A Lei n.º 73/2025, de 23 de dezembro, vem reforçar de forma significativa a segurança e a resiliência digital do setor financeiro em Portugal, alinhando o país com o novo enquadramento europeu em matéria de riscos tecnológicos e cibersegurança.

Este diploma tem como principal objetivo executar o Regulamento (UE) 2022/2554, conhecido como DORA (Digital Operational Resilience Act), e transpor a Diretiva (UE) 2022/2556 para o ordenamento jurídico nacional.

Lei n.º 73/2025: o que está em causa?

O setor financeiro é cada vez mais dependente de sistemas digitais. Uma falha informática, um ciberataque ou uma interrupção prolongada pode ter impactos graves na economia, nos mercados e nos cidadãos.

A Lei n.º 73/2025 surge precisamente para garantir que as entidades financeiras conseguem resistir, responder e recuperar de incidentes tecnológicos graves.

A lei aplica-se a um vasto conjunto de entidades, incluindo:

Bancos e instituições de crédito

Seguradoras e resseguradoras

Sociedades gestoras de fundos

Instituições de pagamento e de moeda eletrónica

Infraestruturas de mercado financeiro

Principais obrigações

Com a entrada em vigor desta lei, as entidades abrangidas passam a ter de:

Implementar sistemas robustos de gestão de risco das TIC (Tecnologias de Informação e Comunicação);

Notificar incidentes graves de segurança digital às autoridades competentes dentro de prazos definidos;

Realizar testes regulares de resiliência operacional digital, incluindo testes a cenários de ciberataques;

Controlar e avaliar riscos associados a prestadores externos de serviços TIC, como fornecedores de cloud;

Adotar planos de continuidade e recuperação para garantir a prestação de serviços essenciais.

A lei atribui competências de supervisão às autoridades nacionais do setor financeiro, prevendo coimas e sanções para as entidades que não cumpram as novas obrigações. O objetivo não é apenas punitivo, mas sobretudo preventivo, promovendo uma cultura de segurança digital.

Num contexto de crescente digitalização e aumento das ameaças cibernéticas, esta lei coloca a resiliência operacional digital no centro da estratégia de segurança do setor financeiro português.