O software DORA ajuda as entidades financeiras portuguesas a cumprir o Regulamento DORA (Regulamento (UE) 2022/2554) sobre a resiliência operacional digital, aplicável desde 17 de janeiro de 2025. Para um banco, uma seguradora, uma empresa de investimento ou uma instituição de pagamento sob supervisão do Banco de Portugal, da CMVM ou da ASF, a ferramenta certa em 2026 é uma plataforma que gira o risco das TIC, mantenha um registo de informação sobre os fornecedores terceiros, classifique e notifique incidentes e planeie os testes de resiliência. O custo anual situa-se, tipicamente, entre 4.000 e 30.000 euros, consoante a dimensão e a complexidade da entidade. Este guia explica os cinco pilares da DORA, o papel do Banco de Portugal e o que o software deve assegurar.
A DORA em Portugal: o que se aplica?
Ao contrário da NIS2, a DORA é um regulamento — aplica-se diretamente em todos os Estados-Membros sem lei nacional de transposição. Em Portugal, a supervisão reparte-se entre o Banco de Portugal (bancos e instituições de pagamento), a CMVM (mercados e empresas de investimento) e a ASF (seguros e fundos de pensões). A DORA abrange praticamente todo o setor financeiro: instituições de crédito, instituições de pagamento e de moeda eletrónica, empresas de investimento, seguradoras e resseguradoras, sociedades gestoras de fundos, prestadores de serviços de criptoativos e os seus fornecedores críticos de TIC.
A DORA assenta em cinco pilares: gestão do risco das TIC, gestão e notificação de incidentes, testes de resiliência operacional digital, gestão do risco de terceiros e partilha de informação. Uma análise detalhada consta do nosso guia DORA em inglês.
Os cinco pilares e o que o software deve fazer
| Pilar | Requisito | O que o software deve fazer |
|---|---|---|
| Gestão do risco das TIC | Quadro aprovado pela direção | Registo de risco, medidas, relatórios de gestão |
| Notificação de incidentes | Classificação e relatório à autoridade | Fluxo com limiares e controlo de prazos |
| Testes de resiliência | Testes regulares, TLPT para alguns | Planeamento e documentação de resultados |
| Risco de terceiros | Registo de informação sobre fornecedores | Registo de informação estruturado |
| Partilha de informação | Troca sobre ciberameaças | Procedimentos documentados |
O registo de informação é a obrigação que mais entidades subestimam. A DORA exige um registo completo de todos os acordos de serviços de TIC com fornecedores terceiros, num formato que o Banco de Portugal e as autoridades europeias de supervisão possam solicitar. Sem apoio de software, torna-se um trabalho manual extenso que rapidamente fica desatualizado.
Critérios de escolha para entidades financeiras portuguesas
- Registo de informação segundo modelo. A ferramenta deve produzir o registo no formato que as autoridades esperam, e não uma folha de cálculo livre.
- Classificação de incidentes. Os limiares da DORA determinam o que notificar e quando. Uma ferramenta que automatize a classificação reduz o risco de sub e sobrenotificação.
- Sobreposição com NIS2 e RGPD. Muitas medidas de risco das TIC sobrepõem-se à NIS2 e ao artigo 32.º do RGPD. Uma plataforma que coordene os referenciais reduz o trabalho duplicado.
- Alojamento na UE e relatórios em português. Os dados devem permanecer na UE e os relatórios ser produzidos para o Banco de Portugal.
Opções de software
Dominam três categorias. As plataformas DORA/GRC especializadas cobrem os cinco pilares mas exigem configuração e estão frequentemente orientadas para instituições maiores. As plataformas de conformidade integradas — como a Legiscope — são eficientes quando o trabalho DORA deve ser coordenado com a documentação RGPD e NIS2 existente, mantendo registos de risco, fornecedores e medidas de segurança num único local. As ferramentas de segurança (Vanta, Sprinto) contribuem com a recolha técnica de provas, mas não cobrem plenamente o registo de informação nem os requisitos específicos de notificação da DORA.
Para as entidades financeiras de menor e média dimensão, a via mais eficiente em custo é, muitas vezes, uma plataforma integrada que já trate a proteção de dados, em vez de uma suite DORA autónoma. Compare mais amplamente na nossa comparação de software RGPD.
Custo
O software DORA custa, tipicamente, 4.000 a 30.000 euros por ano. As empresas de investimento e as instituições de pagamento de menor dimensão ficam no intervalo mais baixo, enquanto os bancos e as seguradoras com cadeias de fornecimento extensas e requisitos de testes de penetração baseados em ameaças (TLPT) ficam mais acima. Veja os princípios no nosso guia de preços, aplicáveis também às ferramentas DORA.
O registo de informação na prática
O registo de informação da DORA é a obrigação que mais tempo leva a construir e a que o Banco de Portugal e as autoridades europeias de supervisão efetivamente solicitam. O registo deve documentar todos os acordos de serviços de TIC com fornecedores terceiros e conter, entre outros elementos, a identidade do fornecedor, a criticidade da função, se o serviço apoia uma função crítica ou importante, onde os dados são armazenados e tratados, e eventuais subfornecedores na cadeia. As autoridades europeias de supervisão fixaram um formato de reporte padronizado, pelo que uma folha de cálculo livre raramente basta — o registo tem de poder ser exportado na estrutura esperada.
Uma ferramenta que mantém o registo vivo poupa, assim, tempo não só na construção como no reporte periódico. A ligação aos contratos de subcontratação é clara: os mesmos fornecedores que são subcontratantes ao abrigo do RGPD são, frequentemente, fornecedores de TIC ao abrigo da DORA, e uma plataforma que reúne ambos evita documentar o mesmo fornecedor duas vezes.
Gestão de incidentes e testes de resiliência
Classificação de incidentes. A DORA exige que os incidentes graves relacionados com as TIC sejam classificados segundo critérios fixos — número de clientes afetados, duração, dispersão geográfica e perda de dados — e comunicados à autoridade de supervisão em prazos determinados. Uma ferramenta que automatize a avaliação dos limiares reduz o risco de sub e sobrenotificação, ambos problemáticos numa fiscalização.
Testes de resiliência. Todas as entidades financeiras devem testar regularmente a sua resiliência digital. Para as instituições mais sistémicas, acrescem os testes de penetração baseados em ameaças (TLPT), mais exigentes e a documentar com rigor. Uma ferramenta que planeie os ciclos de teste e armazene os resultados oferece a rastreabilidade que a supervisão espera.
Ordem de implementação para entidades portuguesas
Uma ordem pragmática para uma entidade que começa de raiz: (1) mapear todos os fornecedores de TIC e construir o registo de informação, (2) estabelecer o quadro de gestão do risco das TIC com aprovação da direção, (3) implementar o fluxo de classificação e notificação de incidentes junto do Banco de Portugal, (4) planear os testes de resiliência, e (5) coordenar com a documentação RGPD e NIS2 existente para evitar trabalho duplicado. Começar pelo registo é decisivo, pois é o que mais tempo leva e o primeiro que a supervisão pede.
Perguntas frequentes
Quanto custa um software DORA em Portugal?
Tipicamente 4.000 a 30.000 euros por ano, consoante a dimensão e a complexidade da entidade. Para uma instituição menor que amplie uma plataforma de conformidade existente com funcionalidades DORA, o custo adicional é inferior ao de uma solução autónoma. Face aos poderes de supervisão do Banco de Portugal e ao risco de interrupção da atividade, o investimento justifica-se.
Que entidades portuguesas estão abrangidas pela DORA?
Praticamente todo o setor financeiro: bancos, instituições de pagamento e de moeda eletrónica, empresas de investimento, seguradoras, sociedades gestoras de fundos, prestadores de serviços de criptoativos e os seus fornecedores críticos de TIC. As entidades de menor dimensão também estão abrangidas, com algumas atenuações de proporcionalidade.
Qual a diferença entre a DORA e a NIS2?
A DORA é um regulamento de aplicação direta, específico do setor financeiro, com o Banco de Portugal, a CMVM e a ASF como autoridades de supervisão. A NIS2 é uma diretiva transposta para a lei nacional (ver a transposição da NIS2 em Portugal) e abrange mais setores. Uma entidade financeira rege-se, em primeiro lugar, pela DORA quanto à resiliência digital, mas a sobreposição na gestão de risco é considerável.
DORA e a supervisão europeia
Além do Banco de Portugal, da CMVM e da ASF a nível nacional, a DORA cria um mecanismo de supervisão europeu para os fornecedores de TIC considerados críticos, coordenado pelas autoridades europeias de supervisão (EBA, ESMA e EIOPA). Isto significa que um grande fornecedor cloud de que a sua entidade dependa pode estar sujeito a supervisão direta ao nível da UE, e que o registo de informação que mantém é a fonte a partir da qual essa criticidade é avaliada. Manter o registo correto e atualizado não é, pois, apenas uma obrigação interna: é o que alimenta a supervisão do ecossistema financeiro no seu conjunto.
Conclusão
A DORA torna a resiliência operacional digital um requisito vinculativo para todo o setor financeiro português, com o Banco de Portugal, a CMVM e a ASF como supervisores desde janeiro de 2025. O software certo gere o risco das TIC, mantém o registo de informação obrigatório sobre fornecedores terceiros, classifica e notifica incidentes e planeia os testes de resiliência. Para a maioria das entidades financeiras portuguesas, a via mais eficiente é uma plataforma integrada que coordene a DORA com a documentação RGPD e NIS2 existente. Comece pelo registo de informação — é a obrigação que mais tempo leva a construir e a primeira que a supervisão pede.
See Legiscope in action
AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.
Request a demo