A DORA está ativa. As empresas de serviços financeiros estão prontas para comprovar sua resiliência?

A Lei de resiliência operacional digital (DORA, Digital Operational Resilience Act) entrou em vigor em 17 de janeiro de 2025, com diretrizes abrangentes e uma estrutura regulatória detalhada sobre como todas as entidades de serviços financeiros que fazem negócios na União Europeia garantem resiliência de dados contra interrupções não planejadas. Ela também reconhece uma realidade amplamente aceita pelos profissionais de cibersegurança que não é mais uma questão de se um ataque cibernético ocorre, mas quando. Essa legislação crucial da UE traz um novo nível de rigor e responsabilidade para o setor de serviços financeiros que continuará evoluindo para proteger a estabilidade do ecossistema financeiro global e da UE.

Muitos setores do setor de serviços financeiros além dos bancos tradicionais e instituições de crédito agora se enquadram nos regulamentos DORA, incluindo provedores de pagamento, empresas de investimento, locais de negociação, provedores de seguros e provedores de serviços de tecnologia da informação e comunicação (TIC, Information and Communication Technology) de terceiros. Setores novos nesse nível de regulamentação podem ter dificuldades para cumprir conforme indicado pelo “exercício de execução a seco” do DORA dos reguladores financeiros europeus.1 Eles também provavelmente enfrentarão um exame mais detalhado de clientes, parceiros e outras partes interessadas interconectados como um novo risco operacional. A não conformidade não significa mais apenas o potencial de uma multa muito alta, mas também danos à reputação e responsabilidade para uma empresa, seus diretores e seus parceiros.

Embora ainda não se veja a rapidez com que os reguladores financeiros agem, a DORA representa uma mudança das diretrizes para prontidão de dados e resiliência cibernética para a aplicação deles. Dada a natureza expansiva da DORA, que amplia significativamente a regulamentação financeira da UE sobre tecnologia da informação, os reguladores financeiros europeus, sem experiência e recursos ilimitados, podem enfrentar desafios para aplicar todos os aspectos da DORA imediatamente. Como resultado, os reguladores provavelmente adotarão uma abordagem direcionada, concentrando-se nas áreas mais críticas e visíveis da não conformidade.2

Guia de um hacker para mitigação e recuperação após ataques de ransomware

Leia o guia

O que as organizações financeiras estão priorizando

Uma das principais prioridades para conformidade com DORA é o envio de registros de informações precisos e tecnicamente compatíveis. Os reguladores financeiros enfatizaram que os registros serão o foco principal da aplicação da lei e esperam que as organizações os enviem no início de 2025. Enviar um registro preciso que detalhe os provedores de TI mais significativos da organização pode ser mais benéfico do que enviar informações incompletas sobre todos os seus provedores de TI. 

Para líderes de proteção de dados e CIOs, a DORA é uma chamada à ação para examinar sistemas legados e considerar se eles são capazes de resistir às ameaças cibernéticas atuais e podem oferecer o desempenho necessário para uma recuperação de serviço eficiente e rápida. Além de identificar e mapear os principais sistemas, aplicativos e cargas de trabalho com os respectivos provedores de TIC, as organizações devem considerar cuidadosamente os principais recursos que protegem, defendem e recuperam esses sistemas. Os recursos essenciais incluem:

• Proteção de dados e recuperação cibernética: Os recursos de recuperação rápida são essenciais sob o DORA como uma maneira de minimizar o impacto operacional de um ataque. Para sistemas críticos (por exemplo, pagamentos), a única maneira de alcançar os objetivos de tempo de recuperação mais rigorosos e ultracurtos exigidos pelas regulamentações de resiliência operacional é recuperar usando snapshots imutáveis baseados em armazenamento. Esses snapshots devem ser armazenados com segurança em um repositório isolado (ou virtualmente fechado).
• Detecção precoce de ameaças: Identificar e corrigir possíveis ameaças cibernéticas antecipadamente é um aspecto importante da proteção e da prontidão dos dados. A capacidade de verificar continuamente os dados para detectar anomalias e identificar ameaças como ransomware e malware em tempo real e automatizar a correção é essencial para uma contenção mais rápida de um ataque. 
• Ambientes de recuperação isolados (IRE) ou salas limpas para teste de resiliência: Estabelecimento de um ambiente de recuperação isolado e totalmente autônomo, no qual os dados podem ser restaurados para análise forense e de aplicativos e validados como limpos antes de retornar à recuperação da velocidade de produção.  Os IREs também permitem que as organizações testem e melhorem continuamente as práticas de recuperação cibernética para prontidão organizacional.
• Escalabilidade e desempenho: As empresas continuarão desenvolvendo seus serviços, enfrentando novos requisitos regulatórios e lidando com ameaças cibernéticas emergentes. É importante considerar a capacidade de expansão de uma solução conforme os requisitos de dados mudam em ambientes distribuídos e híbridos, mantendo velocidades de alto desempenho para proteção e recuperação de dados.

Conformidade com confiança

As organizações que adiam o estabelecimento de recursos robustos para atender à DORA e a outros regulamentos de resiliência em evolução, como PSD2, NIS2, APRA CPS 230 e a Lei Europeia de Resiliência Cibernética, que entram em vigor em 2026, podem se encontrar com desafios crescentes a serem superados. Eles também podem se encontrar em uma desvantagem competitiva para empresas que podem demonstrar sua capacidade de permanecer resilientes diante de interrupções no ecossistema financeiro global. Trabalhar com parceiros que entendem os requisitos de resiliência do regulamento e implantar soluções robustas pode ajudar as organizações a garantir que estejam em conformidade e melhor preparadas para enfrentar novos desafios regulatórios e defender seu ambiente de dados contra ameaças emergentes.

A Pure Storage e a Commvault se uniram para criar uma solução conjunta, de design modular, que ajuda instituições financeiras a melhorar suas práticas de resiliência cibernética e abordar os principais pilares do DORA para resposta a incidentes e testes de resiliência. A solução foi desenvolvida integrando os principais recursos de resiliência cibernética do Commvault® Cloud com a plataforma Pure Storage altamente segura e de alto desempenho. Saiba mais sobre a solução e nosso compromisso com a resiliência cibernética neste resumo da solução.

Você está pronto para a cibersegurança? 

A prontidão reflete a resiliência cibernética madura, em que a tecnologia, as pessoas e os processos funcionam perfeitamente para permitir a continuidade dos negócios diante de qualquer desafio cibernético. Avalie a resiliência cibernética da sua organização com a avaliação de maturidade cibernética da Commvault.