O Digital Operational Resilience Act – DORA, que entra em vigor em 17 de janeiro, impacta diretamente as empresas brasileiras com operações no mercado europeu. Ele exige conformidade com rigorosos padrões de segurança cibernética e gestão de riscos, mas também representa uma oportunidade para o Brasil liderar no cenário global. Ao se adequarem ao DORA, as empresas brasileiras podem demonstrar excelência em resiliência digital, abrindo portas para novas parcerias e negócios internacionais.
Este artigo explora os desafios e as estratégias para que as empresas brasileiras aproveitem o DORA como catalisador de crescimento e competitividade.
Digital Operational Resilience Act – DORA, que entra em vigor em 17 de janeiro
1. DORA: O Que Representa para Empresas Brasileiras?
No próximo dia 17 de janeiro, entra em vigor o Digital Operational Resilience Act (DORA), um marco regulatório europeu que redefine as bases da resiliência operacional no setor financeiro.
Focado no fortalecimento da segurança cibernética e na gestão de riscos digitais, o DORA não apenas eleva os padrões exigidos de instituições financeiras na Europa, mas também cria uma oportunidade estratégica para empresas brasileiras.
Ao alinharem suas operações às melhores práticas globais e padrões internacionais de alto impacto, as empresas do Brasil podem ampliar seu acesso a mercados e consolidar sua posição como líderes no cenário global.
O artigo explora como o DORA pode atuar como um catalisador para essa transformação.
2. Era Digital e o DORA: Inovação com Segurança
Vivemos em uma era digital sem precedentes, onde a tecnologia está presente em todos os aspectos da sociedade, conectando pessoas, organizações e governos. As inovações digitais têm impulsionado a produtividade, facilitado o acesso à informação, transformado modelos de negócios e promovido avanços significativos em áreas como saúde, educação, economia, energia, transportes, agricultura, meio ambiente, ciências e cultura.
Uma era marcada por desafios ligados aos riscos de privacidade, proteção de dados pessoais, segurança cibernética e tecnologias emergentes (Inteligência Artificial, Computação Quântica, Blockchain e Internet das Coisas (IoT)). Desafios que exigem estratégias robustas para garantir um equilíbrio entre inovação tecnológica e segurança de pessoas e organizações.
2.1 O Custo da Violação de Dados em 2024
Preocupações confirmados no recente Relatório do Custo das Violações de Dados de 2024, da IBM e do Ponemon Institute , que pesquisaram entre março de 2023 e fevereiro de 2024, 604 organizações de 17 setores em 16 países, que foram impactadas por violações de dados. Para obter insights aprofundados, o Ponemon Institute entrevistou 3.556 líderes de segurança e executivos diretamente envolvidos nesses incidentes. Principais achados:
O custo médio de uma violação de dados saltou para US$ 4,88 milhões em comparação com US$ 4,45 milhões em 2023, um aumento de 10% e o maior aumento desde a pandemia.
Economia de custos com o uso extensivo de IA na prevenção foi de US$ 2,2 milhões. Duas em cada três organizações estudadas afirmaram que estão implementado IA de segurança e automação em seus centros de operações de segurança.
Crescimento da escassez de skills em cibersegurança foi de 26,2%, Mais da metade das organizações violadas enfrentam altos níveis de escassez de pessoal de segurança.
Participação de violações envolvendo dados ocultos. 35% das violações envolveram dados ocultos, mostrando que a proliferação de dados está dificultando o rastreamento e a proteção.
Participação de violações envolvendo dados pessoais de clientes foi de 46%. Quase metade de todas as violações envolveram informações pessoais identificáveis (PII) de clientes com Registros de propriedade intelectual (PI) ficaram em segundo lugar com 43% das violações.
292 Dias para identificar e conter violações envolvendo credenciais roubadas. Violações envolvendo credenciais comprometidas levaram mais tempo para serem identificadas e contidas (292 dias) do que qualquer outro vetor de ataque.
2.2 Global Cybersecurity Outlook 2025
Na mesma linha o relatório Global Cybersecurity Outlook 2025 apresenta as principais tendências que os executivos precisarão navegar em 2025, com destaque para a(s):
1. Complexidade no Cenário de Ameaças:
- Adoção crescente de tecnologias emergentes como IA generativa, computação quântica e blockchain, que introduzem novas vulnerabilidades.
- Aumento da sofisticação de ataques cibernéticos, incluindo ransomware e ataques baseados em engenharia social.
2. Impacto da Inteligência Artificial:
- 66% das organizações esperam que a IA tenha o maior impacto na cibersegurança, mas apenas 37% possuem processos para avaliar sua segurança antes do uso.
- Ferramentas de IA generativa estão aprimorando as capacidades de criminosos, tornando ataques mais personalizados e eficazes.
3. Desafios Regulatórios:
- Crescente complexidade de conformidade devido à proliferação de regulamentações em diferentes jurisdições.
- Necessidade de maior harmonização regulatória global para enfrentar desafios de segurança de maneira consistente.
4. Escassez de Talentos em Cibersegurança:
Dois terços das organizações relatam lacunas críticas de habilidades, dificultando a gestão de riscos cibernéticos.
5. Interdependência de Cadeias de Suprimentos:
- Riscos significativos devido à dependência de fornecedores e parceiros com diferentes níveis de maturidade em cibersegurança.
- Ataques à cadeia de suprimentos continuam sendo uma preocupação central.
6. Influência de Tensões Geopolíticas:
- Geopolítica está moldando estratégias cibernéticas, com estados-nação e grupos de crime organizado interagindo no domínio cibernético.
7. Cultura de Resiliência Cibernética:
- Organizações de alta resiliência promovem uma cultura de transparência, treinamento e incentivos para relatórios de incidentes.
8. Colaboração Público-Privada:
- Maior ênfase na troca de informações e inteligência como forma de combater ameaças sofisticadas.
3. Digital Operational Resilience Act – DORA: Estratégias e Pilares para a Resiliência Digital
Dessa forma, o Digital Operational Resilience Act – DORA objetiva garantir que as entidades financeiras da União Europeia, bem como seus provedores de tecnologia, sejam capazes de resistir, responder e se recuperar de incidentes de interrupção operacional e ataques cibernéticos. Ele busca fortalecer a resiliência digital no setor financeiro, promovendo segurança, confiança e estabilidade em um ambiente cada vez mais interdependente e digitalizado.
O Digital Operational Resilience Act (DORA) surge como uma resposta da União Europeia para enfrentar os desafios crescentes de segurança e resiliência digital em um cenário de ameaças cada vez mais sofisticadas.
3.1 Quem é Impactado pelo DORA?
O Digital Operational Resilience Act (DORA) impacta uma ampla gama de entidades dentro do ecossistema financeiro da União Europeia, bem como seus provedores críticos de serviços de tecnologia. Sua abrangência busca garantir que todos os principais atores mantenham uma resiliência digital robusta para enfrentar ameaças cibernéticas e interrupções operacionais.
3.2 Principais Objetivos do DORA
Os objetivos do DORA foram concebidos para fortalecer a resiliência digital das instituições financeiras e seus provedores de tecnologia, assegurando a capacidade de prevenir, responder e recuperar-se de incidentes cibernéticos em um cenário digital cada vez mais complexo.
Padronizar Requisitos de Resiliência Digital:
- Criar um conjunto harmonizado de regras aplicáveis a instituições financeiras e provedores de serviços de TIC em toda a União Europeia, promovendo consistência regulatória.
Fortalecer a Gestão de Riscos Digitais:
- Exigir que as organizações implementem políticas e processos robustos para identificar, mitigar e monitorar riscos tecnológicos e cibernéticos.
Garantir Supervisão de Fornecedores de TIC:
- Estabelecer mecanismos de monitoramento e conformidade para fornecedores críticos, garantindo que eles cumpram os mais altos padrões de segurança.
Melhorar a Resposta a Incidentes Cibernéticos:
- Promover a notificação ágil e detalhada de incidentes para autoridades competentes, facilitando ações coordenadas e rápidas.
Reforçar a Transparência e Colaboração:
- Facilitar o compartilhamento de informações sobre ameaças e boas práticas entre entidades financeiras e seus parceiros, aumentando a resiliência do ecossistema.
3.3 Pilares Centrais do DORA
Os pilares do Digital Operational Resilience Act – DORA definem as bases estratégicas para garantir a resiliência operacional digital, abrangendo desde a gestão de riscos até a supervisão de terceiros, assegurando um ecossistema financeiro seguro e harmonizado.
Gestão de Riscos de TIC: Implementação de processos sólidos para identificar, gerenciar e mitigar riscos cibernéticos.
Teste de Resiliência Digital: Avaliações regulares da robustez das infraestruturas digitais para identificar vulnerabilidades.
Supervisão de Provedores Críticos de TIC: Garantia de conformidade e segurança em toda a cadeia de fornecimento de tecnologia.
Notificação de Incidentes: Estruturas para relatar incidentes cibernéticos de forma rápida e consistente às autoridades competentes.
Compartilhamento de Informações: Incentivo à colaboração e troca de informações sobre ameaças cibernéticas entre as partes interessadas.
4. Impactos do DORA para Empresas Brasileiras: A Conexão Entre Resiliência Digital Global e Competitividade no Mercado Europeu
A entrada em vigor do Digital Operational Resilience Act (DORA) na União Europeia traz implicações diretas para empresas brasileiras que operam ou têm relações comerciais com o mercado europeu. Essa regulamentação exige medidas rigorosas de gestão de riscos digitais e resiliência cibernética, impondo novos desafios para garantir conformidade e competitividade.
Para as empresas brasileiras, adaptar-se ao DORA é essencial não apenas para manter parcerias internacionais, mas também para fortalecer sua posição no cenário global.
4.1 Principais Desafios do DORA para Empresas Brasileiras
A adoção do DORA impõe desafios às empresas brasileiras, como a adequação a exigências regulatórias rigorosas, a supervisão de fornecedores de tecnologia, a implementação de processos de notificação de incidentes e a superação da falta de talentos especializados.
A partir de 17 de janeiro de 2025, com a vigência do DORA, as empresas brasileiras com vínculos comerciais ou operacionais com o mercado europeu enfrentarão os seguintes desafios:
1. Adequação à Conformidade Regulatória
- Empresas deverão adaptar suas operações às exigências do DORA, que impõe normas rigorosas sobre gestão de riscos digitais, notificação de incidentes e resiliência cibernética. O não cumprimento poderá resultar em sanções, perda de negócios e prejuízo à reputação.
2. Supervisão de Fornecedores de TIC
- Será necessário implementar mecanismos robustos para monitorar e garantir que fornecedores de tecnologia, especialmente aqueles localizados fora da União Europeia, cumpram as exigências de segurança do DORA, aumentando a complexidade da gestão de terceiros.
3. Gestão de Incidentes Cibernéticos
- O DORA exige processos claros e rápidos de detecção, resposta e notificação de incidentes cibernéticos às autoridades competentes. Empresas brasileiras precisarão se preparar para atender prazos rigorosos e fornecer informações detalhadas.
4. Realização de Simulações de Crises
- O DORA exige que as organizações realizem simulações regulares de crises cibernéticas para avaliar a resiliência de seus sistemas e operações. Para empresas brasileiras, especialmente as que atuam com parceiros europeus, isso representa a necessidade de estruturar e conduzir exercícios que simulem incidentes cibernéticos complexos.
5. Investimentos em Infraestrutura e Segurança
- A conformidade com o DORA exigirá a modernização de sistemas e tecnologias para atender aos padrões europeus, incluindo ferramentas de monitoramento, auditoria e teste de resiliência digital.
6. Escassez de Talentos em Cibersegurança
- A falta de profissionais especializados em cibersegurança no Brasil representa um obstáculo crítico, tornando desafiadora a implementação de medidas exigidas pelo DORA.
7. Adaptação à Cultura Regulatória Europeia
- Empresas brasileiras precisarão entender e alinhar suas operações aos padrões europeus, incluindo a harmonização de normas e práticas de reporte, o que pode requerer mudanças estruturais.
8. Competitividade e Reputação
- O DORA impõe um alto padrão de resiliência digital, e as empresas que não se adequarem poderão perder competitividade no mercado europeu, prejudicando parcerias e oportunidades de negócio.
- Esses desafios demandam planejamento estratégico, investimentos e uma abordagem proativa para garantir que as empresas brasileiras estejam preparadas para operar de forma segura e competitiva no ambiente digital regulamentado pela União Europeia.
4.2 Estratégias para Empresas Brasileiras Superarem os Desafios do DORA
Para enfrentar os desafios impostos pelo DORA, as empresas brasileiras precisam adotar estratégias estruturadas que promovam conformidade regulatória, resiliência cibernética e competitividade no mercado europeu. Destacando-se uma lista não exaustiva:
1. Mapeamento e Diagnóstico Inicial
- Realizar uma avaliação detalhada dos requisitos do DORA e como eles impactam as operações da empresa. Identificar lacunas em governança, infraestrutura e processos.
2. Fortalecimento da Governança de Riscos Digitais
- Implementar políticas robustas de gestão de riscos cibernéticos, alinhadas às exigências do DORA, integrando essas práticas aos objetivos estratégicos da organização.
3. Supervisão Eficaz de Fornecedores de TIC
- Estabelecer processos claros para monitorar a conformidade de fornecedores críticos, incluindo auditorias regulares e exigências contratuais que garantam alinhamento com os requisitos do DORA.
4. Integração de Simulações de Crises
- Realizar exercícios periódicos de simulação de crises cibernéticas para testar a resiliência operacional e identificar vulnerabilidades em processos e sistemas.
5. Criação de Planos de Resposta a Incidentes
- Desenvolver e formalizar planos detalhados para detecção, resposta e notificação de incidentes cibernéticos, garantindo o cumprimento de prazos regulatórios.
6. Investimentos em Infraestrutura e Tecnologia de Segurança
- Modernizar sistemas de TIC com ferramentas avançadas de monitoramento, auditoria e teste de resiliência digital, além de investir em tecnologias para automação de processos de conformidade.
7. Capacitação e Contratação de Especialistas em Cibersegurança
- Promover programas de treinamento contínuo para equipes internas e buscar talentos especializados para preencher lacunas críticas no gerenciamento de riscos e conformidade.
8. Alinhamento à Cultura Regulatória Europeia
- Investir na capacitação de equipes sobre as práticas e exigências regulatórias da União Europeia, incluindo treinamentos sobre relatórios de conformidade e boas práticas de governança.
9. Colaboração e Parcerias Estratégicas
- Buscar apoio de consultorias especializadas, participar de iniciativas de troca de informações sobre cibersegurança e estabelecer parcerias com fornecedores e reguladores para facilitar a adaptação ao DORA.
10. Monitoramento Contínuo e Ajustes Proativos
- Implementar um processo contínuo de monitoramento das mudanças regulatórias e ajustar as estratégias de forma proativa para manter a conformidade e a competitividade no mercado europeu.
5. Conclusões
O DORA representa um divisor de águas na forma como empresas ao redor do mundo, incluindo as brasileiras, devem se preparar para o futuro da resiliência digital. Em uma era marcada pela transformação digital, o equilíbrio entre inovação e segurança tornou-se essencial, e o DORA surge como um modelo robusto para garantir essa estabilidade.
Os impactos para as empresas brasileiras vão além do desafio de conformidade; eles trazem uma oportunidade única de adotar práticas globais de segurança cibernética, modernizar operações e fortalecer parcerias com o mercado europeu. A adoção das estratégias certas e o entendimento dos pilares do DORA são passos cruciais para transformar essas demandas em vantagens competitivas.
Portanto, o DORA não deve ser visto apenas como uma exigência regulatória, mas como um catalisador para empresas brasileiras se posicionarem como líderes em resiliência digital, criando um ecossistema mais seguro, inovador e alinhado aos padrões globais. A chave para o sucesso está na capacidade de adaptação e na visão estratégica diante desse novo cenário.
6. Glossário
Glossário: (Principles for Board Governance of Cyber Risk)
Segurança cibernética: O conjunto de atividades que protegem redes, dispositivos e dados contra acesso não autorizado ou uso criminoso. Buscando garantir a confidencialidade, integridade e disponibilidade de informações e sistemas com adequada entrega de serviços.
Risco cibernético: Evento de perda provável que se materializa quando uma ameaça cibernética afeta um ativo de valor e resulta em um impacto material em uma organização. O risco cibernético pode ser medido como a frequência provável e o impacto provável de um evento de perda.
Resiliência cibernética: Uma dimensão da gestão do risco cibernético, representando a capacidade dos sistemas e organizações para desenvolver e executar estratégias de longo prazo para resistir a eventos cibernéticos e ou a capacidade de uma organização de manter, construir e entregar de forma sustentável os resultados de negócios pretendidos, apesar de eventos cibernéticos adversos em seus ambientes internos e externos.
7. Referências sobre Digital Operational Resilience Act (DORA)
- Relatório do Custo das Violações de Dados de 2024. Relatório do Custo das Violações de Dados de 2024.
- Global Cybersecurity Outlook 2025. Global Cybersecurity Outlook 2025 | World Economic Forum (weforum.org).
- DORA: Versão em inglês. Publications Office.
- DORA: Versão em Português. Publications Office.
- Principles for Board Governance of Cyber Risk. Principles for Board Governance of Cyber Risk | World Economic Forum (weforum.org).
- DORA Making Digital Resilience Real: EU Regulation on Financial Industry Operational Resilience – IDC Europe Blog.
Sobre Leonardo Ferreira
Leonardo Ferreira, LinkedIn Top Voice | Diretor (CISO) | Diretor de Crises e Resiliência (CCRO) | Professor na FGV em Gestão de Crises Continuidade de Negócios e Recuperação de Desastres | Conselheiro Estratégico do CNCIBER, CNPD, CNSIC e CNSI para segurança cibernética e segurança de infraestruturas críticas e Colunista do Crypto ID |
Leia outros artigos de Leonardo Ferreira, em sua coluna aqui!
Junte-se a nós na construção de um futuro digital mais seguro e confiável!
Ao longo de dez anos, trilhamos um caminho de pioneirismo com foco em segurança digital, identificação e privacidade. Celebramos essa jornada com a certeza de que a confiança é a base para um futuro digital sólido e promissor.
Mas a nossa missão continua! Convidamos você, leitor, e sua empresa a se juntarem a nós nesta jornada em busca de um futuro digital ainda mais seguro e confiável. Acreditamos no poder da colaboração para construir um ecossistema digital onde empresas, máquinas e pessoas possam confiar muito mais uma nas outras.
Entrevista com Leonardo Ferreira, Diretor de Privacidade e Segurança da Informação do MGI
Resiliência Cibernética para Setores Públicos e Privados: Uma Nova Norma na Era da Diretiva NIS2
