DORA · Regulamento do setor financeiro da UE

DORA: Comprovar a Resiliência Operacional Digital no Setor Financeiro

O Regulamento relativo à Resiliência Operacional Digital (DORA, Regulamento (UE) 2022/2554) aplica-se diretamente em toda a UE desde 17 de janeiro de 2025. Exige que as entidades financeiras e os seus prestadores de serviços TIC não só estabeleçam a resiliência operacional digital, como a comprovem de forma contínua — desde a gestão do risco de TIC e a comunicação de incidentes até um registo de informação que abranja todos os contratos de TIC. Esta página explica o que o DORA exige, a quem se aplica (e a quem não), como os cinco pilares funcionam em conjunto e como implementar os requisitos com o Sightadel de forma estruturada e pronta para auditoria.

O que é o DORA?

O DORA é um regulamento da UE e, por isso, aplica-se diretamente — sem leis de transposição nacional. Harmoniza os requisitos de resiliência operacional digital em todo o setor financeiro europeu. Na Alemanha, a BaFin é a autoridade de supervisão competente; ao nível da UE, as três autoridades de supervisão EBA, EIOPA e ESMA supervisionam ainda diretamente os prestadores terceiros de TIC críticos.

A ideia subjacente: as entidades financeiras dependem hoje fortemente das TIC — tanto dos seus próprios sistemas como de fornecedores de cloud e de software. O DORA desloca o foco da mera adequação de capital para saber se uma instituição consegue resistir, comunicar e recuperar de perturbações graves de TIC. Para as entidades financeiras, o DORA é o regime mais específico face ao NIS2 (lex specialis): as organizações no âmbito do DORA cumprem aí, principalmente, as suas obrigações de cibersegurança.

O regulamento é concretizado por normas técnicas de regulamentação e de execução (RTS/ITS) das ESAs — por exemplo, sobre o quadro de gestão do risco de TIC, a classificação de incidentes e o registo de informação.

A Quem se Aplica o DORA — e a Quem Não?

O DORA aplica-se a si se …

… a sua organização pertencer a uma das cerca de 20 categorias de entidades financeiras abrangidas pelo regulamento. Incluem-se, entre outras:

  • Instituições de crédito, instituições de pagamento e instituições de moeda eletrónica.
  • Empresas de investimento, plataformas de negociação e gestoras de fundos.
  • Empresas de seguros e resseguros, bem como intermediários de seguros de maior dimensão.
  • Prestadores de serviços de criptoativos ao abrigo do MiCA.
  • Instituições de realização de planos de pensões profissionais, agências de notação de risco e prestadores de serviços de financiamento colaborativo.

… ou se prestar serviços de TIC a entidades financeiras — por exemplo, como fornecedor de cloud, de software ou de centro de dados. Os seus clientes têm de acordar consigo disposições contratuais conformes ao DORA (art. 30.º) e incluí-lo no respetivo registo de informação. Os prestadores terceiros de TIC designados como críticos estão ainda sujeitos à supervisão direta das ESAs.

O DORA segue o princípio da proporcionalidade: o âmbito e a profundidade das medidas dependem da dimensão, do perfil de risco e da complexidade. Às microempresas e a determinadas categorias de instituições aplica-se um quadro simplificado de gestão do risco de TIC.

O DORA não se aplica a si se …

… a sua organização não for nem uma entidade financeira regulada nem um prestador de TIC de uma delas. Também existem algumas isenções dentro do setor — por exemplo, para intermediários de seguros abaixo de determinados limiares de dimensão ou instituições de pensões profissionais muito pequenas.

A ressalva: assim que uma entidade financeira estiver entre os seus clientes, os requisitos do DORA chegam até si indiretamente através da gestão do risco de terceiros dessa entidade — mesmo sem ser você próprio supervisionado.

Os Cinco Pilares do DORA

  • Gestão do risco de TIC (art. 5.º–16.º). Um quadro de gestão do risco documentado com responsabilidade clara do órgão de administração: identificação de funções críticas, medidas de proteção e deteção, conceitos de cópia de segurança e recuperação.
  • Gestão e comunicação de incidentes relacionados com as TIC (art. 17.º–23.º). Os incidentes têm de ser registados, classificados segundo critérios uniformes, e os incidentes graves comunicados à autoridade dentro de prazos definidos — com um relatório inicial, intercalar e final.
  • Testes de resiliência operacional digital (art. 24.º–27.º). Um programa de testes baseado no risco para todas as entidades; para as instituições designadas, adicionalmente, testes de penetração baseados em ameaças (TLPT) pelo menos de três em três anos.
  • Gestão do risco de terceiros de TIC (art. 28.º–44.º). Avaliação e monitorização de todos os prestadores de TIC, disposições contratuais obrigatórias (art. 30.º), estratégias de saída — e o registo de informação que abrange todos os acordos contratuais, a facultar ao supervisor a pedido e numa periodicidade anual.
  • Partilha de informação (art. 45.º). Intercâmbio voluntário de informação sobre ciberameaças entre entidades financeiras.

O Desafio Típico na Implementação do DORA

  • O registo de informação como obra permanente. Manter centenas de contratos de TIC, cadeias de subcontratantes e funções críticas em folhas de cálculo é propenso a erros — e a submissão ao supervisor vence todos os anos.
  • Prazos de comunicação sem um processo rodado. Saber se um incidente é de comunicação obrigatória decide-se com base em critérios de classificação definidos — sob pressão de tempo. Sem procedimentos e responsabilidades preparados, cada perturbação transforma-se num projeto de crise.
  • Trabalho duplicado a par de normas já existentes. Muito do que o DORA exige já existe num SGSI segundo a ISO 27001 ou em evidências C5 — mas é documentado separadamente em vez de estar ligado.

Como o Sightadel Simplifica a Implementação do DORA

O Sightadel é o portal de conformidade da Pervigon Security Suite. Representa os requisitos do DORA ao longo dos cinco pilares como um catálogo estruturado, ao qual atribui medidas, responsáveis e evidências — incluindo o registo de informação e os processos de incidentes.

Início mais rápido. O catálogo do DORA, incluindo as especificações RTS, está incorporado no portal. Associa as medidas existentes e vê de imediato onde subsistem lacunas por pilar.
Um registo de informação sem manutenção em folhas de cálculo. Prestadores de TIC, contratos, funções críticas e subcontratantes são registados de forma centralizada e mantidos atualizados. A submissão anual passa a ser a consulta de um estado mantido, e não uma correria de última hora.
Processos de incidentes com prazos. Os critérios de classificação, os canais de comunicação e os prazos dos relatórios inicial, intercalar e final são modelados como um processo — com responsáveis e lembretes em vigor antes de o cenário real acontecer.
Reutilização de evidências. O DORA sobrepõe-se fortemente à ISO 27001, ao NIS2 e ao BSI C5. Uma evidência registada uma única vez — por exemplo, sobre controlo de acesso ou cópias de segurança — é automaticamente associada aos requisitos relacionados dessas normas. Mantém-na uma vez, não por referencial.
Sem consultores externos como muleta permanente. A lógica de associação do domínio está incorporada no portal e apoiada pelo núcleo neoAI. A avaliação prudencial do seu caso específico continua a ser tarefa das suas funções de conformidade e jurídica — a manutenção contínua é feita pela sua própria equipa.

O DORA com o Sightadel na Prática

  1. 1
    Registar.Inventariar as funções críticas, os sistemas de TIC e todos os prestadores de TIC; construir o registo de informação.
  2. 2
    Avaliar.Análise de lacunas face aos cinco pilares, plano de ação priorizado com responsáveis e prazos.
  3. 3
    Implementar.Documentar o quadro de gestão do risco, estabelecer os processos de incidentes e comunicação, planear o programa de testes, rever os contratos quanto à conformidade com o art. 30.º.
  4. 4
    Manter.Manter o registo atualizado, realizar testes e revisões de forma recorrente, e manter as evidências disponíveis a qualquer momento para o supervisor e para a auditoria interna.

Perguntas Frequentes Sobre o DORA

O regulamento entrou em vigor em janeiro de 2023 e aplica-se desde 17 de janeiro de 2025. Não existe qualquer período de transição remanescente — os requisitos são exigíveis desde então.

Resiliência Digital como um Estado, Não como um Projeto

O DORA é prática de supervisão viva desde janeiro de 2025: as submissões de registo, as comunicações de incidentes e os testes repetem-se. O Sightadel mantém o seu estado de DORA continuamente atualizado — estruturado, auditável e sem que cada pedido do supervisor desencadeie um novo projeto.

Veja o seu estado de DORA no Sightadel.

Marcar uma demonstração