Já foi publicado o Regulamento 2022/2554 sobre resiliência operacional digital do setor financeiro, mais conhecido pelas siglas: DORA. A data efetiva de entrada em vigor é janeiro de 2025, mas as entidades já estão a trabalhar para cumprir os respetivos requisitos. Aqui poderá ler as principais novidades introduzidas.
Miguel Sánchez Monjo, sócio do Cuatrecasas, é da opinião que o Regulamento DORA implica também “uma mudança cultural nas entidades”. E não só no que respeita a questão da cibersegurança, mas também a própria continuidade do negócio: “Significa a adoção de novos procedimentos em matéria de cibersegurança e gestão de riscos informáticos, o que exige a integração nas empresas de uma cultura mais sólida no âmbito da gestão destes riscos, da forma como são tratadas determinadas informações sensíveis dos clientes, quem tem acesso às mesmas, etc.”, explicou durante o último Debate Legal FundsPeople.
No seu entender, o impacto mais significativo poderá ser sentido pelas pequenas gestoras. “Principalmente, gestoras de fundos de investimento alternativo que, em certos casos, têm estruturas mais pequenas, com sistemas e procedimentos mais simples, pelo que o DORA poderá constituir um desafio. Além disso, não se enquadram nos regimes simplificados previstos para as ESI de pequena dimensão ou para as entidades de pagamento simplificado, estando apenas previstas determinadas isenções para microempresas”, sublinhou.
“As grandes entidades, especificamente, os bancos, não deverão ter dificuldades em implementar o DORA, uma vez que já percorreram uma grande parte do caminho", afirmou Alfredo Oñoro, diretor de Cumprimento Normativo do Cecabank. De facto, Oñoro salientou que estas "já dispõem de procedimentos e ferramentas de cibersegurança sólidos devido aos riscos a que estão expostas. Mas as pequenas entidades irão provavelmente encontrar dificuldades se não forem orientadas e assistidas no processo”.
Um exercício transversal
A norma prevê um prazo de dois anos para o seu cumprimento. Não obstante, de acordo com Bárbara González , counsel do Linklaters, “é um exercício em que, além disso, todas as áreas têm de participar: gestão, riscos e cumprimento normativo têm que trabalhar lado a lado. E têm que começar já porque os prazos vão ser curtos”, aconselhou.
Elisa Ricón , diretora-geral da Inverco, referiu que no ano passado a Inverco deu início a um projeto com gestoras de ativos e de fundos de pensões para avaliar a situação de cada entidade em termos de cumprimento do DORA. O objetivo é mapear por categoria o nível em que cada uma se encontra e fornecer orientações para facilitar o cumprimento. Os resultados serão anunciados em breve.
Ricón fez referência a uma dupla preocupação: “É essencial encontrar um equilíbrio entre a manutenção da segurança do sistema financeiro, que é um trabalho de todos, e permitir que as entidades de todas as dimensões continuem a fazer o seu trabalho”, acrescentou.