close
Foto: Fabrizio Maffei/ Shutterstock

DORA: conheça as multas e sanções para não-conformidades

3 minutos de leitura

A Lei de Resiliência Operacional Digital foi implantada recentemente pela União Europeia e apresenta um regime de penalidades para quem não se adaptar

Por Redação em 26/05/2025

A Lei de Resiliência Operacional Digital (DORA), que entrou em vigor na União Europeia em janeiro deste ano, foi criada para fortalecer a capacidade de entidades financeiras (como bancos e seguradoras) para a resposta e recuperação de interrupções em seus sistemas de Tecnologia da Informação e Comunicação (TIC), incluindo casos de ataques cibernéticos e falhas de sistema. Seu descumprimento prevê multas e outras penalidades para quem apresentar não-conformidades.

O intuito da nova legislação é garantir que empresas e instituições mantenham a conformidade com a regulamentação que aborda os cuidados necessários sobre resiliência cibernética. Dessa forma, as autoridades competentes podem exigir que instituições financeiras adotem medidas de segurança e solucionem falhas. O descumprimento das normas pode acarretar sanções administrativas e, em certas situações, criminais, a serem definidas por cada estado-membro.

A DORA impõe multas financeiras de até 2% do faturamento anual global total, ou 1% do faturamento médio diário da empresa. Pessoas físicas e jurídicas podem receber multas de até €1.000.000. Já para os prestadores de serviços de TIC terceirizados, as multas podem atingir o valor de €5.000.000 para empresas ou €500.000 para pessoas físicas. 

A empresa que não cumprir a DORA e o Regulamento Geral sobre a Proteção de Dados (RGPD) também poderá ser notificada e penalizada. As multas podem chegar a €20 milhões, ou 4% do faturamento global. As empresas brasileiras que atendem o mercado europeu também serão impactadas. Neste sentido, precisarão se adaptar à nova legislação para garantirem a continuidade da parceria comercial com a União Europeia. 

Segundo a IBM, a DORA parte de um pacote financeiro digital amplo, que inclui iniciativas para regulamentar também os criptoativos e aprimorar a estratégia financeira digital geral da UE.

Ação fiscalizadora

As Autoridades Europeias de Supervisão (AES) são as responsáveis por aplicar as sanções, com poderes de supervisão e investigação, além da capacidade de publicar avisos de sanções administrativas. Já as sanções criminais poderão ser acompanhadas pelos Estados-Membros, que podem impor sanções penais por violações da DORA, exigindo que haja uma ligação eficaz com as autoridades judiciais e de acusação.

De acordo com EIOPA, a DORA não prevê um período de transição, por isso as autoridades europeias enfatizam a importância de  as entidades financeiras adotarem uma abordagem sólida e estruturada para cumprir com suas obrigações em tempo hábil.

Adel Al-keysi, diretor de Conformidade de Segurança da Informação da Avenga, apontou em um artigo que é responsabilidade dos estados garantir que as medidas permitam uma ligação eficiente com as autoridades judiciais, de acusação ou de justiça criminal, para a implementação das sanções.

A estrutura de penalidades da DORA foi criada com a justificativa de fortalecer o setor financeiro contra possíveis ameaças cibernéticas. Ao integrar penalidades com ações preventivas e exigências de comunicação, a DORA assegura um ambiente econômico robusto, que protege a integridade e a credibilidade dos seus integrantes.

Cinco pilares para a resiliência cibernética no setor financeiro europeu

  • Gestão de riscos de TIC: a lei exige que as instituições financeiras europeias avaliem, mitiguem e gerenciem os riscos associados aos seus sistemas de TIC.
  • Relatório de incidentes: transparência na comunicação de incidentes de segurança de dados para todas as partes interessadas, com a necessidade de sistemas para detecção, notificação e análise de incidentes.
  • Teste de resiliência operacional digital: os testes devem garantir que os sistemas das instituições financeiras possam resistir aos mais diversos tipos de ameaças cibernéticas.
  • Gestão de riscos de terceiros: com foco nos relacionamentos com provedores externos de serviços de TIC, garante que esses contratos não comprometam a resiliência operacional da instituição.
  • Compartilhamento de informações: a DORA promove a colaboração em cibersegurança, incentivando as entidades financeiras a compartilhar informações sobre ameaças cibernéticas para uma gestão de riscos e construção de resiliência.

Matérias relacionadas

Equipe de profissionais em inteligência artificial participando de uma reunião em sala moderna com grande tela exibindo IA Estratégia

Mercado demanda novos profissionais para direcionar uso consciente de IA

Funções voltadas tanto à eficácia quanto aos aspectos éticos e regulatórios implicam cargos com novos perfis e responsabilidades

Profissional de tecnologia analisando dados de inteligência artificial e gráficos digitais, representando o papel estratégico do Chief AI Officer na inovação empresarial. Estratégia

CAIO: o cargo estratégico que vai dominar o topo das empresas até 2030

A liderança em IA ganha status estratégico, e o CAIO surge como o executivo-chave para transformar tecnologia em valor de negócio

Rodolfo Fücher, presidente do conselho da ABES (Associação Brasileira das Empresas de Software) Estratégia

Da IA genérica à aplicada: a tecnologia estrutural além do hype

Tecnologias orientadas a atividades reais aprofundam impactos econômicos e direcionam ajustes de investimentos, regulação e estratégias, avalia diretor da ABES

Reunião de negócios com foco em inteligência artificial corporativa, onde profissionais discutem estratégias de implementação de IA nas empresas. Estratégia

Consultorias apontam 2026 como o ano da IA corporativa

De piloto isolado a infraestrutura estratégica, a inteligência artificial passa a orientar decisões, produtividade e novos modelos de negócio nas empresas

    Embratel agora é Claro empresas Saiba mais