Catorze meses depois de a Resiliência Operacional Digital se ter tornado obrigatória, as instituições financeiras da Europa estão a ficar sem espaço. O regulamento, que entrou em vigor em 17 de janeiro de 2025, deveria marcar o início de uma nova era na gestão de riscos digitais em toda a UE. Mas ele acaba de explicar o quanto ainda está muito firme.
Os números contam uma história chata. UM Pesquisa McKinsey das principais instituições financeiras europeias descobriram que apenas cerca de um terço estava confiante de que conseguiria cumprir todos os requisitos da DORA até ao prazo final de Janeiro de 2025. Uma investigação separada da Deloitte pinta um quadro igualmente controlador: espera-se que 50 por cento das instituições alcancem a conformidade total até ao final de 2025, enquanto 38 por cento atingirão a sua meta em 2026. Quase metade (46 por cento) identificou a Informação de Registo, o inventário obrigatório da DORA de todos os contratos de terceiros de TIC, como o requisito mais difícil de cumprir.
Essas lacunas não são especulativas. As expurgações regulamentares vivem num regime que permite multas até 2% do volume de negócios anual global e sanções pessoais até 1 milhão de euros para executivos seniores que o façam.
O que a DORA exige?
O escopo do DORA é mais amplo do que muitos inicialmente testados. O regulamento aplica-se não apenas a bancos e seguradoras, mas também a instituições de pagamento, fornecedores de dinheiro eletrónico, fornecedores de dinheiro eletrónico, prestadores de serviços de criptoativos, empresas de investimento e, principalmente, prestadores de serviços de TIC. As Autoridades Europeias de Supervisão (ESAs) estimam que mais de 22.000 entidades financeiras se enquadram no âmbito, juntamente com centenas de comerciantes de tecnologia que as atendem.
Tecnologia da UE
As últimas notícias sobre o cenário tecnológico da UE, uma história sobre os sábios do autor Boris e alguma arte questionável de IA. É grátis, toda semana, na sua caixa de entrada. Cadastre-se agora!
O regulamento baseia-se em cinco pilares: gestão de riscos de TIC, comunicação de incidentes, testes de dificuldade operacional digital (incluindo testes conduzidos por ameaças para organizações significativas), monitorização de riscos de terceiros e partilha de informações. Cada coluna vem com seus próprios padrões técnicos, obrigações de relatórios e expectativas de gestão. Tal como explorámos na nossa análise a razão pela qual 2026 será o ano da cibersegurança impulsionada pela IA, o impulso regulamentar para estruturas de inspeção em todo o setor está a acelerar.
O que torna a DORA diferente das organizações anteriores é a sua ênfase na continuidade. Este não é um exercício de certificação pontual. Exige que as organizações demonstrem resiliência operacional contínua, com monitorização em tempo real, documentação e capacidade de comprovar conformidade a qualquer momento. Na verdade, partes do ciclo anual estão habituadas a ciclos anuais, o que significa mudança.
Março de 2026: teste de informações de registro
Sobre a pressão atual do ano de 2026 está a segunda submissão do Registro Anual de Informações (RoI). Nos termos do artigo 28.º da DORA, cada entidade financeira deve manter um documento abrangente que documente todos os acordos contratuais com prestadores de serviços de TIC terceiros. As autoridades nacionais competentes consolidam então estes quadros e apresentam-nos às ESAs até 31 de março de cada ano.
Para o ciclo deste ano, a data relativa é 31 de dezembro de 2025, cuja lista deverá incluir todos os contratos de TIC vigentes até o final do ano. Nos contextos nacionais, são diferentes: a BaFin da Alemanha exige submissões entre 9 e 30 de março, na Bélgica, o DNB e a AFM estabeleceram 20 de março como prazo, a MFSA de Malta estabeleceu um prazo de 21 de março e a CSSF do Luxemburgo abriu o seu portal eDesk em 11 de fevereiro para submissões até 31 de março.
2025 O piloto fica exposto a forte abrasão por todos os lados. Muitas empresas descobriram que faltava uma visão geral central das suas relações com os fornecedores de TIC, com contratos fragmentados entre equipas de gestão, unidades de negócio e operações subsidiárias. Houve problemas substanciais de qualidade dos dados: registos incompletos, identificadores de contratos em falta e classificação inconsistente dos serviços em relação à taxonomia da ESA.
A pesquisa da Deloitte confirmou a escala do desafio, com 46 por cento das entidades financeiras a apontarem a Informação de Registo como o requisito DORA mais difícil. Para organizações que gerenciam centenas ou milhares de relacionamentos com fornecedores em diversas jurisdições, compilar manualmente pedidos precisos e rápidos é quase impossível dentro da janela de envio.
19 fornecedores sob supervisão direta da UE
Em novembro de 2025, ele emitiu seus primeiros ESAs lista de 19 fornecedores terceirizados de TIC essenciais (CTPPs) sujeitos à diretiva de inspeção da UE. A lista de provedores de Internet inclui Google Cloud, Microsoft, Oracle, SAP e Telekom Deutsche, entre outros. Estes prestadores são designados com base em quatro critérios: o impacto sistémico de uma potencial falência, a importância sistémica das entidades económicas que deles dependem, a concentração de confiança nos sectores bancário, de seguros e de seguros, e a substituibilidade dos seus serviços.
Para estes 19 fornecedores, as ESAs têm agora o poder de realizar uma avaliação de risco anual, exigir relatórios abrangentes, realizar inspeções no local e coordenar inspeções por equipas de exame conjuntas compostas por pessoal das ESAs e dos reguladores nacionais.
O design tem um efeito deslizante. As instituições financeiras que dependem de CTPP designados devem demonstrar que avaliaram, documentaram e mitigaram o risco de concentração decorrente de dependências. Isso significa que todos os serviços críticos estão sendo executados na AWS, Azure ou Google Cloud, fornecendo documentação confiável e provando que uma grande interrupção do provedor não interrompe as operações. Para uma empresa de tamanho médio que construiu a sua infraestrutura em torno de um único fornecedor de nuvem, este requisito por si só representa meses de trabalho de remediação.
O teste de penetração está passando de opcional para mainstream
Os requisitos da DORA para um testador de ameaças táticas (TLPT) acrescentam outra camada de complexidade operacional. O regulamento exige que instituições financeiras significativas (incluindo instituições globais e outras grandes instituições sistemáticas, e fornecedores de pagamentos que processam mais de 150 mil milhões de euros anualmente) implementem práticas vermelhas baseadas em inteligência no sistema de produção durante pelo menos três anos.
As normas técnicas regulamentares para TLPT, publicadas em junho de 2025, e expressas por todos os estados membros aplicáveis após o oitavo dia de agosto de 2025, definiram as regras. O fornecedor de inteligência sobre ameaças deve ser sempre externo. Cada terceiro teste externo deve utilizar a equipe vermelha. Os testes devem visar funções críticas ou importantes e apoiar a infraestrutura de TIC, incluindo fornecedores terceiros, quando apropriado.
Esta verificação de vulnerabilidade não é rotineira. O TLPT simula ataques cibernéticos reais sem o conhecimento da equipe de defesa de uma organização, fornecendo uma avaliação autêntica das capacidades de detecção e resposta. O custo, a coordenação e o risco operacional de executar tais práticas em sistemas de produção são significativos, e muitas organizações ainda estão a construir processos internos para as gerir com segurança.
O custo de acertar (e errar)
Caro serviço. Um inquérito da Deloitte concluiu que 96 por cento das instituições financeiras estimaram os seus custos de conformidade com a DORA, situando-se a maioria entre 2 e 5 milhões de euros. A pesquisa da McKinsey acrescenta que 70 por cento dos entrevistados esperam que a DORA resulte em custos permanentemente mais elevados de tecnologia e tecnologia. Quase 40% das organizações pesquisadas dedicam mais de sete funcionários às atividades de conformidade da DORA.
A conformidade não é mais cara. Para além dos limites máximos (até 2% do volume de negócios global para serviços financeiros, até 5 milhões de euros para fornecedores de TIC críticos), os reguladores podem impor multas diárias de até 1%, em média, diariamente, em todo o mundo, para forçar uma remediação imediata. Artigo 50.º A DORA também confere aos reguladores o poder de suspender ou revogar licenças por completo.
As abordagens ao conhecimento nacional variam, mas a direção da viagem é clara. Embora 2025 seja em grande parte tratado como um ano de transição, com os engenheiros a reverem os quadros e a identificarem lacunas, 2026 marca uma mudança para uma necessidade activa. Os reguladores estão a passar de documentos recentes para a exigência de provas: indicadores de resiliência em tempo real, relatórios automatizados e controlo demonstrável sobre o risco das TIC.
Onde a automação se encaixa
A lacuna entre o que a DORA exige e o que a maioria das organizações pode fornecer manualmente criou um mercado crescente para a automação da conformidade. A tendência reflecte o que está a acontecer nas economias vizinhas: Senescallus angariou recentemente 5 milhões de dólares para investir na automatização dos gestores de conformidade AML, e a Eurex comprometeu 12 milhões de dólares para combater a prevenção da fraude bancária, marcando ao mesmo tempo uma mudança mais ampla na infra-estrutura de controlos automatizados nos serviços financeiros europeus. As plataformas concebidas para automatizar a recolha de provas centralizadas, gerir o registo de informações e fornecer monitorização contínua estão a registar uma procura crescente, especialmente por parte de empresas de médio porte que não dispõem dos recursos do departamento de GRC de um grande banco.
O espaço de automação de conformidade na Europa inclui tanto participantes bem financiados nos EUA (Drata, Vanta e Secureframe expandiram a sua presença europeia) como um grupo crescente de plataformas nascidas na UE construídas especificamente em torno de padrões europeus. Entre eles, o baseado em Vilnius Diplomaque arrecadou 6 milhões de euros em financiamento da Série A em fevereiro de 2026, posicionou-se em torno de DORA, NIS2 e ISO 27001 com apoio CISO para automação e fraturamento hidráulico. O produto dedicado DORA Register, concebido para automatizar o processo de submissão de registos de TIC, identifica os pontos problemáticos específicos que as empresas europeias estão a encontrar.
Não há tendência mais ampla para nenhum varejista. Trata-se de fazer uma mudança na forma como a conformidade é feita. Quando os regulamentos exigem testes contínuos, os processos manuais são destruídos. Quando as janelas de envio são medidas em semanas e os estoques dos vendedores chegam a centenas, as planilhas deixam de ser viáveis. As organizações que são as primeiras a se adaptar normalmente o fazem evitando a automação em suas operações de conformidade, em vez de conectá-la novamente.
O que vem a seguir?
DORA não é um controle estável. Espera-se que as ESAs atualizem a lista de fornecedores de TIC críticos todos os anos, com a próxima revisão prevista para mais tarde em 2026. Normas técnicas adicionais sobre notificação de incidentes e acordos de subcontratação ainda não foram concluídas. E quando o primeiro ciclo completo de envio de informações de manutenção de registos terminar, os reguladores terão, pela primeira vez, uma visão de todo o sistema dos riscos associados às TIC em todo o ambiente financeiro europeu.
Essa informação informará as futuras prioridades de cuidados. Se o risco revelar o tipo de concentração e dependência que os reguladores suspeitam, a resposta poderá incluir controlos mais rigorosos sobre a seleção de fornecedores de serviços de nuvem, uma arquitetura obrigatória de vários fornecedores ou maiores requisitos de política de saída. A trajetória mais ampla, tal como o apelo do próprio Reino Unido a uma revisão “colossal” das defesas digitais, aponta para uma supervisão mais profunda e mais prescritiva da infraestrutura tecnológica em todo o sistema financeiro.
Para as instituições financeiras, a mensagem dos primeiros 14 meses da DORA é que o cumprimento não é uma política com linha de chegada. Capacidade operacional contínua que requer investimento, infraestrutura e outros acessos fundamentais à tecnologia de gestão de risco. As empresas que o tratarem como tal estarão em melhor posição não só para evitar multas, mas também para evitar conflitos operacionais nas dificuldades que o regulamento foi concebido para resolver, principalmente eletrónicas.
