Capítulos 10 Em vigor: 17 de janeiro de 2025

DORA

Regulamento sobre Resiliência Operacional Digital

Visão Geral

O Regulamento sobre Resiliência Operacional Digital (DORA) estabelece requisitos uniformes para a segurança e resiliência dos sistemas de rede e informação que suportam os processos de negócios das entidades financeiras. Também cria um quadro para a supervisão dos prestadores de serviços TIC críticos terceiros.[1]

DORA é um regulamento, o que significa que se aplica diretamente a todos os Estados-Membros da UE sem necessidade de transposição.

Entidades Abrangidas

Entidades Financeiras[2]

  • Instituições de crédito (bancos)
  • Instituições de pagamento
  • Instituições de dinheiro eletrónico
  • Sociedades de investimento
  • Empresas de seguros e resseguros
  • Depósitos centrais de valores mobiliários
  • Repositórios de transações
  • Agências de notação de crédito
  • Prestadores de serviços de criptoativos
  • Prestadores de serviços de crowdfunding
  • Prestadores de serviços de reporte de dados

Prestadores Críticos de TIC Terceiros

As Autoridades Europeias de Supervisão designam prestadores críticos de serviços TIC com base em:

  • Impacto sistêmico em caso de falha do prestador
  • Grau de substituibilidade
  • Número de entidades financeiras que dependem do prestador

Os prestadores designados estão sujeitos ao quadro de supervisão da UE.

Os Cinco Pilares do DORA

1. Gestão de Risco TIC (Capítulo II)

As entidades financeiras devem estabelecer e manter:

  • Governança: Responsabilidade do conselho pela estratégia de risco TIC
  • Quadro de risco: Identificação, proteção, deteção, resposta, recuperação
  • Documentação: Políticas, procedimentos e protocolos para segurança TIC
  • Testes: Avaliação regular dos sistemas e ferramentas TIC

2. Comunicação de Incidentes TIC (Capítulo III)[3]

RequisitoDetalhes
ClassificaçãoCritérios harmonizados para a gravidade do incidente
Notificação inicialÀ autoridade competente dentro de 4 horas após a classificação
Relatório intermédioDentro de 72 horas com atualizações
Relatório finalDentro de 1 mês após a resolução
Comunicação voluntáriaAmeaças cibernéticas significativas podem ser reportadas

Incidentes importantes relacionados com TIC devem ser reportados usando modelos padronizados.

3. Testes de Resiliência Operacional Digital (Capítulo IV)

Tipo de EntidadeRequisito de Teste
Todas as entidadesPrograma anual de testes TIC
Entidades significativasTestes de penetração orientados por ameaças (TLPT) a cada 3 anos
Prestadores críticos de TICPodem participar em TLPT agrupados

Os testes devem cobrir: avaliações de vulnerabilidades, avaliações de segurança de rede, revisões de segurança de software, revisões de código-fonte (quando viável), testes baseados em cenários e testes de compatibilidade.

4. Gestão de Risco de Terceiros (Capítulo V)[4]

As entidades financeiras devem:

  • Manter um registo de todos os acordos TIC com terceiros
  • Realizar diligência prévia antes da contratação
  • Avaliar riscos de concentração
  • Incluir cláusulas contratuais obrigatórias
  • Definir estratégias de saída
  • Reportar acordos às autoridades competentes

Termos contratuais obrigatórios incluem descrições dos níveis de serviço, obrigações de proteção de dados, direitos de acesso e auditoria, requisitos de comunicação de incidentes e direitos de rescisão com suporte à transição.

5. Partilha de Informação (Capítulo VI)

As entidades financeiras podem trocar informações sobre ameaças cibernéticas dentro de comunidades confiáveis, sujeitas a regras de confidencialidade, para reforçar a defesa coletiva.

Proporcionalidade

DORA aplica a proporcionalidade com base no tamanho e perfil de risco da entidade, natureza, escala e complexidade dos serviços, e importância sistêmica.

Requisitos simplificados aplicam-se a pequenas sociedades de investimento não interconectadas, instituições de pagamento e dinheiro eletrónico abaixo de certos limiares, e certos intermediários de seguros.

Sanções

As autoridades competentes podem impor:[5]

  • Multas administrativas
  • Pagamentos periódicos de penalidades
  • Declarações públicas
  • Retirada de autorização
  • Proibições temporárias de funções de gestão

Montantes específicos são determinados pela legislação do Estado-Membro.

Implicações para Desenvolvedores e Prestadores TIC

Se você fornece serviços TIC ao setor financeiro:

  1. Revisão contratual: Assegure que os contratos cumprem os requisitos do DORA
  2. Comunicação de incidentes: Estabeleça canais de reporte para clientes
  3. Suporte a testes: Facilite testes de penetração para clientes
  4. Planejamento de saída: Permita transição ordenada se os contratos terminarem
  5. Consciência de concentração: Monitore dependências dos seus serviços
  6. Designação crítica: Prepare-se para possível supervisão da UE

Fontes e Referências

[1]
Regulamento (UE) 2022/2554 sobre resiliência operacional digital para o setor financeiro. EUR-Lex: Texto Oficial do DORA
[2]
Artigo 2 do DORA: Âmbito. Portal DORA: Artigo 2
[3]
Artigos 17-23 do DORA: Comunicação de incidentes relacionados com TIC. Portal DORA: Comunicação de Incidentes
[4]
Artigos 28-44 do DORA: Gestão de risco de terceiros. Portal DORA: Risco de Terceiros
[5]
Artigo 50 do DORA: Sanções administrativas e medidas corretivas. Portal DORA: Sanções