Publicação do segundo conjunto de instrumentos regulatórios desenvolvidos ao abrigo do regulamento DORA
A 27 de dezembro de 2022, foi publicado o Regulamento (UE) 2022/2554, do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, que estabelece um quadro de resiliência operacional digital comum ao setor financeiro (doravante, Regulamento DORA).
Complementarmente, o referido regulamento mandata as três Autoridades Europeias de Supervisão (ESA) – Autoridade Bancária Europeia (EBA), Autoridade Europeia dos Valores Mobiliários e dos Mercados (ESMA) e Autoridade Europeia dos Seguros e Pensões Complementares de Reforma (EIOPA) – a desenvolver um conjunto de instrumentos regulatórios que visam densificar e completar o quadro de resiliência operacional digital estabelecido, assegurando assim a prestação contínua e ininterrupta de serviços financeiros aos clientes e a segurança dos seus dados.
Neste âmbito, no passado dia 8 de dezembro de 2023, as ESA publicaram uma consulta pública, com data-limite de resposta até 4 de março de 2024, a um segundo conjunto de instrumentos regulatórios desenvolvidos ao abrigo do referido mandato e que podem ser consultados no site da EIOPA.
A Autoridade de Supervisão de Seguros e Fundos de Pensões (ASF) acompanhou o desenvolvimento dos trabalhos de elaboração dos referidos instrumentos regulatórios, através da sua participação no Joint Committee Sub-Committee on Digital Operational Resilience (JC SC DOR), encontrando-se também envolvida nos trabalhos legislativos de implementação do Regulamento DORA a nível nacional.
Assim, no passado dia 17 de julho de 2024, as ESA publicaram o segundo conjunto de instrumentos regulatórios desenvolvidos ao abrigo do Regulamento DORA:
- Regulatory Technical Standards (RTS) on the content of the notification and reports for major incidents and significant cyber threats and determining the time limits for reporting major incidents and Implementing Technical Standards (ITS) on the standard forms, templates and procedures for financial entities to report a major incident and to notify a significant cyber threat;
- RTS on harmonisation of conditions enabling the conduct of the oversight activities;
- RTS on the harmonisation of conditions enabling the conduct of the oversight activities under Article 41(1)(c) of Regulation (EU) 2022/2554;
- RTS specifying elements related to threat led penetration tests under Article 26(11) of Regulation (EU) 2022/2554;
- Joint Guidelines on the estimation of aggregated annual costs and losses caused by major ICT-related incidents under Regulation (EU) 2022/2554;
- Joint Guidelines on the oversight cooperation and information exchange between the ESAs and the competent authorities under Regulation (EU) 2022/2554.
O RTS to specify the elements which a financial entity needs to determine and assess when subcontracting ICT service supporting critical or important functions as mandated by Article 30(5) of Regulation (EU) 2022/2554 foi publicado posteriormente, a 26 de julho de 2024.
Os projetos de normas técnicas (RTS e ITS) foram submetidos à Comissão Europeia, que iniciará agora o processo de revisão com vista à respetiva adoção nos próximos meses. As orientações já foram adotadas pelos Conselhos de Supervisores das três ESA.
Com a presente nota de informação, a ASF pretende alertar as entidades financeiras por si supervisionadas para os requisitos constantes dos projetos de normas técnicas e das orientações em apreço – os quais serão aplicáveis a partir de 17 de janeiro de 2025 –, tendo em vista uma preparação antecipada e adequada para o seu cumprimento.
O segundo conjunto de instrumentos regulatórios pode ser consultado aqui e aqui.