Newsletters
A partir de 17 de janeiro de 2025 passará a aplicar-se, em toda a União Europeia (UE), o Regulamento DORA [Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022], relativo à resiliência operacional digital no setor financeiro.
Qual o objetivo do Regulamento e quais as principais entidades impactadas?
Com o objetivo de harmonizar as regras relativas à resiliência operacional e regulamentação da cibersegurança na UE, o Regulamento DORA estabelece requisitos uniformes em matéria de segurança dos sistemas de rede e de informação de empresas que operam no setor financeiro (como bancos e seguradoras).
Ainda que dirigidas, em primeira linha, às entidades financeiras, as normas do Regulamento também impactam, diretamente, as empresas do setor tecnológico que prestam serviços de TIC àquelas entidades, nomeadamente, prestadores de serviços de cloud, fornecedores de software, data centers, entre outros.
Em particular, o Regulamento contém um conjunto de disposições que determinam o conteúdo dos contratos celebrados entre as entidades financeiras e os seus prestadores de serviços de TIC.
Quais as principais obrigações aplicáveis aos contratos entre entidades financeiras e respetivos prestadores de serviços de TIC?
O Regulamento estabelece elementos mínimos que deverão constar destes contratos e que têm de ser reduzidos a escrito:
- Descrição clara e completa das funções e serviços TIC que serão prestados;
- Permissão, ou não, da subcontratação de serviços TIC e, em caso afirmativo, as condições aplicáveis aos subcontratos;
- Locais onde as funções e serviços serão prestados;
- Disposições sobre proteção de dados;
- Descrições do nível de serviço (SLA), incluindo atualizações e revisões;
- Obrigação de assistência por parte do prestador em caso de incidente relacionado com as TIC;
- Obrigação de cooperação com as autoridades competentes e com a entidade financeira;
- Direitos de rescisão e períodos de pré-aviso mínimos adequados;
- Disposições relativas à sensibilização e formação dos prestadores para a segurança das TIC.
Nos contratos relativos a serviços de TIC de apoio a “funções críticas ou importantes” da entidade financeira, o Regulamento exige cláusulas adicionais que prevejam, nomeadamente:
- Descrições completas do nível de serviço, com metas de desempenho quantitativas e qualitativas;
- Períodos de notificação e obrigações de notificação relativas a desenvolvimentos que possam ter impacto material nos serviços prestados;
- Obrigações de teste de planos de contingência operacional, políticas de segurança e cooperação;
- Direito da entidade financeira a monitorizar o desempenho da prestação dos serviços;
- Definição de estratégias de saída com previsão de um período de transição obrigatório que reduza o risco de perturbação da entidade financeira.
Normas técnicas de regulamentação quanto à subcontratação de serviços de TIC
As Autoridades Europeias de Supervisão (AES) publicaram, em julho de 2024, o Relatório Final relativamente aos Projetos de Normas Técnicas de Regulamentação (Regulatory Technical Standards – RTS) que estabelecem novos requisitos complementares para as entidades financeiras no que diz respeito à subcontratação de serviços de TIC que suportam funções críticas ou importantes.
O objetivo destes RTS é especificar os aspetos que uma entidade financeira deve considerar e avaliar na subcontratação de serviços TIC, garantindo que os riscos associados a esta subcontratação são adequadamente geridos e mitigados.
Entre outros aspetos, os RTS estabelecem que os contratos celebrados entre a entidade financeira e o prestador de serviços TIC devem incluir disposições contratuais que incidam sobre:
- A responsabilidade do prestador de serviços TIC pelos serviços subcontratados;
- Obrigações de monitorização e de reporte por parte do prestador de serviços TIC, relativas aos serviços subcontratados;
- A localização do processamento ou armazenamento de dados pelo subcontratante do prestador de TIC, quando relevante;
- Garantia da continuidade dos serviços e compliance com os requisitos de segurança estabelecidos em caso de incumprimento por algum subcontratante do prestador de TIC;
- Os direitos de acesso, inspeção e auditoria da entidade financeira quanto aos serviços subcontratados;
- O dever de notificação em casos de alterações materiais aos contratos de subcontratação;
- Os direitos de resolução da entidade financeira.
Os RTS estabelecem, igualmente, requisitos relacionados com a cadeia de subcontratação de TIC que devem constar do contrato entre entidade financeira e prestador de serviços TIC, nomeadamente:
- A identificação de toda a cadeia de subcontratantes de TIC envolvidos na prestação de serviços críticos ou importantes, que deve ser atualizada de forma contínua;
- A monitorização efetiva pela entidade financeira dos serviços de TIC;
- Disposições que permitam à entidade financeira avaliar o impacto de uma cadeia de subcontratação potencialmente complexa e potencial impacto na sua capacidade de monitorizar funções críticas, assim como na capacidade das autoridades competentes supervisionarem a entidade financeira;
- Direitos da entidade financeira de obter informações do prestador de serviços TIC sobre os contratos de subcontratação e os indicadores de desempenho relevantes.
Considerações finais:
A aplicação do Regulamento DORA e dos RTS que o complementam já a partir de 17 de janeiro de 2025 exige ações tanto por parte das entidades financeiras, como por parte dos respetivos prestadores de serviços TIC, que deverão alinhar as suas práticas de subcontratação com vista ao cumprimento dos requisitos estabelecidos.
Em particular, os contratos existentes e em vigor entre as entidades financeiras e os prestadores de serviços TIC deverão ser avaliados e eventualmente revistos, por forma a garantir que se encontram em conformidade com o estabelecido no Regulamento.
Também os contratos celebrados entre os prestadores de serviços TIC e os seus subcontratantes deverão ser analisados à luz do Regulamento DORA e dos RTS e das concretas obrigações que deles resultam para os prestadores de serviços de TIC.
Quaisquer alterações a tais contratos para efeitos de cumprimento do Regulamento DORA devem ser prontamente implementadas e documentadas.