Três maneiras pelas quais a Microsoft está ajudando o setor financeiro a se preparar para os novos regulamentos do DORA 

Bancos, seguradoras, corretoras de valores e outras instituições de serviços financeiros (FSI) estão obtendo benefícios inovadores ao alavancar a IA e a nuvem em seus negócios. Mas à medida que aumenta a dependência dessas tecnologias críticas, também aumenta a responsabilidade de garantir que elas operem de forma confiável e segura.  

Manter o setor financeiro resiliente quando o mundo inteiro enfrenta mudanças em ritmo acelerado é um desafio compartilhado por grandes empresas, órgãos reguladores e provedores de tecnologia, como a Microsoft. Na verdade, este é um dos pilares do Microsoft Cloud for Financial Services e está intimamente alinhado com o compromisso da Microsoft de tornar a segurança nossa principal prioridade em todos os nossos produtos e serviços.  

Conheça soluções com o Microsoft Cloud for Financial Services 

Desde 2020, as autoridades da União Europeia (UE) têm trabalhado em um novo conjunto de normas abrangentes para lidar com a crescente dependência do setor em relação à tecnologia e mitigar os riscos associados. O DORA (Digital Operational Resilience Act) tornou-se operacional em vigor em 16 de janeiro de 2023 e entrará em vigor em 17 de janeiro de 2025, impactando praticamente todas as instituições financeiras que operam na UE e todos os provedores de serviços que atendem essas instituições. A Microsoft está ativamente envolvida com o trabalho de órgãos reguladores e entidades financeiras no desenvolvimento do DORA e agora está focada em ajudar os clientes a se manterem em conformidade com ele.  

O que é DORA?  

DORA é um novo regulamento da União Europeia que visa fortalecer a resiliência operacional dos serviços financeiros, garantindo que as empresas mantenham fortes práticas de gestão de riscos e possam resistir e se adaptar a uma ampla gama de ameaças e mudanças drásticas. O regulamento faz parte de uma estratégia mais ampla da UE para aumentar a estabilidade e a segurança da indústria e equiparar os requisitos entre os Estados-Membros. O DORA aplica-se a entidades de serviços financeiros que operam na UE, bem como às empresas de tecnologia que prestam serviços essenciais a essas entidades.  

Sob o DORA, as entidades de serviços financeiros serão obrigadas a implementar planos robustos de resposta a incidentes de segurança cibernética e comunicar prontamente às autoridades quaisquer violações e outros incidentes cibernéticos e interrupções. As empresas terão que criar planos de continuidade de negócios para que possam continuar operando caso ocorra uma grande interrupção, incluindo planos de emergência para cenários de maior gravidade. E elas estarão sujeitas a maior escrutínio das autoridades de fiscalização do setor, que monitorarão e avaliarão sua resiliência operacional e tomarão medidas para garantir a conformidade, se necessário.  

O DORA também impõe requisitos para provedores de serviços terceirizados de Tecnologia da Informação e Comunicação (TIC), com foco principal (embora não exclusivo) em empresas de TIC que fornecem produtos e serviços de computação em nuvem para funções-chave. O regulamento também cria uma nova designação de provedores “críticos” (que provavelmente incluiria a Microsoft) que estarão sujeitos a um novo framework de fiscalização pelas Autoridades Europeias de Supervisão (ESAs).  

Impacto do DORA para clientes de serviços financeiros  

O DORA exigirá que as instituições cumpram muitos requisitos novos ou aprimorados para a prestação de serviços financeiros. Entre eles:  

• Gestão de riscos de provedores de serviços de Tecnologia da Informação e Comunicação (TIC) As instituições financeiras deverão estabelecer um framework de gestão de riscos de TIC, que deverá estar integrado aos seus sistemas globais de gestão de risco. O framework abrangerá considerações relevantes envolvendo tecnologia e segurança, incluindo identificação, proteção, detecção, resposta e recuperação. Também englobará estratégias, políticas, procedimentos e ferramentas para garantir a segurança e a resiliência de sistemas, ativos de informação e dados. 

• Gestão e relatórios de incidentes 
  As instituições serão obrigadas a implementar processos para detectar, gerenciar e comunicar às autoridades incidentes relacionados à TIC em curtíssimo prazo. Incidentes como violações de segurança cibernética, interrupções de serviço e perda de dados serão avaliados com base em critérios como número de clientes afetados, duração e impacto econômico. 

• Testes de resiliência operacional 
  O DORA exigirá que testes operacionais digitais, como testes de penetração de ameaças (TLPT, threat-led penetration testing) e verificações de vulnerabilidade, sejam realizados em sistemas e aplicativos críticos de TIC. Esses testes visam garantir a rápida recuperação e a continuidade dos negócios em caso de interrupções. 

• Compromissos contratuais 
  O DORA exige requisitos contratuais específicos entre os prestadores de serviços de TIC e as entidades financeiras. Isso inclui requisitos de auditoria, continuidade de negócios, planejamento para emergências e subcontratação de empresas. Além disso, antes de firmar contratos com provedores de TIC, as instituições financeiras devem conduzir avaliações de risco pré-contratuais para avaliar, entre outras coisas, as medidas de segurança do provedor, o status de conformidade e a estabilidade financeira.   

Como a Microsoft está ajudando os clientes a estarem em conformidade com o DORA   

Como um dos principais provedores de serviços de TIC, a Microsoft estabeleceu processos robustos de governança interna para se preparar para cumprir todas as disposições aplicáveis a um fornecedor crítico de tecnologia terceirizado e, da mesma forma, estamos comprometidos em ajudar as instituições financeiras regulamentadas a cumprir os requisitos do DORA. Isso inclui alinhar as disposições contratuais com as exigências do DORA e fornecer recursos integrados de gerenciamento de riscos de TIC em uma ampla gama de ofertas para empresas e produtos de nuvem da Microsoft.  

Aqui estão três maneiras importantes de ajudar nossos clientes a enfrentar os desafios do DORA: 

1. Para ajudar os clientes a cumprir com sucesso seus compromissos contratuais sob o DORA, estamos trabalhando em estreita colaboração para atualizar os termos dos contratos, conforme exigido pelo novo regulamento. Isso inclui garantir avaliações pré-contratuais dos riscos de produtos e serviços da Microsoft e definir todos os aspectos específicos de suas obrigações que são aplicáveis às nossas ofertas. Também estamos trabalhando com os clientes para obter informações para atualizar nossos contratos, conforme necessário, para que eles permaneçam adequados à sua finalidade sob o framework do DORA. 

2. Para ajudar os clientes a gerenciar os riscos de TIC e estabelecer um framework interno de governança e controle, fornecemos em nossos produtos e serviços um amplo conjunto de recursos integrados de gerenciamento de riscos de TIC, de acordo com as exigências do DORA. Por exemplo, em aspectos relacionados à proteção de informações, o Microsoft Defender for Cloud realiza a avaliação, detecção e resposta a ameaças de forma contínua, e o Microsoft Secure Score ajuda a avaliar e aprimorar a postura de segurança em todas as cargas de trabalho. Em outros aspectos, como gerenciamento de incidentes, testes de resiliência e compartilhamento de informações de incidentes, a funcionalidade crítica também é fornecida por ofertas correspondentes da Microsoft, incluindo o Microsoft Purview, o painel de controle do Microsoft 365 Service Health e o Azure Service Health. 

3. Para ajudar os clientes a gerenciar, classificar e comunicar incidentes, nossas ofertas de segurança e conformidade fornecem recursos sofisticados para ajudá-los a cumprir os requisitos de gerenciamento de incidentes, incluindo ferramentas e serviços para detectar e investigar incidentes com eficiência, bem como garantir comunicação e resposta rápidas a incidentes, conforme necessário. A Central de Segurança do Azure, por exemplo, garante a detecção e resposta em tempo hábil, e o painel do Microsoft 365 Health funciona em conjunto com o Microsoft Defender para fornecer uma abordagem abrangente para gerenciamento, classificação e relatórios de incidentes.   

Por que o DORA é relevante para os serviços financeiros globais  

O DORA representa um passo significativo no fortalecimento da resiliência operacional no setor de serviços financeiros. Ao padronizar a forma como as entidades financeiras gerenciam, comunicam e trabalham juntas para minimizar os riscos de TIC, o DORA visa proteger o sistema financeiro contra uma ampla gama de ameaças e mudanças drásticas.   

O DORA não é apenas um novo framework regulatório da União Europeia. Trata-se de um marco importante no setor, que visa aumentar a resiliência dos serviços financeiros em todo o mundo, promovendo uma ênfase no compartilhamento de informações, na transparência e responsabilidade coletiva,  com o intuito de desbloquear todo o potencial da nuvem e da IA, e manter as empresas e seus clientes mais seguros.   

O compromisso da Microsoft em garantir a conformidade com o DORA  

A Microsoft está trabalhando intensamente com nossos clientes do setor financeiro para que garantir que eles trilhem um caminho de transição suave e produtivo para estarem em conformidade com o DORA. Também estamos nos preparando para atender aos requisitos do DORA que se aplicariam à Microsoft, com base em nossa designação como provedor de serviços críticos de TIC.  

Esta é apenas uma continuação dos investimentos que estamos fazendo há mais de uma década no trabalho com agências reguladoras para atender às necessidades e superar desafios comuns, bem como para desenvolver produtos para ajudar todas as empresas do setor financeiro a fortalecerem sua resiliência cibernética em um ambiente regulatório em constante evolução.   

Enxergamos o DORA como um passo natural no sentido de aumentar a resiliência operacional nos serviços financeiros, e continuaremos trabalhando com órgãos reguladores em outras jurisdições, como o Reino Unido, que estão implementando medidas para cooperação com o DORA.  

Microsoft Cloud for Financial Services 

Desbloqueie o valor comercial e aprofunde os relacionamentos com o cliente na era da IA 

Saiba mais  

Para saber mais sobre o DORA e sobre como a Microsoft ajuda a fortalecer a resiliência cibernética em serviços financeiros, consulte estes recursos: 

• Para saber como os produtos e serviços da Microsoft vão ao encontro dos requisitos do DORA, consulte o Guia para Clientes sobre Regulamentação de Produtos da Microsoft para o DORA. 

• Acesse o nosso site para saber mais sobre como a Microsoft capacita as empresas de serviços financeiros a irem mais longe. 

• Para saber mais sobre o compromisso da Microsoft com a IA ética, consulte o Responsible AI Standard da Microsoft. 

• Veja mais informações sobre como a Microsoft lida com o gerenciamento de ameaças e vulnerabilidades.  

Dave Dadoun 

Diretor Administrativo, Conformidade Regulatória Global, Serviços Financeiros WW 

Dave Dadoun é responsável por promover o engajamento da Microsoft com os órgãos reguladores no setor de serviços financeiros, ajudando as instituições a irem ao encontro de suas necessidades de conformidade regulatória. Seu foco é a modernização da regulamentação na intersecção de novas tendências de tecnologia. Na Microsoft, ele já esteve à frente de inúmeras iniciativas pioneiras para atender a requisitos regulatórios complexos em escala global. 

Veja mais artigos deste autor