A resiliência digital tornou-se um tema central no setor financeiro europeu, deixando de ser apenas uma questão de “risco tecnológico”. Com a entrada em vigor do Regulamento (UE) 2022/2554, conhecido como DORA (Digital Operational Resilience Act), em janeiro de 2025, as instituições financeiras são agora obrigadas a garantir que possuem capacidades robustas para prevenir, detetar, conter e recuperar de incidentes relacionados com as tecnologias de informação e comunicação (TIC). Um ano após a implementação do DORA, é tempo de avaliar o seu impacto e os desafios que surgiram.
O DORA foi criado em resposta à crescente dependência do setor financeiro em relação às TIC. O regulamento assenta em cinco pilares fundamentais: gestão do risco associado às TIC, comunicação de incidentes, realização de testes de resiliência operacional digital, gestão do risco associado a terceiros prestadores de serviços de TIC e partilha de informações entre entidades financeiras. Esta abordagem integrada exige que as instituições alinhem as suas políticas internas, simulações e mecanismos de reporte, promovendo um controlo mais rigoroso da dependência de prestadores tecnológicos.
O primeiro ano de aplicação do DORA revelou-se tanto promissor quanto desafiante. Observou-se um aumento do investimento em cibersegurança, com a resiliência digital a ganhar destaque nas agendas de gestão. Contudo, a implementação do DORA exigiu uma coordenação interna mais intensa, obrigando áreas como TIC, jurídico, compliance, procurement e gestão de risco a trabalharem em conjunto, algo que não era habitual.
Entretanto, muitas entidades, especialmente as de menor dimensão, enfrentaram dificuldades na adaptação dos seus processos internos e na alocação de recursos necessários. A revisão dos contratos com prestadores de serviços de TIC mostrou-se complexa, e a articulação entre o DORA e outros regulamentos, como o Regulamento Geral sobre a Proteção de Dados e a Diretiva NIS 2, levantou questões interpretativas que exigiram orientação das autoridades de supervisão.
Em Portugal, a Lei n.º 73/2025, de 23 de dezembro, implementou medidas nacionais para o DORA, designando o Banco de Portugal, a Autoridade de Supervisão de Seguros e Fundos de Pensões e a Comissão do Mercado de Valores Mobiliários como autoridades competentes. O regime sancionatório prevê coimas que variam entre €10.000 e €5.000.000, dependendo do tipo de entidade, com a possibilidade de agravamento até 10% do volume de negócios anual. A lei aplica-se a empresas de seguros e de resseguros com sede em Portugal, além de entidades gestoras de fundos de pensões, com algumas exclusões específicas.
No entanto, a articulação entre as entidades abrangidas pelo DORA e as definições da legislação nacional levanta questões. O DORA não se aplica indiscriminadamente, mas a Lei 73/2025 adota uma formulação mais ampla que pode não refletir com precisão certas exclusões previstas a nível europeu. Esta discrepância pode gerar dúvidas práticas, especialmente em situações-limite.
Além disso, as entidades enfrentam um cenário onde as obrigações do DORA se sobrepõem ou colidem com requisitos já existentes em outros regulamentos. A clarificação destas interações será crucial nos próximos anos para garantir uma implementação eficaz e evitar redundâncias operacionais.
Olhando para o futuro, espera-se um aumento da supervisão, com um escrutínio mais rigoroso sobre a implementação dos requisitos e a imposição de sanções quando necessário. As instituições que tratarem a resiliência digital como uma prioridade estratégica estarão melhor preparadas para enfrentar um ambiente de ameaças em constante evolução e para manter a confiança de clientes e parceiros.
A mensagem é clara: o DORA não deve ser visto apenas como um exercício de compliance, mas como uma oportunidade para fortalecer a capacidade das instituições financeiras de resistir, responder e recuperar em momentos de falha tecnológica. Leia também: “A importância da cibersegurança no setor financeiro”.
resiliência digital resiliência digital Nota: análise relacionada com resiliência digital.
Leia também: Operadoras garantem dados ilimitados em zonas afetadas
Fonte: ECO
