close
Foto: Fabrizio Maffei/ Shutterstock

DORA: conheça as multas e sanções para não-conformidades

3 minutos de leitura

A Lei de Resiliência Operacional Digital foi implantada recentemente pela União Europeia e apresenta um regime de penalidades para quem não se adaptar

Por Redação em 26/05/2025

A Lei de Resiliência Operacional Digital (DORA), que entrou em vigor na União Europeia em janeiro deste ano, foi criada para fortalecer a capacidade de entidades financeiras (como bancos e seguradoras) para a resposta e recuperação de interrupções em seus sistemas de Tecnologia da Informação e Comunicação (TIC), incluindo casos de ataques cibernéticos e falhas de sistema. Seu descumprimento prevê multas e outras penalidades para quem apresentar não-conformidades.

O intuito da nova legislação é garantir que empresas e instituições mantenham a conformidade com a regulamentação que aborda os cuidados necessários sobre resiliência cibernética. Dessa forma, as autoridades competentes podem exigir que instituições financeiras adotem medidas de segurança e solucionem falhas. O descumprimento das normas pode acarretar sanções administrativas e, em certas situações, criminais, a serem definidas por cada estado-membro.

A DORA impõe multas financeiras de até 2% do faturamento anual global total, ou 1% do faturamento médio diário da empresa. Pessoas físicas e jurídicas podem receber multas de até €1.000.000. Já para os prestadores de serviços de TIC terceirizados, as multas podem atingir o valor de €5.000.000 para empresas ou €500.000 para pessoas físicas. 

A empresa que não cumprir a DORA e o Regulamento Geral sobre a Proteção de Dados (RGPD) também poderá ser notificada e penalizada. As multas podem chegar a €20 milhões, ou 4% do faturamento global. As empresas brasileiras que atendem o mercado europeu também serão impactadas. Neste sentido, precisarão se adaptar à nova legislação para garantirem a continuidade da parceria comercial com a União Europeia. 

Segundo a IBM, a DORA parte de um pacote financeiro digital amplo, que inclui iniciativas para regulamentar também os criptoativos e aprimorar a estratégia financeira digital geral da UE.

Ação fiscalizadora

As Autoridades Europeias de Supervisão (AES) são as responsáveis por aplicar as sanções, com poderes de supervisão e investigação, além da capacidade de publicar avisos de sanções administrativas. Já as sanções criminais poderão ser acompanhadas pelos Estados-Membros, que podem impor sanções penais por violações da DORA, exigindo que haja uma ligação eficaz com as autoridades judiciais e de acusação.

De acordo com EIOPA, a DORA não prevê um período de transição, por isso as autoridades europeias enfatizam a importância de  as entidades financeiras adotarem uma abordagem sólida e estruturada para cumprir com suas obrigações em tempo hábil.

Adel Al-keysi, diretor de Conformidade de Segurança da Informação da Avenga, apontou em um artigo que é responsabilidade dos estados garantir que as medidas permitam uma ligação eficiente com as autoridades judiciais, de acusação ou de justiça criminal, para a implementação das sanções.

A estrutura de penalidades da DORA foi criada com a justificativa de fortalecer o setor financeiro contra possíveis ameaças cibernéticas. Ao integrar penalidades com ações preventivas e exigências de comunicação, a DORA assegura um ambiente econômico robusto, que protege a integridade e a credibilidade dos seus integrantes.

Cinco pilares para a resiliência cibernética no setor financeiro europeu

  • Gestão de riscos de TIC: a lei exige que as instituições financeiras europeias avaliem, mitiguem e gerenciem os riscos associados aos seus sistemas de TIC.
  • Relatório de incidentes: transparência na comunicação de incidentes de segurança de dados para todas as partes interessadas, com a necessidade de sistemas para detecção, notificação e análise de incidentes.
  • Teste de resiliência operacional digital: os testes devem garantir que os sistemas das instituições financeiras possam resistir aos mais diversos tipos de ameaças cibernéticas.
  • Gestão de riscos de terceiros: com foco nos relacionamentos com provedores externos de serviços de TIC, garante que esses contratos não comprometam a resiliência operacional da instituição.
  • Compartilhamento de informações: a DORA promove a colaboração em cibersegurança, incentivando as entidades financeiras a compartilhar informações sobre ameaças cibernéticas para uma gestão de riscos e construção de resiliência.

Matérias relacionadas

Profissional de tecnologia colaborando em cibersegurança, segurando tablet com símbolo de cadeado, conceito de cooperação para proteção digital. Estratégia

Cooperação para cibersegurança: do cabo submarino ao modem doméstico

Reguladores buscam articulação de governo, indústria, operadoras, setor privado e sociedade para garantir um ambiente digital mais seguro

Especialista em cibersegurança analisando gráficos digitais de segurança e inteligência artificial em tela de computador moderna. Estratégia

Cibersegurança enfrenta novas ameaças e ainda tem que trabalhar nos fundamentos

Multicloud e agentes de IA ampliam a superfície de ataques, enquanto especialistas reforçam que executar bem o básico e alinhar prioridades faz diferença

Profissionais de saúde analisando dados de tecnologia de Saúde 5.0 que promove a equidade na medicina, com uso de inteligência artificial e inovação no setor Estratégia

Saúde 5.0 promove equidade na medicina

Uso de IA e tecnologias vestíveis amplia o acesso à saúde e fortalece a prevenção

Engenheiro industrial operando em uma fábrica moderna, representando a neoindustrialização brasileira com investimentos em tecnologia 4.0 para o desenvolvimento industrial. Estratégia

Neoindustrialização brasileira passa por investimentos em indústria 4.0

Painel na Futurecom discute como a nova indústria brasileira deve estimular o desenvolvimento tecnológico e capacitação profissional

    Embratel agora é Claro empresas Saiba mais