DORA na prática: como o regulamento europeu afeta suas operações e fornecedores de TI

A digitalização acelerada do setor financeiro elevou os riscos operacionais ligados à tecnologia. Em resposta, a União Européia instituiu o Digital Operational Resilience Act (DORA), uma regulação robusta que visa fortalecer a resiliência das entidades financeiras e de seus fornecedores tecnológicos.

Para CIOs, CISOs e gestores de TI, isso significa que não basta mais apenas garantir a segurança: é preciso demonstrar capacidade real de resposta, recuperação e continuidade.

O que é o DORA

O DORA é um regulamento da União Européia (UE) (Regulamento (EU) 2022/2554) que entrou em aplicação em 17 de janeiro de 2025.

Ele cobre não apenas bancos, seguradoras e gestoras, mas também provedores críticos de TIC terceirizados (cloud, data centers, software).

Seu objetivo central é criar um regime unificado para que essas entidades possam resistir, reagir e se recuperar de interrupções de tecnologia, sejam causadas por falhas técnicas, ciberataques ou dependência excessiva de terceiros.

Por que o DORA existe

Alguns fatores explicam por que a UE decidiu implementar a regulação:

• Dependência tecnológica crescente: bancos, seguradoras e gestoras dependem de soluções de computação em nuvem, data centers e software de terceiros.
• Riscos de concentração: poucos provedores globais, chamados hiperscalers (grandes empresas de nuvem como AWS, Azure e Google Cloud), atendem centenas de instituições européias.
• Fragmentação regulatória: antes do DORA, cada país tinha exigências diferentes, que dificultava uma resposta unificada a riscos.
• Dificuldade de resposta coordenada: autoridades nacionais não conseguiam agir rapidamente de maneira conjunta.
• Pressão por resiliência operacional: segurança da informação e planos de continuidade eram insuficientes sem um arcabouço comum.

O DORA é um regime de resiliência operacional pensado como riscos sistêmicos (e não individuais) que busca unificar regras na Europa e antecipar riscos criados por cadeias digitais complexas.

Os 5 pilares essenciais do DORA

1. ICT Risk Management Framework (Gerenciamento de Riscos de TIC)

Estabelece uma estrutura formal de políticas, processos e controles para identificar, avaliar, proteger, detectar, responder e recuperar-se de riscos de TIC. 

O regulamento exige que as entidades mantenham:

• Governança clara para riscos de TIC;
• Inventário atualizado de ativos;
• Controles técnicos proporcionais ao risco;
• Mecanismos de resposta e recuperação;
• Revisões contínuas do programa de riscos.

Na prática, este pilar cria uma camada de disciplina operacional semelhante à de um Sistema de Gestão de Segurança da Informação (SGSI) que atende aos requisitos da norma ISO/IEC 27001, mas com foco explícito na resiliência digital em ambientes financeiros.

2. ICT Third-Party Risk Management

Ao instituir um regime de supervisão sobre provedores externos de serviços essenciais de TIC, o DORA estabelece um regulamento que define ICT third-party risk como o risco decorrente da dependência de terceiros que prestam serviços de tecnologia da informação e comunicação, incluindo cloud providers (provedores de computação em nuvem), data centers (infraestruturas de processamento e armazenamento de dados) e fornecedores de software. 

As obrigações são:

• Monitoramento contínuo do desempenho e segurança dos fornecedores;
• Cláusulas contratuais obrigatórias, chamadas key contractual provisions;
• Planos de saída (exit strategies), para garantir continuidade;
• Registro de todas as relações no Register of Information, uma base obrigatória de informações operacionais sobre terceiros.

O artigo destaca que essa é a primeira vez que a União Europeia estabelece uma supervisão centralizada acima das autoridades nacionais para provedores críticos de ICT (Information and Communication Technology).

Essa lógica sobre terceiros dialoga diretamente com práticas já consolidadas em modelos de maturidade como o CMMI-SPL (CMMI for Suppliers), vertente do CMMI voltada à gestão de fornecedores. O CMMI-SPL estabelece práticas para seleção, monitoramento, avaliação de desempenho e controle de riscos associados a fornecedores, permitindo que organizações implementem processos formais de Supplier Management (gestão de fornecedores) de forma estruturada e repetível.

3. Digital Operational Resilience Testing

O DORA estabelece uma camada de testes obrigatória e escalonada. Todas as entidades devem realizar testes básicos de continuidade e recuperação, mas instituições relevantes entram em uma categoria maior: os testes avançados de resiliência, que incluem o Threat-Led Penetration Testing (TLPT).

O TLPT simula ataques reais com base em táticas usadas por grupos maliciosos, conduzidos por equipes independentes e qualificadas. O objetivo é avaliar, com realismo, a capacidade de resposta e recuperação em cenários extremos.

4. CT-related Incident Reporting

As entidades devem reportar incidentes significativos conforme padrões definidos pelas autoridades europeias. Isso inclui:

• Critérios de classificação definidos em RTS (Regulatory Technical Standards);
• Formulários e templates definidos em ITS (Implementing Technical Standards);
• Prazos obrigatórios de reporte;
• Envio estruturado às autoridades competentes.

O objetivo é criar uma base de dados européia para resposta coordenada a incidentes relevantes.

5. Information Sharing

O DORA incentiva o compartilhamento de informações sobre ameaças, vulnerabilidades e indicadores de ataque, conhecidos como cyber threat intelligence. A intenção é fortalecer a prevenção coletiva e acelerar a detecção de riscos emergentes no setor financeiro. 

A estrutura legal do DORA

Segundo o European Insurance and Occupational Pensions Authority (EIOPA), o DORA é formado por três níveis normativos:

Nível 1 – Regulation and amending Directive

Regulamento (UE) 2022/2554, que cria regras diretamente aplicáveis em todos os Estados-Membros, e a Diretiva (UE) 2022/2556, que ajusta outras diretivas do setor financeiro para alinhar definições, requisitos e supervisão à lógica da resiliência operacional digital. É o que define o que deve existir (gestão de risco de TIC, reporte de incidentes, testes, terceiros, supervisão etc.) e quem deve cumprir.

Nível 2 – Regulatory, implementing and delegated acts in the office journal 

São instrumentos que detalham como cumprir o Nível 1, como RTS (Regulatory Technical Standards) trazem requisitos técnicos obrigatórios, ITS (Implementing Technical Standards) padronizam formatos/processos (por exemplo, templates, registros e fluxos de reporte), e Delegated Regulations (DR) definem critérios e regras operacionais específicas (como designação de CTPPs, taxas de supervisão, condições de harmonização, JET etc.)

Nível 3 – Guidelines

São orientações emitidas pelas autoridades europeias (como as ESAs) para promover consistência de interpretação e aplicação. Diferem do Nível 2 porque, em geral, funcionam como referência de supervisão e boas práticas para uniformizar expectativas.

Oversight europeu para provedores críticos

Um dos pontos mais inovadores do DORA é o oversight (supervisão) em nível europeu para provedores TIC críticos (“CTPPs”). As autoridades da UE (EBA, ESMA, EIOPA) têm poder para:

• Fazer inspeções on-site e off-site;
• Exigir planos de ação e correções;
• Cobrar taxas de supervisão (“oversight fees”).

Isso representa um modelo regulatório supranacional para empresas tecnológicas globais que sustentam o sistema financeiro.

Desafios e tensões regulatórias

Tensões importantes que empresas devem considerar:

• Fragmentação x Centralização: conflitos entre supervisores nacionais vs controle paneuropeu.
• Capacidade técnica: fiscalizar CTPPs exige especialistas altamente qualificados.
• Inovação vs compliance: regulamentos rígidos podem frear empresas menores ou em rápida evolução.
• Riscos sistêmicos contínuos: mesmo com supervisão, a dominação de grandes provedores pode persistir.

Importância do DORA para empresas brasileiras

Mesmo não sendo uma regulamentação nacional, o DORA já impacta empresas brasileiras, principalmente aquelas que prestam, ou querem prestar, serviços para o mercado financeiro europeu ou fazem parte de cadeias internacionais.

Organizações que atendem bancos e instituições financeiras da UE deverão cumprir:

• Requisitos contratuais mais rígidos;
• Auditorias e verificações específicas de ICT;
• Controles formais de resiliência operacional.

Empresas brasileiras integradas a grupos multinacionais podem ser classificadas como partes relevantes de CTPPs (Critical ICT Third-Party Providers) e, portanto, precisarão seguir requisitos adicionais.

Sua empresa está pronta para o DORA?

Se a sua organização pretende prestar ou já presta serviços de TI para instituições financeiras europeias, o DORA deixa de ser um tema regulatório distante e passa a impactar diretamente contratos, auditorias, governança de fornecedores e continuidade do negócio.

Um diagnóstico estruturado de prontidão para o DORA permite identificar lacunas, priorizar ações e preparar sua TI para exigências contratuais e regulatórias com previsibilidade e segurança.

A Promove apoia empresas na avaliação de riscos, na gestão de terceiros críticos, na estruturação de testes de resiliência, no reporte de incidentes e na governança operacional, integrando os requisitos do DORA com ISO/IEC 27001, CMMI e boas práticas consolidadas de engenharia e serviços. Entre em contato e saiba mais!

Fontes

Digital Operational Resilience Act (DORA) And Similar Global ICT Risk Management Frameworks Requires a Structured Approach That Balances Theory, Empirical Evidence, And Critical Analysis

The digital operational resilience act: challenges and some reflections on the adequacy of Europe’s architecture for financial supervision

European Insurance and Occupational Pensions Authority

DORA’s Research Program

O que é a lei DORA? – IBM