Foto: Fabrizio Maffei/ Shutterstock

DORA: conheça as multas e sanções para não-conformidades

3 minutos de leitura

A Lei de Resiliência Operacional Digital foi implantada recentemente pela União Europeia e apresenta um regime de penalidades para quem não se adaptar



Por Redação em 26/05/2025

A Lei de Resiliência Operacional Digital (DORA), que entrou em vigor na União Europeia em janeiro deste ano, foi criada para fortalecer a capacidade de entidades financeiras (como bancos e seguradoras) para a resposta e recuperação de interrupções em seus sistemas de Tecnologia da Informação e Comunicação (TIC), incluindo casos de ataques cibernéticos e falhas de sistema. Seu descumprimento prevê multas e outras penalidades para quem apresentar não-conformidades.

O intuito da nova legislação é garantir que empresas e instituições mantenham a conformidade com a regulamentação que aborda os cuidados necessários sobre resiliência cibernética. Dessa forma, as autoridades competentes podem exigir que instituições financeiras adotem medidas de segurança e solucionem falhas. O descumprimento das normas pode acarretar sanções administrativas e, em certas situações, criminais, a serem definidas por cada estado-membro.

A DORA impõe multas financeiras de até 2% do faturamento anual global total, ou 1% do faturamento médio diário da empresa. Pessoas físicas e jurídicas podem receber multas de até €1.000.000. Já para os prestadores de serviços de TIC terceirizados, as multas podem atingir o valor de €5.000.000 para empresas ou €500.000 para pessoas físicas. 

A empresa que não cumprir a DORA e o Regulamento Geral sobre a Proteção de Dados (RGPD) também poderá ser notificada e penalizada. As multas podem chegar a €20 milhões, ou 4% do faturamento global. As empresas brasileiras que atendem o mercado europeu também serão impactadas. Neste sentido, precisarão se adaptar à nova legislação para garantirem a continuidade da parceria comercial com a União Europeia. 

Segundo a IBM, a DORA parte de um pacote financeiro digital amplo, que inclui iniciativas para regulamentar também os criptoativos e aprimorar a estratégia financeira digital geral da UE.

Ação fiscalizadora

As Autoridades Europeias de Supervisão (AES) são as responsáveis por aplicar as sanções, com poderes de supervisão e investigação, além da capacidade de publicar avisos de sanções administrativas. Já as sanções criminais poderão ser acompanhadas pelos Estados-Membros, que podem impor sanções penais por violações da DORA, exigindo que haja uma ligação eficaz com as autoridades judiciais e de acusação.

De acordo com EIOPA, a DORA não prevê um período de transição, por isso as autoridades europeias enfatizam a importância de  as entidades financeiras adotarem uma abordagem sólida e estruturada para cumprir com suas obrigações em tempo hábil.

Adel Al-keysi, diretor de Conformidade de Segurança da Informação da Avenga, apontou em um artigo que é responsabilidade dos estados garantir que as medidas permitam uma ligação eficiente com as autoridades judiciais, de acusação ou de justiça criminal, para a implementação das sanções.

A estrutura de penalidades da DORA foi criada com a justificativa de fortalecer o setor financeiro contra possíveis ameaças cibernéticas. Ao integrar penalidades com ações preventivas e exigências de comunicação, a DORA assegura um ambiente econômico robusto, que protege a integridade e a credibilidade dos seus integrantes.

Cinco pilares para a resiliência cibernética no setor financeiro europeu

  • Gestão de riscos de TIC: a lei exige que as instituições financeiras europeias avaliem, mitiguem e gerenciem os riscos associados aos seus sistemas de TIC.
  • Relatório de incidentes: transparência na comunicação de incidentes de segurança de dados para todas as partes interessadas, com a necessidade de sistemas para detecção, notificação e análise de incidentes.
  • Teste de resiliência operacional digital: os testes devem garantir que os sistemas das instituições financeiras possam resistir aos mais diversos tipos de ameaças cibernéticas.
  • Gestão de riscos de terceiros: com foco nos relacionamentos com provedores externos de serviços de TIC, garante que esses contratos não comprometam a resiliência operacional da instituição.
  • Compartilhamento de informações: a DORA promove a colaboração em cibersegurança, incentivando as entidades financeiras a compartilhar informações sobre ameaças cibernéticas para uma gestão de riscos e construção de resiliência.


Matérias relacionadas

investimento em IA Estratégia

Investimentos em IA crescem com agendas convergentes de empresas e governos

Com aportes bilionários, Alibaba Cloud e governo brasileiro apostam na inteligência artificial para otimizar serviços e promover melhorias nos setores público e privado

self-checkout Estratégia

Self-checkout deve envolver cada vez mais IA para reduzir perdas

Preferência por autoatendimento no varejo faz com que empresas invistam cada vez mais em tecnologias capazes de identificar e eliminar furtos na jornada de compra

julgamento ético Estratégia

OCDE não recomenda uso de IA em julgamento ético e raciocínio crítico

Relatório aponta que ferramentas não atingem nível de desempenho humano nessas duas capacidades

aulas IA generativa Estratégia

IA Generativa transforma experiência de docentes e alunos em sala de aula

Novo assistente para professores, utilizado pela Somos Educação, otimiza a rotina e impulsiona o ensino básico no Brasil

    Embratel agora é Claro empresas Saiba mais