Considerações para entidades financeiras da UE: as entidades financeiras precisam estabelecer uma estrutura de governança e controle interna para o gerenciamento de riscos de TIC e se envolver no monitoramento contínuo desses riscos. Esses requisitos de gerenciamento e monitoramento de riscos de TIC se estendem ao uso dos serviços de TIC fornecidos por provedores terceirizados.

Considerações para provedores de TIC: os provedores de TIC precisam oferecer suporte ao gerenciamento e ao monitoramento de riscos de TIC dos clientes, incluindo onde os sistemas e processos relevantes são gerenciados pelo provedor. Além disso, no caso de provedores de TIC críticos, o novo Lead Overseer avaliará os processos de gerenciamento de risco do próprio provedor, incluindo políticas de gerenciamento de risco de TIC, política de continuidade de negócios de TIC e resposta de TIC e planos de recuperação. 

Suporte do Google Cloud: mesmo antes de entrar no Google Cloud, é possível usar nossa solução de avaliação de risco e descoberta de recursos críticos para avaliar o desempenho do risco atual de TI da sua organização, identificar onde estão seus recursos essenciais e receber recomendações para melhorar sua postura de segurança e resiliência. Também publicamos orientações sobre como gerenciar riscos com controles e gerenciamento de recursos. 

Quando estiver no Google Cloud, será possível aproveitar várias ferramentas para mapear e gerenciar seus recursos de nuvem de maneira contínua, incluindo Cloud Monitoring, Resource Manager, Infrastructure Manager e Cyber Insurance Hub. As informações sobre a abordagem do Google em relação ao gerenciamento de riscos estão disponíveis nos relatórios de auditoria e certificações do Google. 

Caso precise de mais assistência, a Mandiant (agora parte do Google Cloud) oferece serviços de gerenciamento de risco, incluindo o serviço de operações de gerenciamento de riscos cibernéticos, o serviço de segurança de modelagem de ameaças, o serviço de auditoria de segurança cibernética e uma avaliação do programa de cibersegurança. Consulte também nosso Guia do cliente sobre o gerenciamento de riscos de ICT para mais orientações.

Considerações para entidades financeiras da UE: a DORA consolida os requisitos de relatórios de incidentes do setor financeiro em um único framework simplificado. Isso significa que as entidades financeiras que operam em vários setores ou estados membros da UE não precisam mais navegar em regimes de relatórios paralelos e sobrepostos durante o que, necessariamente, é uma situação urgente. 

A DORA também tem como objetivo lidar com regimes paralelos de relatórios de incidentes, como o NIS2. Juntas, essas mudanças ajudam os reguladores a conseguir as informações necessárias, permitindo que as entidades financeiras se concentrem em outros aspectos críticos da resposta a incidentes. As entidades financeiras precisam relatar os incidentes de acordo com os limites definidos em modelos e cronogramas específicos, bem como implementar procedimentos para documentar as causas raiz e as melhorias após os incidentes. 

Considerações para provedores de TIC: os provedores de TIC precisam atender aos requisitos de relatórios de incidentes dos clientes. Além disso, no caso de provedores de TIC críticos, o supervisor principal avaliará diretamente os processos do provedor para identificação, monitoramento e notificação imediata de incidentes materiais relacionados a TIC para entidades financeiras. 

Suporte do Google Cloud : o Google vai notificar os clientes com os termos atualizados do contrato DORA sobre incidentes relacionados a TIC que afetam o uso do Google Cloud. Divulgaremos essas notificações sem custo adicional pelos nossos canais de notificação (incluindo e-mail, Personalized Service Health (PSH), o Painel do Service Health e a Central de suporte do Google Cloud). 

Temos o compromisso de enviar avisos dentro dos prazos e com as informações que as entidades financeiras precisam para facilitar a própria avaliação e geração de relatórios com base nos requisitos da DORA.

Considerações para entidades financeiras da UE: com base nas iniciativas da UE, como TIBER-EU, a DORA estabelece uma abordagem em toda a UE para testar a resiliência operacional digital. Para determinadas entidades financeiras, isso inclui testes de penetração avançados liderados por ameaças (TLTP )a cada três anos. Ao esclarecer a metodologia de teste e introduzir o reconhecimento mútuo dos resultados do teste, a DORA ajuda as entidades financeiras a continuar criando e dimensionando recursos de teste de modo a funcionar em toda a UE.  

Considerações para provedores de TIC: a DORA aborda diretamente o papel do provedor de TIC no TLPT realizado por entidades financeiras. A DORA permite testes em pool para gerenciar o impacto do teste em serviços multilocatários, como nuvens públicas. Além disso, no caso de provedores de TIC críticos, o supervisor principal avaliará diretamente os próprios testes de sistemas, infraestrutura e controles de TIC. 

Suporte do Google Cloud : o Google vai participar do TLPT facilitando os testes em pool feitos por um testador externo, conforme descrito no Artigo 26(4) da DORA. Estamos confiantes de que o teste em pool é a melhor maneira de testar com eficácia a resiliência operacional digital do Google Cloud e gerenciar os riscos inerentes a outros clientes de testes em um ambiente multilocatário.

Considerações para entidades financeiras da UE: a DORA se baseia na sólida base estabelecida pelas respectivas autoridades das autoridades supervisoras europeias, coordenando ainda mais os requisitos de gerenciamento de riscos de TIC de terceiros entre setores, incluindo os requisitos para implementar uma estrutura de gerenciamento de risco de TIC de terceiros e para contratos com provedores de TIC. Ao ajudar a garantir que riscos semelhantes sejam abordados de maneira consistente em todos os setores e estados membros da UE, a DORA permitirá que entidades financeiras consolidem e aprimorem os programas de gerenciamento de riscos de terceiros de TIC.

Considerações para provedores de TIC: os provedores de TIC precisam atender aos requisitos de gerenciamento de risco de terceiros dos clientes. Além disso, a DORA vai permitir que o supervisor principal supervisione diretamente os provedores de TIC críticos. Esse mecanismo criará um canal de comunicação direto entre reguladores e provedores de TIC designados por meio de engajamentos anuais, incluindo planos de supervisão, inspeções e recomendações. 

Suporte do Google Cloud: o Google oferece às entidades financeiras termos de contrato atualizados para o Google Cloud, o Google Workspace e os serviços de SecOps para cumprir as principais disposições contratuais do Artigo 30. Se você precisar dos termos do contrato da DORA, entre em contato com seu representante do Google Cloud para mais detalhes. Também criamos mapeamentos do Google Cloud e do Google Workspace para o Artigo 30 a fim de ajudar você a entender como nossos contratos, controles e processos ajudam você a atender aos requisitos da DORA.

Considerações para entidades financeiras da UE: a DORA descreve considerações para entidades financeiras para compartilhar voluntariamente informações e inteligência contra ameaças cibernéticas com outras entidades financeiras e reguladores. 

Considerações para provedores de TIC: a DORA considera os provedores de TIC envolvidos em acordos de compartilhamento de informações que protegem informações potencialmente sensíveis. No entanto, esses acordos ainda não foram definidos.  

Suporte do Google Cloud: o Google Cloud oferece produtos e serviços para ajudar os clientes a se protegerem proativamente contra ameaças cibernéticas, de acordo com os requisitos da DORA. Publicamos um Relatório de Ameaças do Horizon trimestral para fornecer inteligência estratégica sobre ameaças aos nossos clientes. Os clientes também podem aproveitar a resposta a incidentes, os serviços de gerenciamento de risco cibernético e os serviços de segurança ofensiva da Mandiant para se proteger e se preparar para incidentes cibernéticos.

A DORA é uma regulamentação da UE. Ela será aplicada no setor de serviços financeiros em todos os estados membros da UE. A DORA atualiza as regras e estabelece um conjunto aprimorado de requisitos comuns para reduzir os riscos de TIC e aumentar a resiliência digital no sistema financeiro europeu. É importante ressaltar que a DORA também introduz um framework para a supervisão direta de fornecedores de TIC críticos por parte de reguladores financeiros da UE, ou seja, a Autoridade Bancária Europeia, a Autoridade Europeia para Seguros e Pensões Ocupacionais e a Autoridade Europeia dos Mercados de Valores Mobiliários (juntas, as Autoridades Europeias de Supervisão).

A DORA estabelece um conjunto aprimorado de requisitos comuns para entidades financeiras na UE para mitigar riscos de TIC e melhorar a resiliência digital no sistema financeiro europeu. Especificamente:

1. A DORA tem requisitos detalhados para entidades financeiras sobre o gerenciamento de riscos de TIC.
2. A DORA consolida os requisitos de relatórios de incidentes do setor financeiro em uma única estrutura simplificada.
3. Com base em iniciativas existentes da UE, como a TIBER-EU, a DORA estabelece uma abordagem em toda a UE para testar a resiliência operacional digital, incluindo testes de penetração liderados por ameaças.
4. A DORA se baseia na base sólida estabelecida pelas respectivas diretrizes de terceirização das autoridades supervisoras europeias, coordenando ainda mais os requisitos de gestão de riscos de terceiros de TIC em vários setores, incluindo os requisitos para contratos com os provedores de TIC.

A DORA também permite que as autoridades supervisoras europeias supervisionem diretamente os provedores de TIC críticos. Esse mecanismo cria um canal de comunicação direto entre reguladores e provedores de TIC designados por meio de engajamentos anuais, incluindo planos de supervisão, inspeções e recomendações.

A DORA se aplica principalmente a entidades financeiras na UE. No entanto, parte da DORA se aplica diretamente aos provedores de TIC (incluindo os provedores de serviços de nuvem) que são designados como "críticos" pelas Autoridades Europeias de Supervisão após um processo oficial. A designação é baseada em vários fatores, incluindo o impacto sistêmico de uma falha dos serviços do provedor de TIC e a importância sistêmica das entidades financeiras que dependem desses serviços.

A DORA entrou em vigor em 17 de janeiro de 2025 (2 anos e 20 dias após a publicação no Jornal Oficial da UE). 

A DORA só se aplica diretamente a provedores de TIC essenciais depois que eles são designados como "críticos" pelas Autoridades Europeias de Supervisão. Portanto, o prazo de conformidade para provedores essenciais de TIC depende do momento da designação.

A Google Cloud EMEA Limited foi oficialmente designada como um provedor de serviços terceirizado de TIC crítico (CTPP). Essa designação inclui as seguintes subsidiárias da Google Cloud EMEA Limited: Google Cloud France SARL, Google Cloud Italy S.r.l e Google Cloud Poland Sp. z o.o.

A Google Cloud EMEA Limited foi designada como um provedor de serviços terceirizado de TIC crítico (CTPP) com base em uma avaliação de criticidade realizada pelas Autoridades Europeias de Supervisão (ESAs). Para chegar a uma conclusão sobre cada CTPP, as ESAs consideram os seguintes critérios estabelecidos no DORA: (a) o impacto sistêmico de uma interrupção dos serviços de TIC do CTPP no setor financeiro, (b) a importância sistêmica das entidades financeiras que usam os serviços de TIC do CTPP, (c) o nível de confiança das entidades financeiras dos serviços de TIC do CTPP e (d) a substituibilidade dos serviços de TIC do CTPP. A metodologia precisa para a avaliação de criticidade da ESA está definida no Regulamento Delegado que especifica os critérios para a designação de provedores de serviços de TIC terceirizados como críticos para entidades financeiras.

O Google Cloud EMEA Limited será supervisionado diretamente por um supervisor principal designado. O supervisor principal será uma das autoridades europeias de supervisão do setor financeiro. O supervisor principal vai avaliar se a Google Cloud EMEA Limited tem regras, procedimentos, mecanismos e acordos abrangentes, sólidos e eficazes para gerenciar o risco de tecnologia da informação e comunicação (TIC) que ela pode representar para as entidades financeiras que usam seus serviços. Se você quiser mais informações sobre como a supervisão de provedores de serviços terceirizados de TIC críticos (CTPPs) vai funcionar na prática, consulte o Guia de atividades de supervisão publicado pelas Autoridades Europeias de Supervisão.

A designação e supervisão da Google Cloud EMEA Limited como um provedor de serviços terceirizado de TIC crítico (CTPP) não afeta o uso dos nossos serviços pelo cliente nem altera os termos do seu contrato.

Se sua organização é uma entidade financeira sujeita à DORA, a supervisão de um CTPP não substitui nem reduz de forma alguma as responsabilidades da sua organização de acordo com a DORA, incluindo o gerenciamento de riscos de terceiros.

Dito isso, ao complementar o gerenciamento de riscos por entidades financeiras e criar um mecanismo claro para que informações e aprendizados fluam entre os CTPPs e as principais partes interessadas de supervisão da UE e nacionais, acreditamos que os clientes e usuários se beneficiarão da supervisão dos CTPPs.

O framework de supervisão para provedores de TIC essenciais de acordo com a DORA cria uma oportunidade genuína de melhorar a compreensão, a transparência e a confiança entre os provedores de TIC, as entidades financeiras e os reguladores financeiros e, por fim, estimular a inovação no setor financeiro da Europa. A DORA vai criar um canal de comunicação direto entre os reguladores e os fornecedores de TIC designados por meio de encontros anuais, incluindo planos de supervisão, inspeções e recomendações. Temos certeza de que esse diálogo estruturado ajudará a melhorar a gestão de riscos e a resiliência em todo o setor.

O Google Cloud tem o compromisso de permitir que os reguladores supervisionem efetivamente o uso dos nossos serviços por entidades financeiras. Nós concedemos informações, auditorias e direitos de acesso a entidades financeiras, reguladores e os representantes e apoiamos nossos clientes quando eles ou os reguladores optam por exercer esses direitos. Abordaremos um relacionamento com nosso Lead Overseer com o mesmo compromisso com a transparência, a colaboração e a garantia contínuas. 

Estamos muito focados no planejamento dos requisitos de supervisão direta e comprometidos em garantir que nossa função de supervisão direta ofereça suporte à comunicação do regulador, às auditorias eficientes e aos planos de correção dentro dos prazos.

Oferecemos às entidades financeiras termos de contrato atualizados para o Google Cloud, o Google Workspace e os serviços de SecOps para abordar as principais disposições contratuais do Artigo 30. Se você precisar dos termos do contrato da DORA, entre em contato com seu representante do Google Cloud para mais detalhes 

Também criamos mapeamentos do Google Cloud e do Google Workspace para o Artigo 30 a fim de ajudar você a entender como nossos contratos, controles e processos ajudam você a atender aos requisitos da DORA.

O RTS sobre subcontratação contém outros requisitos contratuais. Nossos termos de contrato atualizados para o Google Cloud, Google Workspace e serviços de SecOps também atendem aos requisitos contratuais das RTS sobre subcontratação. Se você precisar dos termos do contrato da DORA, entre em contato com seu representante do Google Cloud para mais detalhes.

Quando você usa o Google Cloud para fornecer seus próprios serviços de ICT a entidades financeiras na UE, reconhecemos que você precisa dos termos de contrato corretos com o Google. Para ajudar, nesse cenário, oferecemos aos clientes e parceiros termos contratuais equivalentes para abordar as principais disposições contratuais do Artigo 30. Se você precisar dos termos do contrato da DORA, entre em contato com seu representante do Google Cloud para mais detalhes 

Também criamos um mapeamento do Artigo 30 para o Google Cloud para ajudar você a entender como nossos contratos, controles e processos podem atender aos requisitos DORA.