DORA: Comprovando a Resiliência Operacional Digital no Setor Financeiro
O Regulamento de Resiliência Operacional Digital (DORA, Regulamento (UE) 2022/2554) aplica-se diretamente em toda a UE desde 17 de janeiro de 2025. Ele exige que as entidades financeiras e seus provedores de serviços de TIC não apenas estabeleçam a resiliência operacional digital, mas a comprovem continuamente — da gestão de risco de TIC e da notificação de incidentes até um registro de informações que abranja todos os contratos de TIC. Esta página explica o que o DORA exige, a quem se aplica (e a quem não), como os cinco pilares funcionam juntos e como implementar os requisitos com a Sightadel de forma estruturada e pronta para auditoria.
O Que É o DORA?
O DORA é um regulamento da UE e, portanto, se aplica diretamente — sem leis de transposição nacional. Ele harmoniza os requisitos de resiliência operacional digital em todo o setor financeiro europeu. Na Alemanha, a BaFin é a autoridade de supervisão competente; no nível da UE, as três autoridades de supervisão EBA, EIOPA e ESMA também supervisionam diretamente os provedores terceiros de TIC críticos.
A ideia subjacente: as entidades financeiras hoje dependem fortemente de TIC — tanto de seus próprios sistemas quanto de provedores de nuvem e fornecedores de software. O DORA desloca o foco da mera adequação de capital para saber se uma instituição consegue suportar, notificar e se recuperar de interrupções graves de TIC. Para entidades financeiras, o DORA é o regime mais específico em relação à NIS2 (lex specialis): as organizações no escopo do DORA cumprem ali, principalmente, suas obrigações de cibersegurança.
O regulamento é detalhado por normas técnicas de regulamentação e de execução (RTS/ITS) das ESAs — por exemplo, sobre a estrutura de gestão de risco de TIC, a classificação de incidentes e o registro de informações.
A Quem o DORA Se Aplica — e a Quem Não?
O DORA se aplica a você se …
… sua organização pertencer a uma das cerca de 20 categorias de entidades financeiras abrangidas pelo regulamento. Isso inclui, entre outras:
- Instituições de crédito, instituições de pagamento e instituições de moeda eletrônica.
- Empresas de investimento, plataformas de negociação e gestoras de fundos.
- Empresas de seguros e resseguros, bem como intermediários de seguros de maior porte.
- Provedores de serviços de criptoativos nos termos da MiCA.
- Instituições de previdência complementar, agências de classificação de risco e provedores de financiamento coletivo.
… ou se você presta serviços de TIC a entidades financeiras — por exemplo, como provedor de nuvem, de software ou de data center. Seus clientes precisam acordar com você disposições contratuais em conformidade com o DORA (art. 30) e incluí-lo em seu registro de informações. Provedores terceiros de TIC designados como críticos ficam ainda sujeitos à supervisão direta das ESAs.
O DORA segue o princípio da proporcionalidade: o alcance e a profundidade das medidas dependem do porte, do perfil de risco e da complexidade. Um regime simplificado de gestão de risco de TIC se aplica a microempresas e a determinadas categorias de instituições.
O DORA não se aplica a você se …
… sua organização não for nem uma entidade financeira regulada nem um provedor de TIC de uma delas. Também existem algumas isenções dentro do setor — por exemplo, para intermediários de seguros abaixo de certos limites de porte ou instituições de previdência complementar muito pequenas.
A ressalva: assim que uma entidade financeira estiver entre seus clientes, os requisitos do DORA chegam até você indiretamente por meio da gestão de risco de terceiros dela — mesmo sem você próprio ser supervisionado.
Os Cinco Pilares do DORA
- Gestão de risco de TIC (art. 5–16). Uma estrutura de gestão de risco documentada com responsabilidade clara do órgão de administração: identificação de funções críticas, medidas de proteção e detecção, conceitos de backup e recuperação.
- Tratamento e notificação de incidentes de TIC (art. 17–23). Os incidentes devem ser registrados, classificados segundo critérios uniformes, e os incidentes graves notificados à autoridade dentro de prazos definidos — com um relatório inicial, intermediário e final.
- Testes de resiliência operacional digital (art. 24–27). Um programa de testes baseado em risco para todas as entidades; para instituições designadas, testes de penetração orientados por ameaças (TLPT) adicionais pelo menos a cada três anos.
- Gestão de risco de terceiros de TIC (art. 28–44). Avaliação e monitoramento de todos os provedores de TIC, disposições contratuais obrigatórias (art. 30), estratégias de saída — e o registro de informações que abrange todos os acordos contratuais, a ser disponibilizado ao supervisor mediante solicitação e em ciclo anual.
- Compartilhamento de informações (art. 45). Troca voluntária de informações sobre ameaças cibernéticas entre entidades financeiras.
O Desafio Típico na Implementação do DORA
- O registro de informações como obra permanente. Manter centenas de contratos de TIC, cadeias de subcontratados e funções críticas em planilhas é propenso a erros — e a apresentação ao supervisor vence todos os anos.
- Prazos de notificação sem um processo ensaiado. Se um incidente é ou não notificável se decide com base em critérios de classificação definidos — sob pressão de tempo. Sem procedimentos e responsabilidades preparados, cada interrupção vira um projeto de crise.
- Trabalho duplicado ao lado de normas já existentes. Boa parte do que o DORA exige já existe em um SGSI conforme a ISO 27001 ou em evidências C5 — mas é documentada separadamente em vez de vinculada.
Como a Sightadel Simplifica a Implementação do DORA
A Sightadel é o portal de conformidade dentro da Pervigon Security Suite. Ela representa os requisitos do DORA ao longo dos cinco pilares como um catálogo estruturado, ao qual você atribui medidas, responsáveis e evidências — incluindo o registro de informações e os processos de incidentes.
O DORA com a Sightadel na Prática
- Registre.Inventarie as funções críticas, os sistemas de TIC e todos os provedores de TIC; construa o registro de informações.
- Avalie.Análise de lacunas em relação aos cinco pilares, plano de ação priorizado com responsáveis e prazos.
- Implemente.Documente a estrutura de gestão de risco, estabeleça os processos de incidentes e notificação, planeje o programa de testes, revise os contratos quanto à conformidade com o art. 30.
- Mantenha.Mantenha o registro atualizado, execute testes e revisões de forma recorrente, e mantenha as evidências disponíveis a qualquer momento para o supervisor e a auditoria interna.
Perguntas Frequentes Sobre o DORA
Resiliência Digital Como um Estado, Não Como um Projeto
O DORA é prática de supervisão viva desde janeiro de 2025: apresentações de registro, notificações de incidentes e testes se repetem. A Sightadel mantém seu status de DORA continuamente atualizado — estruturado, auditável e sem que cada solicitação do supervisor desencadeie um novo projeto.