Pular para o conteúdo
Preparando-se para o prazo final do DORA de 2025

Este blog foi publicado pela primeira vez em 2025 e foi atualizado.

Quando a Lei de Resiliência Operacional Digital (DORA) foi adotada pela UE, ela sinalizou uma mudança fundamental na forma como as instituições financeiras devem abordar a segurança cibernética, o gerenciamento de riscos e a continuidade operacional. Pela primeira vez, os órgãos reguladores não mencionaram a segurança de identidade apenas de passagem - eles a incorporaram diretamente na estrutura da conformidade.

Essa evolução reconhece uma realidade que muitos profissionais de segurança conhecem há anos: que a identidade é a base da segurança digital e um elemento fundamental da resiliência operacional. Vejamos o que mudou, os impactos que o DORA terá sobre a segurança de identidade, os desafios que as instituições financeiras enfrentam e como os CISOs devem se preparar para garantir que suas organizações atendam aos requisitos do DORA até o prazo final de 2025.

A segurança da identidade não é mais uma tarefa exclusiva da TI

De acordo com o DORA, todas as operações digitais de uma instituição financeira - desde pagamentos até a integração de clientes e sistemas de negociação - devem ser seguras, resilientes e estar continuamente disponíveis. E isso coloca a segurança de identidade no centro das atenções. Porque se não for possível verificar quem está acessando o quê, quando e de onde, sua estratégia de identidade entra em colapso.

Na nova realidade normativa do DORA, a identidade não é mais uma função de TI de back-office. Agora, ela é um imperativo estratégico dos líderes de risco, dos diretores de conformidade e dos executivos de negócios.

Impacto do DORA na segurança da identidade

Vários artigos do DORA exigem, direta ou implicitamente, recursos robustos de gerenciamento de identidade e acesso (IAM). Por exemplo:

  • Controle de acesso e governança: O DORA exige que as instituições gerenciem os direitos de acesso dos usuários em tempo real e realizem revisões regulares de acesso para evitar o aumento de privilégios e o acesso não autorizado.
  • Requisitos de autenticação: Espera-se que métodos de autenticação fortes, como a autenticação multifatorial (MFA), protejam os sistemas contra acesso não autorizado.
  • Continuidade operacional: As instituições devem garantir que as funções essenciais permaneçam disponíveis durante incidentes cibernéticos, interrupções ou interrupções. Isso inclui a manutenção de serviços de identidade sob coação.
  • Monitoramento e detecção de anomalias: As organizações precisam detectar, responder e se recuperar rapidamente de incidentes cibernéticos. Anomalias relacionadas à identidade, como padrões de acesso incomuns, são indicadores cruciais.

Esses requisitos enfatizam a necessidade de um programa de segurança de identidade moderno e consciente dos riscos.

2025 marca o ano em que a conformidade passa para os estágios de aplicação, o que significa que as organizações que não estiverem em conformidade com a DORA enfrentarão multas de 2% do volume de negócios global médio ou 1% do volume de negócios diário médio, com a adição de multas diárias cobradas das organizações que não estiverem em conformidade até que elas atinjam a conformidade. Os riscos agora são altos.

Desafios de identidade enfrentados pelas instituições financeiras

Apesar do aumento dos investimentos em segurança, muitas instituições financeiras ainda enfrentam lacunas relacionadas à identidade em suas funções operacionais e de segurança, incluindo:

  • Sistemas IAM legados que carecem de adaptabilidade e visibilidade
  • Ferramentas de identidade isoladas em ambientes locais e na nuvem
  • Métodos de autenticação fracos que são vulneráveis a phishing
  • Processos manuais de governança que tornam os relatórios de conformidade lentos e propensos a erros

Esses desafios deixam as organizações expostas, não apenas aos invasores, mas também ao escrutínio regulatório e às multas de conformidade.

O que isso significa para os CISOs

Os CISOs do setor financeiro devem assumir a liderança no alinhamento da estratégia de identidade com a DORA. Isso significa que:

  • Adoção acesso baseado em risco modelos que ajustam os controles com base no contexto e no comportamento
  • Garantir continuidade dos negócios com failover híbrido para autenticação e acesso
  • Fortalecimento governança com provisionamento, análises e certificação de acesso automatizados
  • Abraçando autenticação sem senha para eliminar vetores de ataque comuns
Cenários de implementação do DORA: exemplos da vida real

A redação normativa da DORA é clara — mas sua implementação varia de acordo com o tamanho, a estrutura e o ponto de partida de cada organização. Os cenários a seguir ilustram como organizações do setor de serviços financeiros, com perfis distintos, estão abordando a conformidade com a DORA na prática.

Cenário 1: Grande banco europeu se preparando para a DORA

Desafio Um grande banco de varejo da UE, com operações em doze países, enfrenta um problema comum: sua infraestrutura de identidade cresceu ao longo de décadas de aquisições, resultando em sete sistemas de IAM distintos, políticas de autenticação multifatorial (MFA) inconsistentes entre as unidades de negócios e ciclos de revisão de acesso que levam até trinta dias para serem concluídos. De acordo com os requisitos do Artigo 9º da DORA relativos ao controle de acesso e à governança contínua, essa fragmentação representa tanto uma lacuna de conformidade quanto um risco operacional.

Requisitos da DORA que se aplicam

  • Artigo 9: Estrutura de gestão de riscos de TIC, controle de acesso e aplicação do princípio do privilégio mínimo
  • Artigo 10: Detecção de atividades anômalas e incidentes relacionados às TIC
  • Artigo 17: Processo de gestão de incidentes relacionados às TIC

Etapas de implementação

  1. Consolidar os sistemas de identidade em uma plataforma unificada (RSA ID Plus) oferecendo suporte a ambientes em nuvem, locais e híbridos em todas as subsidiárias.
  2. Implemente a autenticação multifatorial (MFA) resistente a phishing (Série RSA iShield Key 2) para todas as contas privilegiadas e administrativas no prazo de noventa dias.
  3. Automatize os fluxos de trabalho de certificação de acesso e provisionamento usando Governança e ciclo de vida da RSA, substituindo as revisões manuais feitas em planilhas.
  4. Ativar IA de risco da RSA para análise comportamental contínua e detecção de anomalias em tempo real.
  5. Estabelecer uma trilha de auditoria centralizada de IAM que alimente diretamente os painéis de relatórios de conformidade da DORA.

Indicadores de sucesso

  • O ciclo de revisão de acesso foi reduzido de trinta dias para três dias
  • 100% de contas privilegiadas cadastradas na autenticação multifatorial (MFA) resistente a phishing no prazo de sessenta dias após a implantação da plataforma
  • Relatórios de certificação de acesso prontos para auditoria, gerados automaticamente a cada trimestre
  • Nenhum incidente relacionado à autenticação foi identificado durante a primeira inspeção regulatória da DORA

Lição principal A consolidação não é apenas um projeto de conformidade — é um projeto de resiliência. Uma plataforma unificada de IAM elimina os pontos cegos que existem nas interfaces entre sistemas desconectados, que é exatamente onde os invasores procuram brechas.

Cenário 2: Empresa de serviços financeiros de médio porte que gerencia uma infraestrutura híbrida

Desafio Sistemas centrais de negociação instalados no local, aplicativos voltados para o cliente no Azure e uma combinação de ferramentas SaaS em toda a empresa. Quando ocorrem interrupções na nuvem ou na rede local, falhas de autenticação já impediram, no passado, que os funcionários acessassem sistemas críticos por horas — uma violação direta dos requisitos de continuidade operacional da DORA previstos no Artigo 11.

Requisitos da DORA que se aplicam

  • Artigo 11: Continuidade de negócios em TIC e recuperação de desastres
  • Artigo 9: Controles de acesso à rede e ao sistema
  • Artigo 30: Requisitos contratuais para prestadores de serviços terceirizados de TIC

Etapas de implementação

  1. Implantar Failover híbrido do RSA ID Plus para garantir que os serviços de autenticação permaneçam disponíveis caso haja falha em componentes na nuvem ou no local — com failover automático entre ambientes em menos de 60 segundos.
  2. Implementar Bloqueio móvel RSA para garantir a realização de verificações do estado dos dispositivos dos funcionários que acessam os sistemas de negociação a partir de dispositivos móveis ou não gerenciados.
  3. Mapeie todas as dependências de autenticação de terceiros em TIC e verifique a conformidade contratual com a DORA, nos termos do Artigo 30.
  4. Realizar simulações trimestrais de recuperação de desastres que incluam cenários de falha do sistema de autenticação, documentando os objetivos de tempo de recuperação (RTOs) e os objetivos de ponto de recuperação (RPOs) para análise regulatória.

Indicadores de sucesso

  • A disponibilidade da autenticação durante interrupções na infraestrutura melhorou de 67% para 99,9%
  • O tempo de recuperação (RTO) para serviços de identidade foi reduzido de 4 horas para menos de 3 minutos
  • Todos os contratos com terceiros na área de TIC foram atualizados para incluir as cláusulas de resiliência exigidas pela DORA dentro do prazo de preparação de 12 meses
  • Resultados da simulação de recuperação documentados e prontos para análise pela autoridade competente

Lição principal A continuidade operacional no âmbito da DORA não se resume apenas à prevenção de ataques — trata-se de manter o funcionamento durante esses ataques. O failover híbrido para autenticação é tão essencial para a conformidade com a DORA quanto a própria autenticação forte.

Cenário 3: Empresa de gestão de investimentos respondendo a um incidente cibernético nos termos da DORA

Desafio Uma gestora de ativos sediada na UE, com €40 bilhões em ativos sob gestão (AUM), sofre um ataque baseado em credenciais direcionado à sua plataforma de administração de fundos. Uma campanha de phishing do tipo “adversário no meio” compromete uma conta de serviço, permitindo o movimento lateral dentro da rede. De acordo com a estrutura de classificação e notificação de incidentes da DORA, a organização deve notificar a autoridade competente no prazo de 24 horas após classificar o incidente como “grave” — e apresentar um relatório intermediário no prazo de 72 horas e um relatório final no prazo de um mês.

Requisitos da DORA que se aplicam

  • Artigo 17: Gestão, classificação e notificação de incidentes relacionados às TIC
  • Artigo 19: Obrigações e prazos para notificação de incidentes graves
  • Artigo 9: Autenticação e controles de acesso que devem permanecer operacionais durante o incidente

Cronologia do incidente e medidas tomadas

  • Hora 0: O RSA Risk AI detecta um comportamento anômalo de autenticação — uma conta de serviço que está fazendo login a partir de uma localização geográfica atípica e acessando sistemas fora de seu padrão normal de acesso. É acionada uma suspensão automática do acesso enquanto se aguarda a investigação.
  • 2ª hora: A equipe de segurança confirma a invasão. A conta é desativada por meio do RSA ID Plus em menos de 60 segundos. O movimento lateral é contido.
  • 6ª hora: A classificação interna confirma que este caso atinge o limite de “incidente grave” definido pela DORA, com base no impacto sobre a disponibilidade dos sistemas essenciais.
  • 18ª hora: Notificação inicial apresentada à autoridade competente — dentro do prazo de 24 horas — incluindo o tipo de incidente, a justificativa da classificação e as medidas imediatas de contenção adotadas.
  • 60ª hora: Relatório intermediário apresentado — dentro do prazo exigido de 72 horas — com a cronologia completa do incidente, análise da causa raiz (autenticação multifatorial suscetível a phishing na conta comprometida), sistemas afetados e medidas corretivas.
  • 4ª semana: Relatório final do incidente foi elaborado, incluindo a análise pós-incidente, as melhorias de controle implementadas (autenticação multifatorial resistente a phishing implantada em todas as contas de serviço) e as alterações nos limites de monitoramento.

Indicadores de sucesso

  • Incidente contido em até 2 horas após a detecção
  • Todos os três prazos de envio de relatórios do DORA foram cumpridos — 24 horas para o relatório inicial, 72 horas para o intermediário e 1 mês para o final
  • Nenhuma interrupção nos serviços de administração de fundos durante o incidente, graças ao failover de autenticação
  • Correção imediata: 100% de contas de serviço migradas para autenticação resistente a phishing no prazo de 30 dias após o incidente

Lição principal Os requisitos de notificação de incidentes da DORA recompensam as organizações que já investiram em detecção e contenção rápidas. IA de risco da RSA A análise comportamental reduziu o tempo entre o início do ataque e sua contenção de uma média potencial de 254 dias (o padrão do setor para violações de credenciais) para menos de 2 horas — transformando a narrativa de conformidade de “sofremos uma violação” para “detectamos, contivemos e comunicamos dentro da estrutura da DORA”.”

A abordagem da RSA para a segurança de identidade em conformidade com o DORA

Na RSA, ajudamos as instituições financeiras a operacionalizar a identidade como um pilar da resiliência. Nossa plataforma de identidade que prioriza a segurança, RSA ID Plus, O sistema de gerenciamento de dados, o sistema de gerenciamento de dados, foi desenvolvido para ambientes regulamentados, como o setor financeiro.

Juntas, essas soluções fornecem os controles necessários para o alinhamento com a DORA e fortalecem a sua organização além da conformidade.

O DORA marca um ponto de virada para a identidade nos serviços financeiros. Ele eleva o IAM de uma preocupação técnica para um mandato regulatório - e um facilitador estratégico da resiliência operacional.

As instituições financeiras que adotarem estratégias de segurança que priorizam a identidade não apenas atenderão aos requisitos do DORA, mas também obterão uma vantagem competitiva em termos de segurança, agilidade e confiança do cliente. Agora é a hora de repensar sua postura de identidade antes do início da aplicação do DORA.

Perguntas frequentes sobre a conformidade com a DORA
Qual é o prazo exato para o cumprimento da DORA pelas instituições financeiras?

A Lei de Resiliência Operacional Digital (DORA) entrou em vigor em 16 de janeiro de 2023 e passou a ser plenamente aplicável em 17 de janeiro de 2025 — a data a partir da qual todas as entidades financeiras abrangidas e todos os prestadores terceirizados de TIC essenciais foram obrigados a estar em conformidade, e os poderes de fiscalização foram ativados em todos os 27 Estados-Membros da UE. Não há período de carência para as instituições que ainda não cumpriram os requisitos; as autoridades competentes podem iniciar investigações e aplicar sanções a partir dessa data.

Para as instituições que ainda estão trabalhando para alcançar a conformidade total, a prioridade é demonstrar um programa de conformidade documentado e em constante evolução — especialmente no caso de infraestruturas de identidade legadas e complexas que não podem ser modernizadas da noite para o dia.

Quais são as penalidades específicas por descumprimento da DORA?

A DORA estabelece um regime de penalidades em dois níveis. Entidades financeiras estão sujeitos a multas de até 2% do faturamento anual total mundial ou 1% do faturamento médio diário mundial—conforme o caso, de acordo com a avaliação da autoridade competente—com a taxa diária aplicada como multa contínua até que seja alcançada a conformidade. Os gestores de alto escalão considerados responsáveis por violações podem estar sujeitos a multas pessoais de até €1,000,000.

Provedores terceirizados essenciais de TIC (CTPPs) as instituições designadas pelas Autoridades Europeias de Supervisão enfrentam uma exposição maior: até €5,000,000 por infração, com multas individuais de até €500,000, além de multas diárias de até 1% do faturamento médio diário global por um período de até seis meses. Além das penalidades financeiras, as autoridades competentes podem divulgar publicamente as violações da DORA — gerando um risco à reputação que, para as instituições financeiras regulamentadas, pode exceder o custo financeiro da própria multa.

Quais instituições financeiras estão sujeitas aos requisitos da DORA?

A DORA se aplica a praticamente todo o setor financeiro da UE. As entidades abrangidas incluem instituições de crédito, instituições de pagamento e de moeda eletrônica, empresas de investimento, prestadores de serviços de criptoativos (CASPs), depositários centrais de valores mobiliários, contrapartes centrais, plataformas de negociação, gestores de fundos de investimento alternativos, empresas de seguros e resseguros, agências de classificação de crédito, empresas de auditoria de entidades de interesse público e prestadores de serviços de financiamento coletivo.

É importante ressaltar que o âmbito de aplicação da DORA se estende além das instituições com sede na UE. Entidades financeiras de fora da UE que operam na UE e prestadores de serviços terceirizados de TIC — incluindo provedores de nuvem — que prestam serviços a entidades financeiras abrangidas pela UE também estão sujeitos aos requisitos da DORA, nos termos das disposições contratuais do Artigo 30. Empresas de serviços financeiros sediadas nos EUA com operações na UE ou clientes sediados na UE não devem presumir que estejam fora do âmbito de aplicação da lei.

Quais controles de segurança de identidade a DORA exige especificamente?

A DORA não determina tecnologias específicas, mas seus requisitos de gestão de riscos e controle de acesso, previstos nos artigos 9 e 10, se traduzem diretamente em recursos obrigatórios de IAM. As instituições financeiras devem implementar o seguinte:

  • Autenticação forte Para todos os sistemas: espera-se explicitamente que haja políticas e protocolos para a autenticação multifatorial (MFA), sendo recomendados métodos resistentes a phishing para acessos privilegiados e de alto risco.
  • Controle de acesso com privilégios mínimos: Os usuários e os sistemas devem ter apenas os direitos de acesso necessários ao desempenho de suas funções, os quais devem ser revisados continuamente e ajustados em tempo real.
  • Governança de acesso: São necessárias revisões regulares e documentadas dos acessos, bem como ciclos de certificação, com provisionamento e desprovisionamento automatizados para evitar a expansão indevida de privilégios.
  • Detecção de anomalias: O monitoramento contínuo dos padrões de autenticação e acesso permite detectar e responder a atividades incomuns que indiquem uma violação de segurança.
  • Continuidade operacional dos serviços de identidade: A infraestrutura de autenticação deve permanecer disponível durante incidentes cibernéticos e interrupções de serviço, com objetivos de recuperação documentados.
  • Manutenção da trilha de auditoria: Devem estar disponíveis registros abrangentes e à prova de adulteração de todos os eventos relacionados à identidade e ao acesso para fins de análise regulatória e investigação de incidentes.

RSA ID Plus para serviços financeiros corresponde diretamente a cada um desses requisitos.

Em que a DORA difere de outros regulamentos financeiros da UE, como a PSD2?

A Diretiva de Serviços de Pagamento 2 (PSD2) concentrou-se especificamente na segurança dos pagamentos digitais e exigiu que os prestadores de serviços de pagamento comunicassem incidentes graves às autoridades reguladoras no prazo de duas horas após a detecção. A DORA substitui as regras de notificação de incidentes da PSD2 para todas as entidades sujeitas a ambos os marcos regulatórios — a Autoridade Bancária Europeia revogou formalmente suas diretrizes de notificação de incidentes graves da PSD2 a partir de 17 de janeiro de 2025, substituindo-as pelo marco harmonizado da DORA.

A principal diferença está no escopo: a PSD2 abrangia a segurança dos pagamentos; a DORA abrange todo o panorama de riscos de TIC de todas as entidades financeiras, para todos os incidentes operacionais e de segurança — não apenas aqueles relacionados a pagamentos. O prazo para notificação de incidentes previsto pela DORA também é mais estruturado: 24 horas para a notificação inicial, 72 horas para um relatório intermediário, e um mês para um relatório final. A DORA também introduz autoridade de supervisão direta sobre terceiros críticos no setor de TIC, um mecanismo de prestação de contas que não tem equivalente na PSD2.

O que acontece se uma instituição financeira sofrer um incidente cibernético nos termos da DORA?

De acordo com os artigos 17 e 19 da DORA, as instituições devem seguir um processo definido de resposta a incidentes e de notificação. Primeiro, o incidente deve ser detectado, registrado e classificado — a DORA define critérios para determinar o que constitui um incidente “grave”, com base no impacto na disponibilidade do serviço, no número de clientes afetados, na abrangência geográfica e no impacto econômico. Uma vez classificado como grave, o prazo para notificação começa a correr:

  1. Notificação inicial à autoridade competente no prazo de 24 horas de classificação como incidente grave
  2. Relatório intermediário dentro de 72 horas com um relato detalhado do incidente, das medidas de contenção adotadas e da avaliação inicial da causa raiz
  3. Relatório final dentro de um mês do relatório intermediário, incluindo a análise completa pós-incidente, as medidas corretivas permanentes e as lições aprendidas

Durante todo o incidente, os serviços de identificação e autenticação devem permanecer operacionais. A DORA exige explicitamente que os planos de continuidade de negócios abranjam a infraestrutura de TIC, incluindo os sistemas de acesso e autenticação — as instituições não podem usar um incidente em andamento como justificativa para a indisponibilidade dos sistemas de autenticação.

As soluções de identidade baseadas na nuvem podem atender aos requisitos da DORA?

Sim, desde que a solução baseada em nuvem e seus termos contratuais atendam aos requisitos da DORA para provedores terceirizados de TIC, conforme o Artigo 30. Os provedores de identidade na nuvem devem oferecer garantias contratuais quanto à disponibilidade do serviço, prazos para notificação de incidentes, direitos de auditoria e portabilidade de dados. As instituições que dependem exclusivamente de um serviço de autenticação na nuvem, sem capacidade de failover híbrido, podem ter dificuldade em demonstrar a continuidade operacional exigida pelo DORA.

RSA ID Plus foi desenvolvido especificamente para esse desafio: oferece suporte à autenticação na nuvem, híbrida e local a partir de uma única plataforma, com failover híbrido garantindo que os serviços de autenticação permaneçam disponíveis caso a conectividade com a nuvem seja interrompida. Isso significa os benefícios de conformidade do gerenciamento em nuvem — administração centralizada, atualizações automáticas, escalabilidade — sem o risco de um único ponto de falha, que está sendo alvo de escrutínio por parte dos órgãos reguladores.

Que documentação é necessária para comprovar a conformidade com a DORA?

A DORA exige que as instituições financeiras mantenham e possam apresentar, mediante solicitação:

  • Documentação da estrutura de gestão de riscos de TIC—políticas, procedimentos e controles alinhados aos requisitos da DORA, revisados e aprovados pelo órgão de gestão pelo menos uma vez por ano
  • Acessar registros de revisão—ciclos de certificação de acesso documentados e com registro de data e hora, que demonstrem a aplicação do princípio do privilégio mínimo e o cancelamento oportuno dos direitos de acesso de funcionários que deixaram a empresa e de funções alteradas
  • Registros de incidentes—um registro completo de todos os incidentes relacionados às TIC, incluindo sua classificação, cronologia, medidas de contenção e resultados
  • Relatórios de incidentes graves—todas as notificações registradas (iniciais, intermediárias e finais) relativas a quaisquer incidentes que atendam aos critérios de classificação de incidentes graves da DORA
  • Contratos de TIC com terceiros—Acordos em conformidade com o Artigo 30 com todos os prestadores de serviços de TIC, incluindo fornecedores de autenticação em nuvem e de gerenciamento de identidade
  • Planos de continuidade de negócios e recuperação de desastres—planos documentados e testados que abrangem a disponibilidade do sistema de autenticação, com resultados de RTO/RPO registrados a partir de simulações

Governança e ciclo de vida da RSA automatiza a geração e a manutenção de registros de revisão de acesso e relatórios de conformidade, reduzindo o tempo necessário para produzir documentação pronta para auditoria de semanas para horas.

Talvez você também se interesse por...

Solicite uma Demonstração

Solicite uma Demonstração