"O pacote legislativo DORA representa uma mudança fundamental no quadro regulamentar aplicável às entidades abrangidas -- no setor bancário, estão em causa instituições de crédito, instituições de pagamento, instituições de moeda eletrónica e prestadores de serviços de informação sobre contas", refere o regulador num comunicado hoje divulgado no seu portal.
O BdP explicou que o objetivo deste regulamento é "harmonizar tipologias de entidades e Estados-membros e aumentar a exigência dos requisitos de resiliência operacional digital, para robustecer o sistema financeiro".
A transposição ocorre, acrescenta o regulador, "num contexto de crescimento significativo e sustentado da frequência e da severidade de incidentes operacionais e de segurança, e de maior recurso a terceiros prestadores de serviço de tecnologias de informação e comunicação".
No documento hoje divulgado, o banco central destaca quatro campos em que a implementação do regulamento vai impactar a sua regulação.
No caso da gestão do risco associado às tecnologias de informação e comunicação, o BdP refere que as entidades supervisionadas devem passar a "observar os deveres relativos à gestão do risco associado às tecnologias de informação e comunicação previstos no Regulamento DORA e densificados nas normas técnicas de execução" de um outro regulamento comunitário europeu, de março do ano passado.
O mesmo documento deve ser seguido para a comunicação dos incidentes de caráter severo relacionados com as tecnologias de informação e comunicação e a notificação voluntária de ciberameaças significativas, esclarece o regulador.
O supervisor bancário registou ainda que as entidades financeiras "devem observar o dever de manter, atualizar e disponibilizar às autoridades competentes um registo de informações em relação a todos os acordos contratuais" que envolvam prestadores de serviços externos na área tecnológica e de comunicação.
A partir de hoje, as entidades financeiras passam, também, a ter o dever de "estabelecer, manter e rever um programa sólido e abrangente de testes de resiliência operacional digital, para efeitos do quadro de gestão do risco associado às tecnologias de informação e comunicação".
Ainda assim, aponta o BdP, estes testes abrangem apenas as entidades financeiras que cumpram os critérios de elegibilidade -- que no caso português são as "instituições de crédito classificadas como outras instituições de importância sistémica".
Leia Também: BdP alerta para perfis de Facebook não habilitados a conceder crédito
