Definição
A DORA (Digital Operational Resilience Act) é um regulamento europeu em vigor desde 17 de janeiro de 2025.
Ela impõe a todos os participantes financeiros da UE — bancos, fintechs, seguradoras, CASPs, gestoras de ativos, plataformas de crowdfunding — um marco rigoroso de resiliência operacional de TI: gestão de riscos, gestão de incidentes, testes de invasão, supervisão dos fornecedores de TI críticos.
Por que a DORA existe
Antes da DORA, a resiliência de TI era fragmentada: cada setor tinha suas regras, e os fornecedores de TI críticos (nuvem, SaaS, processadoras de pagamento) escapavam a qualquer supervisão — ainda que uma falha em um deles pudesse paralisar o sistema financeiro. A DORA harmoniza tudo isso em um marco pan-europeu único.
Os 5 pilares
- Gestão de riscos de TI: governança, mapeamento dos ativos e processos críticos, backup, restauração, plano de continuidade.
- Gestão de incidentes: classificação e comunicação obrigatória à NCA em prazos curtos (notificação inicial em até 4h, relatório intermediário em até 72h).
- Testes de resiliência: varreduras, auditorias e, para os participantes significativos, um TLPT (Threat-Led Penetration Testing) a cada 3 anos.
- Risco de terceiros de TI: registro obrigatório dos fornecedores críticos, contratos regulados, due diligence, direito de auditoria.
- Compartilhamento de informações: participação no compartilhamento de Cyber Threat Intelligence entre os participantes.
A grande novidade: supervisionar os fornecedores de TI críticos
É a inovação mais disruptiva. Os fornecedores considerados críticos para o sistema financeiro — AWS, Azure, Google Cloud, OVH, mas também editores de SaaS especializados — são designados pelas ESAs (EBA, ESMA, EIOPA) e colocados sob supervisão europeia direta: auditorias, sanções, até obrigação de alterar suas práticas. É a primeira vez que um provedor de nuvem americano é supervisionado diretamente por um regulador europeu.
O que a DORA não faz
- Não cria um novo status: aplica-se sobre os status existentes (banco, EP, EME, CASP, seguradora).
- Não cobre os dados pessoais: isso é o RGPD.
- Não substitui a NIS 2 (cibersegurança geral da UE), mas se articula com ela.
- Não dispensa as regras setoriais (PSD2, MiCA, Solvency II): ela se soma a elas.
Cronograma
- Dezembro de 2022 — adoção do regulamento.
- Janeiro de 2023 → janeiro de 2025 — 24 meses de adequação.
- 17 de janeiro de 2025 — aplicação efetiva, sem derrogação.
- 2025-2026 — primeiros controles reforçados e primeiras designações de fornecedores de TI críticos.
No ecossistema PSD2
A DORA não é específica da PSD2, mas toda fintech que opera um serviço de pagamento é afetada. É hoje um bloco de conformidade incontornável, no mesmo nível da SCA ou do combate à lavagem de dinheiro.
Exemplos concretos
- Reporte de incidente: uma API que cai por 2 horas em plena produção dispara 4h para notificar a ACPR e 72h para um relatório intermediário — algo a prever no runbook antes do incidente.
- TLPT: um PSP como Worldline, Adyen ou Stripe Europe organiza um Threat-Led Penetration Testing a cada 3 anos, conduzido por um prestador credenciado (€ 100 a 500 mil por exercício).
- Supervisão da nuvem: hospedar a infraestrutura crítica na AWS impõe um contrato DORA-compliant (reversibilidade, direito de auditoria, plano de saída), daí os contratos fintech da UE oferecidos por AWS, Azure e GCP desde 2024.
- Registro dos fornecedores de TI: mantido atualizado com criticidade e plano de saída, muitas vezes via OneTrust, MetricStream ou planilhas internas.
- Plano de continuidade: poder migrar para um site ou uma nuvem secundária em caso de incidente grave — uma exigência concreta, a testar regularmente.
- Monitoramento: acompanhar os RTS e as diretrizes das ESAs e o cronograma de designação dos fornecedores de TI críticos.