Pago · DORA

Qual a prontidão DORA
da sua organização?

Responda a 20 perguntas sobre os 5 pilares de resiliência TIC. Receba uma análise de lacunas por IA com as suas prioridades — entregue na sua caixa de entrada.

20 perguntas
~5 minutos
Análise IA de lacunas
Relatório completo por email
🛡️ Aviso de informação sensível: Esta avaliação pode perguntar sobre os seus sistemas TIC, resultados de testes e dependências de terceiros. Não partilhe nomes específicos de sistemas, contratos de fornecedores, resultados de testes ou detalhes técnicos que possam expor a sua infraestrutura operacional. Responda apenas ao nível de políticas e processos.

Com base em: Regulamento (UE) 2022/2554 — DORA ↗

🏦
Paid Assessment

DORA ICT Risk Assessment

Get a full AI-powered gap analysis across 5 DORA pillars — with DORA article references and recommended next steps based on your entity type.

Get access →

Questions? Contact us

Perfil da organização Step 1 of 6
Passo 1 de 6 — Perfil da Organização

Conte-nos sobre a sua organização

O DORA aplica-se exclusivamente a entidades do setor financeiro conforme definido no Artigo 2. Isto ajuda-nos a confirmar o seu âmbito e adaptar a avaliação ao seu tipo de entidade.

Passo 2 de 6 — Gestão de Risco TIC

Quadro de gestão de risco TIC

O Capítulo II do DORA exige que as entidades financeiras mantenham um quadro robusto de gestão de risco TIC como parte do seu sistema global de gestão de riscos.

A sua organização possui um quadro de gestão de risco TIC documentado e aprovado pelo órgão de administração?
DORA Art. 5–6: O órgão de administração deve aprovar, supervisionar e ser responsável pelo quadro de gestão de risco TIC.
Mantém um inventário de ativos TIC continuamente atualizado cobrindo todos os sistemas que suportam funções críticas ou importantes?
DORA Art. 8: As entidades financeiras devem identificar todos os ativos e mapear interdependências para compreender a sua superfície de ataque.
Possui planos documentados de continuidade de negócio e recuperação de desastres TIC testados pelo menos anualmente?
DORA Art. 11: Os BCP e DRP TIC devem abordar objetivos de tempo de recuperação (RTO) e objetivos de ponto de recuperação (RPO).
A sua organização realiza avaliações regulares de risco TIC e atualiza as medidas de tratamento de risco em conformidade?
DORA Art. 7–10: A avaliação de risco deve cobrir todos os elementos da infraestrutura TIC e ser revista pelo menos anualmente.
Passo 3 de 6 — Gestão de Incidentes TIC

Classificação e reporte de incidentes TIC

O Capítulo III do DORA estabelece requisitos rigorosos para detetar, classificar e reportar incidentes TIC graves às autoridades competentes dentro de prazos apertados.

Tem um processo definido para detetar, classificar e escalar incidentes TIC com base nos critérios de materialidade do DORA?
DORA Art. 17–18: Os incidentes devem ser classificados usando os critérios do DORA (clientes afetados, perda de dados, duração, dispersão geográfica, criticidade dos serviços).
Consegue submeter uma notificação inicial à sua autoridade competente dentro de 4 horas após classificar um incidente grave?
DORA Art. 19: Relatório inicial em 4 horas (máx. 24h após tomada de conhecimento); relatório intermédio em 72 horas; relatório final em 1 mês.
Tem um processo para notificar clientes afetados por incidentes TIC graves que impactem os seus interesses financeiros?
DORA Art. 19(4): As entidades financeiras devem informar os clientes sobre incidentes graves e ameaças cibernéticas que possam afetar os seus interesses financeiros sem demora injustificada.
Mantém registos de todos os incidentes TIC e realiza revisões pós-incidente para incidentes graves?
DORA Art. 17: Todos os incidentes devem ser registados. As lições aprendidas com incidentes graves devem alimentar as medidas de gestão e prevenção de riscos.
Passo 4 de 6 — Testes de Resiliência

Testes de resiliência operacional digital

O Capítulo IV do DORA exige um programa de testes abrangente, incluindo testes básicos anuais e testes de penetração baseados em ameaças (TLPT) a cada três anos para entidades significativas.

A sua organização realiza testes de resiliência TIC pelo menos anuais incluindo avaliações de vulnerabilidade e testes baseados em cenários?
DORA Art. 25–26: O programa de testes básico inclui análises de vulnerabilidades, avaliações de segurança de rede, análises de lacunas e testes baseados em cenários conforme apropriado.
A sua organização avaliou se é obrigada a realizar Testes de Penetração Baseados em Ameaças (TLPT) ao abrigo do DORA?
DORA Art. 26: O TLPT é obrigatório a cada 3 anos para entidades financeiras significativas identificadas pelas autoridades competentes. Deve cobrir sistemas de produção em funcionamento.
As ações de remediação resultantes dos testes são acompanhadas e resolvidas dentro dos prazos definidos?
DORA Art. 27: As entidades devem resolver vulnerabilidades e fraquezas identificadas após os testes, com remediação completa confirmada e reportada ao órgão de administração.
Passo 5 de 6 — Risco TIC de Terceiros

Gestão de dependências TIC de terceiros

O Capítulo V do DORA introduz requisitos detalhados para gerir o risco TIC de terceiros, incluindo disposições contratuais obrigatórias e supervisão de fornecedores TIC críticos pela UE.

Mantém um registo completo de todos os fornecedores de serviços TIC de terceiros, distinguindo os que suportam funções críticas ou importantes?
DORA Art. 28: Deve ser mantido um registo completo dos acordos TIC com terceiros e reportado anualmente às autoridades competentes.
Os contratos com fornecedores TIC incluem as disposições obrigatórias exigidas pelo DORA (estratégias de saída, direitos de auditoria, reporte de incidentes, SLAs)?
DORA Art. 30: Os contratos devem incluir requisitos de segurança, obrigações de notificação de incidentes, direitos de acesso para auditoria, planos de saída e cláusulas de portabilidade de dados.
Realiza due diligence antes de integrar fornecedores TIC de terceiros e monitoriza continuamente o seu desempenho?
DORA Art. 28–29: É necessária uma avaliação de risco pré-contratual. A supervisão contínua deve abranger padrões de segurança, qualidade do serviço e cadeias de subcontratação.
Possui estratégias de saída documentadas que garantem a continuidade do serviço se um fornecedor TIC crítico falhar ou for retirado?
DORA Art. 28(8): As estratégias de saída devem abordar direitos de rescisão, períodos de transição, migração de dados e continuidade operacional sem impactar as atividades reguladas.
A sua organização avaliou se algum dos seus fornecedores TIC pode ser designado como Fornecedor Terceiro Crítico (CTPP) sujeito a supervisão direta da UE?
DORA Art. 31: As ESAs (EBA, ESMA, EIOPA) podem designar CTPPs. As entidades financeiras que utilizam CTPPs enfrentam obrigações de supervisão adicionais e devem cooperar com os Supervisores Principais.
Passo 6 de 6 — O Seu Relatório

Para onde enviamos os seus resultados?

A analisar a sua prontidão DORA…

A nossa IA está a rever as suas 20 respostas sobre os 5 pilares DORA.

Isto demora normalmente cerca de um minuto. Por favor, não feche esta página.

A rever o quadro de gestão de risco TIC
A analisar a prontidão de reporte de incidentes
A avaliar o programa de testes de resiliência
A avaliar riscos de dependência TIC de terceiros
A preparar o seu relatório priorizado
Pontuação de Prontidão DORA
em 100
Gerado por IA — não é aconselhamento jurídico. Esta avaliação é gerada com recurso a IA (Claude da Anthropic) e é apenas indicativa. Não constitui uma determinação formal de conformidade. Para conformidade regulatória, consulte um profissional jurídico ou de conformidade qualificado. Consulte a nossa Política de Privacidade para informações sobre o tratamento de dados.

Apenas para fins informativos. Esta ferramenta é fornecida para fins de sensibilização, para ajudar as empresas a compreender a sua situação atual no que respeita à regulamentação da UE. Não constitui aconselhamento jurídico, regulatório ou profissional. Os resultados são indicativos e não devem ser utilizados como substituto de aconselhamento jurídico qualificado. A Verdaio não aceita qualquer responsabilidade por decisões tomadas com base nos resultados desta ferramenta. Os seus dados são processados de forma efémera e não são armazenados nem utilizados para treino de modelos.