Diante de serviços cada vez mais digitalizados e do avanço da criptografia nas finanças, a Europa tem adotado regras de segurança cibernética mais rígidas para proteger o setor financeiro. No início de novembro, a Comissão Europeia votou o Digital Operational Resilience Act (DORA) ou Lei de Resiliência Operacional Digital na tradução direta, complementando o Regulamento de Mercados de Criptoativos, conhecido como MiCA na sigla em inglês – previsto para ser votado nos primeiros meses de 2023 -, e da Lei de Resiliência Cibernética, em vigor desde outubro de 2022.
Proposta inicialmente em 2020 e adotada provisoriamente em maio de 2022, o DORA define regras de segurança cibernética uniformes para redes e sistemas de informação de empresas do setor financeiro, bem como terceiros que fornecem serviços de tecnologia da informação e comunicação (TIC) para essas instituições e que sejam classificados como críticos de acordo com o escopo da nova lei.
Na prática, isto significa que empresas de análises de dados e até mesmo as plataformas de armazenamento em nuvem de big techs, como Google, Microsoft e Amazon, também precisarão cumprir as novas regras de segurança cibernética.
Além disso, empresas não europeias deverão criar uma filial no espaço da União Europeia (UE) para garantir a devida supervisão.
Por enquanto, as novas regras de segurança cibernética não se aplicarão a auditores, os quais, informa a Comissão, provavelmente integrarão uma futura revisão do DORA.
Aplicação das novas regras de segurança cibernética
Segundo o Banco Central Europeu (BCE), a expectativa é de que as empresas do setor financeiro estejam cumprindo a totalidade dos requisitos definidos pelas novas regras de segurança cibernética estabelecidas pelo DORA até o início de 2025. O mesmo deve acontecer com o MiCA.
Vale ressaltar que a recente votação do DORA formaliza o acordo fechado entre o Parlamento Europeu e os governos membros da UE ainda em maio de 2022, quando este foi provisoriamente adotado.
E assim como bancos e empresas de pagamento, as novas regras de segurança cibernética também se aplicam a empresas de criptomoedas, como provedores de carteiras, que, adicionalmente, serão regulamentados pelo MiCA. Aliás, as duas leis foram originalmente propostas como um pacote.
Estrutura de regulação
Segundo a Comissão Europeia, sob a supervisão do DORA, as empresas financeiras seguirão uma estrutura regulatória para resiliência operacional digital, exigindo que elas assegurem que podem suportar, responder e se recuperar de todos os tipos de interrupções e ameaças relacionadas à TIC.
Nesse sentido, em um debate promovido pela plataforma CoinDesk, a comissária europeia, Mairead McGuinness, chegou a afirmar que o DORA seria uma pedra angular do trabalho da Comissão no âmbito das finanças digitais na UE, garantindo, ao mesmo tempo, que o bloco apoia a inovação e faz isso de forma segura. Afinal, conforme disse, as novas regras de segurança cibernética têm como objetivo principal resguardar o sistema financeiro de ataques cibernéticos e fraudes online.
Nessa direção, emenda a comissária, as instituições financeiras terão que monitorar e relatar os principais incidentes cibernéticos e testar as defesas. Ademais, as grandes empresas de tecnologia que lhes oferecem serviços também devem se submeter a tal supervisão.
Já no que tange ao quadro de fiscalização, os legisladores acordaram em optar por uma rede de supervisão conjunta suplementar que reforçará a coordenação entre as autoridades europeias de supervisão no domínio intersetorial.
DORA busca harmonização das regras de segurança cibernética
Para a Cyber Risk GmbH, entidade suíça que monitora o setor, as disparidades até então existentes nas regras, tanto a nível legislativo e de supervisão, bem como a nível nacional e da UE, atuam como obstáculos ao mercado único de serviços financeiros porque as entidades financeiras que exercem atividades transfronteiriças enfrentam requisitos regulamentares diferentes, quando não sobrepostos.
Nesse cenário, emenda, as diferentes regras também distorcem a concorrência entre o mesmo tipo de entidades financeiras em diferentes Estados-Membros.
Assim, de acordo com esta entidade, a proposta das novas regras de segurança cibernética estabelecidas pelo DORA se baseia no artigo 114 do Tratado sobre o Funcionamento da UE, visando eliminar os obstáculos e aprimorar o estabelecimento e o funcionamento do mercado interno dos serviços financeiros, harmonizando as regras aplicáveis no domínio da gestão de testes, riscos e relatórios relacionados à TIC, prestados, inclusive, por terceiros.
Veja mais:
Segurança cibernética: o que é Zero Trust e como esse conceito pode beneficiar as organizações?
Internet das coisas eleva preocupação com segurança cibernética
Tecnologia financeira mira segurança à medida que ameaças cibernéticas crescem
