DORA
O que é DORA?
DORARegulamento UE 2022/2554 relativo a resiliencia operacional digital do setor financeiro, aplicavel desde 17 de janeiro de 2025.
O Regulamento sobre Resiliencia Operacional Digital (DORA, Regulamento UE 2022/2554) e um regulamento europeu diretamente aplicavel que harmoniza a gestao do risco TIC, a notificacao de incidentes, os testes de resiliencia e as obrigacoes de risco de terceiros para as entidades financeiras. Adotado em dezembro de 2022, o DORA aplica-se desde 17 de janeiro de 2025 e abrange bancos, instituicoes de pagamento, seguradoras, empresas de investimento, prestadores de servicos de criptoativos e prestadores criticos de TIC. Exige um quadro documentado de gestao do risco TIC, a classificacao e notificacao de incidentes graves, testes de penetracao guiados por ameacas (TLPT) para entidades significativas e salvaguardas contratuais para a subcontratacao de TIC. As Autoridades Europeias de Supervisao (EBA, EIOPA, ESMA) emitem normas tecnicas e supervisionam os prestadores criticos.
● Exemplos
- 01
Um banco de retalho europeu que realiza um teste TLPT e notifica um incidente TIC grave dentro dos prazos regulamentares.
- 02
Um fornecedor de nuvem designado como terceiro critico TIC sob supervisao direta da UE.
● Perguntas frequentes
O que é DORA?
Regulamento UE 2022/2554 relativo a resiliencia operacional digital do setor financeiro, aplicavel desde 17 de janeiro de 2025. Pertence à categoria Conformidade e frameworks da cibersegurança.
O que significa DORA?
Regulamento UE 2022/2554 relativo a resiliencia operacional digital do setor financeiro, aplicavel desde 17 de janeiro de 2025.
Como funciona DORA?
O Regulamento sobre Resiliencia Operacional Digital (DORA, Regulamento UE 2022/2554) e um regulamento europeu diretamente aplicavel que harmoniza a gestao do risco TIC, a notificacao de incidentes, os testes de resiliencia e as obrigacoes de risco de terceiros para as entidades financeiras. Adotado em dezembro de 2022, o DORA aplica-se desde 17 de janeiro de 2025 e abrange bancos, instituicoes de pagamento, seguradoras, empresas de investimento, prestadores de servicos de criptoativos e prestadores criticos de TIC. Exige um quadro documentado de gestao do risco TIC, a classificacao e notificacao de incidentes graves, testes de penetracao guiados por ameacas (TLPT) para entidades significativas e salvaguardas contratuais para a subcontratacao de TIC. As Autoridades Europeias de Supervisao (EBA, EIOPA, ESMA) emitem normas tecnicas e supervisionam os prestadores criticos.
Como se defender contra DORA?
As defesas contra DORA costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para DORA?
Nomes alternativos comuns: Lei da Resiliencia Operacional Digital, Regulamento (UE) 2022/2554.
● Termos relacionados
- compliance№ 730
Diretiva NIS2
Diretiva UE 2022/2555 que eleva os requisitos basicos de ciberseguranca e as obrigacoes de notificacao de incidentes para entidades essenciais e importantes na Uniao.
- compliance№ 1144
Gestão de risco de terceiros (TPRM)
Disciplina de ponta a ponta para identificar, avaliar, contratar, monitorizar e descontinuar terceiros, mantendo dentro do apetite os riscos ciber, operacionais e de conformidade introduzidos por eles.
- forensics-ir№ 525
Plano de resposta a incidentes
Documento aprovado que descreve como a organização se prepara, deteta, contém, erradica e recupera de incidentes cibernéticos e captura lições.
- defense-ops№ 813
Teste de intrusão
Ciberataque simulado e autorizado contra sistemas, aplicações ou pessoas para identificar fraquezas exploráveis antes dos adversários reais.
- compliance№ 440
RGPD
Regulamento Geral sobre a Proteção de Dados da União Europeia, que regula o tratamento de dados pessoais de pessoas na UE e no EEE.