Leia neste artigo uma definição abrangente da DORA e do seu impacto nos setores de seguros e tecnologia de seguros na UE
A Lei de Resiliência Operacional Digital (DORA) da União Europeia terá um impacto significativo nas seguradoras tradicionais e nas empresas de insurtech ao introduzir requisitos rigorosos para a resiliência operacional digital.
Veja a seguir as principais maneiras pelas quais a DORA afetará esses setores:
Impacto nas seguradoras
Gerenciamento aprimorado de riscos de TIC: As seguradoras precisarão implementar estruturas abrangentes de gerenciamento de riscos de TIC (Tecnologia da Informação e Comunicação) para identificar, proteger e mitigar riscos. Isso envolve avaliações contínuas de riscos, documentação de dependências entre sistemas e desenvolvimento de políticas robustas de segurança cibernética.
Relatórios de incidentes: As seguradoras devem estabelecer sistemas para classificar e relatar incidentes relacionados à TIC às autoridades reguladoras. Elas são obrigadas a fornecer notificações iniciais, atualizações de progresso e relatórios finais para incidentes significativos, garantindo a documentação completa e a análise das causas principais.
Testes de resiliência operacional: Testes regulares dos sistemas de TIC são obrigatórios, incluindo avaliações anuais de vulnerabilidade e testes de intrusão baseados em ameaças (TLPT) a cada três anos para empresas maiores. Esses testes ajudam a avaliar e melhorar a eficácia das defesas de segurança cibernética e dos planos de resposta.
Gerenciamento de riscos de terceiros: As seguradoras devem gerenciar os riscos associados a prestadores de serviços de TIC terceirizados, realizando avaliações completas e mantendo um registro de todos os contratos. Isso garante que os provedores terceirizados essenciais estejam em conformidade com os padrões de resiliência da DORA.
Impacto nas insurtechs
Conformidade com altos padrões: As insurtechs devem demonstrar que atendem aos requisitos rigorosos da DORA, o que pode proporcionar uma vantagem competitiva. Isso envolve a adoção de práticas avançadas de gerenciamento de riscos de TIC e a garantia de recursos robustos de resposta a incidentes.
Oportunidades de inovação: A DORA cria oportunidades para que as insurtechs ofereçam soluções que ajudem as seguradoras tradicionais a atender aos requisitos regulatórios. Isso inclui o desenvolvimento de tecnologias para gerenciamento de riscos, relatórios de incidentes e testes de resiliência.
Compartilhamento de informações: Embora não seja obrigatório, a DORA incentiva o compartilhamento de informações sobre ameaças cibernéticas entre entidades financeiras. Isso pode beneficiar as insurtechs, promovendo a colaboração e aprimorando as defesas coletivas de segurança cibernética.
Supervisão regulatória: as insurtechs que fornecem serviços críticos de TIC estarão sujeitas à supervisão direta dos reguladores designados. Isso inclui possíveis penalidades por não conformidade, o que ressalta a importância de manter altos padrões de segurança.
Etapas práticas de preparação
As empresas de seguros e insurtechs devem começar a se preparar para a DORA realizando análises de lacunas de seus sistemas e processos atuais de TIC. O desenvolvimento de estruturas abrangentes de gerenciamento de riscos, o estabelecimento de mecanismos de comunicação de incidentes e a participação em testes regulares de resiliência são etapas cruciais. Além disso, as empresas devem garantir que tenham práticas robustas de gerenciamento de riscos de terceiros para cumprir os requisitos da DORA até o prazo final de janeiro de 2025.
Ao aderir a esses requisitos, tanto as seguradoras tradicionais quanto as empresas de insurtech podem aprimorar sua resiliência operacional digital, garantindo que possam resistir e se recuperar de interrupções relacionadas às TIC de forma eficaz.
Comentários
Andy Schneider, Diretor de Segurança da Informação Regional para EMEA da Lacework, afirma: “A DORA se concentra no setor financeiro e entrará em vigor em 17 de janeiro de 2025. Ela se aplica a entidades financeiras (incluindo corretoras, seguradoras, instituições de crédito, gerentes de investimento, provedores de crowdfunding, entidades de criptografia e outras) que fazem negócios na ou com a UE. Também se aplica a provedores de serviços terceirizados de tecnologia da informação e comunicação (ICT) considerados críticos pelos reguladores europeus.
“A DORA tem como objetivo melhorar a segurança digital do setor financeiro, definindo um sistema para gerenciar riscos e relatar incidentes, além de estabelecer requisitos de teste. Assim como o NIS2, ele responsabiliza mais a gerência pela segurança cibernética, concentra-se na segurança da cadeia de suprimentos e incentiva o uso de tecnologias modernas de detecção para revelar comportamentos incomuns. Ela também enfatiza a importância da governança e a função da gerência sênior na supervisão dos esforços de segurança cibernética.
“Ela introduz multas corporativas por não conformidade de até 2% do faturamento anual e multas pessoais para funcionários de até 1 milhão de euros, com terceiros críticos também sujeitos a multas de até 500.000 euros.
“A base do NIS2 e da DORA é um forte gerenciamento de riscos. As organizações devem implementar processos abrangentes de gerenciamento de riscos cibernéticos, incluindo análise de riscos, detecção de riscos, resposta a riscos, gerenciamento de vulnerabilidades e treinamento de funcionários. A continuidade dos negócios e a resiliência digital são temas importantes, exigindo que as organizações tenham planos para manter as operações durante as interrupções.
Na DORA, está ocorrendo uma mudança para que o foco seja mais na detecção do que apenas na segurança orientada para a conformidade. A detecção é fundamental para identificar se está ocorrendo uma intrusão ou violação e, se isso acontecer, há requisitos rigorosos de comunicação. Sem detecção, não há como relatar nada.”