DORA TIC Imagem gerada por Inteligência Artificial

O que a DORA exige na contratação de prestadores de serviços de TIC?

3 minutos de leitura

Nas primeiras quatro exigências impostas pelo Regulamento 2024/1773, encontram-se obrigações de perfil de risco, aplicações em nível de grupo, governança e ciclo de vida



Por Redação em 29/05/2025

O Regulamento Delegado da União Europeia (UE) 2024/1773, complementar à Lei de Resiliência Operacional Digital (DORA), estabelece normas técnicas regulatórias acerca da política de terceiros em Tecnologia da Informação e Comunicação (TIC). Com o objetivo de fortalecer a resiliência operacional e a segurança cibernética no setor financeiro, a norma exige um planejamento capaz de abordar princípios fundamentais para gerir riscos associados às TIC terceirizadas.

Em conformidade com a DORA, as instituições financeiras devem adotar uma política de utilização de serviços de TIC, a qual deve considerar e aplicar elementos como o perfil de risco global e complexidade; aplicação em nível do grupo; mecanismos de governança; e principais fases do ciclo de vida, em termos de adoção e utilização dos acordos contratuais.

Perfil de risco global e complexidade

O artigo 1º do regulamento trata da dimensão e do perfil de risco global da entidade financeira, bem como da natureza dos serviços prestados. Também aborda a complexidade dos serviços terceirizados e as informações relativas aos respectivos prestadores. A política deve observar os seguintes parâmetros. 

  • O tipo de serviços de TIC incluídos no acordo contratual.
  • A localização do prestador de serviços de TIC ou da sua empresa-mãe.
  • Se a empresa contratada é localizada em um dos estados-membros ou em outros países, considerando tando onde os serviços são prestados quanto o local em que os dados são tratados e armazenados.
  • A natureza dos dados compartilhados.
  • Se o prestador faz parte do mesmo grupo que a entidade financeira que o contratou.
  • Se o prestador é autorizado, registrado e sujeito à supervisão de autoridades da UE ou do quadro de superintendência do DORA, ou, ainda, se esse está sujeito à supervisão de um país terceiro.
  • Se a prestação de serviços se concentra em um único prestador ou em um pequeno número de prestadores.
  • A transferibilidade dos serviços para outro prestador, especialmente devido a especificidades tecnológicas.
  • O potencial impacto de perturbações na prestação dos serviços na continuidade das atividades da entidade financeira e na disponibilidade de seus serviços.

Aplicação da política em todo o grupo   

Em instituições financeiras pertencentes a um mesmo grupo, a diretriz de aplicação deve ser única. Isso garante a contratação dos serviços de maneira coerente em todos os níveis. A exigência vale tanto em âmbito individual quanto consolidado, incluindo prestadores intragrupo e subcontratados. Ainda que os riscos sejam distintos, os critérios aplicáveis são os mesmos, reforçando a observância ao longo de toda a cadeia de fornecimento.

Mecanismos de governança

Já no artigo terceiro ficam definidas as obrigações de governança, responsáveis por preservar as melhores práticas de gestão e assegurar a conformidade com o Regulamento. Nessa seção é determinada a incumbência da instituição financeira – e atribuição interna – na aprovação, gestão, controle e documentação dos acordos firmados, bem como a supervisão dos mesmos. 

É dever da organização rever a política ao menos uma vez por ano e atualizá-las sempre quando se fizer necessário. Em caso de alterações no escopo, essas devem ser aplicadas em tempo hábil. Deve constar, também, uma metodologia que avalie quais serviços de TIC desempenham uma função crítica ou importante, além do momento em que essa avaliação deve ser efetuada e revista. A identificação do cargo ou do membro da direção encarregado por monitorar os acordos e por cooperar com os órgãos administrativos por meio de relatórios é mais uma das obrigações.

DORA TIC
Imagem gerada por Inteligência Artificial

Outra exigência é submeter o terceirizado a uma análise, para verificar se dispõe de recursos suficientes para que o contratante esteja de acordo com suas obrigações legais. A política deve assegurar, ainda, que os contratos sejam coerentes com o quadro de gestão de risco associado à entidade, à política de segurança das informações, à política de continuidade das atividades no domínio das TIC e aos requisitos em matéria de comunicação de incidentes estabelecidos no DORA.

Na série de normas, determinou-se que a os serviços de TIC devem ser alvo de revisão independente e incluídos em auditoria. Por fim, foi criada uma lista relativa aos contratos, que devem cumprir algumas regras.

  • Não eximir a entidade financeira e sua administração das responsabilidades com os seus clientes.
  • Não impedir uma supervisão de uma entidade financeira e não infringir restrições de supervisão de serviços.
  • Exigir que os terceirizados cooperem com as autoridades.
  • Exigir que a entidade financeira, seus auditores e autoridades competentes tenham acesso aos dados e às instalações relacionadas com a utilização de serviços de TIC.

Fases do ciclo de vida

Faz parte do documento a especificação acerca das responsabilidades para cada fase do contrato instituído. Assim, devem estar explícitas as atribuições do órgão administrativo; o planejamento dos contratos, no que diz respeito, por exemplo, à avaliação de riscos e sua devida diligência; envolvimento de parte como unidades de negócio e gestão interna; documentação e conservação de registros; e estratégias em processos de rescisão.



Matérias relacionadas

investimento em IA Estratégia

Investimentos em IA crescem com agendas convergentes de empresas e governos

Com aportes bilionários, Alibaba Cloud e governo brasileiro apostam na inteligência artificial para otimizar serviços e promover melhorias nos setores público e privado

self-checkout Estratégia

Self-checkout deve envolver cada vez mais IA para reduzir perdas

Preferência por autoatendimento no varejo faz com que empresas invistam cada vez mais em tecnologias capazes de identificar e eliminar furtos na jornada de compra

julgamento ético Estratégia

OCDE não recomenda uso de IA em julgamento ético e raciocínio crítico

Relatório aponta que ferramentas não atingem nível de desempenho humano nessas duas capacidades

aulas IA generativa Estratégia

IA Generativa transforma experiência de docentes e alunos em sala de aula

Novo assistente para professores, utilizado pela Somos Educação, otimiza a rotina e impulsiona o ensino básico no Brasil

    Embratel agora é Claro empresas Saiba mais