Concebido para reforçar a resiliência operacional digital das entidades financeiras, como bancos, seguradoras e empresas de investimento, o regulamento europeu DORA (Digital Operational Resilience Act) entrou em vigor em 2023, com o prazo para a transposição nacional a terminar a 17 de janeiro deste ano.

Não perca nenhuma notícia importante da atualidade de tecnologia e acompanhe tudo em tek.sapo.pt

Ainda em dezembro, a Comissão Europeia já tinha alertado que Portugal, a par de Espanha e França, era um dos três países que ainda não tinha feito a transposição integral do regulamento para a legislação nacional.

A Lei n.º 73/2025, publicada em Diário da República a 23 de dezembro, executa o DORA na ordem jurídica interna e transpõe para a legislação nacional a Diretiva (UE) 2022/2556, que altera um conjunto de diretivas relevantes no que diz respeito à resiliência operacional digital para o setor financeiro.

O objetivo passa por assegurar que todas as entidades financeiras sujeitas a supervisão em Portugal implementam sistemas, planos e políticas de resiliência operacional digital que tenham maior robustez, capazes de enfrentar incidentes graves e ciberameaças significativas.

Além das entidades previstas no regulamento DORA, a lei abrange também empresas de seguros e de resseguros, bem como as entidades gestoras de fundos de pensões com atividade autorizada em Portugal.

O Banco de Portugal, a Autoridade de Supervisão de Seguros e Fundos de Pensões (ASF) e a Comissão do Mercado de Valores Mobiliários (CMVM) afirmam-se como as três autoridades competentes e de supervisão, que devem também partilhar informações críticas e colaborar com o Centro Nacional de Cibersegurança (CNCS).

As entidades financeiras têm como obrigação comunicar às entidades supervisoras incidentes de caráter severo, além de apresentarem notificações voluntárias de ciberameaças significativas. 

Entre as obrigações que as entidades têm de cumprir contam-se, por exemplo, a implementação de quadros de gestão de riscos associados às tecnologias de informação e comunicação (TIC) e de planos de continuidade de negócio e de resposta a incidentes, a par de testes de resiliência operacional digital. 

Incluem-se ainda obrigações relativas à gestão de riscos no que toca a prestadores de serviços de TIC; à monitorização da segurança e funcionamento dos sistemas tecnológicos; à implementação de estruturas de gestão de crises; e a programas de sensibilização e formação em cibersegurança.

A lei prevê também um regime sancionatório para as entidades que não cumpram as obrigações, com o incumprimento a constituir contraordenações, sendo puníveis mesmo em caso de negligência ou tentativa.

As coimas podem atingir valores avultados, com valores entre os 10 mil e os 5 milhões de euros para contraordenações graves praticadas por pessoas coletivas. Caso se trate de uma contraordenação grave praticada por uma pessoa singular, o valor das coimas pode variar entre os 5 mil e os 2,5 milhões de euros.

Assine a newsletter do TEK Notícias e receba todos os dias as principais notícias de tecnologia na sua caixa de correio.