REGULAMENTO (UE) 2022/2554 - APLICÁVEL DESDE 17 DE JANEIRO DE 2025

A sua conformidade DORA,
documentada e defensável

O regulamento europeu sobre a resiliência operacional digital do setor financeiro (DORA) impõe às entidades financeiras - e por repercussão aos seus prestadores TIC - um registo exaustivo dos contratos, cláusulas contratuais precisas e provas de auditoria datadas. A SYAGA DORA-Express ajuda-o a responder a estas exigências sem improvisar, quer seja entidade financeira ou prestador.

17/01
Aplicável desde 2025
21
Categorias de entidades visadas (art. 2)
4h
Prazo de notificação de um incidente maior
19
Prestadores TIC críticos já designados

O contexto regulamentar

O DORA é um regulamento, não uma diretiva: aplica-se diretamente em todos os Estados- Membros, sem necessidade de uma lei de transposição nacional.

O DORA aplica-se diretamente desde 17 de janeiro de 2025

Regulamento (UE) 2022/2554 de 14 de dezembro de 2022, publicado no JOUE em 27 de dezembro de 2022, entrado em vigor em 16 de janeiro de 2023 e aplicável desde 17 de janeiro de 2025. Nenhuma transposição nacional exigida: é diretamente oponível.

📋

É exigido um registo TIC exaustivo (art. 28 §3)

Cada entidade financeira deve manter atualizado e transmitir anualmente às autoridades um registo completo dos seus contratos TIC: prestador, natureza do serviço, criticidade da função, país de alojamento dos dados.

📄

Os seus contratos devem conter cláusulas precisas (art. 30)

Direitos de auditoria e de inspeção, garantias de disponibilidade e de integridade dos dados, planos de saída testados, notificação de incidentes sem demora. Estas cláusulas transmitem-se do seu cliente financeiro para si, se for o seu prestador TIC.

📧

O questionário de due diligence já está na sua caixa de correio

Antes de assinar ou renovar um contrato, um banco, uma seguradora ou um investidor envia um questionário cibernético (governação, MFA, EDR, encriptação, sensibilização). Responder-lhe sem prova documentada faz perder o contrato.

O gatilho de 18 de novembro de 2025

Os seus prestadores de cloud acabaram de ser oficialmente designados «críticos»

Em 18-19 de novembro de 2025, as autoridades europeias de supervisão (EBA, ESMA, EIOPA) publicaram a primeira lista oficial dos prestadores TIC críticos ao abrigo do artigo 32 do DORA. Entre os nomes confirmados pelos comunicados oficiais: AWS EMEA Sarl, Microsoft Ireland Operations Limited, Google Cloud, Orange SA, Capgemini SE (e mais 14 prestadores não confirmados nominalmente nas nossas fontes).

Consequência concreta: se os seus serviços críticos assentarem num destes prestadores, a sua entidade financeira cliente deve agora documentá-lo no seu registo TIC - e pode interrogá-lo sobre a sua própria cadeia de subcontratação.

Fonte: comunicados oficiais EIOPA e ESMA de 18-19 de novembro de 2025 (eiopa.europa.eu, esma.europa.eu).

A nossa resposta: DORA-Express

Um acompanhamento estruturado em 5 etapas para documentar a sua conformidade - sem prometer o que nem uma ferramenta, nem uma consultora, podem certificar no seu lugar.

1
Etapa 1 - Qualificação

Identificamos a sua exposição real

É uma entidade financeira diretamente sujeita (uma das 21 categorias do artigo 2), ou um prestador TIC visado indiretamente através das cláusulas contratuais dos seus clientes financeiros (artigo 30)? O âmbito exato condiciona todo o resto.

2
Etapa 2 - Due diligence

Resposta ao seu questionário cibernético

Respondemos ao seu questionário de due diligence de banco, investidor ou seguradora (governação, MFA, EDR, encriptação, sensibilização...) apoiando-nos numa auditoria técnica do seu tenant Microsoft 365 como prova datada e verificável.

3
Etapa 3 - Registo e contratos

Registo TIC e cláusulas do artigo 30

Ajudamo-lo a estruturar o seu registo de contratos TIC (art. 28 §3) e a verificar ou integrar as cláusulas contratuais mínimas e reforçadas do artigo 30 nos seus contratos de prestadores.

4
Etapa 4 - Continuidade e resiliência

PRA/PCA perfil setorial Finanças

O nosso PRA/PCA Suite propõe um perfil setorial Finanças (DORA, PSD2, ACPR) que cobre as exigências de testes de resiliência operacional do capítulo IV do DORA, alinhado com a ISO 22301.

5
Etapa 5 - Entrega

Um dossiê de conformidade documentado

Entrega à sua direção, ao seu CISO ou ao seu diretor financeiro de um dossiê consolidado, com os pontos precisos a fazer decidir pelo seu advogado antes de qualquer comunicação às autoridades.

O que recebe

Entregáveis concretos, sourceados, sem promessa de certificação que ninguém pode garantir

📝

Respostas de due diligence cibernética

10 perguntas tipo due diligence banco / M&A, documentadas e sourceadas (ILPA DDQ, CSA CAIQ, questionários de seguradoras cibernéticas).

  • Política de segurança / referencial reconhecido
  • MFA, menor privilégio, contas privilegiadas
  • Licença M365, EDR / threat hunting
  • Protocolos legados, encriptação de discos
  • Programa de sensibilização
📄

Ficha de referência DORA

Síntese sourceada do regulamento (UE) 2022/2554.

  • Âmbito: 21 categorias de entidades (art. 2)
  • 5 domínios de obrigações
  • Prazos de notificação (4h / 72h / 1 mês)
  • Articulação com a NIS2 (lex specialis)
📋

Registo TIC (modelo art. 28 §3)

Estrutura do registo exaustivo exigido pelas autoridades.

  • Prestador e natureza do serviço
  • Criticidade da função suportada
  • País de alojamento dos dados
  • Formato pronto para transmissão anual
🔐

Cláusulas contratuais (modelo art. 30)

A integrar ou verificar nos seus contratos de prestadores TIC.

  • Cláusulas mínimas (todos os contratos)
  • Cláusulas reforçadas (funções críticas)
  • Direitos de auditoria e de inspeção
  • Planos de saída e extratabilidade dos dados
🏗

PRA/PCA perfil Finanças

Plano de continuidade e recuperação de atividade, perfil setorial dedicado.

  • Cobertura do capítulo IV do DORA (testes de resiliência)
  • Alinhado com a ISO 22301
  • Perfil setorial DORA / PSD2 / ACPR
  • Proveniente do nosso PRA/PCA Suite já existente
💾

Dossiê de conformidade documentado

Formatos PDF e DOCX, consolidando o conjunto dos entregáveis.

  • Pronto para a sua direção / CISO / diretor financeiro
  • Pontos a validar pelo seu advogado sinalizados
  • Base para os seus contactos com o regulador financeiro
  • Editável para atualização anual

Um exemplo: o questionário de due diligence bancária

Excerto das 10 perguntas que documentamos por si, com a fonte de cada pergunta

Tema Pergunta Fonte
Governação A sua política de segurança apoia-se num referencial reconhecido (NIST, ISO 27001)? ILPA DDQ 2.0
Auditoria de terceiros Realiza uma auditoria anual independente e testes de intrusão? CSA CAIQ v4
Plano de incidentes Existe um plano formal de resposta a incidentes, documentado e mantido? CSA CAIQ v4 / ILPA DDQ 2.0
MFA Para que serviços impõe a autenticação multifator? Travelers - MFA Supplement
Contas privilegiadas Os acessos seguem o princípio do menor privilégio, revistos periodicamente? CSA CAIQ v4 IAM
Correio eletrónico Que licença M365 utiliza? Defender / threat hunting avançado ativo? vCSO.ai Cyber DD Checklist
Encriptação Os discos dos terminais estão totalmente encriptados? Google VSAQ
Formação Está estabelecido um programa de sensibilização para a segurança de todos os colaboradores? CSA CAIQ v4 HRS

Textos e referenciais cobertos

Cada entregável indica explicitamente o que cobre - e o que não cobre

DO

DORA (Regulamento UE 2022/2554)

Registo TIC (art. 28), cláusulas contratuais (art. 30), prazos de notificação (art. 19), referência aos prestadores TIC críticos designados (art. 32).

N2

NIS2 - articulação com o DORA

O DORA é uma lex specialis face à NIS2 para o setor financeiro: as entidades abrangidas aplicam o DORA em vez das medidas NIS2 equivalentes.

ISO

ISO 22301 - continuidade de negócio

O perfil PRA/PCA Finanças alinha-se com a ISO 22301, referencial de gestão da continuidade de negócio utilizado em complemento do DORA.

RG

RGPD - notificação distinta

A notificação de incidentes DORA (junto do regulador financeiro) é distinta da notificação RGPD (autoridade de proteção de dados) em caso de violação de dados pessoais: ambas podem ser exigidas simultaneamente.

Um acompanhamento adaptado à sua situação

Cada dossiê DORA é diferente consoante o seu estatuto - orçamento personalizado em todos os casos

Prestador TIC

Fornece serviços a uma ou várias entidades financeiras

Orçamento
consoante o âmbito
  • Resposta de due diligence cibernética
  • Registo TIC do lado do prestador
  • Revisão das cláusulas do artigo 30
  • Dossiê documentado pronto a transmitir
Pedir orçamento

Acompanhamento anual

Atualização regular do dossiê (obrigações, contratos, registo)

Orçamento
recorrente
  • Atualização do registo TIC
  • Revisão anual das cláusulas contratuais
  • Vigilância sobre os prestadores críticos designados
  • Suporte para as suas due diligences de clientes
Pedir orçamento

Perguntas frequentes

A minha empresa é uma entidade financeira abrangida pelo DORA?
O artigo 2 do DORA lista 21 categorias de entidades financeiras: instituições de crédito e de pagamento, empresas de investimento, prestadores de criptoativos autorizados MiCA, seguros e resseguros, gestão de fundos, agências de notação, e outras. As microempresas (menos de 10 trabalhadores, volume de negócios ou balanço inferior a 2 M€) beneficiam de proporcionalidade em determinadas obrigações, mas não estão totalmente excluídas. A confirmar caso a caso com um advogado.
Não sou um banco, porque é que o DORA me diz respeito na mesma?
Se fornecer serviços TIC (informática, cloud, software, alojamento) a uma entidade financeira, o artigo 30 impõe ao seu cliente que o inscreva no seu registo e lhe imponha contratualmente cláusulas precisas: direitos de auditoria, notificação de incidentes sem demora, planos de saída. Estas obrigações passam pelo contrato do seu cliente, não por uma supervisão direta da autoridade - exceto se for você próprio designado prestador TIC crítico (artigo 31).
Quais são os prazos de notificação de um incidente TIC maior?
Artigo 19: notificação inicial em 4 horas após a classificação como incidente maior (no máximo 24 horas após a deteção), relatório intermédio em 72 horas, relatório final em 1 mês. Estas notificações são distintas de uma eventual notificação RGPD à autoridade de proteção de dados em caso de violação de dados pessoais.
O que é um «prestador TIC crítico»?
São prestadores designados explicitamente pelas autoridades europeias de supervisão (EBA, ESMA, EIOPA) segundo critérios de impacto sistémico, de substituibilidade e de dependência (artigo 31). A primeira lista oficial, publicada em 18-19 de novembro de 2025, conta 19 prestadores. Estão sujeitos a uma supervisão direta (inspeções, relatórios alargados); os restantes prestadores TIC continuam enquadrados apenas pelas cláusulas contratuais dos seus clientes financeiros.
O DORA substitui a NIS2 no meu setor?
Sim para as entidades financeiras na aceção do artigo 2: o DORA constitui uma lex specialis face à NIS2 para o setor financeiro. As 21 categorias visadas aplicam o DORA em vez das medidas NIS2 equivalentes em matéria de gestão de riscos e de notificação de incidentes.
Este serviço constitui um parecer jurídico?
Não. DORA-Express é uma ferramenta de apoio documental, não um parecer jurídico. A sujeição exata da sua organização ao DORA e a conformidade jurídica dos seus contratos devem ser validadas por um advogado especializado antes de qualquer decisão vinculativa.

Pronto para documentar a sua conformidade DORA?

Contacte-nos para receber um orçamento personalizado consoante o seu estatuto (entidade financeira ou prestador TIC).

DORA-Express é uma ferramenta de apoio documental e não constitui um parecer jurídico. A sujeição da sua organização ao DORA e a validade jurídica dos seus contratos e registos devem ser confirmadas por um advogado especializado.

Vigilância regulamentar - fontes oficiais

O DORA explicado de forma simples, sem jargão jurídico. Cada ponto abaixo remete para o texto oficial que o confirma.

Quem está abrangido?

O DORA aplica-se aos operadores financeiros europeus: bancos, seguradoras, sociedades de investimento, plataformas de mercado, gestores de fundos, prestadores de pagamento... bem como aos seus prestadores informáticos. As estruturas muito pequenas beneficiam de regras aligeiradas.

fonte oficial (EUR-Lex) ↗

O que o DORA lhe pede concretamente

O regulamento cobre 6 grandes temas: a gestão do risco informático, a supervisão dos seus prestadores externos, testes regulares de resistência, a comunicação de incidentes graves, a partilha de informações sobre ameaças, e a supervisão dos maiores prestadores informáticos.

fonte oficial (EIOPA) ↗

As datas a reter

Texto adotado em 14 de dezembro de 2022, publicado no Jornal Oficial da UE em 27 de dezembro de 2022 (JO L 333). Entrada em vigor em 16 de janeiro de 2023. As obrigações são efetivamente devidas desde 17 de janeiro de 2025.

fonte EUR-Lex ↗ · fonte ESMA ↗

Os seus prestadores informáticos também são supervisionados

Os maiores prestadores informáticos (cloud, alojamento...) considerados «críticos» para o setor financeiro são agora controlados diretamente a nível europeu, com um supervisor líder que lhes pode impor medidas.

fonte oficial (EIOPA) ↗

Uma comunicação de incidentes finalmente harmonizada

Antes do DORA, cada país da UE tinha as suas próprias regras para comunicar um incidente informático grave. Agora, aplica-se um procedimento europeu único: os incidentes maiores são notificados diretamente às autoridades competentes.

fonte EUR-Lex ↗

E as sanções?

O texto prevê que as autoridades publiquem as sanções administrativas que aplicam. Os montantes precisos das coimas não estão estabilizados nas fontes consultadas até à data - a confirmar à medida das precisões oficiais.

fonte EUR-Lex (considerando 97) ↗