Analisador de tráfego | Vetores de visão digital | Imagens Getty
As empresas de serviços financeiros e os seus fornecedores de tecnologia digital estão sob intensa pressão para cumprirem as novas regras rigorosas da UE que lhes exigem que aumentem a sua resiliência cibernética.
No início do próximo ano, as empresas de serviços financeiros e os seus fornecedores de tecnologia terão de se certificar de que estão em conformidade com uma nova lei da União Europeia conhecida como DORA, ou a Lei de Resiliência Operacional Digital.
A CNBC analisa o que você precisa saber sobre o DORA – incluindo o que é, por que é importante e o que os bancos estão fazendo para garantir que estejam preparados para isso.
O que é DORA?
A DORA exige que bancos, companhias de seguros e investimentos reforcem a sua segurança informática. O regulamento da UE também procura garantir que o setor dos serviços financeiros seja resiliente em caso de perturbação grave das operações.
Essas interrupções podem incluir um ataque de ransomware que causa o desligamento dos computadores de uma empresa financeira ou um ataque DDOS (negação de serviço distribuída) que força o site de uma empresa a ficar offline.
O regulamento também procura ajudar as empresas a evitar grandes eventos de interrupção, como o colapso histórico de TI no mês passado causado por empresa cibernética CrowdStrike quando uma simples atualização de software lançada pela empresa forçou o travamento do sistema operacional Windows da Microsoft.
Vários bancos, empresas de pagamento e empresas de investimento – de JPMorgan Chase e Santanderpara Visto e Carlos Schwab – não foi possível fornecer serviço devido à interrupção. Essas empresas levaram várias horas para restaurar o serviço aos consumidores.
No futuro, tal evento enquadrar-se-ia no tipo de interrupção do serviço que enfrentaria o escrutínio ao abrigo das novas regras da UE.
Mike Sleightholme, presidente da empresa de fintech Broadridge International, observa que um fator de destaque da DORA é que ela não se concentra apenas no que os bancos fazem para garantir a resiliência – ela também analisa de perto os fornecedores de tecnologia das empresas.
Ao abrigo da DORA, os bancos serão obrigados a realizar uma gestão rigorosa dos riscos informáticos, gestão de incidentes, classificação e comunicação, testes de resiliência operacional digital, partilha de informações e inteligência em relação a ameaças e vulnerabilidades cibernéticas, e medidas para gerir riscos de terceiros.
As empresas serão obrigadas a realizar avaliações do “risco de concentração” relacionado com a subcontratação de funções operacionais críticas ou importantes para empresas externas.
Esses provedores de TI geralmente fornecem “serviços digitais críticos aos clientes”, disse Joe Vaccaro, gerente geral da empresa de monitoramento de qualidade da Internet, de propriedade da Cisco, ThousandEyes.
“Esses provedores terceirizados devem agora fazer parte do processo de testes e relatórios, o que significa que as empresas de serviços financeiros precisam adotar soluções que as ajudem a descobrir e mapear essas dependências às vezes ocultas com os provedores”, disse ele à CNBC.
Os bancos também terão de “expandir a sua capacidade de garantir a entrega e o desempenho de experiências digitais não apenas na infra-estrutura que possuem, mas também naquela que não possuem”, acrescentou Vaccaro.
Quando a lei se aplica?
A DORA entrou em vigor em 16 de janeiro de 2023, mas as regras não serão aplicadas pelos estados membros da UE até 17 de janeiro de 2025.
A UE deu prioridade a estas reformas devido à forma como o setor financeiro está cada vez mais dependente da tecnologia e das empresas tecnológicas para fornecer serviços vitais. Isto tornou os bancos e outros prestadores de serviços financeiros mais vulneráveis a ataques cibernéticos e outros incidentes.
“Há muito foco na gestão de riscos de terceiros” agora, disse Sleightholme à CNBC. “Os bancos utilizam prestadores de serviços terceirizados para partes importantes de sua infraestrutura tecnológica.”
“Objetivos de tempo de recuperação aprimorados são uma parte importante disso. Trata-se realmente de segurança em torno da tecnologia, com foco particular nas recuperações de segurança cibernética de eventos cibernéticos”, acrescentou.
Muitas reformas da política digital da UE dos últimos anos tendem a centrar-se nas obrigações das próprias empresas de garantir que os seus sistemas e estruturas são suficientemente robustos para proteger contra eventos prejudiciais, como a perda de dados para hackers ou indivíduos e entidades não autorizadas.
O Regulamento Geral de Proteção de Dados da UE, ou GDPR, por exemplo, exige que as empresas garantam que a forma como processam informações de identificação pessoal seja feita com consentimento e que sejam tratadas com proteções suficientes para minimizar o potencial de tais dados serem expostos em uma violação ou vazamento. .
A DORA concentrar-se-á mais na cadeia de abastecimento digital dos bancos – o que representa uma nova dinâmica jurídica potencialmente menos confortável para as empresas financeiras.
E se uma empresa não cumprir?
Para as empresas financeiras que não cumpram as novas regras, as autoridades da UE terão o poder de cobrar multas até 2% das suas receitas globais anuais.
Os gestores individuais também podem ser responsabilizados por violações. As sanções contra indivíduos dentro de entidades financeiras podem chegar a 1 milhão de euros (1,1 milhão de dólares).
Para os fornecedores de TI, os reguladores podem cobrar multas de até 1% da média diária das receitas globais no ano comercial anterior. As empresas também podem ser multadas todos os dias por até seis meses até que cumpram a lei.
As empresas terceirizadas de TI consideradas “críticas” pelos reguladores da UE podem enfrentar multas de até 5 milhões de euros – ou, no caso de um gestor individual, um máximo de 500.000 euros.
Isso é um pouco menos severo do que uma lei como o GDPR, segundo a qual as empresas podem ser multadas em até 10 milhões de euros (US$ 10,9 milhões), ou 4% de suas receitas globais anuais – o que for maior.
Carl Leonard, estrategista de segurança cibernética da EMEA na empresa de software de segurança Proofpoint, enfatiza que as sanções criminais podem variar de estado-membro para estado-membro, dependendo de como cada país da UE aplica as regras em seus respectivos mercados.
A DORA também apela a um “princípio de proporcionalidade” quando se trata de sanções em resposta a violações da legislação, acrescentou Leonard.
Isso significa que qualquer resposta a falhas legais teria de equilibrar o tempo, o esforço e o dinheiro que as empresas gastam na melhoria dos seus processos internos e tecnologias de segurança com a importância do serviço que oferecem e os dados que tentam proteger.
Os bancos e seus fornecedores estão preparados?
Stephen McDermid, diretor de segurança EMEA da empresa de segurança cibernética Okta, disse à CNBC que muitas empresas de serviços financeiros priorizaram o uso de resiliência operacional interna existente e programas de risco de terceiros para entrar em conformidade com a DORA e “identificar quaisquer lacunas que possam ter”.
“Esta é a intenção da DORA, criar o alinhamento de muitos programas de governação existentes sob uma única autoridade de supervisão e harmonizá-los em toda a UE”, acrescentou.
Fredrik Forslund, vice-presidente e gerente geral internacional da empresa de sanitização de dados Blancco, alertou que, embora os bancos e fornecedores de tecnologia tenham feito progressos em direção à conformidade com a DORA, ainda há “trabalho a ser feito”.
Em uma escala de um a 10 – com um valor de um representando o descumprimento e 10 representando o cumprimento total – Forslund disse: “Estamos em 6 e estamos lutando para chegar a 7”.
“Sabemos que temos que chegar aos 10 até janeiro”, disse ele, acrescentando que “nem todos estarão lá até janeiro”.
empréstimo para aposentado do inss
como fazer um empréstimo consignado
emprestimo consignado para aposentados inss
noverde login
empréstimo aposentado inss
empresas de empréstimo consignado
emprestimo aposentado e pensionista inss
emprestimos para aposentados online
empréstimo para pensionistas
como fazer empréstimo pelo picpay
