Considerações para entidades financeiras da UE: as entidades financeiras precisam estabelecer uma estrutura de governança e controle interna para o gerenciamento de riscos de TIC e se envolver no monitoramento contínuo desses riscos. Esses requisitos de gerenciamento e monitoramento de riscos de TIC se estendem ao uso dos serviços de TIC fornecidos por provedores terceirizados.

Considerações para provedores de TIC: os provedores de TIC precisam oferecer suporte ao gerenciamento e ao monitoramento de riscos de TIC dos clientes, incluindo onde os sistemas e processos relevantes são gerenciados pelo provedor. Além disso, no caso de provedores de TIC críticos, o novo Lead Overseer avaliará os processos de gerenciamento de risco do próprio provedor, incluindo políticas de gerenciamento de risco de TIC, política de continuidade de negócios de TIC e resposta de TIC e planos de recuperação. 

Suporte do Google Cloud: mesmo antes de entrar no Google Cloud, é possível usar nossa solução de avaliação de risco e descoberta de recursos críticos para avaliar o desempenho do risco atual de TI da sua organização, identificar onde estão seus recursos essenciais e receber recomendações para melhorar sua postura de segurança e resiliência. Também publicamos orientações sobre como gerenciar riscos com controles e gerenciamento de recursos. 

Quando estiver no Google Cloud, será possível aproveitar várias ferramentas para mapear e gerenciar seus recursos de nuvem de maneira contínua, incluindo Operações do Google Cloud, Resource Manager, Cloud Deployment Manager e Gerenciador de Risco. As informações sobre a abordagem do Google em relação ao gerenciamento de riscos estão disponíveis nos relatórios de auditoria e certificações do Google. 

Caso precise de mais assistência, a Mandiant (agora parte do Google Cloud) oferece serviços de gerenciamento de risco, incluindo o serviço de operações de gerenciamento de riscos cibernéticos, o serviço de segurança de modelagem de ameaças, o serviço de auditoria de segurança cibernética e uma avaliação do programa de cibersegurança.

Considerações para entidades financeiras da UE: a DORA consolida os requisitos de relatórios de incidentes do setor financeiro em um único framework simplificado. Isso significa que as entidades financeiras que operam em vários setores ou estados membros da UE não precisam mais navegar em regimes de relatórios paralelos e sobrepostos durante o que, necessariamente, é uma situação urgente. 

A DORA também tem como objetivo lidar com regimes paralelos de relatórios de incidentes, como o NIS2. Juntas, essas mudanças ajudam os reguladores a conseguir as informações necessárias, permitindo que as entidades financeiras se concentrem em outros aspectos críticos da resposta a incidentes. As entidades financeiras precisam relatar os incidentes de acordo com os limites definidos em modelos e cronogramas específicos, a serem totalmente definidos, bem como implementar procedimentos para documentar as causas raiz e as melhorias após os incidentes. 

Considerações para provedores de TIC: os provedores de TIC precisam atender aos requisitos de relatórios de incidentes dos clientes. Além disso, no caso de provedores de TIC críticos, o novo Lead Overseer avaliará diretamente os processos do provedor para identificação, monitoramento e notificação imediata de incidentes materiais relacionados a TIC para entidades financeiras. 

Suporte do Google Cloud: a partir de 2025, o Google vai notificar os clientes com os termos atualizados do contrato DORA sobre incidentes relacionados a TIC que afetam o uso do Google Cloud. Divulgaremos essas notificações sem custo adicional pelos nossos canais de notificação (incluindo e-mail, Painel do Service Health e a Central de suporte do Google Cloud). 

Embora esses requisitos ainda estejam em evolução, temos o compromisso de enviar avisos dentro dos prazos e com as informações que as entidades financeiras precisam para facilitar a própria avaliação e geração de relatórios com base nos requisitos finais.

Considerações para entidades financeiras da UE: com base nas iniciativas da UE, como TIBER-EU, a DORA estabelece uma nova abordagem em toda a UE para testar a resiliência operacional digital. Para determinadas entidades financeiras, isso inclui testes de penetração avançados liderados por ameaças (TLTP )a cada três anos. Ao esclarecer a metodologia de teste e introduzir o reconhecimento mútuo dos resultados do teste, a DORA ajudará as entidades financeiras a continuar criando e dimensionando recursos de teste de modo a funcionar em toda a UE.  

Considerações para provedores de TIC: a DORA aborda diretamente o papel do provedor de TIC no TLPT realizado por entidades financeiras. A DORA permite testes em pool para gerenciar o impacto do teste em serviços multilocatários, como nuvens públicas. Além disso, no caso de provedores de TIC críticos, o novo Lead Overseer avaliará diretamente os próprios testes de sistemas, infraestrutura e controles de TIC. 

Suporte do Google Cloud: a partir de 2025, o Google vai participar do TLPT facilitando os testes em pool feitos por um testador externo, conforme descrito no Artigo 26(4) da DORA. Estamos confiantes de que o teste em pool é a melhor maneira de testar com eficácia a resiliência operacional digital do Google Cloud e gerenciar os riscos inerentes a outros clientes de testes em um ambiente multilocatário.

Considerações para entidades financeiras da UE: a DORA se baseia na sólida base estabelecida pelas respectivas autoridades das autoridades supervisoras europeias, coordenando ainda mais os requisitos de gerenciamento de riscos de TIC de terceiros entre setores, incluindo os requisitos para implementar uma estrutura de gerenciamento de risco de TIC de terceiros e para contratos com provedores de TIC. Ao ajudar a garantir que riscos semelhantes sejam abordados de maneira consistente em todos os setores e estados membros da UE, a DORA permitirá que entidades financeiras consolidem e aprimorem os programas de gerenciamento de riscos de terceiros de TIC.

Considerações para provedores de TIC: os provedores de TIC precisam atender aos requisitos de gerenciamento de risco de terceiros dos clientes. Além disso, a DORA vai permitir que o novo Lead Overseer supervisione diretamente os provedores de TIC críticos. Esse mecanismo criará um canal de comunicação direto entre reguladores e provedores de TIC designados por meio de engajamentos anuais, incluindo planos de supervisão, inspeções e recomendações. 

Suporte do Google Cloud: a partir de fevereiro de 2024, o Google vai oferecer às entidades financeiras termos de contrato atualizados para o Google Cloud e o Google Workspace para cumprir as principais disposições contratuais do Artigo 30. Se você precisar dos termos do contrato da DORA, entre em contato com seu representante do Google Cloud para mais detalhes. Também criamos mapeamentos do Google Cloud e do Google Workspace para o Artigo 30 a fim de ajudar você a entender como nossos contratos, controles e processos ajudam você a atender aos requisitos da DORA.

Considerações para entidades financeiras da UE: a DORA descreve considerações para entidades financeiras para compartilhar voluntariamente informações e inteligência contra ameaças cibernéticas com outras entidades financeiras e reguladores. 

Considerações para provedores de TIC: a DORA considera os provedores de TIC envolvidos em acordos de compartilhamento de informações que protegem informações potencialmente sensíveis. No entanto, esses acordos ainda não foram definidos.  

Suporte do Google Cloud: o Google Cloud oferece produtos e serviços para ajudar os clientes a se protegerem proativamente contra ameaças cibernéticas, de acordo com os requisitos da DORA. Publicamos um Relatório de Ameaças do Horizon trimestral para fornecer inteligência estratégica sobre ameaças aos nossos clientes. Os clientes também podem aproveitar a resposta a incidentes, os serviços de gerenciamento de risco cibernético e os serviços de garantia técnica da Mandiant para se proteger e se preparar para incidentes cibernéticos.

A DORA é uma novo regulamentação da UE. Ela será aplicada no setor de serviços financeiros em todos os estados membros da UE. A DORA atualiza as regras e estabelece um conjunto aprimorado de requisitos comuns para reduzir os riscos de TIC e aumentar a resiliência digital no sistema financeiro europeu. É importante ressaltar que a DORA também introduz um novo framework para a supervisão direta de fornecedores de TIC críticos por parte de reguladores financeiros da UE.

A DORA estabelece um conjunto aprimorado de requisitos comuns para entidades financeiras na UE para mitigar riscos de TIC e melhorar a resiliência digital no sistema financeiro europeu. Especificamente:

1. A DORA tem requisitos detalhados para entidades financeiras sobre o gerenciamento de riscos de TIC.

2. A DORA consolida os requisitos de relatórios de incidentes do setor financeiro em uma única estrutura simplificada.

3. Com base em iniciativas existentes da UE, como a TIBER-EU, a DORA estabelece uma nova abordagem em toda a UE para testar a resiliência operacional digital, incluindo testes de penetração liderados por ameaças.

4. A DORA se baseia na base sólida estabelecida pelas respectivas diretrizes de terceirização das autoridades supervisoras europeias, coordenando ainda mais os requisitos de gestão de riscos de terceiros de TIC em vários setores, incluindo os requisitos para contratos com os provedores de TIC.

A DORA também permitirá que os reguladores financeiros supervisionem diretamente fornecedores de TIC essenciais. Esse mecanismo criará um canal de comunicação direto entre reguladores e provedores de TIC designados por meio de engajamentos anuais, incluindo planos de supervisão, inspeções e recomendações.

A DORA se aplica principalmente a entidades financeiras na UE. No entanto, parte da DORA se aplica diretamente aos provedores de TIC (incluindo os provedores de serviços de nuvem) que são designados como "críticos" pelos reguladores financeiros da UE após um processo oficial. A designação será baseada em vários fatores, incluindo o impacto sistêmico de uma falha dos serviços do provedor de TIC e a importância sistêmica das entidades financeiras que dependem desses serviços.

A DORA vai entrar em vigor em 17 de janeiro de 2025 (2 anos e 20 dias após a publicação no Jornal Oficial da UE). 

A DORA só se aplica diretamente a provedores de TIC essenciais depois que eles são designados como "críticos" pelos reguladores financeiros da UE. Portanto, o prazo de conformidade para provedores essenciais de TIC depende do momento da designação. Ainda que a DORA não se aplique ao Google Cloud diretamente, a menos e até que seja uma designação oficial, já estamos nos preparando para abordar possíveis requisitos diretos.

Estamos em contato com os legisladores da proposta DORA desde que ela foi apresentada em setembro de 2020. Paralelamente, configuramos um programa de prontidão para analisar as expectativas do cliente em potencial e nossas próprias responsabilidades à medida que a DORA evoluiu durante o processo legislativo. 

Agora que o texto da DORA está finalizado, uma equipe multifuncional do Google Cloud (incluindo especialistas no assunto das áreas de risco e conformidade, segurança, jurídico, relações governamentais e produto) está analisando os detalhes e preparando e implementando planos de conformidade quando necessário. Esses planos são baseados em uma base sólida em áreas como segurança, resiliência e gerenciamento de riscos de terceiros, que já permitem aos clientes atender às expectativas rigorosas das diretrizes de terceirização de EBA, as diretrizes da EIOPA e as diretrizes da ESMA de terceirização de serviços de nuvem.

Pretendemos usar o período de implementação para melhorar ainda mais nossos recursos em cada uma das áreas de foco da DORA. Nosso objetivo é fazer do Google Cloud o melhor serviço possível de transformação digital sustentável para as organizações europeias nos termos delas.

Embora o texto da DORA tenha sido finalizado, vários requisitos importantes ainda precisam ser melhor especificados na legislação secundária conhecida como atos de nível 2 da DORA. Isso inclui padrões técnicos regulatórios ou "RTS" em áreas importantes, como relatórios de incidentes, testes de penetração liderados por ameaças e subcontratação. 

Reconhecemos que os requisitos finais de nível 2 precisarão ser atendidos quando relevantes. No entanto, como os rascunhos do nível 2 estão sujeitos a alterações, não é possível antecipá-los. 

Para apoiar os legisladores e nossos clientes, o Google Cloud está se envolvendo ativamente na discussão de políticas da UE sobre os atos de nível 2 do DORA. Vamos continuar participando do diálogo sobre a DORA de maneira transparente e construtiva. Em especial, vamos defender o seguinte:

Consistência entre cada um dos atos de nível 2 e com a autorização fornecida na DORA.

Harmonização com uma abordagem em desenvolvimento no setor financeiro global e em outros regimes paralelos da UE (por exemplo, relatórios de incidentes).

Proporcionalidade, especialmente quando as abordagens regulatórias que podem ser apropriadas para alguns serviços de TIC podem ter um impacto negativo não intencional na resiliência do setor financeiro se aplicadas a serviços de nuvem pública.

O framework de supervisão para provedores de TIC essenciais de acordo com a DORA cria uma oportunidade genuína de melhorar a compreensão, a transparência e a confiança entre os provedores de TIC, as entidades financeiras e os reguladores financeiros e, por fim, estimular a inovação no setor financeiro da Europa. A DORA vai criar um canal de comunicação direto entre os reguladores e os fornecedores de TIC designados por meio de encontros anuais, incluindo planos de supervisão, inspeções e recomendações. Temos certeza de que esse diálogo estruturado ajudará a melhorar a gestão de riscos e a resiliência em todo o setor.

O Google Cloud tem o compromisso de permitir que os reguladores supervisionem efetivamente o uso dos nossos serviços por entidades financeiras. Nós concedemos informações, auditorias e direitos de acesso a entidades financeiras, reguladores e os representantes e apoiamos nossos clientes quando eles ou os reguladores optam por exercer esses direitos. Abordaremos um relacionamento com um Lead Overseer com o mesmo compromisso com a transparência, a colaboração e a garantia contínuas. 

Estamos trabalhando para garantir que nossa função de supervisão direta ofereça suporte à comunicação do regulador, às auditorias eficientes e ao compromisso com a correção dentro dos prazos. Embora nosso foco seja o planejamento de requisitos diretos, a maneira como a supervisão regulamentar funcionará na prática ainda precisa ser finalizada nos padrões técnicos regulatórios de supervisão.

A partir de fevereiro de 2024, vamos oferecer às entidades financeiras termos de contrato atualizados para o Google Cloud e o Google Workspace para lidar com as principais disposições contratuais do Artigo 30. Se você precisar dos termos do contrato da DORA, entre em contato com seu representante do Google Cloud para mais detalhes 

Também criamos mapeamentos do Google Cloud e do Google Workspace para o Artigo 30 a fim de ajudar você a entender como nossos contratos, controles e processos ajudam você a atender aos requisitos da DORA.

Nós nos dedicamos a desenvolvimentos de políticas do setor de serviços financeiros que afetam significativamente o Google Cloud e o uso dos nossos serviços por nossos clientes no mundo todo. 

Quando os legisladores estão considerando uma abordagem semelhante à DORA, geralmente consideram primeiro como essa abordagem se encaixa no framework regulatório local atual, incluindo as áreas percebidas de melhoria. A Comissão Europeia consultou sobre esse problema em 2020 antes de propor o rascunho inicial do DORA. 

Quando os legisladores confirmaram a necessidade de uma abordagem regulatória diferente (e potencialmente direta), compartilhamos nossa experiência tecnológica em relação aos serviços na nuvem e defendemos consistentemente o seguinte:

Harmonização e eliminação de duplicação de requisitos (dentro e entre países)

Requisitos que sejam proporcionais e estejam de acordo com o objetivo

Uma abordagem com tecnologia neutra que incentiva a inovação

– Uma abordagem que respeite a segurança e a integridade dos nossos serviços para todos os clientes

O Reino Unido é um exemplo de outro país que atualmente está considerando uma estrutura regulatória direta para fornecedores terceirizados importantes do setor financeiro. Estamos nos envolvendo no documento de consultoria com base nos princípios acima. 

É importante ter em mente que a DORA não é o único regulamento que se aplica a provedores de nuvem na Europa. A Diretiva NISD2 também introduzirá supervisão independente de setor para terceiros importantes, e há muitos requisitos nacionais que se aplicam a serviços de nuvem em setores regulamentados. 

A adoção da nuvem em serviços financeiros ainda é nova, e as regulamentações futuras precisam estimular esse tipo de inovação. Diferentes países adotam abordagens diferentes para garantir a resiliência operacional e de segurança do ecossistema de serviços financeiros, e a regulamentação ou supervisão direta não é a única solução adequada a diferentes mercados. Entendemos que os reguladores em outras jurisdições se concentram igualmente em padrões, regras horizontais e práticas de autorregulação. Seja qual for a abordagem adotada pelos legisladores, é importante garantir a consistência e a harmonização regulatória dos princípios aplicados, já que eles afetam os players de tecnologia globais e o ecossistema de finanças digitais internacionais.