O Regulamento de Resiliência Operacional Digital
O Regulamento DORA (Regulamento (UE) 2022/2554) é um regulamento da UE que estabelece um quadro abrangente e vinculativo para a gestão de risco TIC no setor financeiro. Tornou-se aplicável em 17 de janeiro de 2025 — substituindo um conjunto fragmentado de orientações nacionais e regras setoriais por uma norma única e harmonizada em todos os Estados-membros da UE.
A premissa central do DORA é que as entidades financeiras devem ser capazes de resistir, responder e recuperar de perturbações e ameaças relacionadas com TIC. Isto inclui não apenas a infraestrutura TI interna mas também — de forma crítica — os serviços TIC prestados por fornecedores terceiros como plataformas cloud, centros de dados, fornecedores de software e prestadores de serviços externalizados.
Ao contrário da NIS2, que é uma diretiva que requer transposição nacional, o DORA é um regulamento — aplica-se diretamente e de forma uniforme em todos os Estados-membros da UE. A responsabilidade de supervisão é partilhada entre as autoridades competentes nacionais e as Autoridades de Supervisão Europeias (EBA, ESMA, EIOPA), que têm supervisão direta sobre os fornecedores TIC terceiros mais críticos.
20 tipos de entidades financeiras — e os seus fornecedores TIC
O DORA aplica-se a uma vasta gama de entidades financeiras na UE, incluindo:
- Instituições de crédito (bancos), instituições de pagamento, instituições de moeda eletrónica, empresas de investimento, prestadores de serviços de criptoativos e depositárias centrais de valores mobiliários.
- Empresas de seguros e resseguros, intermediários de seguros, fundos de pensões de emprego, gestores de fundos de investimento alternativos e sociedades gestoras de OICVM.
- Prestadores de serviços TIC terceiros — fornecedores de cloud, empresas de análise de dados e outras empresas tecnológicas que prestam serviços TIC a entidades financeiras podem ser designados "Fornecedores Terceiros Críticos" (FTC) e ficam sujeitos a supervisão direta por autoridades de nível europeu.
As microempresas beneficiam de requisitos simplificados em certas áreas, embora permaneçam sujeitas ao quadro central do DORA. O princípio da proporcionalidade aplica-se ao longo de todo o regulamento — as obrigações são calibradas em função da dimensão, perfil de risco e complexidade da entidade.
Os cinco pilares de resiliência TIC do DORA
O DORA organiza os seus requisitos em torno de cinco pilares interligados:
Gestão de Risco TIC
As entidades financeiras devem manter um quadro abrangente de gestão de risco TIC — incluindo governação, estratégia, políticas, procedimentos e ferramentas — que identifique, classifique e proteja contra riscos TIC. O órgão de gestão (conselho de administração) é responsável pela aprovação e supervisão deste quadro.
Gestão e Reporte de Incidentes Relacionados com TIC
As entidades devem implementar processos para detetar, gerir e reportar incidentes relacionados com TIC. Os incidentes principais devem ser reportados às autoridades competentes em prazos rigorosos (notificação inicial em 4 horas, relatório intermédio em 72 horas, relatório final em 1 mês).
Testes de Resiliência Operacional Digital
O DORA exige testes regulares de ferramentas e sistemas TIC. Todas as entidades em âmbito devem realizar testes básicos de resiliência. As entidades financeiras significativas devem realizar adicionalmente Testes de Penetração Orientados por Ameaças (TLPT) pelo menos de três em três anos.
Gestão de Risco TIC de Terceiros
As entidades devem gerir os riscos TIC decorrentes de fornecedores terceiros. Isso inclui diligência devida antes do envolvimento, disposições contratuais obrigatórias (estratégias de saída, direitos de auditoria, obrigações de reporte de incidentes) e monitorização contínua.
Partilha de Informação
O DORA incentiva as entidades financeiras a partilhar informações de inteligência sobre ameaças cibernéticas e vulnerabilidades com pares e com autoridades competentes como parte de uma abordagem de resiliência setorial.
O que a sua organização deve implementar
Registo de Ativos TIC
Manter um registo atualizado de todos os ativos TIC, incluindo hardware, software e dados. Mapear as dependências entre ativos e funções de negócio para compreender quais os sistemas críticos.
Análise de Impacto no Negócio
Realizar análise de impacto no negócio (BIA) para identificar funções de negócio críticas suportadas por TIC, avaliar o impacto de perturbações e definir objetivos de tempo e ponto de recuperação.
Classificação de Incidentes
Estabelecer critérios para classificar incidentes relacionados com TIC como "principais" (desencadeando obrigações de reporte regulatório) com base em clientes afetados, duração, dispersão geográfica e impacto financeiro.
Registo de Contratos TIC
Manter um registo de todos os contratos com fornecedores TIC terceiros, incluindo quais as funções suportadas, se são críticas e o risco de concentração.
Estratégias de Saída
Desenvolver e manter estratégias de saída documentadas para todos os contratos TIC críticos com terceiros, cobrindo como as funções seriam transferidas se um fornecedor falhar, for terminado ou ficar indisponível.
Responsabilidade do Órgão de Gestão
O órgão de gestão deve aprovar o quadro de gestão de risco TIC, receber relatórios regulares sobre riscos e incidentes TIC, e garantir que são alocados recursos adequados para a resiliência TIC.
Fontes e legislação primária
O DORA entrou em aplicação plena a 17 de janeiro de 2025. As entidades financeiras estão sujeitas ao DORA; a NIS2 aplica-se aos seus fornecedores de serviços TIC. O DORA tem primazia sobre a NIS2 onde os requisitos se sobrepõem para entidades financeiras.