O Digital Operational Resilience Act (DORA) é o regulamento europeu que harmoniza a gestão do risco TIC no sector financeiro, abrangendo 21 tipos de entidades — bancos, seguradoras, empresas de investimento, gestoras de activos, instituições de pagamento e prestadores de serviços TIC críticos. Esta ficha técnica sistematiza as obrigações, prazos, sanções e serviços de conformidade disponíveis.
O DORA — Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022 — estabelece um quadro normativo uniforme relativo à resiliência operacional digital do sector financeiro na União Europeia. O regulamento substitui a regulamentação nacional fragmentada sobre risco TIC e introduz requisitos harmonizados de gestão do risco, comunicação de incidentes, testes de resiliência e gestão do risco de terceiros TIC.
O DORA aplica-se a 21 tipos de entidades financeiras — incluindo instituições de crédito, empresas de investimento, empresas de seguros e resseguros, gestoras de activos, fundos de pensões, instituições de pagamento, instituições de moeda electrónica e prestadores de serviços de criptoactivos licenciados sob o MiCA — bem como aos prestadores de serviços TIC terceiros designados como críticos pelas Autoridades Europeias de Supervisão (ESA).
Em Portugal, a supervisão é exercida pelo Banco de Portugal (BdP), pela Comissão do Mercado de Valores Mobiliários (CMVM) e pela Autoridade de Supervisão de Seguros e Fundos de Pensões (ASF), em articulação com o CNCS — Centro Nacional de Cibersegurança. O regulamento entrou em vigor em 16 de janeiro de 2023 e é plenamente aplicável desde 17 de janeiro de 2025.
O regulamento estrutura-se em cinco pilares fundamentais que abrangem a totalidade do ciclo de resiliência operacional digital, desde a gestão do risco TIC até à partilha de informação sobre ciberameaças.
Estabelecimento de um quadro abrangente de gestão do risco TIC, incluindo estratégia de resiliência digital, políticas de segurança TIC, mecanismos de detecção de anomalias, planos de continuidade de negócio e procedimentos de recuperação. O órgão de administração é directamente responsável pela definição e supervisão deste quadro.
Implementação de um processo de gestão de incidentes relacionados com TIC, incluindo classificação por critérios de materialidade, notificação de incidentes graves às autoridades competentes em prazos definidos, e comunicação voluntária de ciberameaças significativas.
Programa de testes de resiliência operacional digital, incluindo testes de penetração baseados em ameaças (TLPT — Threat-Led Penetration Testing) para entidades significativas, testes de vulnerabilidade, análises de código-fonte aberto, avaliações de segurança de rede e análise de lacunas.
Gestão do risco decorrente de dependências de prestadores de serviços TIC terceiros, incluindo registo de informação sobre contratos TIC (artigo 28.º), cláusulas contratuais obrigatórias, estratégia de saída e supervisão directa de prestadores TIC críticos pelas ESA.
Enquadramento para a partilha voluntária de informação sobre ciberameaças e vulnerabilidades entre entidades financeiras, em comunidades de confiança, com salvaguardas de protecção de dados pessoais e sigilo profissional.
O DORA prevê um quadro sancionatório dual: as ESA dispõem de poderes de sanção directa sobre prestadores TIC críticos, enquanto as autoridades nacionais aplicam sanções prudenciais às entidades financeiras supervisionadas.
| Tipo de Sanção | Âmbito | Medidas Aplicáveis | Base Legal |
|---|---|---|---|
| Sanções ESA — Prestadores TIC Críticos | Coimas periódicas até 1% do volume de negócios diário | Coimas periódicas; recomendações de cessação; suspensão ou cessação forçada de utilização do prestador; publicação de decisões sancionatórias | Arts. 35.º a 37.º |
| Sanções Prudenciais — Entidades Financeiras | Regime nacional definido por cada autoridade | Medidas correctivas; restrições à actividade; revogação de autorização; sanções pecuniárias nos termos da legislação sectorial aplicável | Art. 50.º e legislação sectorial |
| Publicação de Decisões | Transparência publicação obrigatória | As decisões sancionatórias são publicadas pelas ESA e pelas autoridades nacionais, incluindo a identidade do infractor e a natureza da infracção | Art. 54.º |
Portfólio completo de serviços para apoiar entidades financeiras e prestadores TIC na implementação, manutenção e verificação da conformidade com o Regulamento de Resiliência Operacional Digital.
Serviços especializados de Digital Resilience Compliance Officer (DRCO) — responsável pela supervisão da conformidade com o DORA, assegurando a resiliência operacional digital da entidade financeira perante as autoridades de supervisão.
O Regulamento DORA atribui ao órgão de administração a responsabilidade última pela definição, aprovação, supervisão e implementação do quadro de gestão do risco TIC (artigo 5.º, n.º 2). Esta responsabilidade directa exige a designação de um responsável pela resiliência digital — o Digital Resilience Compliance Officer (DRCO) — com competências técnico-jurídicas transversais em cibersegurança, gestão de risco, contratação TIC e regulação financeira.
Disponibilizamos dois modelos de serviço complementares: o DRCO externo permanente (DRCO-as-a-Service), para entidades financeiras que optem pela externalização da função; e o suporte técnico-jurídico especializado ao responsável interno, para organizações que disponham de recursos próprios mas necessitem de apoio em matérias regulatórias específicas do DORA.
Formação técnica sobre Resiliência Digital Financeira com integração sistémica com a Academia de Compliance — programa estruturado para capacitar profissionais do sector financeiro na implementação e gestão da conformidade DORA.
O Programa de Formação sobre Resiliência Digital Financeira abrange os cinco pilares do DORA e é dirigido a administradores, directores de sistemas de informação, responsáveis de compliance, CISO, gestores de risco, auditores internos e profissionais que desempenhem funções relacionadas com a resiliência operacional digital nas entidades financeiras abrangidas.
O programa está integrado na Academia de Compliance, assegurando uma abordagem sistémica que articula a formação DORA com os demais regimes regulatórios do ecossistema — nomeadamente o RGPD, a NIS2, o MiCA e o RGPC — permitindo aos participantes desenvolver uma visão transversal das obrigações de conformidade que incidem sobre o sector financeiro.
Repositório especializado de documentação e informação sobre resiliência digital financeira em Portugal — legislação europeia, normas técnicas de regulamentação (RTS), orientações das ESA, modelos documentais e guias práticos de conformidade DORA.
A conformidade com o DORA exige acesso permanente a um corpo documental extenso e em evolução — desde o regulamento-base e os regulamentos delegados até às normas técnicas de regulamentação (RTS) e de implementação (ITS) elaboradas pelas ESA, as orientações das autoridades nacionais de supervisão e os enquadramentos técnicos de referência para testes de resiliência.
O Repositório de Resiliência Digital Financeira organiza e disponibiliza esta documentação de forma estruturada e pesquisável, complementada por modelos documentais operacionais, guias práticos de implementação por pilar DORA e fichas temáticas que traduzem as obrigações regulatórias em acções concretas para as entidades financeiras.
Respostas técnicas às questões mais comuns sobre o Regulamento de Resiliência Operacional Digital, o seu âmbito de aplicação e as obrigações das entidades financeiras.
O DORA — Digital Operational Resilience Act — Regulamento (UE) 2022/2554, é o quadro normativo europeu que estabelece requisitos uniformes de resiliência operacional digital para o sector financeiro. Aplica-se a 21 tipos de entidades financeiras, incluindo instituições de crédito, empresas de investimento, empresas de seguros, gestoras de activos, fundos de pensões, instituições de pagamento, instituições de moeda electrónica e prestadores de serviços de criptoactivos. Aplica-se igualmente aos prestadores de serviços TIC terceiros designados como críticos.
O DORA funciona como lex specialis face à NIS2 no sector financeiro. Isto significa que, para as entidades financeiras abrangidas pelo DORA, as disposições deste regulamento prevalecem sobre as disposições correspondentes da Directiva NIS2. Contudo, a NIS2 continua a aplicar-se em matérias não especificamente reguladas pelo DORA e as entidades devem assegurar coerência entre ambos os quadros regulatórios.
Os TLPT — Threat-Led Penetration Testing — são testes avançados de resiliência baseados em cenários de ameaças reais, conduzidos por equipas especializadas (red teams). São obrigatórios para as entidades financeiras identificadas pelas autoridades competentes como significativas, com base em critérios de dimensão, importância sistémica e perfil de risco TIC. Os TLPT devem ser realizados pelo menos de três em três anos por testadores externos qualificados, seguindo o enquadramento TIBER-EU.
O artigo 28.º do DORA obriga as entidades financeiras a manter um registo actualizado de todas as disposições contratuais relativas à utilização de serviços TIC prestados por terceiros. Este registo deve conter informação sobre os prestadores, os serviços prestados, as funções críticas ou importantes suportadas, a localização dos dados e as cláusulas de subcontratação. O registo deve ser disponibilizado às autoridades competentes mediante pedido.
O artigo 5.º, n.º 2, do DORA atribui ao órgão de administração a responsabilidade última pela definição, aprovação, supervisão e execução de todas as disposições relativas ao quadro de gestão do risco TIC. Isto inclui a aprovação da estratégia de resiliência digital, a definição de papéis e responsabilidades, a aprovação e revisão dos planos de continuidade de negócio TIC, e a garantia de formação adequada em matéria de risco TIC.
O DORA articula-se com múltiplos regimes jurídicos do ecossistema, formando o cluster de ciber-resiliência financeira — da cibersegurança geral à regulação de criptoactivos.
Preencha o formulário para solicitar uma proposta de serviços de conformidade DORA, inscrição em formação ou acesso ao repositório de resiliência digital financeira.
O DORA é plenamente aplicável desde janeiro de 2025. Avalie o estado da conformidade da sua organização e implemente as medidas necessárias para assegurar a resiliência operacional digital perante as autoridades de supervisão.