O que o DORA exige
O DORA entrou em vigor como legislação da UE em janeiro de 2025. Bancos, seguradoras, empresas de investimento e prestadores de serviços de pagamento devem agora gerir o risco de cada fornecedor tecnológico que utilizam. Três regras são especialmente importantes.
Cláusulas contratuais obrigatórias (Artigo 30). Cada contrato com um prestador tecnológico deve cobrir quatro pontos: direitos de auditoria, prazos de notificação de incidentes, planos de saída e metas de desempenho. Estas cláusulas não são opcionais.
Avaliações anuais (Artigo 28). As empresas devem avaliar cada prestador essencial pelo menos uma vez por ano. Um prestador é «essencial» se a sua falha interromper o funcionamento normal. As ferramentas de anonimização utilizadas em processos de conformidade enquadram-se nesta categoria.
Registo de prestadores (Artigo 28(3)). As empresas devem manter uma lista atualizada de todos os contratos com terceiros essenciais. A lista deve incluir documentação de segurança para cada um deles.
Realizar avaliações anuais para dezenas de prestadores é demorado. Uma avaliação personalizada — feita de raiz — demora em média 40 a 80 horas por prestador. Um banco neerlandês com 50 prestadores essenciais enfrenta até 4.000 horas de trabalho de avaliação por ano. Isso equivale a dois funcionários a tempo inteiro dedicados exclusivamente a avaliações de prestadores.
ISO 27001 reduz as horas de avaliação
A certificação ISO 27001 oferece às empresas um caminho mais rápido para cumprir a obrigação de avaliação anual do DORA. O organismo de certificação realiza uma auditoria de vigilância todos os anos e uma auditoria de recertificação completa de três em três anos. O certificado tem uma data de validade. Mantém-se válido apenas enquanto as verificações anuais forem aprovadas.
Ao abrigo da regra de avaliação anual do DORA, uma empresa pode obter o certificado ISO 27001 atual do prestador uma vez por ano e verificar a sua data. Uma data válida significa que um organismo de auditoria independente analisou os 93 controlos de segurança do prestador nos últimos doze meses. A empresa regista isto no registo de prestadores. A avaliação está concluída.
O ganho de tempo é real. Um banco neerlandês que verifica uma ferramenta de anonimização certificada dedica algumas horas à verificação. A mesma avaliação feita de raiz demora semanas. Para 20 terceiros certificados, a poupança anual pode atingir 1.200 horas. Esse tempo pode ser redirecionado para outras tarefas.
Por que as ferramentas de privacidade estão no âmbito de aplicação
As ferramentas de privacidade e anonimização ficam sujeitas ao DORA quando uma empresa as utiliza para processar dados de clientes, cumprir o RGPD ou tratar documentos KYC. Se a ferramenta falhar e a empresa não conseguir produzir resultados conformes com o RGPD, a ferramenta é um terceiro essencial ao abrigo do DORA. Deve ser avaliada todos os anos.
O nosso guia de conformidade com o RGPD explica as regras de minimização de dados. Consulte também valor de conformidade a jusante do ISO 27001 e atalhos de avaliação de fornecedores ISO 27001 para saber mais sobre como a certificação reduz o esforço de conformidade.