A Lei n.º 73/2025, de 23 de dezembro, vem reforçar de forma significativa a segurança e a resiliência digital do setor financeiro em Portugal, alinhando o país com o novo enquadramento europeu em matéria de riscos tecnológicos e cibersegurança.
Este diploma tem como principal objetivo executar o Regulamento (UE) 2022/2554, conhecido como DORA (Digital Operational Resilience Act), e transpor a Diretiva (UE) 2022/2556 para o ordenamento jurídico nacional.
Lei n.º 73/2025: o que está em causa?
O setor financeiro é cada vez mais dependente de sistemas digitais. Uma falha informática, um ciberataque ou uma interrupção prolongada pode ter impactos graves na economia, nos mercados e nos cidadãos.
A Lei n.º 73/2025 surge precisamente para garantir que as entidades financeiras conseguem resistir, responder e recuperar de incidentes tecnológicos graves.
A lei aplica-se a um vasto conjunto de entidades, incluindo:
- Bancos e instituições de crédito
- Seguradoras e resseguradoras
- Sociedades gestoras de fundos
- Instituições de pagamento e de moeda eletrónica
- Infraestruturas de mercado financeiro
Principais obrigações
Com a entrada em vigor desta lei, as entidades abrangidas passam a ter de:
- Implementar sistemas robustos de gestão de risco das TIC (Tecnologias de Informação e Comunicação);
- Notificar incidentes graves de segurança digital às autoridades competentes dentro de prazos definidos;
- Realizar testes regulares de resiliência operacional digital, incluindo testes a cenários de ciberataques;
- Controlar e avaliar riscos associados a prestadores externos de serviços TIC, como fornecedores de cloud;
- Adotar planos de continuidade e recuperação para garantir a prestação de serviços essenciais.
A lei atribui competências de supervisão às autoridades nacionais do setor financeiro, prevendo coimas e sanções para as entidades que não cumpram as novas obrigações. O objetivo não é apenas punitivo, mas sobretudo preventivo, promovendo uma cultura de segurança digital.
Num contexto de crescente digitalização e aumento das ameaças cibernéticas, esta lei coloca a resiliência operacional digital no centro da estratégia de segurança do setor financeiro português.