Obrigações de Fornecedores de TIC da DORA
O Ato de Resiliência Operacional Digital da UE (DORA), em vigor a partir de janeiro de 2025, exige que instituições financeiras — bancos, companhias de seguros, empresas de investimento, provedores de serviços de pagamento — implementem programas rigorosos de gestão de risco de terceiros em TIC. Principais requisitos:
Disposições contratuais obrigatórias (Artigo 30): A DORA especifica cláusulas obrigatórias para contratos com provedores de serviços de TIC de terceiros, incluindo disposições para acesso total, direitos de inspeção e auditoria; prazos de notificação de incidentes; estratégias de saída; e padrões de desempenho.
Avaliações anuais (Artigo 28): As instituições financeiras devem realizar a devida diligência em todos os provedores de serviços de TIC de terceiros materiais pelo menos anualmente. "Material" é amplamente definido — qualquer provedor de TIC cuja interrupção afetaria significativamente as operações, incluindo ferramentas de anonimização usadas em fluxos de trabalho de conformidade.
Registro de terceiros em TIC (Artigo 28(3)): As instituições financeiras devem manter e atualizar um registro de todos os acordos materiais de TIC de terceiros, incluindo documentação de segurança.
Gerenciar reavaliações anuais de dezenas de fornecedores de TIC é operacionalmente caro. A estimativa típica para uma avaliação personalizada não estruturada: 40–80 horas por fornecedor por ano. Para um banco holandês com 50 fornecedores de TIC materiais, as avaliações anuais representam 2.000–4.000 horas de tempo da equipe de conformidade — o equivalente a um ou dois funcionários em tempo integral dedicados exclusivamente à avaliação de fornecedores.
O Atalho da Avaliação Anual da ISO 27001
O valor da certificação ISO 27001 para conformidade com a DORA é sua estrutura de vigilância anual. O organismo de certificação realiza auditorias de vigilância anualmente e auditorias de recertificação a cada três anos. A certificação permanece atual enquanto as auditorias de vigilância confirmarem a conformidade contínua. O próprio certificado possui uma data de validade.
Para a exigência de avaliação anual da DORA, uma instituição financeira pode satisfazer o padrão de "devida diligência realizada" obtendo anualmente o certificado ISO 27001 atual do fornecedor e verificando sua validade. O certificado demonstra que um organismo de auditoria independente avaliou os 93 controles de segurança do fornecedor no último ano. Essa evidência é documentada no registro de terceiros em TIC.
Um banco holandês sujeito à DORA pode avaliar um fornecedor de anonimização certificado pela ISO 27001 verificando a validade do certificado — levando horas em vez de semanas. O banco economiza 60 horas de tempo de avaliação por fornecedor por ano. Em 20 fornecedores certificados pela ISO 27001 em seu registro, a economia anual representa 1.200 horas — o suficiente para realocar recursos significativos de conformidade.
A Relevância da DORA para Ferramentas de Privacidade
Ferramentas de privacidade e anonimização são provedores de TIC sob o escopo da DORA para instituições financeiras que as utilizam para processar dados de clientes, cumprir com o GDPR, preparar submissões regulatórias ou lidar com documentação KYC. Uma ferramenta de anonimização que processa dados de clientes é um provedor de TIC material se sua interrupção impedir a instituição de cumprir os requisitos de minimização de dados do GDPR ou produzir submissões regulatórias em conformidade com o GDPR.
Fontes: