O regulamento DORA (Lei de Resiliência Operacional Digital) é uma diretiva emitida pela Comissão Europeia com o objetivo de fortalecer a cibersegurança de entidades financeiras, como bancos, companhias de seguros e empresas de investimento.
O regulamento estabelece um quadro comum para a gestão de riscos relacionados com as tecnologias da informação e comunicação (TIC) e exige que as entidades financeiras assegurem um elevado nível de resiliência operacional digital – pode saber mais aqui.
Segundo o Banco de Portugal (BdP) desde o passado dia 17 de janeiro de 2025, as entidades financeiras supervisionadas devem observar os deveres relativos à gestão do risco associado às tecnologias de informação e comunicação previstos no Regulamento DORA e densificados nas normas técnicas de execução do Regulamento (UE) 2024/1774.
Sobre a comunicação dos incidentes de caráter severo relacionados com as tecnologias de informação e comunicação e notificação voluntária de ciberameaças significativas, a comunicação dos incidentes de caráter severo relacionados com as tecnologias de informação e comunicação e a notificação voluntária de ciberameaças significativas devem ser feitas tendo em conta as normas técnicas de regulamentação previstas no Regulamento (UE) 2024/1772, de 13 de março de 2024.
Sobre a manutenção, atualização e disponibilização às autoridades competentes de um registo de informações sobre todos os acordos contratuais relativos à utilização dos serviços de tecnologias de informação e comunicação prestados por terceiros prestadores de serviços de tecnologias de informação e comunicação, as entidades financeiras supervisionadas devem observar o dever de manter, atualizar e disponibilizar às autoridades competentes um registo de informações em relação a todos os acordos contratuais relativos à utilização dos serviços de tecnologias de informação e comunicação prestados por terceiros prestadores de serviços de tecnologias de informação e comunicação.
Sobre a realização de testes de resiliência operacional digital avançados, as entidades financeiras supervisionadas devem observar o dever de estabelecer, manter e rever um programa sólido e abrangente de testes de resiliência operacional digital, para efeitos do quadro de gestão do risco associado às tecnologias de informação e comunicação.