O regulamento europeu sobre a resiliência operacional digital do setor financeiro (DORA) impõe às entidades financeiras - e por repercussão aos seus prestadores TIC - um registo exaustivo dos contratos, cláusulas contratuais precisas e provas de auditoria datadas. A SYAGA DORA-Express ajuda-o a responder a estas exigências sem improvisar, quer seja entidade financeira ou prestador.
O DORA é um regulamento, não uma diretiva: aplica-se diretamente em todos os Estados- Membros, sem necessidade de uma lei de transposição nacional.
Regulamento (UE) 2022/2554 de 14 de dezembro de 2022, publicado no JOUE em 27 de dezembro de 2022, entrado em vigor em 16 de janeiro de 2023 e aplicável desde 17 de janeiro de 2025. Nenhuma transposição nacional exigida: é diretamente oponível.
Cada entidade financeira deve manter atualizado e transmitir anualmente às autoridades um registo completo dos seus contratos TIC: prestador, natureza do serviço, criticidade da função, país de alojamento dos dados.
Direitos de auditoria e de inspeção, garantias de disponibilidade e de integridade dos dados, planos de saída testados, notificação de incidentes sem demora. Estas cláusulas transmitem-se do seu cliente financeiro para si, se for o seu prestador TIC.
Antes de assinar ou renovar um contrato, um banco, uma seguradora ou um investidor envia um questionário cibernético (governação, MFA, EDR, encriptação, sensibilização). Responder-lhe sem prova documentada faz perder o contrato.
Em 18-19 de novembro de 2025, as autoridades europeias de supervisão (EBA, ESMA, EIOPA) publicaram a primeira lista oficial dos prestadores TIC críticos ao abrigo do artigo 32 do DORA. Entre os nomes confirmados pelos comunicados oficiais: AWS EMEA Sarl, Microsoft Ireland Operations Limited, Google Cloud, Orange SA, Capgemini SE (e mais 14 prestadores não confirmados nominalmente nas nossas fontes).
Consequência concreta: se os seus serviços críticos assentarem num destes prestadores, a sua entidade financeira cliente deve agora documentá-lo no seu registo TIC - e pode interrogá-lo sobre a sua própria cadeia de subcontratação.
Fonte: comunicados oficiais EIOPA e ESMA de 18-19 de novembro de 2025 (eiopa.europa.eu, esma.europa.eu).
Um acompanhamento estruturado em 5 etapas para documentar a sua conformidade - sem prometer o que nem uma ferramenta, nem uma consultora, podem certificar no seu lugar.
É uma entidade financeira diretamente sujeita (uma das 21 categorias do artigo 2), ou um prestador TIC visado indiretamente através das cláusulas contratuais dos seus clientes financeiros (artigo 30)? O âmbito exato condiciona todo o resto.
Respondemos ao seu questionário de due diligence de banco, investidor ou seguradora (governação, MFA, EDR, encriptação, sensibilização...) apoiando-nos numa auditoria técnica do seu tenant Microsoft 365 como prova datada e verificável.
Ajudamo-lo a estruturar o seu registo de contratos TIC (art. 28 §3) e a verificar ou integrar as cláusulas contratuais mínimas e reforçadas do artigo 30 nos seus contratos de prestadores.
O nosso PRA/PCA Suite propõe um perfil setorial Finanças (DORA, PSD2, ACPR) que cobre as exigências de testes de resiliência operacional do capítulo IV do DORA, alinhado com a ISO 22301.
Entrega à sua direção, ao seu CISO ou ao seu diretor financeiro de um dossiê consolidado, com os pontos precisos a fazer decidir pelo seu advogado antes de qualquer comunicação às autoridades.
Entregáveis concretos, sourceados, sem promessa de certificação que ninguém pode garantir
10 perguntas tipo due diligence banco / M&A, documentadas e sourceadas (ILPA DDQ, CSA CAIQ, questionários de seguradoras cibernéticas).
Síntese sourceada do regulamento (UE) 2022/2554.
Estrutura do registo exaustivo exigido pelas autoridades.
A integrar ou verificar nos seus contratos de prestadores TIC.
Plano de continuidade e recuperação de atividade, perfil setorial dedicado.
Formatos PDF e DOCX, consolidando o conjunto dos entregáveis.
Excerto das 10 perguntas que documentamos por si, com a fonte de cada pergunta
| Tema | Pergunta | Fonte |
|---|---|---|
| Governação | A sua política de segurança apoia-se num referencial reconhecido (NIST, ISO 27001)? | ILPA DDQ 2.0 |
| Auditoria de terceiros | Realiza uma auditoria anual independente e testes de intrusão? | CSA CAIQ v4 |
| Plano de incidentes | Existe um plano formal de resposta a incidentes, documentado e mantido? | CSA CAIQ v4 / ILPA DDQ 2.0 |
| MFA | Para que serviços impõe a autenticação multifator? | Travelers - MFA Supplement |
| Contas privilegiadas | Os acessos seguem o princípio do menor privilégio, revistos periodicamente? | CSA CAIQ v4 IAM |
| Correio eletrónico | Que licença M365 utiliza? Defender / threat hunting avançado ativo? | vCSO.ai Cyber DD Checklist |
| Encriptação | Os discos dos terminais estão totalmente encriptados? | Google VSAQ |
| Formação | Está estabelecido um programa de sensibilização para a segurança de todos os colaboradores? | CSA CAIQ v4 HRS |
Cada entregável indica explicitamente o que cobre - e o que não cobre
Registo TIC (art. 28), cláusulas contratuais (art. 30), prazos de notificação (art. 19), referência aos prestadores TIC críticos designados (art. 32).
O DORA é uma lex specialis face à NIS2 para o setor financeiro: as entidades abrangidas aplicam o DORA em vez das medidas NIS2 equivalentes.
O perfil PRA/PCA Finanças alinha-se com a ISO 22301, referencial de gestão da continuidade de negócio utilizado em complemento do DORA.
A notificação de incidentes DORA (junto do regulador financeiro) é distinta da notificação RGPD (autoridade de proteção de dados) em caso de violação de dados pessoais: ambas podem ser exigidas simultaneamente.
Cada dossiê DORA é diferente consoante o seu estatuto - orçamento personalizado em todos os casos
Fornece serviços a uma ou várias entidades financeiras
Está diretamente sujeito ao DORA (uma das 21 categorias, art. 2)
Atualização regular do dossiê (obrigações, contratos, registo)
Contacte-nos para receber um orçamento personalizado consoante o seu estatuto (entidade financeira ou prestador TIC).
O DORA explicado de forma simples, sem jargão jurídico. Cada ponto abaixo remete para o texto oficial que o confirma.
O DORA aplica-se aos operadores financeiros europeus: bancos, seguradoras, sociedades de investimento, plataformas de mercado, gestores de fundos, prestadores de pagamento... bem como aos seus prestadores informáticos. As estruturas muito pequenas beneficiam de regras aligeiradas.
O regulamento cobre 6 grandes temas: a gestão do risco informático, a supervisão dos seus prestadores externos, testes regulares de resistência, a comunicação de incidentes graves, a partilha de informações sobre ameaças, e a supervisão dos maiores prestadores informáticos.
Texto adotado em 14 de dezembro de 2022, publicado no Jornal Oficial da UE em 27 de dezembro de 2022 (JO L 333). Entrada em vigor em 16 de janeiro de 2023. As obrigações são efetivamente devidas desde 17 de janeiro de 2025.
Os maiores prestadores informáticos (cloud, alojamento...) considerados «críticos» para o setor financeiro são agora controlados diretamente a nível europeu, com um supervisor líder que lhes pode impor medidas.
Antes do DORA, cada país da UE tinha as suas próprias regras para comunicar um incidente informático grave. Agora, aplica-se um procedimento europeu único: os incidentes maiores são notificados diretamente às autoridades competentes.
O texto prevê que as autoridades publiquem as sanções administrativas que aplicam. Os montantes precisos das coimas não estão estabilizados nas fontes consultadas até à data - a confirmar à medida das precisões oficiais.