REGULAMENTO UE 2022/2554

DORA. O setor financeiro não pode parar.

O DORA (Digital Operational Resilience Act) é o regulamento europeu que obriga o setor financeiro, e os seus fornecedores tecnológicos, a provar que resistem a incidentes digitais. Está em vigor e os supervisores já o exigem. A N4A (NIS for ALL) prepara a sua organização com a experiência de quem conhece o setor.

Resposta rápida

O DORA (Regulamento UE 2022/2554) é aplicável desde 17 de janeiro de 2025 e exige resiliência operacional digital a bancos, seguradoras, empresas de investimento, instituições de pagamento e prestadores de serviços de criptoativos, e alcança também os fornecedores de TI destas entidades, por via contratual. Assenta em cinco pilares: gestão de risco de TI, notificação de incidentes, testes de resiliência, risco de fornecedores e partilha de informação.

EM LINGUAGEM CLARA

Se os sistemas falharem, o seu negócio continua de pé?

É a esta pergunta que o DORA responde. Ao contrário de recomendações antigas, é lei direta em toda a União Europeia, aplicável desde 17 de janeiro de 2025, com supervisão ativa das autoridades financeiras. Não pede intenções: pede provas, testes e registos.

Quem está abrangido.

Bancos e instituições de crédito
Seguradoras e resseguradoras
Empresas de investimento e gestoras de fundos
Instituições de pagamento e de moeda eletrónica
Prestadores de serviços de criptoativos

E atenção: os fornecedores de TI também.

Se a sua empresa presta serviços tecnológicos ao setor financeiro, o DORA chega-lhe por contrato, mesmo sem ser uma entidade financeira. Os seus clientes vão exigir-lhe cláusulas, registos e evidências, e quem estiver preparado ganha os contratos de quem não está.

Os cinco pilares do DORA.

1. Gestão de risco de TI

Governo e controlo dos sistemas críticos, com a administração responsável pela estratégia de resiliência.

2. Notificação de incidentes

Reportar incidentes graves ao supervisor financeiro, em prazos apertados e formatos definidos.

3. Testes de resiliência

Testar regularmente se os sistemas aguentam, incluindo testes avançados para as entidades maiores.

4. Risco de fornecedores

Controlar os terceiros de quem depende, com contratos e registos de informação exigidos por lei.

5. Partilha de informação

Cooperação no setor sobre ameaças e vulnerabilidades, para elevar a resiliência de todos.

Como o levamos à conformidade.

1

Diagnóstico DORA

O que já cumpre, o que falta e com que prioridade. Sai com um mapa claro do esforço real.

2

Plano e implementação

Políticas, registo de fornecedores, processos de incidentes e programa de testes, ajustados à sua dimensão.

3

Preparação para o supervisor

Documentação e evidências prontas para o escrutínio do regulador, sem correrias de última hora.

PERGUNTAS FREQUENTES

As dúvidas que ouvimos todos os dias.

O DORA, Digital Operational Resilience Act (Regulamento UE 2022/2554), é o regulamento europeu de resiliência operacional digital do setor financeiro. Obriga as entidades financeiras, e alcança os seus fornecedores tecnológicos, a gerir o risco de TI, reportar incidentes, testar a resiliência e controlar os terceiros de quem dependem.

Desde 17 de janeiro de 2025. É lei direta em toda a União Europeia, sem necessidade de transposição nacional, e a supervisão é feita pelas autoridades do setor financeiro.

Na prática, sim: o DORA obriga as entidades financeiras a impor requisitos contratuais e registos aos seus prestadores de serviços de TI. O regulamento chega-lhe por via contratual, e estar preparado torna-se um argumento para ganhar e manter esses contratos.

A NIS2 (em Portugal, o DL 125/2025) é o regime transversal de cibersegurança para 17 setores; o DORA é o regime específico do setor financeiro, mais exigente e com supervisão financeira própria. Para as entidades financeiras, o DORA prevalece nas matérias que regula; muitas organizações convivem com os dois.

O supervisor não espera. A sua resiliência também não devia.

Meia hora connosco e sai a saber exatamente onde está face ao DORA.

Agendar diagnóstico