FRAMEWORK · DORA

DORA — Resiliência operacional digital.
Regulamento UE 2022/2554.

Em vigor desde 17 de janeiro de 2025. Aplica-se a 22 000+ entidades financeiras europeias e aos seus fornecedores TIC críticos. O Itamite cobre os pilares de gestão de risco TIC, gestão de incidentes e testes de resiliência com evidência assinada para as autoridades de supervisão nacionais (Banco de Portugal, CMVM, ASF).

Ver preços Demo DORA

A quem se aplica DORA?

Entidades financeiras: bancos, caixas, IME/IP, seguradoras e resseguradoras, gestoras (SGOIC, SGFII), empresas de serviços de investimento, infraestruturas de mercado (CCP, CSD), fornecedores de cripto-ativos (CASPs), prestadores de serviços de pagamento (PSPs), agências de rating, fundos de pensões, gestores alternativos, fornecedores PEPP.

Particularmente importante: fornecedores TIC críticos que servem entidades financeiras (cloud, centros de dados, MSPs, software regulado). Se a sua empresa presta serviços IT à banca/finanças, o DORA pode aplicar-se-lhe diretamente.

Coimas: até 10M€ ou 5% do volume de negócios anual mundial, o que for maior. Para infrações graves, possível exclusão do registo de fornecedores TIC autorizados → falência do fornecedor.

CINCO PILARES DORA

O que o Itamite cobre

Pilar 1: Gestão de risco TIC (Art. 5-15)

O Itamite fornece inventário completo de ativos TIC (Art. 8), identificação de funções críticas, análise contínua de risco via postura medida (Art. 9), proteção e prevenção (cifragem, patches, AV — Art. 9), deteção contínua (Art. 10), gestão de continuidade (Art. 11), aprendizagem e evolução baseadas em dados.

Pilar 2: Gestão de incidentes TIC (Art. 17-23)

Auditoria imutável hash-chain como evidência de incidentes. Classificação automática por severidade. Notificação inicial 4h após deteção, intermédia 72h, final 1 mês — o Itamite fornece uma cronologia técnica verificável. Integração SIEM para reportes às autoridades.

Pilar 3: Testes de resiliência (Art. 24-27)

Testes básicos anuais (vulnerability assessment, scenario testing). Para entidades significativas: TLPT (Threat-Led Penetration Testing) a cada 3 anos. O Itamite fornece inventário e dados para definir o âmbito dos testes e verificar a remediação posterior.

Pilar 4: Risco de terceiros TIC (Art. 28-44)

Registo de informação sobre todos os acordos contratuais com fornecedores TIC. O Itamite é fornecedor TIC: entregamos documentação contratual padrão DORA-ready (cláusulas do Art. 30, exit strategy, direitos de auditoria, subcontratação).

Pilar 5: Partilha de informação (Art. 45)

Capacidades opcionais de partilha de inteligência sobre ameaças com outras entidades. O Itamite expõe API + webhooks para integração com plataformas de partilha (FS-ISAC, EU-FSF).

Itrion como fornecedor TIC DORA-ready

Para clientes financeiros: contratos específicos cumprindo o Art. 30: descrição de funções críticas, localização de processamento na UE, direito de auditoria in loco, níveis de serviço quantitativos (SLA), saída ordenada com migração assistida, subcontratados pré-aprovados.

PERGUNTAS FREQUENTES

Dúvidas sobre DORA

Quem supervisiona o cumprimento do DORA?
Em Portugal: Banco de Portugal (banca e crédito), CMVM (mercados e gestoras), ASF (seguros). Ao nível da UE: EBA, ESMA, EIOPA. Para fornecedores TIC críticos: quadro de supervisão específico EU-wide sob coordenação das ESAs.
Quando sou declarado fornecedor TIC crítico?
O primeiro exercício de designação foi feito pelas ESAs em 2024. Lista pública anual. Se for designado como crítico, supervisão europeia direta + obrigações reforçadas. A maioria dos fornecedores TIC NÃO é crítica em sentido formal mas deve cumprir contratualmente o DORA por exigência dos clientes.
A Itrion Software é fornecedor TIC crítico DORA?
Não designada como crítica ao nível UE. Cumprimos o DORA contratualmente para os nossos clientes financeiros: documentação do Art. 30, capacidade de auditoria in loco, exit strategy escrita, hosting UE, subcontratados declarados. Lista de clientes financeiros: sob NDA.
Quanto tempo demora o cumprimento DORA?
Para entidade financeira com plataforma IT moderna: 6-12 meses. Partindo do zero: 12-18 meses. O Itamite acelera as partes de inventário, gestão de risco TIC e monitorização (3-4 meses poupados). O resto (BCP, governação, testes TLPT) requer consultoria especializada.

Setor financeiro sujeito a DORA

Demo Enterprise com caso real banca/seguros + acesso a contratos DORA-ready.

Ver preços Solicitar demo