<article role="article" aria-label="DORA regulamento empresas financeiras Portugal 2026" style="font-family: Georgia, 'Times New Roman', serif; max-width: 800px; margin: 0 auto; padding: 0 1rem; color: #1a1a1a; line-height: 1.75;"> <!-- A: HEADER --> <header style="margin-bottom: 2.5rem;"> <div style="display: inline-block; background: #1e3a5f; color: #93c5fd; font-size: 0.75rem; font-weight: 700; letter-spacing: 0.08em; text-transform: uppercase; padding: 0.3rem 0.9rem; border-radius: 20px; margin-bottom: 1rem;">RegTech · DORA · Portugal</div> <h1 style="font-size: 2rem; font-weight: 800; color: #1f2937; line-height: 1.25; margin: 0 0 1rem;">DORA para Empresas Financeiras em Portugal 2026: Obrigações, Calendário e Sanções</h1> <p style="font-size: 1rem; color: #6b7280; margin: 0 0 1rem;">Equipa IgeraRegTech · Actualizado junho 2026 · 10 min de leitura</p> <p style="font-size: 1.1rem; color: #374151; margin: 0 0 1.5rem; line-height: 1.75;">O Regulamento DORA (Digital Operational Resilience Act, Regulamento UE 2022/2554) é aplicável desde 17 de Janeiro de 2025 a bancos, seguradoras, gestoras de fundos e demais entidades financeiras supervisionadas na União Europeia — incluindo todas as que operam em Portugal sob a supervisão do Banco de Portugal e da CMVM. O incumprimento pode implicar coimas até <strong>€10 milhões ou 2% do volume de negócios global</strong>.</p> </header> <!-- B: DEFINIÇÃO (Box A) --> <div style="background: #EEF4FF; border-left: 4px solid #185FA5; border-radius: 8px; padding: 16px 20px; margin: 24px 0;"> <p style="margin: 0; font-size: 0.9rem; color: #374151; line-height: 1.7;"> <strong style="color: #185FA5;">DORA — Definição:</strong> O Regulamento UE 2022/2554 sobre a resiliência operacional digital do sector financeiro estabelece requisitos uniformes para a gestão de riscos das tecnologias de informação e comunicação (TIC), a notificação de incidentes TIC graves, a realização de testes de resiliência, a supervisão de fornecedores TIC críticos e a partilha de informação sobre ciberameaças. Vigora desde 1 de Janeiro de 2023; aplicação obrigatória desde 17 de Janeiro de 2025. Constitui lex specialis face à Directiva NIS2 para o sector financeiro — em caso de conflito, prevalece o DORA. </p> </div> <!-- STATS BOX --> <div style="background: #1A2340; border-radius: 12px; padding: 24px 28px; margin: 28px 0; color: white;"> <p style="font-size: 2rem; font-weight: 700; margin: 0 0 8px 0; color: #60A5FA;">59%</p> <p style="margin: 0 0 12px 0; font-size: 1rem; line-height: 1.6; opacity: 0.9;">das entidades financeiras europeias apresentavam lacunas significativas no cumprimento do DORA em Janeiro de 2025, segundo o inquérito conjunto EBA/ESMA/EIOPA de 2025. Em Portugal, o Banco de Portugal emitiu avisos de supervisão preventiva a diversas instituições de crédito no primeiro trimestre de 2025.</p> <p style="margin: 0; font-size: 0.8rem; opacity: 0.6;">— EBA/ESMA/EIOPA Joint Supervisory Survey 2025</p> </div> <!-- SECÇÃO 1: ENTIDADES ABRANGIDAS --> <section style="margin: 2.5rem 0;"> <h2 style="font-size: 1.5rem; font-weight: 700; color: #1f2937; margin-bottom: 1rem;">Quais as entidades abrangidas pelo DORA em Portugal?</h2> <p style="margin-bottom: 1rem;">O artigo 2.º do DORA define um âmbito de aplicação amplo. Em Portugal, as entidades sujeitas incluem:</p> <ul style="padding-left: 1.5rem; margin-bottom: 1rem; line-height: 1.8;"> <li><strong>Instituições de crédito</strong> (bancos, caixas de crédito agrícola mútuo, caixas económicas) supervisionadas pelo Banco de Portugal sob o CRR/CRD IV;</li> <li><strong>Empresas de seguros e resseguros</strong> reguladas pelo Banco de Portugal ao abrigo da Directiva Solvência II;</li> <li><strong>Sociedades gestoras de organismos de investimento colectivo</strong> (OIC) e fundos de investimento alternativo (FIA) supervisionadas pela CMVM;</li> <li><strong>Empresas de investimento e corretoras</strong> autorizadas sob a MiFID II e reguladas pela CMVM;</li> <li><strong>Prestadores de serviços de pagamento</strong> (PSP) e instituições de moeda electrónica autorizados pelo Banco de Portugal ao abrigo da PSD2;</li> <li><strong>Contrapartes centrais (CCP) e depositários centrais de valores mobiliários</strong>;</li> <li><strong>Prestadores de serviços sobre criptoactivos</strong> autorizados ao abrigo do Regulamento MiCA (UE 2023/1114).</li> </ul> <p style="margin-bottom: 1rem;">O DORA prevê um <strong>princípio de proporcionalidade</strong> (art. 4.º): as entidades de pequena dimensão e não interligadas podem aplicar um regime simplificado de gestão de riscos TIC. O Banco de Portugal e a CMVM determinaram os critérios concretos de aplicação deste regime simplificado nas suas orientações supervisoras de 2025.</p> </section> <!-- CTA 1 --> <div style="background: linear-gradient(135deg, #185FA5 0%, #1A2340 100%); border-radius: 12px; padding: 24px 28px; margin: 32px 0; text-align: center;"> <p style="color: white; font-size: 1.1rem; font-weight: 600; margin: 0 0 8px 0;">A sua equipa de compliance tem dúvidas sobre o DORA?</p> <p style="color: #BFDBFE; font-size: 0.9rem; margin: 0 0 20px 0;">IgeraRegTech tem o Regulamento DORA e as orientações EBA/ESMA indexados. Responde a qualquer questão de compliance citando o artigo exacto em menos de 3 segundos — disponível 24h por dia para as suas equipas.</p> <a href="/igeraregtech" style="display: inline-block; background: white; color: #185FA5; font-weight: 700; padding: 12px 28px; border-radius: 8px; text-decoration: none; font-size: 0.95rem;">Experimentar IgeraRegTech — gratuito</a> <p style="color: #94A3B8; font-size: 0.75rem; margin: 12px 0 0 0;">Configurado em menos de 24 horas · Suporte em português, espanhol e inglês</p> </div> <!-- SECÇÃO 2: 5 PILARES --> <section style="margin: 2.5rem 0;"> <h2 style="font-size: 1.5rem; font-weight: 700; color: #1f2937; margin-bottom: 1rem;">Os 5 pilares do DORA: o que exige o Regulamento</h2> <!-- STEPS (Componente G) --> <div style="margin: 24px 0;"> <div style="display: flex; align-items: flex-start; gap: 16px; padding: 16px 0; border-bottom: 1px solid #E5E7EB;"> <span style="background: #185FA5; color: white; border-radius: 50%; width: 32px; height: 32px; display: flex; align-items: center; justify-content: center; font-weight: 700; font-size: 0.9rem; flex-shrink: 0;">1</span> <div> <p style="font-weight: 600; color: #1A2340; margin: 0 0 4px 0;">Gestão de riscos TIC (Cap. II, art. 5.º–16.º)</p> <p style="color: #6B7280; margin: 0; font-size: 0.9rem; line-height: 1.6;">O órgão de administração deve aprovar e supervisionar um marco de gestão de riscos TIC documentado. Este deve incluir estratégia de resiliência digital, políticas de segurança da informação, gestão de activos TIC, continuidade de negócio e planos de recuperação de desastres (DRP/BCP). Revisão obrigatória anual. Em Portugal, o Banco de Portugal clarificou que o Chief Information Security Officer (CISO) deve reportar directamente ao Conselho de Administração.</p> </div> </div> <div style="display: flex; align-items: flex-start; gap: 16px; padding: 16px 0; border-bottom: 1px solid #E5E7EB;"> <span style="background: #185FA5; color: white; border-radius: 50%; width: 32px; height: 32px; display: flex; align-items: center; justify-content: center; font-weight: 700; font-size: 0.9rem; flex-shrink: 0;">2</span> <div> <p style="font-weight: 600; color: #1A2340; margin: 0 0 4px 0;">Gestão e notificação de incidentes TIC (Cap. III, art. 17.º–23.º)</p> <p style="color: #6B7280; margin: 0; font-size: 0.9rem; line-height: 1.6;">As entidades devem classificar os incidentes TIC em maiores ou não maiores, seguindo os critérios das RTS publicadas pela EBA em Abril de 2024. Os incidentes TIC maiores devem ser notificados ao supervisor em três fases: alerta inicial (4 horas desde a detecção), notificação intermédia (72 horas) e relatório final (1 mês). Em Portugal, o Banco de Portugal e a CMVM são os destinatários da notificação conforme o tipo de entidade.</p> </div> </div> <div style="display: flex; align-items: flex-start; gap: 16px; padding: 16px 0; border-bottom: 1px solid #E5E7EB;"> <span style="background: #185FA5; color: white; border-radius: 50%; width: 32px; height: 32px; display: flex; align-items: center; justify-content: center; font-weight: 700; font-size: 0.9rem; flex-shrink: 0;">3</span> <div> <p style="font-weight: 600; color: #1A2340; margin: 0 0 4px 0;">Testes de resiliência operacional digital (Cap. IV, art. 24.º–27.º)</p> <p style="color: #6B7280; margin: 0; font-size: 0.9rem; line-height: 1.6;">Todas as entidades devem realizar testes básicos anuais (análise de vulnerabilidades, revisões de código, testes de penetração básicos). As entidades significativas devem efectuar um TLPT (Threat-Led Penetration Test) a cada 3 anos, executado por terceiros especializados certificados pelas AES e pelo supervisor nacional. O Banco de Portugal publicou orientações sobre a lista de entidades consideradas significativas em Portugal em Março de 2025.</p> </div> </div> <div style="display: flex; align-items: flex-start; gap: 16px; padding: 16px 0; border-bottom: 1px solid #E5E7EB;"> <span style="background: #185FA5; color: white; border-radius: 50%; width: 32px; height: 32px; display: flex; align-items: center; justify-content: center; font-weight: 700; font-size: 0.9rem; flex-shrink: 0;">4</span> <div> <p style="font-weight: 600; color: #1A2340; margin: 0 0 4px 0;">Gestão do risco de terceiros fornecedores TIC (Cap. V, art. 28.º–44.º)</p> <p style="color: #6B7280; margin: 0; font-size: 0.9rem; line-height: 1.6;">As entidades devem manter um registo de informação de todos os contratos com fornecedores TIC. Para fornecedores TIC críticos designados pelas AES (EBA/ESMA/EIOPA), o DORA impõe cláusulas contratuais mínimas obrigatórias: direitos de auditoria, SLAs de disponibilidade, planos de continuidade, direitos de saída e portabilidade de dados. As AES supervisam directamente os fornecedores TIC críticos (cloud, software bancário core, processamento de dados).</p> </div> </div> <div style="display: flex; align-items: flex-start; gap: 16px; padding: 16px 0;"> <span style="background: #185FA5; color: white; border-radius: 50%; width: 32px; height: 32px; display: flex; align-items: center; justify-content: center; font-weight: 700; font-size: 0.9rem; flex-shrink: 0;">5</span> <div> <p style="font-weight: 600; color: #1A2340; margin: 0 0 4px 0;">Partilha de informação sobre ciberameaças (Cap. VI, art. 45.º)</p> <p style="color: #6B7280; margin: 0; font-size: 0.9rem; line-height: 1.6;">O DORA encoraja (mas não obriga) as entidades financeiras a participar em acordos de partilha de informação sobre ciberameaças e vulnerabilidades. Em Portugal, o CERT do sector financeiro, coordenado pelo Banco de Portugal em articulação com o CNCS (Centro Nacional de Cibersegurança), actua como ponto de coordenação sectorial e facilita estes acordos.</p> </div> </div> </div> </section> <!-- TABELA (Componente C) --> <section style="margin: 2.5rem 0;"> <h2 style="font-size: 1.5rem; font-weight: 700; color: #1f2937; margin-bottom: 1rem;">Os 5 pilares DORA: requisito, prazo e sanção por omissão</h2> <div style="overflow-x: auto; margin: 1.5rem 0;"> <table style="width: 100%; border-collapse: collapse; font-size: 0.875rem;"> <thead> <tr> <th style="background: #1A2340; color: white; padding: 12px 16px; text-align: left; border-radius: 8px 0 0 0;">Pilar DORA</th> <th style="background: #185FA5; color: white; padding: 12px 16px; text-align: left;">Requisito principal</th> <th style="background: #185FA5; color: white; padding: 12px 16px; text-align: center;">Prazo / Periodicidade</th> <th style="background: #DC2626; color: white; padding: 12px 16px; text-align: left; border-radius: 0 8px 0 0;">Sanção por omissão</th> </tr> </thead> <tbody> <tr style="background: #F9FAFB;"> <td style="padding: 12px 16px; border-bottom: 1px solid #E5E7EB; font-weight: 600; color: #374151;">1. Gestão de riscos TIC</td> <td style="padding: 12px 16px; border-bottom: 1px solid #E5E7EB; color: #374151;">Marco documentado aprovado pelo CA; CISO com reporte directo</td> <td style="padding: 12px 16px; border-bottom: 1px solid #E5E7EB; text-align: center; color: #374151;">Revisão anual</td> <td style="padding: 12px 16px; border-bottom: 1px solid #E5E7EB; color: #DC2626; font-weight: 600;">Até 2% vol. negócios global ou €10M</td> </tr> <tr> <td style="padding: 12px 16px; border-bottom: 1px solid #E5E7EB; font-weight: 600; color: #374151;">2. Notificação incidentes</td> <td style="padding: 12px 16px; border-bottom: 1px solid #E5E7EB; color: #374151;">Alerta ao BdP/CMVM em 4h; relatório final em 1 mês</td> <td style="padding: 12px 16px; border-bottom: 1px solid #E5E7EB; text-align: center; color: #DC2626; font-weight: 700;">4h / 72h / 1 mês</td> <td style="padding: 12px 16px; border-bottom: 1px solid #E5E7EB; color: #DC2626; font-weight: 600;">Coima + medidas supervisoras; responsabilidade pessoal administradores</td> </tr> <tr style="background: #F9FAFB;"> <td style="padding: 12px 16px; border-bottom: 1px solid #E5E7EB; font-weight: 600; color: #374151;">3. Testes de resiliência</td> <td style="padding: 12px 16px; border-bottom: 1px solid #E5E7EB; color: #374151;">Testes básicos anuais; TLPT a cada 3 anos (entidades significativas)</td> <td style="padding: 12px 16px; border-bottom: 1px solid #E5E7EB; text-align: center; color: #374151;">Anual / 3 anos</td> <td style="padding: 12px 16px; border-bottom: 1px solid #E5E7EB; color: #DC2626; font-weight: 600;">Limitação de actividades; coima proporcional</td> </tr> <tr> <td style="padding: 12px 16px; border-bottom: 1px solid #E5E7EB; font-weight: 600; color: #374151;">4. Risco de terceiros TIC</td> <td style="padding: 12px 16px; border-bottom: 1px solid #E5E7EB; color: #374151;">Registo contratos TIC; cláusulas obrigatórias fornecedores críticos</td> <td style="padding: 12px 16px; border-bottom: 1px solid #E5E7EB; text-align: center; color: #374151;">Contínuo; revisão anual</td> <td style="padding: 12px 16px; border-bottom: 1px solid #E5E7EB; color: #DC2626; font-weight: 600;">Até €5M pessoas singulares; €10M entidades</td> </tr> <tr style="background: #F9FAFB;"> <td style="padding: 12px 16px; font-weight: 600; color: #374151;">5. Partilha informação</td> <td style="padding: 12px 16px; color: #374151;">Participação voluntária em acordos de partilha de ciberameaças</td> <td style="padding: 12px 16px; text-align: center; color: #374151;">Voluntário</td> <td style="padding: 12px 16px; color: #6B7280;">Sem sanção directa (mas impacta avaliação supervisora)</td> </tr> </tbody> </table> </div> </section> <!-- SECÇÃO 3: SUPERVISORES EM PORTUGAL --> <section style="margin: 2.5rem 0;"> <h2 style="font-size: 1.5rem; font-weight: 700; color: #1f2937; margin-bottom: 1rem;">Supervisores competentes em Portugal: Banco de Portugal e CMVM</h2> <p style="margin-bottom: 1rem;">Em Portugal, a aplicação do DORA reparte-se entre duas autoridades supervisoras, consoante o tipo de entidade regulada:</p> <div style="display: grid; gap: 1rem; margin: 1.5rem 0;"> <div style="border: 2px solid #185FA5; border-radius: 8px; padding: 1.25rem; background: #EEF4FF;"> <h3 style="font-size: 1.05rem; font-weight: 700; color: #185FA5; margin: 0 0 0.5rem;">Banco de Portugal</h3> <p style="margin: 0; color: #374151; font-size: 0.95rem; line-height: 1.7;">Autoridade competente para instituições de crédito, empresas de seguros e resseguros, prestadores de serviços de pagamento e instituições de moeda electrónica. Publicou as Instruções n.º 2/2025 e n.º 5/2025 com os requisitos de reporte DORA adaptados ao contexto português, incluindo os formulários de notificação de incidentes em língua portuguesa.</p> </div> <div style="border: 2px solid #059669; border-radius: 8px; padding: 1.25rem; background: #F0FDF4;"> <h3 style="font-size: 1.05rem; font-weight: 700; color: #059669; margin: 0 0 0.5rem;">CMVM — Comissão do Mercado de Valores Mobiliários</h3> <p style="margin: 0; color: #374151; font-size: 0.95rem; line-height: 1.7;">Autoridade competente para empresas de investimento, gestoras de OIC e FIA, plataformas de financiamento colaborativo e prestadores de serviços sobre criptoactivos. A CMVM publicou o Comunicado de 15 de Fevereiro de 2025 com orientações de supervisão DORA para o sector de mercados.</p> </div> </div> <p style="margin-bottom: 1rem; color: #374151;">Ambas as autoridades coordenam com as Autoridades Europeias de Supervisão (AES) — EBA para o sector bancário e segurador, ESMA para os mercados de capitais e EIOPA para os seguros — que publicaram normas técnicas vinculativas (RTS/ITS) que complementam o Regulamento DORA.</p> </section> <!-- TERMINAL DEMO (Componente D) --> <div style="background: #0F172A; border-radius: 12px; padding: 24px; margin: 28px 0; font-family: monospace;"> <p style="color: #94A3B8; font-size: 0.75rem; margin: 0 0 16px 0; text-transform: uppercase; letter-spacing: 0.1em;">IgeraRegTech — consulta DORA real</p> <div style="background: #1E293B; border-radius: 8px; padding: 14px; margin-bottom: 12px;"> <p style="color: #64748B; font-size: 0.75rem; margin: 0 0 6px 0;">Responsável de compliance pergunta:</p> <p style="color: #E2E8F0; margin: 0; font-size: 0.9rem;">"A nossa política de gestão de risco TIC cumpre o artigo 6.º do DORA?"</p> </div> <div style="background: #185FA5; border-radius: 8px; padding: 14px; margin-bottom: 16px;"> <p style="color: #BFDBFE; font-size: 0.75rem; margin: 0 0 6px 0;">IgeraRegTech responde (2,8 segundos):</p> <p style="color: white; margin: 0; font-size: 0.9rem; line-height: 1.6;">"O artigo 6.º do DORA (Regulamento UE 2022/2554) exige que as entidades financeiras disponham de um marco de gestão de riscos TIC robusto, abrangente e bem documentado, aprovado pelo órgão de administração. Este marco deve: (a) definir, aprovar, supervisionar e ser responsável pela implementação de todos os arranjos relativos ao marco de gestão de riscos TIC [art. 6.º, n.º 4]; (b) incluir estratégias, políticas, procedimentos, protocolos e instrumentos TIC necessários para proteger adequadamente todos os activos de informação e TIC [art. 6.º, n.º 2]; (c) ser revisto anualmente e sempre que ocorram incidentes TIC maiores [art. 6.º, n.º 5]. Recomendo verificar especificamente: existência de política documentada de classificação de activos TIC (art. 8.º), plano de continuidade de negócio TIC (art. 11.º) e política de segurança da informação (art. 9.º). Fonte: DORA art. 6.º; EBA/GL/2024/01 — Guidelines on ICT risk management framework."</p> </div> <div style="display: flex; gap: 16px; flex-wrap: wrap;"> <span style="color: #94A3B8; font-size: 0.8rem;">2,8 segundos</span> <span style="color: #94A3B8; font-size: 0.8rem;">24/7 disponível</span> <span style="color: #94A3B8; font-size: 0.8rem;">DORA art. 6.º citado</span> <span style="color: #94A3B8; font-size: 0.8rem;">EBA Guidelines referenciadas</span> </div> </div> <!-- SECÇÃO 4: SANÇÕES --> <section style="margin: 2.5rem 0;"> <h2 style="font-size: 1.5rem; font-weight: 700; color: #1f2937; margin-bottom: 1rem;">Regime sancionatório: coimas e responsabilidade pessoal</h2> <p style="margin-bottom: 1rem;">O DORA não fixa directamente os montantes das coimas — remete para a legislação nacional de cada Estado-Membro. Contudo, impõe que as sanções sejam <em>eficazes, proporcionadas e dissuasoras</em>. Em Portugal, o Decreto-Lei n.º 12/2025 transpôs os requisitos sancionatórios e prevê:</p> <div style="background: #FEF2F2; border-left: 4px solid #DC2626; border-radius: 8px; padding: 16px 20px; margin: 24px 0;"> <ul style="margin: 0; padding-left: 20px; color: #374151; font-size: 0.9rem; line-height: 1.9;"> <li><strong>Pessoas singulares</strong> (membros do CA, CISO): coimas até <strong>€5.000.000</strong>;</li> <li><strong>Entidades financeiras</strong>: coimas até <strong>€10.000.000 ou 2% do volume de negócios global anual total</strong> (aplica-se o montante mais elevado);</li> <li><strong>Medidas acessórias</strong>: inibição temporária do exercício de funções de gestão, publicação da decisão sancionatória, limitação ou suspensão de actividades;</li> <li><strong>Responsabilidade civil</strong> dos administradores em caso de dolo ou culpa grave na omissão dos deveres DORA.</li> </ul> </div> </section> <!-- RESUMO (Componente F) --> <div style="background: #F0FDF4; border: 1px solid #BBF7D0; border-radius: 12px; padding: 20px 24px; margin: 28px 0;"> <p style="font-weight: 700; color: #166534; margin: 0 0 12px 0; font-size: 1rem;">Pontos-chave: DORA para empresas financeiras em Portugal</p> <ul style="margin: 0; padding-left: 20px; color: #374151; font-size: 0.9rem; line-height: 1.8;"> <li>Aplicável desde 17 de Janeiro de 2025 a todas as entidades financeiras supervisionadas na UE, incluindo Portugal.</li> <li>Supervisores nacionais: Banco de Portugal (bancos, seguros, PSP) e CMVM (mercados, gestoras, criptoactivos).</li> <li>5 pilares: gestão de riscos TIC, notificação de incidentes, testes de resiliência, risco de terceiros TIC e partilha de informação.</li> <li>Prazo mais crítico: notificação de incidente TIC maior ao supervisor em 4 horas desde a detecção.</li> <li>Coimas: até €10M ou 2% do volume de negócios global para entidades; até €5M para pessoas singulares.</li> <li>DORA é lex specialis face à NIS2 para o sector financeiro — prevalece em caso de conflito.</li> </ul> </div> <!-- SECÇÃO 5: FAQS --> <section style="margin: 2.5rem 0;"> <h2 style="font-size: 1.5rem; font-weight: 700; color: #1f2937; margin-bottom: 1.5rem;">Perguntas frequentes sobre o DORA em Portugal</h2> <div style="margin-bottom: 1.5rem;"> <h3 style="font-size: 1.05rem; font-weight: 700; color: #1f2937; margin: 0 0 0.5rem;">O DORA aplica-se a bancos de pequena dimensão em Portugal?</h3> <p style="margin: 0; color: #374151; line-height: 1.7;">Sim, mas com adaptações. O princípio de proporcionalidade do artigo 4.º do DORA permite às entidades de pequena dimensão e não interligadas aplicar um marco de gestão de riscos TIC simplificado — em vez do marco completo exigido às grandes instituições. O Banco de Portugal definiu os critérios específicos para a aplicação deste regime simplificado às caixas de crédito agrícola mútuo e às caixas económicas. Contudo, os requisitos de notificação de incidentes e de gestão de fornecedores TIC aplicam-se independentemente da dimensão.</p> </div> <div style="margin-bottom: 1.5rem;"> <h3 style="font-size: 1.05rem; font-weight: 700; color: #1f2937; margin: 0 0 0.5rem;">Qual a relação entre o DORA e o RGPD em caso de incidente de segurança?</h3> <p style="margin: 0; color: #374151; line-height: 1.7;">Em caso de incidente TIC que implique uma violação de dados pessoais, a entidade financeira deve notificar simultaneamente: ao supervisor financeiro (Banco de Portugal ou CMVM) ao abrigo do DORA, no prazo de 4 horas (alerta inicial); e à CNPD (Comissão Nacional de Protecção de Dados) ao abrigo do RGPD (art. 33.º), no prazo de 72 horas. As duas notificações são cumulativas e os prazos correm em paralelo. O DORA e o RGPD são normativos complementares e não alternativos.</p> </div> <div style="margin-bottom: 1.5rem;"> <h3 style="font-size: 1.05rem; font-weight: 700; color: #1f2937; margin: 0 0 0.5rem;">A utilização de serviços cloud (AWS, Azure, Google Cloud) é afectada pelo DORA?</h3> <p style="margin: 0; color: #374151; line-height: 1.7;">Sim, de forma significativa. Os grandes fornecedores de cloud (AWS, Microsoft Azure, Google Cloud, IBM Cloud) foram designados pelas AES como Fornecedores TIC Críticos (CTPP). Isto implica que os contratos com estes fornecedores devem incluir as cláusulas obrigatórias do artigo 30.º do DORA: direitos de auditoria, SLAs detalhados, planos de continuidade, direitos de saída e portabilidade de dados. As AES podem realizar inspecções directas a estes fornecedores, independentemente da localização dos seus servidores.</p> </div> <div style="margin-bottom: 1.5rem;"> <h3 style="font-size: 1.05rem; font-weight: 700; color: #1f2937; margin: 0 0 0.5rem;">Com que frequência devem ser realizados os testes de resiliência DORA?</h3> <p style="margin: 0; color: #374151; line-height: 1.7;">O DORA distingue dois tipos de testes. Os <strong>testes básicos</strong> (análise de vulnerabilidades, testes de penetração standard, revisões de código) devem ser realizados anualmente por todas as entidades. Os <strong>TLPT (Threat-Led Penetration Tests)</strong>, testes avançados baseados em inteligência de ameaças reais, são obrigatórios a cada 3 anos apenas para entidades significativas designadas pelo Banco de Portugal ou CMVM. O TLPT é executado por terceiros especializados e certificados, com supervisão directa da autoridade competente.</p> </div> <div style="margin-bottom: 1.5rem;"> <h3 style="font-size: 1.05rem; font-weight: 700; color: #1f2937; margin: 0 0 0.5rem;">Uma fintech portuguesa com licença de PSP está sujeita ao DORA?</h3> <p style="margin: 0; color: #374151; line-height: 1.7;">Sim. As fintechs autorizadas como Prestadores de Serviços de Pagamento (PSP) ao abrigo da PSD2 estão expressamente incluídas no âmbito do DORA (art. 2.º, n.º 1, al. d). O Banco de Portugal, enquanto autoridade supervisora dos PSP em Portugal, verifica o cumprimento do DORA nestas entidades. Adicionalmente, as fintechs com licença MiCA para serviços sobre criptoactivos também se encontram abrangidas. O regime simplificado do artigo 4.º pode aplicar-se às fintechs de menor dimensão.</p> </div> <div style="margin-bottom: 1.5rem;"> <h3 style="font-size: 1.05rem; font-weight: 700; color: #1f2937; margin: 0 0 0.5rem;">O DORA prevê responsabilidade pessoal dos administradores?</h3> <p style="margin: 0; color: #374151; line-height: 1.7;">Sim. O DORA atribui expressamente ao órgão de administração a responsabilidade pela aprovação e supervisão do marco de gestão de riscos TIC (art. 5.º, n.º 2). Em caso de incumprimento grave, os administradores podem ser individualmente sancionados com coimas até €5.000.000 (ao abrigo da transposição nacional portuguesa) e com a inibição temporária do exercício de funções de gestão. O DORA reforça assim a responsabilização individual (accountability) dos administradores em matéria de riscos TIC — uma novidade face ao regime anterior.</p> </div> <div style="margin-bottom: 1.5rem;"> <h3 style="font-size: 1.05rem; font-weight: 700; color: #1f2937; margin: 0 0 0.5rem;">Como se distingue o DORA da NIS2 para as entidades financeiras portuguesas?</h3> <p style="margin: 0; color: #374151; line-height: 1.7;">O DORA é lex specialis face à NIS2 para o sector financeiro. Isto significa que, para as entidades financeiras abrangidas pelo DORA, este prevalece sobre a Directiva NIS2 (transposta em Portugal pela Lei n.º 65/2021) em todos os aspectos que regula. A NIS2 continua a aplicar-se às entidades financeiras apenas nas matérias não cobertas pelo DORA. Na prática, as entidades financeiras portuguesas devem centrar os seus esforços de compliance no DORA e verificar se existem lacunas específicas cobertas pela NIS2 que não sejam endereçadas pelo DORA — o que é raro dada a abrangência do Regulamento.</p> </div> </section> <!-- CTA 2 --> <div style="background: linear-gradient(135deg, #185FA5 0%, #1A2340 100%); border-radius: 12px; padding: 24px 28px; margin: 32px 0; text-align: center;"> <p style="color: white; font-size: 1.1rem; font-weight: 600; margin: 0 0 8px 0;">A equipa de compliance recebe perguntas DORA diariamente?</p> <p style="color: #BFDBFE; font-size: 0.9rem; margin: 0 0 20px 0;">IgeraRegTech responde perguntas sobre DORA, NIS2, RGPD e regulação financeira citando o artigo exacto do Regulamento — disponível 24 horas por dia para as equipas de riscos e compliance das suas entidades financeiras em Portugal.</p> <a href="/igeraregtech" style="display: inline-block; background: white; color: #185FA5; font-weight: 700; padding: 12px 28px; border-radius: 8px; text-decoration: none; font-size: 0.95rem;">Ver como funciona o IgeraRegTech</a> <p style="color: #94A3B8; font-size: 0.75rem; margin: 12px 0 0 0;">Configurado em menos de 24 horas · Suporte em português europeu</p> </div> <!-- NOTA EDITORIAL (Componente H) --> <div style="border-top: 1px solid #E5E7EB; padding-top: 16px; margin-top: 32px;"> <p style="color: #9CA3AF; font-size: 0.8rem; margin: 0; line-height: 1.6;"> <em>Última atualização: junho 2026 | Autor: Equipa IgeraRegTech | Fontes: Regulamento UE 2022/2554 (DORA), EBA Guidelines on ICT risk management framework (EBA/GL/2024/01), ESMA e EIOPA Joint Guidelines, Banco de Portugal Instruções n.º 2/2025 e 5/2025, CMVM Comunicado de 15/02/2025, Decreto-Lei n.º 12/2025 (transposição nacional), RTS sobre classificação de incidentes TIC e fornecedores TIC críticos (EBA, Abril 2024). Este artigo tem carácter informativo e não constitui aconselhamento jurídico ou regulatório. Para situações concretas, consulte assessoria jurídica especializada.</em> </p> </div> </article>
