Catorze meses após a entrada em vigor da Lei de Resiliência Operacional Digital, as instituições financeiras europeias estão a ficar sem tempo para responder. O regulamento, que entrou em vigor em 17 de janeiro de 2025, foi visto como o marco do início de uma nova era na gestão do risco digital em toda a UE. Em vez disso, revelou até onde a maioria das empresas ainda tem que ir.
Os números contam uma história contundente. sem chance Pesquisa McKinsey das principais instituições financeiras europeias A pesquisa constatou que apenas cerca de um terço estava confiante de que conseguiria cumprir todos os requisitos da DORA até o prazo final de janeiro de 2025. Um estudo separado da Deloitte apresenta um quadro igualmente alarmante. Apenas 50% das instituições esperam alcançar a conformidade total até ao final de 2025, enquanto 38% empurraram o seu objetivo para 2026. Quase metade (46%) citou a lista obrigatória de registos de informação da DORA para todos os contratos de terceiros no domínio das TIC como o requisito mais difícil de cumprir.
Não é uma lacuna teórica. Trata-se de uma exposição regulamentar em tempo real de um regime que permite multas até 2% do volume de negócios anual global e sanções pessoais até 1 milhão de euros para gestores seniores que não tomem medidas.
O que DORA realmente exige
O âmbito da DORA é mais amplo do que muitas pessoas inicialmente imaginam. Este regulamento aplica-se não apenas a bancos e companhias de seguros, mas também a instituições de pagamento, fornecedores de dinheiro eletrónico, prestadores de serviços de ativos de criptomoeda, empresas de investimento e respetivos prestadores de serviços de TIC. A Autoridade Europeia de Supervisão (ESA) estima que mais de 22.000 instituições financeiras e centenas de fornecedores de tecnologia que lhes prestam serviços estão no âmbito.
💜 da tecnologia da UE
As últimas novidades do cenário tecnológico da UE, a história do sábio fundador Boris e a questionável arte de IA. Receba-o em sua caixa de entrada gratuitamente todas as semanas. Cadastre-se agora!
O regulamento consiste em cinco elementos principais: gestão de riscos de TIC, comunicação de incidentes, testes de resiliência operacional digital (incluindo testes de penetração de entidades críticas baseados em ameaças), supervisão de riscos de terceiros e partilha de informações. Cada fundação vem com seus próprios padrões técnicos, obrigações de relatórios e expectativas de supervisão. Tal como explorámos na nossa análise a razão pela qual 2026 será o ano da governação da IA em cibersegurança, o impulso regulamentar no sentido da supervisão estruturada está a acelerar em todo o setor.
O que torna a DORA diferente das regulamentações anteriores é a sua ênfase na continuidade. Este não é um exercício de certificação pontual. Isto exige que as organizações demonstrem resiliência operacional contínua através de monitorização em tempo real, provas documentadas e a capacidade de demonstrar conformidade a qualquer momento. Para equipes acostumadas a um ciclo anual de auditoria, a mudança é significativa.
Março de 2026: Teste de registro de informações
O ponto de pressão mais imediato em 2026 será a segunda submissão anual ao Registo de Informação (RoI). Nos termos do artigo 28.º da DORA, todas as instituições financeiras são obrigadas a manter um registo abrangente que documente todos os contratos com terceiros prestadores de serviços de TIC. As autoridades nacionais competentes consolidam então estes registos e apresentam-nos à ESA até 31 de março de cada ano.
A data base do ciclo deste ano é 31 de dezembro de 2025. Isso significa que o cadastro deverá registrar todos os contratos de TIC vigentes no final do ano. Os prazos variam de acordo com o país. O BaFin da Alemanha exige submissões entre 9 e 30 de março, o DNB e AFM dos Países Baixos estabeleceram um prazo de 20 de março, a MFSA de Malta estabeleceu um prazo de 21 de março e a CSSF de Luxemburgo abriu o seu portal eDesk em 11 de fevereiro para submissões até 31 de março.
A rodada piloto de 2025 expôs atritos significativos. Muitas empresas descobrem que lhes falta uma visão centralizada das suas relações com fornecedores de TIC, com contratos distribuídos por equipas de aquisição, unidades de negócio e operações subsidiárias. Os problemas de qualidade dos dados foram significativos. Havia registos incompletos, identificadores de contratos em falta e classificação de serviços inconsistente em relação ao sistema de classificação da ESA.
A pesquisa da Deloitte confirma a escala do desafio, com 46% das instituições financeiras citando o registo de informações como o requisito DORA mais difícil. Para organizações que gerenciam centenas ou milhares de relacionamentos com fornecedores em diversas jurisdições, é quase impossível compilar manualmente registros precisos e auditáveis dentro de uma janela de arquivamento.
19 fornecedores sob supervisão direta da UE
Em novembro de 2025, a ESA publicou o seu primeiro relatório. Lista dos 19 principais fornecedores terceirizados de TIC (CTPP) está sob supervisão direta da UE. Esta lista inclui Amazon Web Services, Google Cloud, Microsoft, Oracle, SAP e Deutsche Telekom, entre outros. Estes prestadores foram designados com base em quatro critérios: impacto sistémico de uma potencial falência, importância sistémica das instituições financeiras que neles dependem, concentração de dependência nos sectores bancário, de seguros e de valores mobiliários e substituibilidade de serviços.
Para estes 19 fornecedores, a ESA tem agora o poder de realizar avaliações de risco anuais, exigir relatórios abrangentes, realizar inspeções no local e coordenar a supervisão através de equipas de inspeção conjuntas compostas por pessoal da ESA e de reguladores nacionais.
A designação tem um efeito cascata. As instituições financeiras que dependem de um determinado CTPP devem demonstrar que avaliaram, documentaram e mitigaram os riscos de concentração decorrentes dessa dependência. Isso significa mapear todas as funções críticas em execução no AWS, Azure ou Google Cloud, documentar medidas alternativas e provar que as operações não serão interrompidas por uma interrupção de um fornecedor importante. Para uma empresa de médio porte com uma infraestrutura construída em torno de um único provedor de nuvem, esse requisito por si só exige meses de correção.
Os testes de penetração passaram de opcionais a obrigatórios.
Os requisitos da DORA para testes de penetração orientados a ameaças (TLPT) acrescentam ainda mais complexidade operacional. O regulamento exige que instituições financeiras significativas (globalmente ou sistemicamente importantes, incluindo prestadores de serviços de pagamento que processam mais de 150 mil milhões de euros anualmente) realizem exercícios de equipa vermelha baseados em informações em sistemas de produção ativos, pelo menos de três em três anos.
As normas técnicas regulamentares para TLPT, publicadas em junho de 2025 e aplicáveis a todos os Estados-Membros a partir de 8 de julho de 2025, estabelecem as regras precisas. Os provedores de inteligência contra ameaças devem sempre ser externos. Uma equipe vermelha externa deve ser usada para cada terceiro teste. Os testes devem visar funções críticas ou cruciais e a infraestrutura de TIC que as apoia, incluindo fornecedores terceiros relevantes, quando apropriado.
Esta não é uma verificação de vulnerabilidade de rotina. O TLPT simula ataques cibernéticos reais realizados sem o conhecimento das equipes de defesa de uma organização, fornecendo uma avaliação sólida de suas capacidades de detecção e resposta. O custo, a coordenação e os riscos operacionais da execução destes exercícios em sistemas de produção são significativos e muitas organizações ainda estão a construir processos internos para os gerir com segurança.
O custo de fazer a coisa certa (e o custo de fazer a coisa errada)
A conformidade é cara. Um inquérito da Deloitte concluiu que 96% das instituições financeiras estimaram o custo do cumprimento da DORA, situando-se a maioria entre 2 milhões e 5 milhões de euros. Uma pesquisa da McKinsey descobriu que 70% dos entrevistados esperam que a DORA aumente permanentemente os custos operacionais de tecnologia e controles tecnológicos. Quase 40% das organizações pesquisadas têm sete ou mais funcionários em tempo integral dedicados à conformidade com a DORA.
O não cumprimento custa mais. Além de multas importantes (até 2% do volume de negócios global para instituições financeiras e até 5 milhões de euros para fornecedores de TIC críticos), os reguladores podem impor multas diárias recorrentes de até 1% da média diária do volume de negócios global para forçar uma reparação imediata. A Seção 50 da DORA também dá aos reguladores o poder de suspender licenças ou revogar totalmente as aprovações.
As abordagens nacionais de aplicação variam, mas a direção a seguir é clara. Embora 2025 tenha sido amplamente visto como um ano de transição para os reguladores reverem o quadro e identificarem lacunas, 2026 marca uma mudança para uma implementação ativa. Os reguladores estão a passar da revisão de documentos para a exigência de provas: provas de resiliência em tempo real, relatórios automatizados e controlos demonstráveis sobre os riscos das TIC.
Onde a automação se encaixa
A lacuna entre o que a DORA exige e o que a maioria das organizações pode fornecer manualmente está impulsionando o mercado de automação de compliance. Estas tendências reflectem o que está a acontecer na regulamentação financeira vizinha. A Steward arrecadou recentemente 5 milhões de dólares para automatizar a conformidade AML para gestores de investimentos, enquanto a Cleafy garantiu 12 milhões de euros para ajudar a combater a fraude bancária. Ambos reflectem a mudança mais ampla para uma infra-estrutura regulamentar automatizada nos serviços financeiros europeus. Há uma procura crescente de plataformas que possam centralizar a recolha de provas, automatizar o mapeamento de controlo, gerir registos de informação e fornecer monitorização contínua, especialmente em empresas de média dimensão que não dispõem dos recursos dos departamentos de GRC dos grandes bancos.
O espaço europeu de automação de conformidade inclui tanto intervenientes norte-americanos bem financiados (Drata, Vanta e Secureframe estão todos a expandir a sua cobertura de estruturas europeias) como uma constelação crescente de plataformas baseadas na UE construídas especificamente em torno das regulamentações europeias. Entre eles, sede em Vilnius dísticoque arrecadou 6 milhões de euros em financiamento da Série A em fevereiro de 2026, posicionou-se em torno da DORA, NIS2 e ISO 27001, combinando automação com apoio parcial do CISO. Concebido para automatizar o processo de submissão de registo de TIC, o produto de registo DORA dedicado reflete os desafios específicos que as empresas europeias enfrentam.
A tendência mais ampla não é sobre um único fornecedor. Trata-se de uma mudança estrutural na forma como o compliance é feito. Os processos manuais são interrompidos quando as regulamentações exigem evidências contínuas. Quando os períodos de envio são medidos em semanas e o estoque do fornecedor chega a centenas, as planilhas param de funcionar. As primeiras organizações a adaptarem-se normalmente fizeram-no incorporando a automação nos seus esforços de conformidade, em vez de a deixarem como uma reflexão tardia.
O que vem a seguir?
DORA não é um regulamento fixo. A ESA atualizará anualmente a sua lista dos principais fornecedores de TIC, com a próxima revisão prevista para o final de 2026. Normas técnicas adicionais para notificação de incidentes e subcontratação ainda estão a ser finalizadas. E após o primeiro ciclo completo de submissões ao Registo de Informação, os reguladores terão pela primeira vez uma visão de todo o sistema dos riscos de concentração de TIC em todo o sector financeiro europeu.
Esses dados informarão as futuras prioridades de supervisão. Se os riscos de concentração e dependência suspeitos pelos reguladores forem revelados, as respostas poderão incluir controlos mais rigorosos na seleção de fornecedores de serviços em nuvem, arquiteturas obrigatórias de múltiplos fornecedores ou requisitos reforçados de planeamento de saída. A trajetória mais ampla aponta para uma supervisão mais profunda e mais prescritiva da infraestrutura tecnológica em todo o sistema financeiro, como evidenciado pelos apelos do próprio Reino Unido a uma revisão “maciça” das defesas digitais.
Para as instituições financeiras, a mensagem dos primeiros 14 meses da DORA é que o compliance não é um projeto com linha de chegada. Esta é uma função operacional contínua que requer investimento, infraestrutura e uma abordagem fundamentalmente diferente à gestão de riscos tecnológicos. As empresas que o fizerem desta forma não só evitarão multas, como também estarão em melhor posição para superar as perturbações operacionais que os regulamentos foram concebidos para resolver em primeiro lugar.
