DORA e a Regulamentação do Mercado Financeiro Europeu: o que o Brasil pode aprender?
O setor financeiro global enfrenta desafios crescentes para garantir a resiliência operacional e a segurança cibernética diante da crescente digitalização e da sofisticação dos ataques cibernéticos. Na Europa, a União Europeia criou o Digital Operational Resilience Act (DORA) como uma resposta regulatória abrangente para fortalecer a robustez das instituições financeiras e seus fornecedores de tecnologia.
Mas o que exatamente é o DORA? Como essa regulamentação se compara às normas do Brasil? E, mais importante, o que empresas brasileiras – do setor financeiro ou não – podem aprender com essa estrutura? Neste artigo, vamos explorar esses aspectos e mostrar como a WePlanBefore pode ajudar sua organização a se preparar para um ambiente mais resiliente.
O que é o DORA?
O Digital Operational Resilience Act (DORA) é um regulamento europeu que busca garantir que instituições financeiras e seus fornecedores críticos de tecnologia possam prevenir, resistir, responder e se recuperar de incidentes operacionais e cibernéticos. Ele foi publicado oficialmente em 17 de janeiro de 2023 e entrou em vigor em 17 de janeiro de 2025.
O diferencial do DORA em relação a outras normativas do setor financeiro é sua abordagem ampla, cobrindo não apenas os bancos e seguradoras, mas também empresas de investimento, bolsas de valores e provedores de tecnologia que prestam serviços a essas instituições. Ou seja, um fornecedor de cloud computing ou um data center que presta serviços para bancos na Europa também está sujeito às regras do DORA.
Os cinco pilares do DORA
A estrutura do DORA é baseada em cinco pilares fundamentais que estabelecem diretrizes rigorosas para a resiliência operacional digital:
1. Gestão de Riscos de Tecnologia da Informação e Comunicação (TIC)
As instituições financeiras devem desenvolver e manter um programa robusto de gestão de riscos tecnológicos, abordando ameaças cibernéticas, continuidade operacional e governança digital.
2. Relato de Incidentes Cibernéticos e de TIC
O DORA exige que as instituições tenham processos estruturados para relatar rapidamente incidentes operacionais e de segurança cibernética, garantindo maior transparência e resposta ágil.
3. Testes de Resiliência Operacional
Empresas devem realizar testes periódicos de resiliência cibernética, incluindo simulações de ataques, avaliações de impacto e testes de recuperação de desastres.
4. Gestão de Riscos de Terceiros
A regulamentação impõe regras rigorosas sobre a relação entre empresas financeiras e seus fornecedores de tecnologia, exigindo contratos claros, auditorias regulares e mecanismos de controle de riscos.
5. Compartilhamento de Informações
O DORA incentiva a troca de inteligência sobre ameaças e vulnerabilidades entre instituições financeiras, promovendo uma defesa coletiva contra ataques cibernéticos.
DORA vs. Regulamentação Brasileira
Embora o Brasil possua normas voltadas para a segurança cibernética e a resiliência operacional, ainda não há uma regulamentação tão ampla quanto o DORA. A tabela abaixo faz uma comparação entre os principais aspectos do DORA e as normas brasileiras atuais:
| Aspecto | DORA (Europa) | Regulamentação Brasileira |
| Abrangência | Aplicável a bancos, seguradoras, fundos de investimento, bolsas e fornecedores de tecnologia. | Principalmente bancos e instituições reguladas pelo Bacen e CVM. |
| Gestão de Riscos de TIC | Exige um programa estruturado e abrangente. | Regulamentado pelo Bacen (Resolução nº 4.658/2018), mas sem um padrão único para o mercado. |
| Relato de Incidentes | Obrigatório, com padrões de notificação e prazos rigorosos. | O Bacen exige reporte de incidentes, mas sem diretrizes tão detalhadas quanto o DORA. |
| Testes de Resiliência | Simulações obrigatórias, incluindo testes de penetração e planos de continuidade. | Bacen exige planos de continuidade, mas os testes não são mandatórios com a mesma frequência e abrangência. |
| Gestão de Fornecedores de Tecnologia | Regras claras para controle, auditoria e monitoramento de terceiros. | Exigências menos detalhadas para a relação com fornecedores. |
| Compartilhamento de Informações | Incentiva a troca de inteligência sobre cibersegurança entre instituições. | Não há obrigação específica de compartilhamento de ameaças. |
Se o Brasil adotasse um modelo semelhante ao DORA, empresas financeiras precisariam reforçar o monitoramento de fornecedores, realizar testes mais rigorosos e criar processos mais ágeis de resposta a incidentes.
E se o DORA fosse aplicado no Brasil?
Se o Brasil adotasse uma regulamentação como o DORA, algumas mudanças importantes ocorreriam:
- Supervisão mais rigorosa de fornecedores – Empresas que contratam serviços de cloud computing, segurança cibernética e data centers teriam que exigir mais transparência e garantias de resiliência de seus provedores.
- Testes obrigatórios de continuidade operacional – Atualmente, muitas empresas realizam testes de continuidade apenas para atender exigências internas. Com o DORA, testes de resiliência digital seriam mandatórios e fiscalizados.
- Relatórios mais detalhados de incidentes – Empresas precisariam estruturar protocolos claros de notificação e mitigação de ataques cibernéticos, reportando incidentes de maneira mais ágil e transparente.
- Criação de ecossistemas colaborativos de cibersegurança – No Brasil, a segurança digital ainda é tratada de forma isolada. O DORA incentiva compartilhamento de informações entre instituições, algo que poderia fortalecer a defesa coletiva do setor.
DORA: uma diretriz para qualquer empresa
Embora o DORA tenha sido criado para o setor financeiro, seus princípios são altamente relevantes para qualquer empresa que deseja aumentar sua resiliência operacional. Afinal, todas as organizações enfrentam desafios como:
- Gestão de riscos tecnológicos
- Ataques cibernéticos
- Continuidade de negócios
- Gestão de fornecedores críticos
- Resposta a incidentes operacionais
Adotar práticas inspiradas no DORA pode tornar sua empresa mais preparada para lidar com crises digitais e garantir a continuidade dos negócios em cenários de adversidade.
Como a WePlanBefore pode ajudar na implementação do DORA?
A WePlanBefore é uma consultoria especializada em gestão de crise, continuidade de negócios e resiliência operacional. Com experiência no atendimento a grandes corporações e no desenvolvimento de simulações realistas de crises, nossa equipe pode apoiar empresas na implementação das diretrizes do DORA, incluindo:
- Mapeamento de riscos e conformidade regulatória
- Desenvolvimento de planos de continuidade e resposta a crises
- Testes de resiliência cibernética e simulações realistas
- Gestão de fornecedores de tecnologia
- Treinamento de equipes para resposta a incidentes críticos
Seja você do mercado financeiro ou de outro setor, investir na resiliência digital é uma necessidade para garantir segurança, competitividade e conformidade regulatória.
Sua empresa está preparada para os desafios da nova era digital? Fale com a WePlanBefore e descubra como podemos ajudar sua organização a se tornar mais resiliente e preparada para o futuro!