Radar

Ganha força a implementação de regras de resiliência operacional incluindo terceiros críticos

OutrosTecnologia

Em nota conjunta divulgada em 4/12, as autoridades de Supervisão da União Europeia – ESMA, EBA e EIOPA – informaram às entidades do sistema financeiro as principais providências esperadas desses participantes em relação à entrada em vigor das regras complementares à Lei de Resiliência Operacional Digital da UE, a partir de 17 de janeiro de 2025.  A DORA (Digital Operacional Resilience Act), aprovada em 2022, recebeu duas tranches de regulamentação complementar em janeiro e julho de 2024 [ver Radar#39], com base em padrões e orientações desenvolvidos por essas autoridades.

Já em 29/11, a Comissão Europeia divulgou Regulação de Implementação trazendo os formulários padrão para que as instituições mantenham registro dos arranjos contratuais com os respectivos prestadores de serviços de comunicação e TI (IT and Communication Third-Party Providers ou ICTPP) que serão consolidados junto a autoridades locais anualmente, e reportados de forma consolidada às ESAs (pela primeira vez até 30/4/2025).

Ainda quanto a esse registro, em 17/12, foram também publicados os resultados do exercício simulado realizado pelas referidas autoridades em meados de 2024, para preparar as instituições sujeitas à regulação. Em bases voluntárias e de melhores esforços, 947 entidades participaram do ensaio, que permitiu a realização de checagem técnica e de qualidade dos dados, informados com base em padrões provisórios então em aprovação.

A designação de terceiros críticos cabe às autoridades regionais com base em critérios definidos no primeiro pacote de regulação complementar e na própria DORA relacionados: à representatividade (i) em número e (ii) em ativos de instituições utilizando um mesmo prestador de serviço ICT em relação ao total de instituições, em um determinado segmento (sendo críticos aqueles que superarem 10%), e, ademais, (iii) ao caráter sistêmico (prestação de serviços para instituições ou entidades sistêmicas) e (iv) ao grau de criticidade e de substitutibilidade (relacionados à natureza crítica ou à difícil substituição de determinado prestador de serviço). Apenas os terceiros designados como críticos serão objeto de monitoramento por um determinado supervisor nomeado em um time conjunto de avaliadores, cujas funções e atuação também foram objeto de regulamentação divulgada em16/12/2024.

Para esse time, as informações e análises no âmbito dos registros da DORA permitirão, para além da designação de terceiros críticos da UE no setor financeiro:

• maior conhecimento e compreensão dos serviços ICT prestados por terceiros e seus riscos,
• a identificação de áreas em que ações de mitigação de riscos se fazem necessárias,
• o tratamento dessas ações por meio de recomendações direcionadas aos ICTPP, entre outros desdobramentos.

No Reino Unido, em 12/11, foi divulgado o Policy Statement 16/24 que reuniu a resposta da autoridade prudencial (PRA), do Banco da Inglaterra e do regulador de conduta (FCA) à consulta realizada em 2023 sobre identificação de terceiros críticos ao sistema financeiro daquela jurisdição, no tema de resiliência operacional. A consulta foi suscitada pela decisão do Tesouro britânico de definir a abordagem para a designação dessas figuras, a partir de mudança na legislação pertinente, ainda em 2023.  O documento conjunto do Reino Unido também trouxe os princípios comuns e as referências especificas para cada regulador, em sua esfera de competência, para definir critérios de identificação e de supervisão de terceiros críticos, além de exigências aplicáveis a participantes e seus contratados. A regra inclui princípios fundamentais que prestadores de serviços assim identificados devem assegurar, bem como os requerimentos a serem observados a partir dessa identificação, como governança, gestão de riscos, dependência e gestão de riscos na cadeia de oferta, tecnologia e resiliência cibernética, mudanças na gestão, mapeamento e gestão de incidentes – detalhados em documento de supervisão divulgado também em 12/11/2024.

É possível notar que tais regulações trazem aspectos comuns, em função de lições e aprendizados trazidos pela experiência em cibersegurança e incidentes recentes que impactaram segmentos do sistema financeiro. Um primeiro aspecto a ressaltar refere-se ao escopo das regras, em termos de segmentos financeiros, visto que é aplicável a diversos tipos de instituições e respectivos prestadores de serviços (restritos a comunicação e TI, deve-se notar) e mobiliza diferentes supervisores nas jurisdições – de mercados de capitais, financeiros, prudenciais e em seguros, por exemplo. Ademais, as regras não eximem participantes ou seus contratados de (auto) avaliação, registro interno de informações e exercícios para testar e analisar respostas quanto à resiliência – simulações constituem um instrumento comum aos aparatos regulatórios desenvolvidos O registro e mapeamento dos contratados é também uma característica comum, para a identificação daqueles críticos, com base em aspectos ligados à concentração, ao impacto em cadeias de serviço, ao contágio, interconectividade, e, com isso, às questões sistêmicas desses riscos. Por fim, a comunicação de incidentes e coordenação de respostas é possivelmente um outro aspecto a ser mencionado, inspirado nas evoluções positivas no campo da cibersegurança.

Direto da Fonte

• BoE, PRA and FCA - Operational resilience: Critical third parties to the UK financial sector – Policy Statement PS 16/24, Supervisory statement | SS6/24 – 12/11/2024
• ESAs – Key findings from the 2024 ESAs Dry Run exercise – 17 December 2024
• European Commission - DELEGATED REGULATION (EU) 2025/420 of tasks of members of the supervision and joint examination team - 16 December 2024
• European Commission - IMPLEMENTING REGULATION (EU) 2024/2956 with regards to standard templates for the register of information - 29 November 2024
• ESAs - Statement on DORA application - 4/12/2024
• Site DORA: https://www.digital-operational-resilience-act.com/