O setor financeiro está cada vez mais dependente da tecnologia, tornando a resiliência digital uma prioridade para a segurança e estabilidade do mercado. Nesse contexto, a União Europeia aprovou o Digital Operational Resilience Act (DORA), uma regulamentação voltada para a gestão de riscos operacionais digitais no setor financeiro. Embora o DORA tenha sido desenvolvido para a Europa, seus efeitos ultrapassam fronteiras e podem influenciar diretamente instituições financeiras no Brasil, especialmente no que se refere à gestão de riscos de TIC (Tecnologias da Informação e Comunicação).
O Digital Operational Resilience Act (DORA) entrou em vigor em 16 de janeiro de 2023, estabelecendo um período de transição para que as instituições financeiras se adequassem às novas exigências. A partir de 17 de janeiro de 2025, sua aplicação se tornará obrigatória, dando início às atividades de supervisão pelas Autoridades Europeias de Supervisão (AES), incluindo a designação de Provedores Terceirizados Críticos (CTPPs). Esse marco representa uma mudança significativa na forma como o setor financeiro gerencia riscos de TIC, reforçando a necessidade de conformidade e resiliência digital em um cenário global interconectado.
A gestão de riscos é o pilar central do DORA. Antes de sua criação, muitas instituições financeiras tratavam os riscos operacionais apenas como perdas potenciais a serem cobertas por capital. Essa abordagem revelou-se insuficiente diante do aumento de ameaças cibernéticas e falhas sistêmicas. O DORA impõe um modelo estruturado de gestão de riscos digitais, obrigando entidades financeiras a adotarem processos rigorosos para identificar, mitigar e responder a riscos de TIC. Isso inclui diretrizes para proteção, detecção, contenção, recuperação e reparação de incidentes digitais, além da supervisão de provedores de serviços terceirizados que possam representar riscos para a infraestrutura financeira.
O DORA tem como foco principal a resiliência operacional digital, estabelecendo diretrizes rigorosas para a segurança cibernética no setor financeiro. No entanto, o regulamento reconhece que não há segurança cibernética sem segurança física, pois ameaças físicas podem comprometer diretamente a integridade, disponibilidade e confidencialidade dos ativos digitais. O DORA exige que instituições financeiras implementem medidas de segurança física e ambiental para proteger infraestruturas críticas de TIC, como data centers, servidores, redes e equipamentos essenciais para a operação digital. Isso inclui o controle de acesso físico restrito a áreas sensíveis, monitoramento e registro de acessos, além de barreiras contra ameaças externas, incêndios, falhas ambientais e outras vulnerabilidades/ameaças que possam interromper operações essenciais. O regulamento também estende essa exigência para provedores terceirizados de TIC, especialmente os CTPPs (Provedores Terceirizados Críticos), garantindo que toda a cadeia digital esteja protegida contra riscos físicos e virtuais (riscos ciberfísicos). Essa abordagem integrada reforça a convergência entre segurança cibernética e segurança física (segurança ciberfísica), garantindo que a resiliência operacional não dependa apenas de barreiras digitais, mas também de infraestruturas robustas e protegidas contra ameaças do mundo real.
Figura 1 - A gestão de riscos é o pilar central do DORA.
Mesmo sendo uma legislação europeia, o DORA pode impactar diretamente instituições financeiras no Brasil. Bancos, seguradoras, fintechs e corretoras que possuem operações na União Europeia precisam se adequar às exigências do DORA para continuar atuando no mercado europeu. Além disso, prestadores de serviços brasileiros que oferecem infraestrutura digital, computação em nuvem e soluções de segurança para empresas da UE podem ser classificados como provedores terceirizados críticos (CTPPs), tornando-se sujeitos às regras do regulamento. A influência do DORA também pode acelerar a evolução das normativas brasileiras de cibersegurança e gestão de riscos, levando órgãos reguladores como o Banco Central do Brasil (BCB) e a Comissão de Valores Mobiliários (CVM) a fortalecer suas exigências sobre a resiliência digital das instituições financeiras nacionais.
O DORA não apenas exige que as instituições financeiras implementem a gestão de riscos, mas também define diretrizes claras sobre como esse processo deve ser conduzido. Ele estabelece um framework padronizado para a avaliação de riscos de TIC, testes de vulnerabilidades, reporte de incidentes e mitigação de riscos emergentes. Instituições devem adotar medidas para garantir governança eficiente de riscos digitais, assegurando que ameaças sejam continuamente monitoradas e mitigadas antes de causarem danos significativos. Um dos pontos mais críticos é a exigência de supervisão rigorosa de fornecedores de TIC, o que significa que qualquer empresa de tecnologia que presta serviços ao setor financeiro deve demonstrar conformidade com padrões elevados de segurança digital.
O DORA apresenta similaridades com normas internacionais de gestão de riscos, como a ISO 31000 e a ISO 31050, que fornecem diretrizes sobre processos estruturados de avaliação e mitigação de riscos. A ISO 31000 define um modelo baseado na identificação, análise, avaliação, controle e monitoramento contínuo dos riscos, o que se alinha com a exigência do DORA de manter um sistema ativo de avaliação de ameaças digitais. Já a ISO 31050, voltada para riscos emergentes, reforça a necessidade de as instituições financeiras adotarem práticas de resiliência digital adaptativa, um conceito central no DORA. Além disso, as normas ISO enfatizam a gestão de riscos de forma ampla, como os riscos de terceiros, um aspecto essencial do regulamento europeu, que impõe regras rígidas para a supervisão de fornecedores críticos de TIC.
No Brasil, a influência do DORA pode se manifestar de diferentes formas. Embora não seja uma regulamentação obrigatória no país, seu impacto será sentido por instituições que operam globalmente e que precisam se alinhar aos padrões europeus para manter relações comerciais. Além disso, reguladores brasileiros podem adotar diretrizes similares para fortalecer a segurança digital do setor financeiro nacional. O Banco Central já possui normativas voltadas para a segurança cibernética, como a Resolução BCB nº 4.893/2021, que trata da proteção de dados e gestão de riscos de TIC. Com a crescente digitalização do setor financeiro, é provável que o Brasil acompanhe essa tendência global, incorporando diretrizes mais rigorosas para a gestão de riscos digitais e a supervisão de terceiros.
Figura 2 - Instituições financeiras brasileiras devem avaliar como o DORA pode impactar suas operações e seus processos internos de gestão de riscos.
Diante desse cenário, instituições financeiras brasileiras devem se antecipar e avaliar como o DORA pode impactar seus processos internos de gestão de riscos. A implementação de um framework robusto de cibersegurança e resiliência digital não apenas garante conformidade com padrões internacionais, mas também fortalece a competitividade e credibilidade da instituição no mercado global. A adoção de práticas avançadas de gestão de riscos operacionais digitais, seguindo os princípios do DORA, pode ser um diferencial estratégico para empresas que desejam crescer de forma segura e sustentável no setor financeiro.
A Plataforma t-Risk, comprometida com a inovação e o desenvolvimento de soluções avançadas para gestão de riscos, acompanha de perto os desdobramentos do DORA e sua influência no mercado brasileiro. Nosso objetivo é apoiar empresas na implementação de práticas eficazes de resiliência digital, ajudando-as a navegar com segurança pelo cenário de riscos emergentes e a se preparar para exigências regulatórias que impactam o setor financeiro globalmente.
A digitalização do setor financeiro trouxe grandes oportunidades, mas também aumentou a complexidade e os desafios da gestão de riscos digitais. O DORA representa um passo fundamental para garantir que instituições estejam preparadas para lidar com ameaças cibernéticas e manter a continuidade de suas operações. No Brasil, a evolução das normas e práticas de resiliência digital é uma tendência inevitável, e as organizações que se anteciparem a essa transformação estarão mais bem posicionadas para enfrentar os desafios do futuro.