Durante os últimos meses do ano, a União Europeia aprovou várias medidas ao nível da cibersegurança e da proteção de dados que vão impactar o setor financeiro. SRI 2 (também conhecida com NIS2), DORA e RCE são os principais nomes a reter. Perceba o que vai mudar.
Em janeiro deste ano, a diretiva “SRI 2” entrou em vigor, substituindo a diretiva atual relativa à segurança das redes e da informação (a Diretiva SRI). Os estados-membros têm de adotar as medidas até 17 de outubro de 2024.
Com esta diretiva, mais organizações passam a estar sujeitas a obrigações ao nível da proteção de dados. O setor bancário é considerado de “importância crítica”. As entidades consideradas essenciais e importantes vão ter de notificar, sem qualquer atraso injustificado, às entidades competentes a ocorrência de incidentes com impacto significativo nos seus serviços.
Dessa maneira, passam a estar obrigadas a:
- Um “alerta prévio” – dentro de 24 horas após terem conhecimento do incidente
- Uma notificação do incidente – 72 horas depois de terem tomado conta da situação
- Quando requerido pela autoridade competente, um relatório intermediário;
- Um relatório final, até um mês depois da submissão da notificação do incidente com descrição detalhada do ocorrido, provável causa, medidas de mitigação e qualquer impacto transfronteiriço.
 O setor bancário é considerado de “importância crítica”
Os Estados-membros vão precisar de permitir às autoridades competentes a imposição de coimas, quando necessário:
- Para entidades essenciais – coimas com máximo de, pelo menos, 10 milhões de euros ou 2% da faturação anual mundial;
- Para entidades críticas – coimas com máximo de, pelo menos, 7 milhões de euros ou 1,4% da faturação anual mundial.
Especificamente dirigido ao setor financeiro, foram aprovados um novo regulamento e uma nova diretiva relativa à resiliência operacional digital, conhecidos pelo nome de Digital Operational Resilience Act (DORA).
Com o DORA, as instituições financeiras vão precisar de adotar uma estrutura de gestão de risco para as TIC, com várias políticas, procedimentos e ferramentas para identificar riscos, proteger os sistemas e mitigar os riscos, entre outros. Passa também a ser necessário a realização regular de testes de resiliência, adaptados à atividade de cada empresa.
 As instituições financeiras vão precisar de adotar uma estrutura de gestão de risco para as TIC
A nova diretiva (UE) 2022/2556 esclarece a aplicação de vários requisitos relativos à resiliência operacional digital necessários para o exercício das atividades financeiras. Os estados-membro precisam de adotar as novas regras até 17 de janeiro de 2025.
Já o regulamento (UE) 2022/2554 prevê consolidar e atualizar os requisitos em matéria de risco associado às TIC, que até agora estavam em documentos separados. O regulamento passa a aplicar-se a todos os prestadores terceiros de serviços de TIC críticos, incluindo os prestadores de serviços de computação em nuvem que prestam serviços a entidades financeiras.
O regulamento prevê que “as instituições de crédito, as instituições de pagamento, os prestadores de serviços de informação sobre contas e as instituições de moeda eletrónica notifiquem todos os incidentes operacionais ou de segurança relacionados com pagamentos — anteriormente notificados nos termos da Diretiva (UE) 2015/2366 — independentemente da natureza do incidente relacionado com as TIC”.
Está ainda prevista, por exemplo, a criação de uma plataforma única para a notificação de incidentes de caráter severo relacionados com as TIC. As entidades financeiras poderão subcontratar as obrigações de notificações a um terceiro prestador de serviço, mas a entidade financeira continua a ser “plenamente responsável” pelo cumprimento dos requisitos.
Criação de uma plataforma única para a notificação de incidentes de caráter severo relacionados com as TIC
Por último, a nova Diretiva RCE substitui a Diretiva Infraestruturas Críticas Europeias de 2008. As novas regras reforçam a resiliência das infraestruturas críticas a uma série de ameaças, incluindo riscos naturais, ataques terroristas, ameaças internas ou sabotagem. A banca e as infraestruturas do mercado financeiro passam a estar abrangidas.