Guia Conformidade Serviços Financeiros

Risco de TI e cibersegurança em serviços financeiros: o que o DORA exige

O DORA codifica os requisitos de risco de TI e cibersegurança para serviços financeiros: regras vinculantes sobre resposta a incidentes, testes de resiliência de TI e gestão de risco de terceiros que se aplicam a bancos, seguradoras, empresas de pagamento e empresas de investimento em toda a UE desde janeiro de 2025. Os cinco pilares estruturam o regulamento, mas o risco de TIC de terceiros é onde a maioria das empresas tem as maiores lacunas de conformidade.

6 de maio de 2026
6 min de leitura
Principais conclusões
  • O DORA tornou-se aplicável em 17 de janeiro de 2025, sem período de transição para as empresas financeiras
  • Mais de 20 categorias de entidades financeiras devem cumprir, incluindo bancos, seguradoras e prestadores de serviços de criptoativos
  • O DORA exige direitos de auditoria contratuais sobre todos os prestadores de TIC de terceiros críticos. Muitos contratos existentes não incluem estas cláusulas
  • O Teste de Penetração Baseado em Ameaças (TLPT) é obrigatório a cada três anos para entidades significativas
  • O registo de risco de TIC de terceiros é onde a maioria das empresas ainda tem a maior lacuna de conformidade

A quem o DORA realmente se aplica

O âmbito do DORA é mais amplo do que a maioria das empresas inicialmente supõe. Os bancos e empresas de investimento são os alvos óbvios, mas o regulamento abrange mais de 20 categorias distintas de entidades financeiras. Instituições de pagamento, instituições de moeda eletrónica, empresas de seguros e resseguros, intermediários de seguros, prestadores de serviços de criptoativos, agências de notação de crédito e repositórios de transações estão todos dentro do âmbito. Também os próprios prestadores de serviços de TIC de terceiros, quando designados como críticos pelas Autoridades de Supervisão Europeias.

Se sua organização presta serviços a entidades financeiras, pode ter obrigações ao abrigo do DORA mesmo que não seja uma empresa financeira regulamentada. Os fornecedores de cloud, os fornecedores de software e os prestadores de análise de dados que servem empresas financeiras dentro do âmbito estão sujeitos a supervisão ao abrigo do quadro de risco de TIC de terceiros. As ESA designam Prestadores de Serviços de TIC Críticos (CTPPs) que ficam então sujeitos a supervisão direta por supervisores a nível da UE.

As empresas do Reino Unido que operam na UE, ou que prestam serviços a entidades financeiras da UE, precisam de verificar se suas operações ou acordos na UE as colocam dentro do âmbito do DORA. O próprio quadro de resiliência operacional do Reino Unido (as regras da FCA e PRA que entraram em vigor em março de 2022) abrange matéria semelhante a nível doméstico, mas é um regime separado.

Jan 2025
O DORA tornou-se aplicável em todos os Estados-Membros da UE
20+
categorias de entidades financeiras abrangidas pelo regulamento
3 anos
entre testes de penetração baseados em ameaças obrigatórios para entidades significativas

Os cinco pilares: o que cada um exige

O DORA organiza seus requisitos em cinco áreas. Compreender o que cada uma exige na prática é diferente de ler a descrição geral.

Gestão de risco de TIC. As empresas devem manter um quadro de gestão de risco de TIC que abranja a identificação, proteção, deteção, resposta e recuperação, revisto após incidentes graves, após alterações ao ambiente de TIC, e pelo menos anualmente. O quadro deve cobrir todos os ativos de TIC, ser aprovado pelo órgão de gestão e ser testado.

Gestão e reporte de incidentes. As empresas devem classificar os incidentes relacionados com TIC de acordo com os critérios do DORA (cobrindo impacto nos clientes, duração, dispersão geográfica e perda de dados) e reportar incidentes graves às autoridades competentes. A notificação inicial é exigida no prazo de quatro horas após a classificação, com um relatório detalhado no prazo de 72 horas. O relatório final é devido no prazo de um mês. Estes prazos são separados dos requisitos de notificação de violação do GDPR e, por vezes, mais rigorosos.

Testes de resiliência operacional digital. Todas as entidades dentro do âmbito devem realizar testes básicos anualmente, incluindo avaliações de vulnerabilidades e testes de segurança de rede. As entidades significativas têm um requisito adicional: Teste de Penetração Baseado em Ameaças (TLPT) a cada três anos. O TLPT é um exercício estruturado de red team realizado contra sistemas de produção em direto usando informações reais sobre ameaças. É substancialmente mais exigente do que um teste de penetração padrão.

Gestão de risco de TIC de terceiros. Todos os acordos com prestadores de serviços de TIC de terceiros devem ser documentados, com contratos escritos que satisfaçam os requisitos contratuais do DORA. As empresas devem manter um Registo de Informações cobrindo todos os acordos de TIC, não apenas os críticos. Este registo deve ser submetido às autoridades competentes mediante solicitação.

Partilha de informações. As empresas podem partilhar informações sobre ameaças cibernéticas com outras entidades financeiras. Isto é permissivo e não obrigatório, mas os reguladores esperam envolvimento com as comunidades de partilha de informações relevantes para seu setor.

Risco de TIC de terceiros: onde a maioria das empresas fica aquém

O quarto pilar é onde se situam as maiores lacunas de conformidade. A maioria das empresas financeiras tem alguma forma de gestão de risco de fornecedores implementada, geralmente cobrindo controlos de aquisição, cláusulas de responsabilidade contratual e avaliações periódicas por questionário. Os requisitos do DORA vão mais longe nas três dimensões.

O requisito do Registo de Informações apanha a maioria das empresas desprevenidas. O DORA exige um inventário completo de todos os acordos de TIC com terceiros, incluindo subcontratados usados pelos seus fornecedores diretos para lhe prestar serviços. A maioria das organizações consegue dar conta dos seus fornecedores de nível um. O rastreamento de dependências de nível dois e três é mais difícil, e o DORA espera isso para acordos críticos.

Os requisitos contratuais são específicos. O Artigo 30 do DORA define o que os contratos de TIC devem conter: descrição dos serviços, localizações dos dados, obrigações de notificação de incidentes pelo prestador, direitos de participação em auditorias e testes de penetração, e disposições sobre continuidade de negócio. Se seus contratos existentes com fornecedores de cloud e fornecedores de software são anteriores a janeiro de 2025, muitos precisarão de ser renegociados.

Importante

O DORA exige que os contratos de TIC lhe confiram o direito de auditar o prestador, ou de nomear um terceiro para o fazer. Muitos contratos de cloud de hiperescaladores oferecem direitos de auditoria agrupados em vez de acesso individual. Os reguladores estão discutindo ativamente como isto se articula com os requisitos do DORA. Se seus contratos de cloud atuais não contiverem direitos de auditoria adequados, seu supervisor irá questionar sobre isso.

O risco de concentração é abordado diretamente. O DORA exige que as empresas identifiquem e abordem o risco de concentração resultante da dependência de um único prestador de TIC ou de um pequeno número de prestadores em funções críticas. Se o processamento de pagamentos, a plataforma bancária central e a recuperação de desastres estiverem todos com o mesmo fornecedor de cloud, isso é um risco de concentração que precisa de ter sido avaliado e documentado.

Testes de resiliência: o que o TLPT realmente envolve

Os testes anuais padrão ao abrigo do DORA abrangem avaliações de vulnerabilidades, análises baseadas em cenários e testes de segurança de rede. Estes são requisitos de base. O TLPT é a obrigação mais exigente que se aplica a entidades significativas, definidas como aquelas com importância sistémica significativa com base no tamanho, interconectividade ou atividade transfronteiriça.

O TLPT difere de um teste de penetração padrão em três aspetos. Primeiro, baseia-se em informações reais sobre ameaças sobre as técnicas e ferramentas específicas usadas contra empresas financeiras na sua geografia e setor. Segundo, testa sistemas de produção em direto, não ambientes de teste. Terceiro, exige coordenação prévia com sua autoridade competente antes do início do teste.

Os testes devem ser realizados por prestadores certificados. Na UE, os requisitos de certificação dos prestadores são definidos pelo TIBER-EU, o quadro europeu para red-teaming ético baseado em informações sobre ameaças. Se sua organização já participou em avaliações TIBER-NL (a implementação neerlandesa) ou TIBER-GB, esses exercícios contam para o requisito TLPT do DORA, sujeito à confirmação da sua autoridade competente.

Três coisas a priorizar agora

Se seu programa DORA ainda está em curso, estas três áreas determinarão como decorrerá sua próxima conversa de supervisão.

1
Complete seu Registo de Informações
As ESA publicaram modelos específicos para o que este registo deve conter. Construa-o segundo o modelo, não segundo suas listas de fornecedores existentes. Os reguladores irão solicitá-lo e o formato importa.
2
Audite seus contratos de TIC em relação ao Artigo 30
Identifique quais os acordos que carecem de cláusulas obrigatórias e priorize a renegociação para serviços críticos. A análise de risco de concentração deve acompanhar este exercício.
3
Determine se é uma entidade significativa
Se for, o planeamento do TLPT precisa de começar agora. O ciclo de três anos já começou a correr. Falhar o primeiro ciclo de testes é o tipo de lacuna que atrai atenção de supervisão.

A aplicação do DORA compete às autoridades nacionais competentes (DNB e AFM nos Países Baixos, a FCA e PRA no Reino Unido para seus quadros equivalentes). O DNB publicou suas prioridades de supervisão para 2025 e 2026 com a implementação do DORA listada explicitamente. As empresas que consigam demonstrar um programa estruturado com evidências documentadas estão numa posição materialmente mais forte do que as que tratam o regulamento principalmente como um exercício de papelada.

O regulamento DORA está publicado no EUR-Lex (Regulamento 2022/2554). A Autoridade Bancária Europeia publica as normas técnicas regulatórias, as normas técnicas de execução e as orientações cobrindo gestão de risco de TIC, classificação de incidentes e supervisão de terceiros em eba.europa.eu.

Perguntas frequentes

O que é o DORA e a quem se aplica?

O DORA (Digital Operational Resilience Act) é um regulamento da UE que entrou em aplicação em 17 de janeiro de 2025. Aplica-se a mais de 20 categorias de entidades financeiras, incluindo instituições de crédito, instituições de pagamento, empresas de investimento, seguradoras, prestadores de serviços de criptoativos e prestadores de serviços de TIC de terceiros que as servem. Ao contrário de diretrizes setoriais, o DORA cria um quadro vinculante e harmonizado em todo o setor financeiro da UE.

Quais são os cinco pilares da conformidade com o DORA?

O DORA está estruturado em torno de cinco pilares: gestão de risco de TIC, que exige um quadro documentado cobrindo identificação, proteção, deteção, resposta e recuperação; reporte de incidentes de TIC, com prazos definidos para incidentes graves às autoridades competentes; testes de resiliência operacional digital, incluindo testes básicos e testes de penetração avançados baseados em ameaças; gestão de risco de TIC de terceiros, exigindo governação, contratos e monitorização para todos os prestadores críticos; e partilha de informações, onde as entidades são incentivadas a partilhar informações sobre ameaças cibernéticas em comunidades de confiança.

O que o DORA exige para prestadores de TIC de terceiros?

O Artigo 30 do DORA estabelece requisitos contratuais obrigatórios para contratações de TIC com terceiros. Os contratos devem incluir descrições claras dos serviços, localizações de dados, normas de segurança, direitos de auditoria tanto para a entidade financeira como para os reguladores, e direitos de rescisão. O regulamento também exige um registo de todos os acordos de TIC com terceiros e avaliações regulares de risco dos prestadores críticos. Muitos contratos de fornecedores existentes são anteriores ao DORA e carecem destas cláusulas, tornando necessária a renegociação ou adição de adendas.

O que é o TLPT e com que frequência é exigido pelo DORA?

O Teste de Penetração Baseado em Ameaças (TLPT) é uma metodologia avançada de testes que simula ataques reais usando informações sobre atores de ameaças atuais. Ao abrigo do DORA, as entidades financeiras significativas devem realizar TLPT pelo menos a cada três anos. Os testes devem cobrir sistemas de produção em direto e ser realizados por testadores certificados e independentes. O TLPT foi concebido para avaliar se uma entidade consegue detetar e responder a um ataque direcionado e sofisticado, indo muito além dos testes de penetração padrão.

Como o DORA interage com o GDPR e o NIS2?

O DORA coexiste com outros regulamentos da UE. Para incidentes de TIC que também envolvam uma violação de dados pessoais, as obrigações de reporte do DORA e do GDPR aplicam-se simultaneamente: os relatórios de incidentes do DORA vão para os reguladores financeiros, enquanto as notificações de violação do GDPR vão para as autoridades de proteção de dados. O NIS2 também se aplica às entidades financeiras que satisfazem os critérios de âmbito do NIS2. Um programa de resiliência operacional bem concebido pode satisfazer obrigações nos três quadros com uma base de evidências partilhada.

Fale com a Cyvra

Precisa de ajuda para fechar suas lacunas DORA?

Trabalhamos com empresas financeiras nos Países Baixos e no Reino Unido para construir e evidenciar programas conformes com o DORA, desde a avaliação de lacunas até à conclusão do registo e à preparação para o TLPT.

Aviso legal: Este artigo é apenas para fins informativos gerais e não constitui aconselhamento jurídico, regulatório ou profissional. A Cyvra não presta qualquer garantia quanto à exatidão ou integridade deste conteúdo, que pode não refletir os desenvolvimentos regulatórios mais recentes. Os leitores devem procurar aconselhamento jurídico e regulatório independente adequado às suas circunstâncias específicas. A Cyvra não aceita qualquer responsabilidade por perdas decorrentes da utilização deste conteúdo.