Considerações para entidades financeiras da UE: as entidades financeiras precisam estabelecer uma estrutura de governança e controle interna para o gerenciamento de riscos de TIC e se envolver no monitoramento contínuo desses riscos. Esses requisitos de gerenciamento e monitoramento de riscos de TIC se estendem ao uso dos serviços de TIC fornecidos por provedores terceirizados.

Considerações para provedores de TIC: os provedores de TIC precisam oferecer suporte ao gerenciamento e ao monitoramento de riscos de TIC dos clientes, incluindo onde os sistemas e processos relevantes são gerenciados pelo provedor. Além disso, no caso de provedores de TIC críticos, o novo Lead Overseer avaliará os processos de gerenciamento de risco do próprio provedor, incluindo políticas de gerenciamento de risco de TIC, política de continuidade de negócios de TIC e resposta de TIC e planos de recuperação. 

Suporte do Google Cloud: mesmo antes de entrar no Google Cloud, é possível usar nossa solução de avaliação de risco e descoberta de recursos críticos para avaliar o desempenho do risco atual de TI da sua organização, identificar onde estão seus recursos essenciais e receber recomendações para melhorar sua postura de segurança e resiliência. Também publicamos orientações sobre como gerenciar riscos com controles e gerenciamento de recursos. 

Quando estiver no Google Cloud, será possível aproveitar várias ferramentas para mapear e gerenciar seus recursos de nuvem de maneira contínua, incluindo Operações do Google Cloud, Resource Manager, Cloud Deployment Manager e Gerenciador de Risco. As informações sobre a abordagem do Google em relação ao gerenciamento de riscos estão disponíveis nos relatórios de auditoria e certificações do Google. 

Caso precise de mais assistência, a Mandiant (agora parte do Google Cloud) oferece serviços de gerenciamento de risco, incluindo o serviço de operações de gerenciamento de riscos cibernéticos, o serviço de segurança de modelagem de ameaças, o serviço de auditoria de segurança cibernética e uma avaliação do programa de cibersegurança. Consulte também nosso Guia do cliente sobre o gerenciamento de riscos de ICT para mais orientações.

Considerações para entidades financeiras da UE: a DORA consolida os requisitos de relatórios de incidentes do setor financeiro em um único framework simplificado. Isso significa que as entidades financeiras que operam em vários setores ou estados membros da UE não precisam mais navegar em regimes de relatórios paralelos e sobrepostos durante o que, necessariamente, é uma situação urgente. 

A DORA também tem como objetivo lidar com regimes paralelos de relatórios de incidentes, como o NIS2. Juntas, essas mudanças ajudam os reguladores a conseguir as informações necessárias, permitindo que as entidades financeiras se concentrem em outros aspectos críticos da resposta a incidentes. As entidades financeiras precisam relatar os incidentes de acordo com os limites definidos em modelos e cronogramas específicos, bem como implementar procedimentos para documentar as causas raiz e as melhorias após os incidentes. 

Considerações para provedores de TIC: os provedores de TIC precisam atender aos requisitos de relatórios de incidentes dos clientes. Além disso, no caso de provedores de TIC críticos, o novo Lead Overseer avaliará diretamente os processos do provedor para identificação, monitoramento e notificação imediata de incidentes materiais relacionados a TIC para entidades financeiras. 

Suporte do Google Cloud : o Google vai notificar os clientes com os termos atualizados do contrato DORA sobre incidentes relacionados a TIC que afetam o uso do Google Cloud. Divulgaremos essas notificações sem custo adicional pelos nossos canais de notificação (incluindo e-mail, Personalized Service Health (PSH), o Painel do Service Health e a Central de suporte do Google Cloud). 

Temos o compromisso de enviar avisos dentro dos prazos e com as informações que as entidades financeiras precisam para facilitar a própria avaliação e geração de relatórios com base nos requisitos da DORA.

Considerações para entidades financeiras da UE: com base nas iniciativas da UE, como TIBER-EU, a DORA estabelece uma nova abordagem em toda a UE para testar a resiliência operacional digital. Para determinadas entidades financeiras, isso inclui testes de penetração avançados liderados por ameaças (TLTP )a cada três anos. Ao esclarecer a metodologia de teste e introduzir o reconhecimento mútuo dos resultados do teste, a DORA ajudará as entidades financeiras a continuar criando e dimensionando recursos de teste de modo a funcionar em toda a UE.  

Considerações para provedores de TIC: a DORA aborda diretamente o papel do provedor de TIC no TLPT realizado por entidades financeiras. A DORA permite testes em pool para gerenciar o impacto do teste em serviços multilocatários, como nuvens públicas. Além disso, no caso de provedores de TIC críticos, o novo Lead Overseer avaliará diretamente os próprios testes de sistemas, infraestrutura e controles de TIC. 

Suporte do Google Cloud : o Google vai participar do TLPT facilitando os testes em pool feitos por um testador externo, conforme descrito no Artigo 26(4) da DORA. Estamos confiantes de que o teste em pool é a melhor maneira de testar com eficácia a resiliência operacional digital do Google Cloud e gerenciar os riscos inerentes a outros clientes de testes em um ambiente multilocatário.

Considerações para entidades financeiras da UE: a DORA se baseia na sólida base estabelecida pelas respectivas autoridades das autoridades supervisoras europeias, coordenando ainda mais os requisitos de gerenciamento de riscos de TIC de terceiros entre setores, incluindo os requisitos para implementar uma estrutura de gerenciamento de risco de TIC de terceiros e para contratos com provedores de TIC. Ao ajudar a garantir que riscos semelhantes sejam abordados de maneira consistente em todos os setores e estados membros da UE, a DORA permitirá que entidades financeiras consolidem e aprimorem os programas de gerenciamento de riscos de terceiros de TIC.

Considerações para provedores de TIC: os provedores de TIC precisam atender aos requisitos de gerenciamento de risco de terceiros dos clientes. Além disso, a DORA vai permitir que o novo Lead Overseer supervisione diretamente os provedores de TIC críticos. Esse mecanismo criará um canal de comunicação direto entre reguladores e provedores de TIC designados por meio de engajamentos anuais, incluindo planos de supervisão, inspeções e recomendações. 

Suporte do Google Cloud : o Google oferece às entidades financeiras termos de contrato atualizados para o Google Cloud e o Google Workspace para cumprir as principais disposições contratuais do Artigo 30. Se você precisar dos termos do contrato da DORA, entre em contato com seu representante do Google Cloud para mais detalhes. Também criamos mapeamentos do Google Cloud e do Google Workspace para o Artigo 30 a fim de ajudar você a entender como nossos contratos, controles e processos ajudam você a atender aos requisitos da DORA.

Considerações para entidades financeiras da UE: a DORA descreve considerações para entidades financeiras para compartilhar voluntariamente informações e inteligência contra ameaças cibernéticas com outras entidades financeiras e reguladores. 

Considerações para provedores de TIC: a DORA considera os provedores de TIC envolvidos em acordos de compartilhamento de informações que protegem informações potencialmente sensíveis. No entanto, esses acordos ainda não foram definidos.  

Suporte do Google Cloud: o Google Cloud oferece produtos e serviços para ajudar os clientes a se protegerem proativamente contra ameaças cibernéticas, de acordo com os requisitos da DORA. Publicamos um Relatório de Ameaças do Horizon trimestral para fornecer inteligência estratégica sobre ameaças aos nossos clientes. Os clientes também podem aproveitar a resposta a incidentes, os serviços de gerenciamento de risco cibernético e os serviços de garantia técnica da Mandiant para se proteger e se preparar para incidentes cibernéticos.

A DORA é uma regulamentação da UE. Ela será aplicada no setor de serviços financeiros em todos os estados membros da UE. A DORA atualiza as regras e estabelece um conjunto aprimorado de requisitos comuns para reduzir os riscos de TIC e aumentar a resiliência digital no sistema financeiro europeu. É importante ressaltar que a DORA também introduz um framework para a supervisão direta de fornecedores de TIC críticos por parte de reguladores financeiros da UE.

A DORA estabelece um conjunto aprimorado de requisitos comuns para entidades financeiras na UE para mitigar riscos de TIC e melhorar a resiliência digital no sistema financeiro europeu. Especificamente:

1. A DORA tem requisitos detalhados para entidades financeiras sobre o gerenciamento de riscos de TIC.

2. A DORA consolida os requisitos de relatórios de incidentes do setor financeiro em uma única estrutura simplificada.

3. Com base em iniciativas existentes da UE, como a TIBER-EU, a DORA estabelece uma nova abordagem em toda a UE para testar a resiliência operacional digital, incluindo testes de penetração liderados por ameaças.

4. A DORA se baseia na base sólida estabelecida pelas respectivas diretrizes de terceirização das autoridades supervisoras europeias, coordenando ainda mais os requisitos de gestão de riscos de terceiros de TIC em vários setores, incluindo os requisitos para contratos com os provedores de TIC.

A DORA também permite que os reguladores financeiros supervisionem diretamente fornecedores de TIC essenciais. Esse mecanismo criará um canal de comunicação direto entre reguladores e provedores de TIC designados por meio de engajamentos anuais, incluindo planos de supervisão, inspeções e recomendações.

A DORA se aplica principalmente a entidades financeiras na UE. No entanto, parte da DORA se aplica diretamente aos provedores de TIC (incluindo os provedores de serviços de nuvem) que são designados como "críticos" pelos reguladores financeiros da UE após um processo oficial. A designação será baseada em vários fatores, incluindo o impacto sistêmico de uma falha dos serviços do provedor de TIC e a importância sistêmica das entidades financeiras que dependem desses serviços.

A DORA entrou em vigor em 17 de janeiro de 2025 (2 anos e 20 dias após a publicação no Jornal Oficial da UE). 

A DORA só se aplica diretamente a provedores de TIC essenciais depois que eles são designados como "críticos" pelos reguladores financeiros da UE. Portanto, o prazo de conformidade para provedores essenciais de TIC depende do momento da designação. Ainda que a DORA não se aplique ao Google Cloud diretamente, a menos e até que seja uma designação oficial, já estamos nos preparando para abordar possíveis requisitos diretos.

O framework de supervisão para provedores de TIC essenciais de acordo com a DORA cria uma oportunidade genuína de melhorar a compreensão, a transparência e a confiança entre os provedores de TIC, as entidades financeiras e os reguladores financeiros e, por fim, estimular a inovação no setor financeiro da Europa. A DORA vai criar um canal de comunicação direto entre os reguladores e os fornecedores de TIC designados por meio de encontros anuais, incluindo planos de supervisão, inspeções e recomendações. Temos certeza de que esse diálogo estruturado ajudará a melhorar a gestão de riscos e a resiliência em todo o setor.

O Google Cloud tem o compromisso de permitir que os reguladores supervisionem efetivamente o uso dos nossos serviços por entidades financeiras. Nós concedemos informações, auditorias e direitos de acesso a entidades financeiras, reguladores e os representantes e apoiamos nossos clientes quando eles ou os reguladores optam por exercer esses direitos. Abordaremos um relacionamento com um Lead Overseer com o mesmo compromisso com a transparência, a colaboração e a garantia contínuas. 

Estamos muito focados no planejamento dos requisitos de supervisão direta e comprometidos em garantir que nossa função de supervisão direta ofereça suporte à comunicação do regulador, às auditorias eficientes e aos planos de correção dentro dos prazos.

Oferecemos às entidades financeiras termos de contrato atualizados para o Google Cloud e o Google Workspace para abordar as principais disposições contratuais do Artigo 30. Se você precisar dos termos do contrato da DORA, entre em contato com seu representante do Google Cloud para mais detalhes 

Também criamos mapeamentos do Google Cloud e do Google Workspace para o Artigo 30 a fim de ajudar você a entender como nossos contratos, controles e processos ajudam você a atender aos requisitos da DORA.

Sabemos que o rascunho de RTS sobre subcontratação contém outros requisitos contratuais. O Google Cloud está monitorando o progresso da RTS e vai oferecer termos contratuais atualizados para lidar com ela conforme necessário depois que a versão final for adotada pela Comissão Europeia. Confira a lista de atos delegados e de implementação da DORA adotados pela Comissão Europeia neste link.

Quando você usa o Google Cloud para fornecer seus próprios serviços de ICT a entidades financeiras na UE, reconhecemos que você precisa dos termos de contrato corretos com o Google. Para ajudar, nesse cenário, oferecemos aos clientes e parceiros termos contratuais equivalentes para abordar as principais disposições contratuais do Artigo 30. Se você precisar dos termos do contrato da DORA, entre em contato com seu representante do Google Cloud para mais detalhes 

Também criamos um mapeamento do Artigo 30 para o Google Cloud para ajudar você a entender como nossos contratos, controles e processos podem atender aos requisitos DORA.

Nós nos dedicamos a desenvolvimentos de políticas do setor de serviços financeiros que afetam significativamente o Google Cloud e o uso dos nossos serviços por nossos clientes no mundo todo. 

Quando os legisladores estão considerando uma abordagem semelhante à DORA, geralmente consideram primeiro como essa abordagem se encaixa no framework regulatório local atual, incluindo as áreas percebidas de melhoria. A Comissão Europeia consultou sobre esse problema em 2020 antes de propor o rascunho inicial do DORA. 

Quando os legisladores confirmaram a necessidade de uma abordagem regulatória diferente (e potencialmente direta), compartilhamos nossa experiência tecnológica em relação aos serviços na nuvem e defendemos consistentemente o seguinte:

Harmonização e eliminação de duplicação de requisitos (dentro e entre países)

Requisitos que sejam proporcionais e estejam de acordo com o objetivo

Uma abordagem com tecnologia neutra que incentiva a inovação

– Uma abordagem que respeite a segurança e a integridade dos nossos serviços para todos os clientes

O Reino Unido é um exemplo de outro país que está implementando uma estrutura regulatória direta para fornecedores terceirizados importantes do setor financeiro.

É importante ter em mente que a DORA não é o único regulamento que se aplica a provedores de nuvem na Europa. A Diretiva NISD2 também apresenta a supervisão independente de setor para terceiros importantes, e há muitos requisitos nacionais que se aplicam a serviços de nuvem em setores regulamentados. 

A adoção da nuvem em serviços financeiros ainda é nova, e as regulamentações futuras precisam estimular esse tipo de inovação. Diferentes países adotam abordagens diferentes para garantir a resiliência operacional e de segurança do ecossistema de serviços financeiros, e a regulamentação ou supervisão direta não é a única solução adequada a diferentes mercados. Entendemos que os reguladores em outras jurisdições se concentram igualmente em padrões, regras horizontais e práticas de autorregulação. Seja qual for a abordagem adotada pelos legisladores, é importante garantir a consistência e a harmonização regulatória dos princípios aplicados, já que eles afetam os players de tecnologia globais e o ecossistema de finanças digitais internacionais.