DORA: Comprovar a Resiliência Operacional Digital no Setor Financeiro
O Regulamento relativo à Resiliência Operacional Digital (DORA, Regulamento (UE) 2022/2554) aplica-se diretamente em toda a UE desde 17 de janeiro de 2025. Exige que as entidades financeiras e os seus prestadores de serviços TIC não só estabeleçam a resiliência operacional digital, como a comprovem de forma contínua — desde a gestão do risco de TIC e a comunicação de incidentes até um registo de informação que abranja todos os contratos de TIC. Esta página explica o que o DORA exige, a quem se aplica (e a quem não), como os cinco pilares funcionam em conjunto e como implementar os requisitos com o Sightadel de forma estruturada e pronta para auditoria.
O que é o DORA?
O DORA é um regulamento da UE e, por isso, aplica-se diretamente — sem leis de transposição nacional. Harmoniza os requisitos de resiliência operacional digital em todo o setor financeiro europeu. Na Alemanha, a BaFin é a autoridade de supervisão competente; ao nível da UE, as três autoridades de supervisão EBA, EIOPA e ESMA supervisionam ainda diretamente os prestadores terceiros de TIC críticos.
A ideia subjacente: as entidades financeiras dependem hoje fortemente das TIC — tanto dos seus próprios sistemas como de fornecedores de cloud e de software. O DORA desloca o foco da mera adequação de capital para saber se uma instituição consegue resistir, comunicar e recuperar de perturbações graves de TIC. Para as entidades financeiras, o DORA é o regime mais específico face ao NIS2 (lex specialis): as organizações no âmbito do DORA cumprem aí, principalmente, as suas obrigações de cibersegurança.
O regulamento é concretizado por normas técnicas de regulamentação e de execução (RTS/ITS) das ESAs — por exemplo, sobre o quadro de gestão do risco de TIC, a classificação de incidentes e o registo de informação.
A Quem se Aplica o DORA — e a Quem Não?
O DORA aplica-se a si se …
… a sua organização pertencer a uma das cerca de 20 categorias de entidades financeiras abrangidas pelo regulamento. Incluem-se, entre outras:
- Instituições de crédito, instituições de pagamento e instituições de moeda eletrónica.
- Empresas de investimento, plataformas de negociação e gestoras de fundos.
- Empresas de seguros e resseguros, bem como intermediários de seguros de maior dimensão.
- Prestadores de serviços de criptoativos ao abrigo do MiCA.
- Instituições de realização de planos de pensões profissionais, agências de notação de risco e prestadores de serviços de financiamento colaborativo.
… ou se prestar serviços de TIC a entidades financeiras — por exemplo, como fornecedor de cloud, de software ou de centro de dados. Os seus clientes têm de acordar consigo disposições contratuais conformes ao DORA (art. 30.º) e incluí-lo no respetivo registo de informação. Os prestadores terceiros de TIC designados como críticos estão ainda sujeitos à supervisão direta das ESAs.
O DORA segue o princípio da proporcionalidade: o âmbito e a profundidade das medidas dependem da dimensão, do perfil de risco e da complexidade. Às microempresas e a determinadas categorias de instituições aplica-se um quadro simplificado de gestão do risco de TIC.
O DORA não se aplica a si se …
… a sua organização não for nem uma entidade financeira regulada nem um prestador de TIC de uma delas. Também existem algumas isenções dentro do setor — por exemplo, para intermediários de seguros abaixo de determinados limiares de dimensão ou instituições de pensões profissionais muito pequenas.
A ressalva: assim que uma entidade financeira estiver entre os seus clientes, os requisitos do DORA chegam até si indiretamente através da gestão do risco de terceiros dessa entidade — mesmo sem ser você próprio supervisionado.
Os Cinco Pilares do DORA
- Gestão do risco de TIC (art. 5.º–16.º). Um quadro de gestão do risco documentado com responsabilidade clara do órgão de administração: identificação de funções críticas, medidas de proteção e deteção, conceitos de cópia de segurança e recuperação.
- Gestão e comunicação de incidentes relacionados com as TIC (art. 17.º–23.º). Os incidentes têm de ser registados, classificados segundo critérios uniformes, e os incidentes graves comunicados à autoridade dentro de prazos definidos — com um relatório inicial, intercalar e final.
- Testes de resiliência operacional digital (art. 24.º–27.º). Um programa de testes baseado no risco para todas as entidades; para as instituições designadas, adicionalmente, testes de penetração baseados em ameaças (TLPT) pelo menos de três em três anos.
- Gestão do risco de terceiros de TIC (art. 28.º–44.º). Avaliação e monitorização de todos os prestadores de TIC, disposições contratuais obrigatórias (art. 30.º), estratégias de saída — e o registo de informação que abrange todos os acordos contratuais, a facultar ao supervisor a pedido e numa periodicidade anual.
- Partilha de informação (art. 45.º). Intercâmbio voluntário de informação sobre ciberameaças entre entidades financeiras.
O Desafio Típico na Implementação do DORA
- O registo de informação como obra permanente. Manter centenas de contratos de TIC, cadeias de subcontratantes e funções críticas em folhas de cálculo é propenso a erros — e a submissão ao supervisor vence todos os anos.
- Prazos de comunicação sem um processo rodado. Saber se um incidente é de comunicação obrigatória decide-se com base em critérios de classificação definidos — sob pressão de tempo. Sem procedimentos e responsabilidades preparados, cada perturbação transforma-se num projeto de crise.
- Trabalho duplicado a par de normas já existentes. Muito do que o DORA exige já existe num SGSI segundo a ISO 27001 ou em evidências C5 — mas é documentado separadamente em vez de estar ligado.
Como o Sightadel Simplifica a Implementação do DORA
O Sightadel é o portal de conformidade da Pervigon Security Suite. Representa os requisitos do DORA ao longo dos cinco pilares como um catálogo estruturado, ao qual atribui medidas, responsáveis e evidências — incluindo o registo de informação e os processos de incidentes.
O DORA com o Sightadel na Prática
- Registar.Inventariar as funções críticas, os sistemas de TIC e todos os prestadores de TIC; construir o registo de informação.
- Avaliar.Análise de lacunas face aos cinco pilares, plano de ação priorizado com responsáveis e prazos.
- Implementar.Documentar o quadro de gestão do risco, estabelecer os processos de incidentes e comunicação, planear o programa de testes, rever os contratos quanto à conformidade com o art. 30.º.
- Manter.Manter o registo atualizado, realizar testes e revisões de forma recorrente, e manter as evidências disponíveis a qualquer momento para o supervisor e para a auditoria interna.
Perguntas Frequentes Sobre o DORA
Resiliência Digital como um Estado, Não como um Projeto
O DORA é prática de supervisão viva desde janeiro de 2025: as submissões de registo, as comunicações de incidentes e os testes repetem-se. O Sightadel mantém o seu estado de DORA continuamente atualizado — estruturado, auditável e sem que cada pedido do supervisor desencadeie um novo projeto.