DORA · Regulamento do setor financeiro da UE

DORA: Comprovando a Resiliência Operacional Digital no Setor Financeiro

O Regulamento de Resiliência Operacional Digital (DORA, Regulamento (UE) 2022/2554) aplica-se diretamente em toda a UE desde 17 de janeiro de 2025. Ele exige que as entidades financeiras e seus provedores de serviços de TIC não apenas estabeleçam a resiliência operacional digital, mas a comprovem continuamente — da gestão de risco de TIC e da notificação de incidentes até um registro de informações que abranja todos os contratos de TIC. Esta página explica o que o DORA exige, a quem se aplica (e a quem não), como os cinco pilares funcionam juntos e como implementar os requisitos com a Sightadel de forma estruturada e pronta para auditoria.

O Que É o DORA?

O DORA é um regulamento da UE e, portanto, se aplica diretamente — sem leis de transposição nacional. Ele harmoniza os requisitos de resiliência operacional digital em todo o setor financeiro europeu. Na Alemanha, a BaFin é a autoridade de supervisão competente; no nível da UE, as três autoridades de supervisão EBA, EIOPA e ESMA também supervisionam diretamente os provedores terceiros de TIC críticos.

A ideia subjacente: as entidades financeiras hoje dependem fortemente de TIC — tanto de seus próprios sistemas quanto de provedores de nuvem e fornecedores de software. O DORA desloca o foco da mera adequação de capital para saber se uma instituição consegue suportar, notificar e se recuperar de interrupções graves de TIC. Para entidades financeiras, o DORA é o regime mais específico em relação à NIS2 (lex specialis): as organizações no escopo do DORA cumprem ali, principalmente, suas obrigações de cibersegurança.

O regulamento é detalhado por normas técnicas de regulamentação e de execução (RTS/ITS) das ESAs — por exemplo, sobre a estrutura de gestão de risco de TIC, a classificação de incidentes e o registro de informações.

A Quem o DORA Se Aplica — e a Quem Não?

O DORA se aplica a você se …

… sua organização pertencer a uma das cerca de 20 categorias de entidades financeiras abrangidas pelo regulamento. Isso inclui, entre outras:

  • Instituições de crédito, instituições de pagamento e instituições de moeda eletrônica.
  • Empresas de investimento, plataformas de negociação e gestoras de fundos.
  • Empresas de seguros e resseguros, bem como intermediários de seguros de maior porte.
  • Provedores de serviços de criptoativos nos termos da MiCA.
  • Instituições de previdência complementar, agências de classificação de risco e provedores de financiamento coletivo.

… ou se você presta serviços de TIC a entidades financeiras — por exemplo, como provedor de nuvem, de software ou de data center. Seus clientes precisam acordar com você disposições contratuais em conformidade com o DORA (art. 30) e incluí-lo em seu registro de informações. Provedores terceiros de TIC designados como críticos ficam ainda sujeitos à supervisão direta das ESAs.

O DORA segue o princípio da proporcionalidade: o alcance e a profundidade das medidas dependem do porte, do perfil de risco e da complexidade. Um regime simplificado de gestão de risco de TIC se aplica a microempresas e a determinadas categorias de instituições.

O DORA não se aplica a você se …

… sua organização não for nem uma entidade financeira regulada nem um provedor de TIC de uma delas. Também existem algumas isenções dentro do setor — por exemplo, para intermediários de seguros abaixo de certos limites de porte ou instituições de previdência complementar muito pequenas.

A ressalva: assim que uma entidade financeira estiver entre seus clientes, os requisitos do DORA chegam até você indiretamente por meio da gestão de risco de terceiros dela — mesmo sem você próprio ser supervisionado.

Os Cinco Pilares do DORA

  • Gestão de risco de TIC (art. 5–16). Uma estrutura de gestão de risco documentada com responsabilidade clara do órgão de administração: identificação de funções críticas, medidas de proteção e detecção, conceitos de backup e recuperação.
  • Tratamento e notificação de incidentes de TIC (art. 17–23). Os incidentes devem ser registrados, classificados segundo critérios uniformes, e os incidentes graves notificados à autoridade dentro de prazos definidos — com um relatório inicial, intermediário e final.
  • Testes de resiliência operacional digital (art. 24–27). Um programa de testes baseado em risco para todas as entidades; para instituições designadas, testes de penetração orientados por ameaças (TLPT) adicionais pelo menos a cada três anos.
  • Gestão de risco de terceiros de TIC (art. 28–44). Avaliação e monitoramento de todos os provedores de TIC, disposições contratuais obrigatórias (art. 30), estratégias de saída — e o registro de informações que abrange todos os acordos contratuais, a ser disponibilizado ao supervisor mediante solicitação e em ciclo anual.
  • Compartilhamento de informações (art. 45). Troca voluntária de informações sobre ameaças cibernéticas entre entidades financeiras.

O Desafio Típico na Implementação do DORA

  • O registro de informações como obra permanente. Manter centenas de contratos de TIC, cadeias de subcontratados e funções críticas em planilhas é propenso a erros — e a apresentação ao supervisor vence todos os anos.
  • Prazos de notificação sem um processo ensaiado. Se um incidente é ou não notificável se decide com base em critérios de classificação definidos — sob pressão de tempo. Sem procedimentos e responsabilidades preparados, cada interrupção vira um projeto de crise.
  • Trabalho duplicado ao lado de normas já existentes. Boa parte do que o DORA exige já existe em um SGSI conforme a ISO 27001 ou em evidências C5 — mas é documentada separadamente em vez de vinculada.

Como a Sightadel Simplifica a Implementação do DORA

A Sightadel é o portal de conformidade dentro da Pervigon Security Suite. Ela representa os requisitos do DORA ao longo dos cinco pilares como um catálogo estruturado, ao qual você atribui medidas, responsáveis e evidências — incluindo o registro de informações e os processos de incidentes.

Mais rápido para começar. O catálogo do DORA, incluindo as especificações RTS, já vem incorporado ao portal. Você mapeia as medidas existentes e vê imediatamente onde restam lacunas por pilar.
Um registro de informações sem manutenção em planilhas. Provedores de TIC, contratos, funções críticas e subcontratados são registrados de forma centralizada e mantidos atualizados. A apresentação anual passa a ser a consulta de um estado mantido, não uma corrida de última hora.
Processos de incidentes com prazos. Critérios de classificação, canais de notificação e os prazos dos relatórios inicial, intermediário e final são modelados como um processo — com responsáveis e lembretes prontos antes de o incidente real acontecer.
Reutilização de evidências. O DORA se sobrepõe fortemente à ISO 27001, à NIS2 e ao BSI C5. Uma evidência registrada uma única vez — por exemplo, sobre controle de acesso ou backups — é automaticamente mapeada para os requisitos relacionados dessas normas. Você a mantém uma vez, não por framework.
Sem consultores externos como muleta permanente. A lógica de mapeamento do domínio é incorporada ao portal e apoiada pelo núcleo neoAI. A avaliação regulatória do seu caso específico continua sendo tarefa das suas funções de compliance e jurídica — a manutenção contínua fica a cargo da sua própria equipe.

O DORA com a Sightadel na Prática

  1. 1
    Registre.Inventarie as funções críticas, os sistemas de TIC e todos os provedores de TIC; construa o registro de informações.
  2. 2
    Avalie.Análise de lacunas em relação aos cinco pilares, plano de ação priorizado com responsáveis e prazos.
  3. 3
    Implemente.Documente a estrutura de gestão de risco, estabeleça os processos de incidentes e notificação, planeje o programa de testes, revise os contratos quanto à conformidade com o art. 30.
  4. 4
    Mantenha.Mantenha o registro atualizado, execute testes e revisões de forma recorrente, e mantenha as evidências disponíveis a qualquer momento para o supervisor e a auditoria interna.

Perguntas Frequentes Sobre o DORA

O regulamento entrou em vigor em janeiro de 2023 e se aplica desde 17 de janeiro de 2025. Não há mais período de transição — os requisitos são exigíveis desde então.

Resiliência Digital Como um Estado, Não Como um Projeto

O DORA é prática de supervisão viva desde janeiro de 2025: apresentações de registro, notificações de incidentes e testes se repetem. A Sightadel mantém seu status de DORA continuamente atualizado — estruturado, auditável e sem que cada solicitação do supervisor desencadeie um novo projeto.

Veja seu status de DORA na Sightadel.

Agende uma demonstração