close
Foto: Fabrizio Maffei/ Shutterstock

DORA: conheça as multas e sanções para não-conformidades

3 minutos de leitura

A Lei de Resiliência Operacional Digital foi implantada recentemente pela União Europeia e apresenta um regime de penalidades para quem não se adaptar

Por Redação em 26/05/2025

A Lei de Resiliência Operacional Digital (DORA), que entrou em vigor na União Europeia em janeiro deste ano, foi criada para fortalecer a capacidade de entidades financeiras (como bancos e seguradoras) para a resposta e recuperação de interrupções em seus sistemas de Tecnologia da Informação e Comunicação (TIC), incluindo casos de ataques cibernéticos e falhas de sistema. Seu descumprimento prevê multas e outras penalidades para quem apresentar não-conformidades.

O intuito da nova legislação é garantir que empresas e instituições mantenham a conformidade com a regulamentação que aborda os cuidados necessários sobre resiliência cibernética. Dessa forma, as autoridades competentes podem exigir que instituições financeiras adotem medidas de segurança e solucionem falhas. O descumprimento das normas pode acarretar sanções administrativas e, em certas situações, criminais, a serem definidas por cada estado-membro.

A DORA impõe multas financeiras de até 2% do faturamento anual global total, ou 1% do faturamento médio diário da empresa. Pessoas físicas e jurídicas podem receber multas de até €1.000.000. Já para os prestadores de serviços de TIC terceirizados, as multas podem atingir o valor de €5.000.000 para empresas ou €500.000 para pessoas físicas. 

A empresa que não cumprir a DORA e o Regulamento Geral sobre a Proteção de Dados (RGPD) também poderá ser notificada e penalizada. As multas podem chegar a €20 milhões, ou 4% do faturamento global. As empresas brasileiras que atendem o mercado europeu também serão impactadas. Neste sentido, precisarão se adaptar à nova legislação para garantirem a continuidade da parceria comercial com a União Europeia. 

Segundo a IBM, a DORA parte de um pacote financeiro digital amplo, que inclui iniciativas para regulamentar também os criptoativos e aprimorar a estratégia financeira digital geral da UE.

Ação fiscalizadora

As Autoridades Europeias de Supervisão (AES) são as responsáveis por aplicar as sanções, com poderes de supervisão e investigação, além da capacidade de publicar avisos de sanções administrativas. Já as sanções criminais poderão ser acompanhadas pelos Estados-Membros, que podem impor sanções penais por violações da DORA, exigindo que haja uma ligação eficaz com as autoridades judiciais e de acusação.

De acordo com EIOPA, a DORA não prevê um período de transição, por isso as autoridades europeias enfatizam a importância de  as entidades financeiras adotarem uma abordagem sólida e estruturada para cumprir com suas obrigações em tempo hábil.

Adel Al-keysi, diretor de Conformidade de Segurança da Informação da Avenga, apontou em um artigo que é responsabilidade dos estados garantir que as medidas permitam uma ligação eficiente com as autoridades judiciais, de acusação ou de justiça criminal, para a implementação das sanções.

A estrutura de penalidades da DORA foi criada com a justificativa de fortalecer o setor financeiro contra possíveis ameaças cibernéticas. Ao integrar penalidades com ações preventivas e exigências de comunicação, a DORA assegura um ambiente econômico robusto, que protege a integridade e a credibilidade dos seus integrantes.

Cinco pilares para a resiliência cibernética no setor financeiro europeu

  • Gestão de riscos de TIC: a lei exige que as instituições financeiras europeias avaliem, mitiguem e gerenciem os riscos associados aos seus sistemas de TIC.
  • Relatório de incidentes: transparência na comunicação de incidentes de segurança de dados para todas as partes interessadas, com a necessidade de sistemas para detecção, notificação e análise de incidentes.
  • Teste de resiliência operacional digital: os testes devem garantir que os sistemas das instituições financeiras possam resistir aos mais diversos tipos de ameaças cibernéticas.
  • Gestão de riscos de terceiros: com foco nos relacionamentos com provedores externos de serviços de TIC, garante que esses contratos não comprometam a resiliência operacional da instituição.
  • Compartilhamento de informações: a DORA promove a colaboração em cibersegurança, incentivando as entidades financeiras a compartilhar informações sobre ameaças cibernéticas para uma gestão de riscos e construção de resiliência.

Matérias relacionadas

Executiva de negócios usando tablet em escritório com vista para o centro de uma cidade ao pôr do sol, transmitindo eficiência e inovação Estratégia

Ameaça quântica dispara cronograma de defesa a incidentes encomendados

Embora o risco de quebra da criptografia atual ainda esteja relativamente distante, alvos seletos que lidam com dados de longa duração já começam a preparar resistência ao poder divinatório dos qbits

Pesquisa do Itaú em tecnologia avançada, exibindo um computador quântico em uma feira Estratégia

Pesquisadores testam lógica quântica em otimização de portfólio

Artigo para comunidade científica mostra como algoritmos quânticos se aplicam em escala para problemas com imensos volumes de variáveis

Mulher executiva trabalhando no computador em um escritório com vista para a cidade ao entardecer. Estratégia

Habilidade de comunicação afeta desempenho, saúde mental e uso de IA nas empresas

Com trabalho híbrido, sobrecarga informacional e avanço da inteligência artificial, clareza deixa de ser habilidade interpessoal e passa a estruturar cultura, colaboração e produtividade nas organizações

Operadores de data center monitorando servidores, reforçando a importância do setor para o crescimento digital. Estratégia

Capacitação de mão de obra em data centers ganha impulso com novo consórcio

Iniciativa liderada por grandes empresas busca qualificar mão de obra diante de investimentos bilionários e crescimento impulsionado por IA e computação em nuvem