidades e repará-las a tempo. Além disso, as entidades financeiras devem estabelecer acordos de intercâmbio de informação e inteligência entre elas em relação às ameaças e vulnerabilidades.

4. Gestão de risco de terceiros. É requisito para as companhias do setor assumirem “um papel ativo na gestão do risco de terceiros das TIC”. Por sua vez, os prestadores de serviços devem cumprir com os requisitos do regulamento DORA.

Para as entidades financeiras, o regulamento surge como um guia e quadro de prevenção dos riscos derivados da tecnologia, de modo que o setor possa continuar seu caminho de crescimento minimizando o perigo de seus ativos ou dos de seus clientes.

A MAPFRE, plenamente consciente dos riscos cibernéticos, vem trabalhando de forma constante e sistemática para melhorar sua postura de segurança há anos.

“Para nos adaptarmos a essa estrutura, analisamos e comentamos as diversas minutas que foram publicadas. Após sua aprovação definitiva, realizamos uma primeira análise de adequação ao regulamento e definimos um plano de ação para cobrir as lacunas identificadas, plano que estamos não só executando atualmente, mas também modificando para incorporar os requerimentos que aparecem no regulamento de segundo nível associado à DORA “, comenta Jacinto Muñoz Muñoz.

Do ponto de vista estratégico ou operacional, o regulamento DORA não vai mudar de forma substancial a maneira como a MAPFRE aborda a segurança cibernética. Nas palavras do diretor de Resiliência Operacional e Gestão de Crises da MAPFRE, o que isso fará é “exigir uma formalização extra de algumas das tarefas que realizamos, como o registro e o controle dos prestadores de serviços TIC”.

Ainda faltam seis meses para que termine o período de adaptação ao novo regulamento. No entanto, esse não é o único desafio enfrentado pelas seguradoras, pois elas também enfrentam outros desafios, como a revisão das regulamentações da Solvência II ou a proposta da nova Diretiva de Recuperação e Resolução de Seguros (IRRD).

ARTIGOS RELACIONADOS: