As novas e rigorosas regras cibernéticas da UE exigem que os bancos aumentem a segurança – mas muitos não estão preparados
Novas regulamentações estão forçando as organizações a levarem a segurança cibernética mais a sério.
Sean Gladwell | Momento | Imagens Getty
As novas e rigorosas regulamentações da União Europeia que exigem que os bancos reforcem os seus sistemas de segurança cibernética entraram oficialmente em vigor na sexta-feira – mas muitas das empresas de serviços financeiros do bloco ainda não estão em total conformidade com as regras.
The EU’s Lei de Resiliência Operacional Digitalou DORA, exige que tanto as empresas de serviços financeiros como os seus fornecedores de tecnologia reforcem os seus sistemas de TI para garantir que a indústria seja resiliente em caso de ataque cibernético ou qualquer outra forma de perturbação. Ela entrou em vigor em 17 de janeiro.
As sanções por violações da nova legislação podem ser substanciais. As empresas de serviços financeiros que não cumpram as novas regras podem enfrentar multas de até 2% da receita global anual. Os gestores individuais também podem ser responsabilizados por violações e enfrentar sanções de até 1 milhão de euros (1 milhão de dólares).
Até agora, a taxa de conformidade entre as empresas de serviços financeiros com as novas regras tem sido mista, de acordo com Harvey Jang, diretor de privacidade e conselheiro geral adjunto da gigante de TI Cisco.
“Acho que vimos uma mistura”, disse Jang à CNBC em entrevista. “É claro que as empresas em estágio mais maduro estão analisando isso há pelo menos um ano – se não mais.”
“Estamos realmente tentando construir este programa de conformidade, mas é tão complexo. Acho que esse é o desafio. Vimos isso também com o GDPR e outras legislações amplas que estão sujeitas a interpretação – o que realmente significa cumprir? Significa diferente coisas para pessoas diferentes”, disse ele.
Esta falta de um entendimento comum do que se qualifica como conformidade robusta com a DORA, por sua vez, levou muitas instituições a aumentar os padrões de segurança a um nível que ultrapassa realmente a “linha de base” do que se espera da maioria das empresas, acrescentou Jang.
As instituições financeiras estão preparadas?
Ao abrigo da DORA, as empresas financeiras serão obrigadas a realizar uma gestão rigorosa de riscos e incidentes de TI, classificação e comunicação de informações, testes de resiliência operacional, partilha de informações sobre ameaças e vulnerabilidades cibernéticas e medidas para gerir riscos de terceiros.
As empresas também serão obrigadas a realizar avaliações do “risco de concentração” relacionado com a subcontratação de funções operacionais críticas ou importantes para empresas externas.
UM Pesquisa em todo o censo com 200 diretores de segurança da informação do Reino Unido, encomendada pela Orange Cyberdefensea divisão de segurança cibernética da empresa francesa de telecomunicações Laranjamostrou que 43% das instituições financeiras na Grã-Bretanha ainda não estão em total conformidade com a DORA.
Isto é uma preocupação porque, embora o Reino Unido esteja agora fora da União Europeia, a DORA aplica-se a todas as entidades financeiras que operam nas jurisdições da UE – mesmo que estejam sediadas fora do bloco.
“Embora seja claro que a DORA não tem alcance legal no Reino Unido, as entidades sediadas aqui e que operam ou prestam serviços a entidades na UE estarão sujeitas ao regulamento”, disse Richard Lindsay, principal consultor consultivo da Orange Cyberdefense, à CNBC.
Ele acrescentou que o principal desafio para muitas instituições financeiras quando se trata de alcançar a conformidade com a DORA tem sido a gestão dos seus fornecedores de TI terceirizados críticos.
“As instituições financeiras operam dentro de um ecossistema digital extremamente complexo e de múltiplas camadas”, disse Lindsay. “Rastrear e garantir que todas as partes deste sistema cumpram comprovadamente os elementos relevantes da DORA exigirá uma nova mentalidade, soluções e recursos.”
Os bancos também estão a adicionar níveis mais elevados de escrutínio nas suas negociações contratuais com fornecedores de tecnologia devido aos requisitos rigorosos da DORA, disse Jang.
O diretor de privacidade da Cisco disse à CNBC que acha que há alinhamento no que diz respeito aos princípios e ao espírito da lei. No entanto, acrescentou, “qualquer legislação é um produto de compromisso e, por isso, à medida que se torna mais prescritiva, torna-se um desafio”.
“Concordamos com os princípios, mas qualquer legislação é um produto de compromisso e, à medida que se torna mais prescritiva, torna-se um desafio.”
Ainda assim, apesar dos desafios, a expectativa geral entre os especialistas é que não demorará muito até que os bancos e outras instituições financeiras alcancem a conformidade.
“Os bancos na Europa já cumprem regulamentações significativas que cobrem a maioria das áreas abrangidas pela DORA”, disse Fabio Colombo, líder de segurança de serviços financeiros EMEA da Accenture, à CNBC.
“Como resultado, as instituições de serviços financeiros já possuem capacidades maduras de governança e conformidade, com processos existentes de notificação de incidentes e estruturas sólidas de risco de TIC.”
Riscos para fornecedores de TI
Os provedores de TI também podem ser multados pela DORA. As regras ameaçam taxas de até 1% da receita média diária mundial por até seis meses.
“Essas sanções são necessárias”, disse Brian Fox, diretor de tecnologia da empresa de gerenciamento da cadeia de suprimentos de software Sonatype, à CNBC. “Eles são um motivador poderoso, incentivando os líderes a levarem a conformidade e a resiliência operacional mais a sério do que nunca”.
Lindsay, da Orange Cyberdefense, disse que há um risco a longo prazo de que as empresas de serviços financeiros acabem transferindo suas funções e serviços críticos de segurança internamente.
“Os avanços na tecnologia podem permitir que as instituições financeiras voltem a transferir os serviços internamente, simplificando este aspecto e reduzindo o risco de incumprimento”, disse ele.
“De qualquer forma, os contratos existentes precisarão ser atualizados para garantir que a conformidade seja contratualmente obrigatória e monitorada entre a entidade e o fornecedor”, acrescentou Lindsay.
Entretanto, existem vários outros regulamentos centrados na segurança cibernética que as organizações terão de aceitar, como o Diretiva de Segurança de Redes e Informações 2, ou NIS 2e a Lei de Resiliência Cibernética. O primeiro entrou entra em vigor em outubro.
“Como acontece com qualquer nova regulamentação, certamente haverá um período de transição à medida que as organizações se ajustam aos novos requisitos e padrões”, disse Fox da Sonatype à CNBC. “Este é o início de uma longa jornada para melhorar a segurança e a resiliência do software”.
