Tópicos técnicos

O que é a Lei de Resiliência Operacional Digital (DORA)?

Visão geral

A Lei de Resiliência Operacional Digital (DORA) é uma regulamentação abrangente da União Europeia criada para fortalecer a resiliência operacional digital do setor financeiro. Promulgada em janeiro de 2023, a DORA estabelece uma estrutura uniforme para que as instituições financeiras gerenciem riscos de tecnologia da informação e comunicação (ICT), relatórios de incidentes e relacionamentos com prestadores de serviços terceirizados. Essa legislação histórica representa a resposta da UE à crescente digitalização dos serviços financeiros e à necessidade de medidas robustas de segurança cibernética.

Veja como suas soluções de CMDB, gerenciamento de serviços de TI (ITSM) e observabilidade podem contribuir para a conformidade com o DORA.

Leia o white paper

Lei de Resiliência Operacional Digital

Entendendo o escopo e a aplicação do DORA

O DORA se aplica a uma ampla gama de entidades financeiras que operam na União Europeia. Bancos e instituições de crédito, tanto tradicionais quanto digitais, formam o núcleo das entidades regulamentadas. Mas o escopo do DORA é muito abrangente, indo além das instituições bancárias e de crédito tradicionais e incluindo:

Instituições de pagamento, incluindo instituições de pagamento isentas de acordo com a Diretiva (UE) 2015/2366
Provedores de serviços de informações de contas
Instituições de dinheiro eletrônico, incluindo instituições de dinheiro eletrônico isentas de acordo com a Diretiva 2009/110/EC
Empresas de investimento
Provedores de serviços de criptoativos, conforme autorizados por um Regulamento do Parlamento Europeu e do Conselho sobre mercados de criptoativos e que altera os Regulamentos (UE) nº 1093/2010 e (UE) nº 1095/2010 e as Diretivas 2013/36/UE e (UE) 2019/1937 ("o Regulamento sobre mercados de criptoativos") e emissores de tokens referenciados por ativos
Depositários centrais de títulos
Contrapartes centrais
Plataformas de negociação
Repositórios de comércio
Gestores de fundos de investimento alternativos
Empresas de gerenciamento
Provedores de serviços de relatórios de dados
Empresas de seguros e resseguros
Intermediários de seguros, intermediários de resseguros e intermediários de seguros auxiliares
Instituições de previdência profissional
Agências de classificação de crédito
Administradores de benchmarks críticos
Provedores de serviços de crowdfunding
Repositórios de securitização
Prestadores de serviços terceirizados de TIC

Quais são os principais componentes da conformidade com o DORA?

Gerenciamento de riscos de TIC

As entidades financeiras devem implementar estruturas abrangentes de gerenciamento de riscos de TIC que englobem várias camadas de segurança e supervisão. Essas estruturas exigem estratégias e políticas detalhadas que abordem especificamente a resiliência digital, incluindo medidas concretas para prevenção e resposta a ameaças cibernéticas. As organizações devem realizar avaliações de risco regulares que identifiquem as vulnerabilidades atuais e emergentes em sua infraestrutura digital.

As medidas de segurança devem incluir controles de acesso sofisticados que gerenciem os privilégios dos usuários e mantenham a integridade dos dados, juntamente com protocolos de criptografia de última geração para proteger informações financeiras confidenciais. A estrutura exige sistemas de monitoramento contínuo que forneçam insights em tempo real sobre possíveis ameaças à segurança e sobre o desempenho do sistema. É necessário estabelecer estruturas claras de governança, com funções e responsabilidades específicas atribuídas para garantir a responsabilidade nos procedimentos de gerenciamento de riscos.

Gerenciamento e relatório de incidentes

O DORA exige procedimentos sofisticados de gerenciamento e comunicação de incidentes que vão além dos protocolos básicos de segurança cibernética. As organizações devem desenvolver e manter sistemas de detecção robustos, capazes de identificar incidentes óbvios e sutis relacionados à TIC. Esse requisito inclui a implementação de sistemas de classificação em várias camadas que avaliem com precisão a gravidade do incidente com base em critérios predefinidos e no impacto potencial sobre as operações financeiras.

Devem ser mantidos registros detalhados dos incidentes com documentação abrangente dos procedimentos de resposta, etapas de resolução e análises de resultados. Incidentes graves exigem a comunicação imediata às autoridades relevantes por meio de canais estabelecidos, com prazos específicos para notificação inicial e relatórios de acompanhamento. As organizações devem desenvolver e atualizar regularmente planos de comunicação que abordem vários grupos de partes interessadas, incluindo clientes, parceiros, órgãos reguladores e a mídia, quando necessário.

Teste de resiliência operacional digital

O DORA exige testes sistemáticos de resiliência digital por meio de várias abordagens. As avaliações de vulnerabilidade devem ser realizadas regularmente usando ferramentas e metodologias de teste avançadas para identificar possíveis pontos fracos nos sistemas de TIC. Partes independentes devem realizar testes de penetração para garantir uma avaliação imparcial das medidas de segurança e identificar possíveis pontos de violação. Os testes baseados em cenários devem simular ameaças cibernéticas e interrupções operacionais do mundo real para avaliar as capacidades de resposta e a resiliência do sistema.

A validação regular das medidas de segurança deve ser realizada para garantir sua eficácia contínua contra ameaças em evolução. Todas as atividades de teste exigem documentação detalhada, incluindo as metodologias usadas, as descobertas e as medidas de correção adotadas.

Gerenciamento de riscos de terceiros

O DORA enfatiza o gerenciamento abrangente dos relacionamentos com os provedores de serviços de TIC por meio de supervisão e documentação estruturadas. As organizações devem realizar avaliações de risco completas dos provedores terceirizados, avaliando suas capacidades técnicas, medidas de segurança e planos de continuidade de negócios. Os contratos de serviço exigem revisões regulares para garantir o alinhamento com os requisitos regulatórios atuais e as necessidades operacionais.

As organizações devem manter um registro detalhado do provedor que documente todos os acordos de serviços críticos e não críticos, incluindo serviços específicos fornecidos, níveis de acesso a dados e medidas de segurança em vigor. Os acordos de serviços críticos devem ser informados às autoridades regulatórias, com atualizações fornecidas para mudanças significativas. As obrigações contratuais devem abordar explicitamente os requisitos de conformidade, incluindo medidas de segurança, relatórios de incidentes e direitos de auditoria.

Como as soluções de operações de TI do OpenText ajudam na conformidade com o DORA?

OpenText As soluções de operações de TI ajudam as instituições financeiras a alcançar e manter a conformidade com o DORA por meio de plataformas tecnológicas que atendem aos principais requisitos regulamentares.

OpenText™ Universal Discovery and CMDB serve como elemento fundamental para a conformidade com o DORA, fornecendo visibilidade profunda da infraestrutura de TIC de uma organização. Com recursos de descoberta sem agente e com base em agente, essa solução cria uma visão abrangente dos ambientes de TI, incluindo dispositivos conectados por meio de VPNs seguras ou conexões intermitentes com a Internet. Ela realiza atualizações baseadas em eventos de ambientes multinuvem, garantindo que as instituições financeiras mantenham uma imagem precisa e em tempo real de toda a sua infraestrutura, tanto no local quanto na nuvem. Seus recursos de mapeamento de serviços permitem que as organizações prevejam, antes da implementação, como as alterações podem afetar os serviços financeiros essenciais, atendendo diretamente aos requisitos de gerenciamento de riscos e resiliência operacional do DORA.

OpenText™ Service Management integra recursos essenciais de ITSM e de gerenciamento de ativos de TI para estabelecer propriedade e gerenciamento claros de serviços, aplicativos e equipamentos de ICT de suporte. A solução inclui modelos de práticas recomendadas certificados pela ITIL que abrangem o gerenciamento de incidentes, problemas, mudanças, liberações e configurações - todos elementos cruciais para a conformidade com o DORA. Esses modelos ajudam as organizações a estabelecer cadeias de resposta automatizadas que minimizam as interrupções de serviço e garantem o tratamento consistente de incidentes relacionados a TIC, atendendo aos requisitos da DORA para gerenciamento e relatório de incidentes.

OpenText™ Core Infrastructure Observability atende aos requisitos de monitoramento do DORA, fornecendo visibilidade de ponta a ponta de recursos em várias nuvens e no local. Os recursos de detecção de anomalias orientados por IA permitem que as instituições financeiras identifiquem possíveis problemas antes que eles afetem a prestação de serviços. As organizações também podem estabelecer mecanismos para detectar rapidamente atividades anômalas - incluindo problemas de desempenho de rede e incidentes relacionados a TIC - e identificar possíveis pontos únicos de falha que possam afetar a resiliência operacional.

OpenText™ Core Application Observability complementa o monitoramento da infraestrutura, concentrando-se no desempenho dos aplicativos e na prestação de serviços. Essa solução ajuda as organizações a garantir que os aplicativos essenciais de serviços financeiros mantenham o desempenho e a disponibilidade ideais. Ela permite a análise abrangente da causa-raiz e a documentação de incidentes, dando suporte aos requisitos do DORA para o tratamento e a resolução de incidentes. Os recursos integrados de monitoramento e acompanhamento garantem que as organizações mantenham uma qualidade de serviço consistente e, ao mesmo tempo, atendam aos requisitos de relatórios regulamentares.

Prontidão da DORA: Hora de agir

O DORA representa uma mudança significativa na forma como as instituições financeiras devem abordar as operações digitais e o gerenciamento de riscos. A conformidade bem-sucedida com a DORA exige uma estratégia abrangente que combine soluções tecnológicas robustas, processos claros e compromisso contínuo com a resiliência digital. As organizações devem iniciar sua jornada de conformidade bem antes do prazo de janeiro de 2025 para garantir que atendam a todos os requisitos e mantenham a resiliência operacional necessária para a era digital. Com as soluções de operações de TI daOpenText, as instituições financeiras podem construir uma base sólida para a conformidade com o DORA e, ao mesmo tempo, aprimorar sua postura de segurança e eficiência operacional de TI em geral.

Em destaqueEm destaque

Analytics CloudAnalytics Cloud

Data Lakehouse e análisesData Lakehouse e análises

BI, visualização e relatóriosBI, visualização e relatórios

eDiscovery e soluções jurídicaseDiscovery e soluções jurídicas

OpenText™ Aviator Search

Business Network CloudBusiness Network Cloud

Automação da cadeia de suprimentosAutomação da cadeia de suprimentos

Integração B2BIntegração B2B

Colaboração seguraColaboração segura

Rastreabilidade da cadeia de suprimentosRastreabilidade da cadeia de suprimentos

Insights sobre a cadeia de suprimentosInsights sobre a cadeia de suprimentos

Aplicativos e serviços do setorAplicativos e serviços do setor

OpenText™ Business Network Aviator

Content CloudContent Cloud

Gerenciamento de documentosGerenciamento de documentos

Gerenciamento de conteúdo de IAGerenciamento de conteúdo de IA

Capture e Processamento Inteligente de DocumentosCapture e Processamento Inteligente de Documentos

Process AutomationProcess Automation

Integrações de negóciosIntegrações de negócios

Information ArchivingInformation Archiving

Soluções para o setorSoluções para o setor

Governança da informaçãoGovernança da informação

OpenText™ Content Aviator

Cybersecurity CloudCybersecurity Cloud

Segurança de aplicativosSegurança de aplicativos

Privacidade e proteção de dadosPrivacidade e proteção de dados

Threat Detecção e respostaThreat Detecção e resposta

Identity and Access ManagementIdentity and Access Management

Investigações e perícias digitaisInvestigações e perícias digitais

Threat IntelligenceThreat Intelligence

OpenText™ Cybersecurity Aviator

DevOps CloudDevOps Cloud

Plataforma DevOpsPlataforma DevOps

Functional TestingFunctional Testing

PPM e gerenciamento estratégico PortfolioPPM e gerenciamento estratégico Portfolio

Gerenciamento da qualidadeGerenciamento da qualidade

Engenharia de desempenhoEngenharia de desempenho

OpenText™ DevOps Aviator

Experience CloudExperience Cloud

Experiências na Web e em dispositivos móveisExperiências na Web e em dispositivos móveis

Contact Center AnalyticsContact Center Analytics

Mensagens e FaxMensagens e Fax

Cliente CommunicationsCliente Communications

Gerenciamento de ativos digitaisGerenciamento de ativos digitais

Jornada do cliente e dadosJornada do cliente e dados

OpenText™ Experience Aviator

IT Operations CloudIT Operations Cloud

Service ManagementService Management

Descoberta e CMDBDescoberta e CMDB

AIOps e observabilidadeAIOps e observabilidade

Gerenciamento de redeGerenciamento de rede

Cloud Management, FinOps e GreenOpsCloud Management, FinOps e GreenOps

AutomaçãoAutomação

OpenText™ IT Operations Aviator

OpenText™ ThrustOpenText™ Thrust

OpenText™ Thrust feixeOpenText™ Thrust feixe

OpenText™ Aviator Thrust

PortfolioPortfolio

Soluções de backup de dados corporativos e recuperação de desastresSoluções de backup de dados corporativos e recuperação de desastres

Ferramentas de gerenciamento unificado de endpointsFerramentas de gerenciamento unificado de endpoints

Trabalho híbrido, e-mail e colaboração em equipe Trabalho híbrido, e-mail e colaboração em equipe

Arquivamento de e-mail, descoberta eletrônica, conformidade de arquivamento de dadosArquivamento de e-mail, descoberta eletrônica, conformidade de arquivamento de dados

Conectividade e gerenciamento de documentosConectividade e gerenciamento de documentos

Informações reimaginadasInformações reimaginadas

Artificial IntelligenceArtificial Intelligence

SetorSetor

Aplicativos empresariaisAplicativos empresariais

Sua jornada para o sucessoSua jornada para o sucesso

Suporte ao clienteSuporte ao cliente

Serviços de sucesso do clienteServiços de sucesso do cliente

Serviços de consultoriaServiços de consultoria

Serviços NextGenServiços NextGen

Serviços de aprendizadoServiços de aprendizado

Serviços gerenciadosServiços gerenciados

Encontre um parceiro OpenTextEncontre um parceiro OpenText

Encontre uma solução de parceiroEncontre uma solução de parceiro

Crescer como parceiroCrescer como parceiro

Torne-se um parceiro

Biblioteca de ativosBiblioteca de ativos

Em destaque

Analytics Cloud

Data Lakehouse e análises

BI, visualização e relatórios

eDiscovery e soluções jurídicas

Business Network Cloud

Automação da cadeia de suprimentos

Integração B2B

Colaboração segura

Rastreabilidade da cadeia de suprimentos

Insights sobre a cadeia de suprimentos

Aplicativos e serviços do setor

Content Cloud

Gerenciamento de documentos

Gerenciamento de conteúdo de IA

Capture e Processamento Inteligente de Documentos

Process Automation

Integrações de negócios

Information Archiving

Soluções para o setor

Governança da informação

Cybersecurity Cloud

Segurança de aplicativos

Privacidade e proteção de dados

Threat Detecção e resposta

Identity and Access Management

Investigações e perícias digitais

Threat Intelligence

DevOps Cloud

Plataforma DevOps

Functional Testing

PPM e gerenciamento estratégico Portfolio

Gerenciamento da qualidade

Engenharia de desempenho

Experience Cloud

Experiências na Web e em dispositivos móveis

Contact Center Analytics

Mensagens e Fax

Cliente Communications

Gerenciamento de ativos digitais

Jornada do cliente e dados

IT Operations Cloud

Service Management

Descoberta e CMDB

AIOps e observabilidade

Gerenciamento de rede

Cloud Management, FinOps e GreenOps

Automação

OpenText™ Thrust

OpenText™ Thrust feixe

Portfolio

Soluções de backup de dados corporativos e recuperação de desastres

Ferramentas de gerenciamento unificado de endpoints

Trabalho híbrido, e-mail e colaboração em equipe

Arquivamento de e-mail, descoberta eletrônica, conformidade de arquivamento de dados

Conectividade e gerenciamento de documentos

Informações reimaginadas

Artificial Intelligence

Setor

Aplicativos empresariais

Sua jornada para o sucesso

Suporte ao cliente

Serviços de sucesso do cliente

Serviços de consultoria

Serviços NextGen

Serviços de aprendizado

Serviços gerenciados

Encontre um parceiro OpenText

Encontre uma solução de parceiro

Crescer como parceiro

Biblioteca de ativos

Blogs

Eventos

Comunidades

Histórias de clientes

OpenText Navegador

Mercado