O Regulamento DORA (Digital Operational Resilience Act) é o novo quadro europeu de resiliência operacional digital para o setor financeiro. Em vigor desde janeiro de 2025, impõe obrigações concretas a bancos, seguradoras, gestoras de ativos, empresas de pagamentos, plataformas de criptoativos e aos fornecedores de TIC que lhes prestam serviços críticos. O objetivo é garantir que o sistema financeiro europeu consegue resistir, responder e recuperar de perturbações operacionais graves relacionadas com as tecnologias de informação e comunicação.
O que é o DORA
O Regulamento (UE) 2022/2554 — DORA — foi publicado em dezembro de 2022 e tornou-se aplicável em 17 de janeiro de 2025. Ao contrário de uma diretiva, o DORA é um regulamento de aplicação direta em todos os Estados-Membros da UE, sem necessidade de transposição. A supervisão é partilhada entre as autoridades nacionais competentes (em Portugal, o Banco de Portugal, ASF e CMVM, consoante o tipo de entidade) e as autoridades europeias de supervisão (EBA, EIOPA, ESMA).
A quem se aplica
| Entidade | Exemplos | Supervisão em Portugal |
|---|---|---|
| Instituições de crédito | Bancos, caixas de crédito agrícola | Banco de Portugal |
| Seguradoras e resseguradoras | Companhias de seguros, mediadores de seguros | ASF |
| Empresas de investimento | Gestoras de ativos, fundos de investimento | CMVM |
| Prestadores de serviços de pagamento | Fintech, emissores de moeda eletrónica | Banco de Portugal |
| Prestadores de serviços de criptoativos | Plataformas de exchange, custódia de criptoativos | Banco de Portugal / CMVM |
| Fornecedores de TIC críticos | Cloud providers, software de core banking, fornecedores de segurança | Supervisão direta da EBA/EIOPA/ESMA |
Principais obrigações
- Gestão do risco de TIC — Implementar um quadro de gestão de risco de TIC robusto e documentado, com políticas de segurança, identificação de ativos críticos e planos de continuidade.
- Reporte de incidentes — Notificar as autoridades competentes de incidentes graves de TIC em 4 horas (alerta inicial), com relatório intermédio em 72 horas e relatório final em 30 dias.
- Testes de resiliência operacional digital — Realizar testes regulares, incluindo testes de penetração avançados (TLPT — Threat-Led Penetration Testing) para entidades significativas, pelo menos de 3 em 3 anos.
- Gestão do risco de terceiros (TIC) — Inventariar e monitorizar todos os fornecedores de TIC; contratos com cláusulas obrigatórias sobre direitos de auditoria, continuidade e saída.
- Partilha de informação — Participar voluntariamente em mecanismos de partilha de informação sobre ciberameaças entre entidades financeiras.
- Supervisão de fornecedores críticos — Os fornecedores de TIC classificados como críticos pelas autoridades europeias ficam sujeitos a supervisão direta da EBA, EIOPA ou ESMA.
Sanções pelo incumprimento
| Entidade | Coima máxima |
|---|---|
| Entidades financeiras | Definida pelas autoridades nacionais competentes — pode atingir 1% do volume de negócios médio diário global, aplicada diariamente durante até 6 meses |
| Fornecedores TIC críticos | Até 1% do volume de negócios médio diário global, aplicada diariamente durante até 6 meses |
Estado atual
O DORA está em plena vigência desde 17 de janeiro de 2025. As autoridades europeias de supervisão (EBA, EIOPA, ESMA) publicaram normas técnicas de regulamentação (RTS) e normas técnicas de execução (ITS) que detalham os requisitos. As entidades abrangidas devem estar já em conformidade — a supervisão e fiscalização estão ativas.
Recursos úteis
- Banco de Portugal — Autoridade supervisora DORA para instituições de crédito e prestadores de pagamento em Portugal
- ASF — Autoridade supervisora DORA para o setor segurador em Portugal
- CMVM — Autoridade supervisora DORA para empresas de investimento em Portugal
- EBA — Autoridade Bancária Europeia: publica as RTS/ITS e orientações DORA
- Regulamento DORA (texto oficial) — EUR-Lex: Regulamento (UE) 2022/2554