Num comunicado divulgado na sua página eletrónica, o banco central explica que o projeto de instrução surge no âmbito das "orientações relativas à gestão dos riscos associados às tecnologias de informação e comunicação (TIC) e à segurança" emitidas em 28 de novembro de 2019 pela Autoridade Bancária Europeia (EBA).
Conforme explica, estas orientações "definem um conjunto de requisitos necessários para garantir uma gestão adequada dos riscos associados às TIC e à segurança, designadamente através do reforço da segurança dos sistemas, redes e aplicações e da minimização dos riscos associados à subcontratação externa e à ocorrência de incidentes de cibersegurança".
"O projeto de instrução visa regulamentar, relativamente aos prestadores de serviço de pagamento, os requisitos definidos nas orientações, em particular o dever de efetuarem um reporte anual ao Banco de Portugal sobre os riscos operacionais e de segurança dos serviços de pagamento por si prestados", precisa.
Os contributos para esta consulta pública devem ser apresentados através do preenchimento do ficheiro Excel disponível no 'site' do BdP e remetidos, até 29 de janeiro de 2021, para o endereço de correio eletrónico consultas.publicas.dsp@bportugal.pt.
Os contributos recebidos ao abrigo desta consulta pública podem vir a ser publicados pelo Banco de Portugal, pelo que os respondentes que se oponham à publicação da sua comunicação -- integral ou parcial -- devem assinalar o campo indicado para o efeito no contributo enviado.
No projeto de instrução, o BdP sublinha a importância das orientações de gestão de risco dos serviços de pagamento "para o reforço da resiliência operacional do setor financeiro".
"Em primeiro lugar, as orientações introduzem uma maior especificação das expectativas de supervisão do risco associados às TIC e à segurança e robustecem desse modo os atuais requisitos prudenciais, em particular no questionário de autoavaliação do risco TIC das instituições de crédito cujos resultados são tidos em conta no SREP [processo de análise e avaliação pelo supervisor, do inglês 'Supervisory Review and Evaluation Process'], designadamente na análise de riscos para o capital, na categoria de sistemas de informação e no contexto do risco operacional", refere.
"Em segundo lugar -- continua - as orientações descrevem com maior clareza as responsabilidades da direção de topo e da segunda e terceira linha de defesa na gestão da estratégia TIC e modelo de governo".
Adicionalmente, "as orientações fortalecem a recente estratégia do Banco de Portugal para o reforço da resiliência operacional em matéria de cibersegurança, complementando a Instrução n.º 1/20194 e a Instrução n.º 21/20195, que instituem deveres de reporte de incidentes operacionais e de segurança, e incidentes de cibersegurança em Portugal".
"Finalmente -- remata o banco central - as orientações introduzem a possibilidade de as instituições realizarem testes de intrusão, com maior ou menor âmbito, intensidade e periodicidade, como forma de testar eventuais vulnerabilidades em sistemas e de aferir a eficácia e capacidade de resposta dos mecanismos de defesa".