close
DORA TIC Imagem gerada por Inteligência Artificial

O que a DORA exige na contratação de prestadores de serviços de TIC?

3 minutos de leitura

Nas primeiras quatro exigências impostas pelo Regulamento 2024/1773, encontram-se obrigações de perfil de risco, aplicações em nível de grupo, governança e ciclo de vida

Por Redação em 29/05/2025

O Regulamento Delegado da União Europeia (UE) 2024/1773, complementar à Lei de Resiliência Operacional Digital (DORA), estabelece normas técnicas regulatórias acerca da política de terceiros em Tecnologia da Informação e Comunicação (TIC). Com o objetivo de fortalecer a resiliência operacional e a segurança cibernética no setor financeiro, a norma exige um planejamento capaz de abordar princípios fundamentais para gerir riscos associados às TIC terceirizadas.

Em conformidade com a DORA, as instituições financeiras devem adotar uma política de utilização de serviços de TIC, a qual deve considerar e aplicar elementos como o perfil de risco global e complexidade; aplicação em nível do grupo; mecanismos de governança; e principais fases do ciclo de vida, em termos de adoção e utilização dos acordos contratuais.

Perfil de risco global e complexidade

O artigo 1º do regulamento trata da dimensão e do perfil de risco global da entidade financeira, bem como da natureza dos serviços prestados. Também aborda a complexidade dos serviços terceirizados e as informações relativas aos respectivos prestadores. A política deve observar os seguintes parâmetros. 

  • O tipo de serviços de TIC incluídos no acordo contratual.
  • A localização do prestador de serviços de TIC ou da sua empresa-mãe.
  • Se a empresa contratada é localizada em um dos estados-membros ou em outros países, considerando tando onde os serviços são prestados quanto o local em que os dados são tratados e armazenados.
  • A natureza dos dados compartilhados.
  • Se o prestador faz parte do mesmo grupo que a entidade financeira que o contratou.
  • Se o prestador é autorizado, registrado e sujeito à supervisão de autoridades da UE ou do quadro de superintendência do DORA, ou, ainda, se esse está sujeito à supervisão de um país terceiro.
  • Se a prestação de serviços se concentra em um único prestador ou em um pequeno número de prestadores.
  • A transferibilidade dos serviços para outro prestador, especialmente devido a especificidades tecnológicas.
  • O potencial impacto de perturbações na prestação dos serviços na continuidade das atividades da entidade financeira e na disponibilidade de seus serviços.

Aplicação da política em todo o grupo   

Em instituições financeiras pertencentes a um mesmo grupo, a diretriz de aplicação deve ser única. Isso garante a contratação dos serviços de maneira coerente em todos os níveis. A exigência vale tanto em âmbito individual quanto consolidado, incluindo prestadores intragrupo e subcontratados. Ainda que os riscos sejam distintos, os critérios aplicáveis são os mesmos, reforçando a observância ao longo de toda a cadeia de fornecimento.

Mecanismos de governança

Já no artigo terceiro ficam definidas as obrigações de governança, responsáveis por preservar as melhores práticas de gestão e assegurar a conformidade com o Regulamento. Nessa seção é determinada a incumbência da instituição financeira – e atribuição interna – na aprovação, gestão, controle e documentação dos acordos firmados, bem como a supervisão dos mesmos. 

É dever da organização rever a política ao menos uma vez por ano e atualizá-las sempre quando se fizer necessário. Em caso de alterações no escopo, essas devem ser aplicadas em tempo hábil. Deve constar, também, uma metodologia que avalie quais serviços de TIC desempenham uma função crítica ou importante, além do momento em que essa avaliação deve ser efetuada e revista. A identificação do cargo ou do membro da direção encarregado por monitorar os acordos e por cooperar com os órgãos administrativos por meio de relatórios é mais uma das obrigações.

DORA TIC
Imagem gerada por Inteligência Artificial

Outra exigência é submeter o terceirizado a uma análise, para verificar se dispõe de recursos suficientes para que o contratante esteja de acordo com suas obrigações legais. A política deve assegurar, ainda, que os contratos sejam coerentes com o quadro de gestão de risco associado à entidade, à política de segurança das informações, à política de continuidade das atividades no domínio das TIC e aos requisitos em matéria de comunicação de incidentes estabelecidos no DORA.

Na série de normas, determinou-se que a os serviços de TIC devem ser alvo de revisão independente e incluídos em auditoria. Por fim, foi criada uma lista relativa aos contratos, que devem cumprir algumas regras.

  • Não eximir a entidade financeira e sua administração das responsabilidades com os seus clientes.
  • Não impedir uma supervisão de uma entidade financeira e não infringir restrições de supervisão de serviços.
  • Exigir que os terceirizados cooperem com as autoridades.
  • Exigir que a entidade financeira, seus auditores e autoridades competentes tenham acesso aos dados e às instalações relacionadas com a utilização de serviços de TIC.

Fases do ciclo de vida

Faz parte do documento a especificação acerca das responsabilidades para cada fase do contrato instituído. Assim, devem estar explícitas as atribuições do órgão administrativo; o planejamento dos contratos, no que diz respeito, por exemplo, à avaliação de riscos e sua devida diligência; envolvimento de parte como unidades de negócio e gestão interna; documentação e conservação de registros; e estratégias em processos de rescisão.

Matérias relacionadas

Profissional de tecnologia colaborando em cibersegurança, segurando tablet com símbolo de cadeado, conceito de cooperação para proteção digital. Estratégia

Cooperação para cibersegurança: do cabo submarino ao modem doméstico

Reguladores buscam articulação de governo, indústria, operadoras, setor privado e sociedade para garantir um ambiente digital mais seguro

Especialista em cibersegurança analisando gráficos digitais de segurança e inteligência artificial em tela de computador moderna. Estratégia

Cibersegurança enfrenta novas ameaças e ainda tem que trabalhar nos fundamentos

Multicloud e agentes de IA ampliam a superfície de ataques, enquanto especialistas reforçam que executar bem o básico e alinhar prioridades faz diferença

Profissionais de saúde analisando dados de tecnologia de Saúde 5.0 que promove a equidade na medicina, com uso de inteligência artificial e inovação no setor Estratégia

Saúde 5.0 promove equidade na medicina

Uso de IA e tecnologias vestíveis amplia o acesso à saúde e fortalece a prevenção

Engenheiro industrial operando em uma fábrica moderna, representando a neoindustrialização brasileira com investimentos em tecnologia 4.0 para o desenvolvimento industrial. Estratégia

Neoindustrialização brasileira passa por investimentos em indústria 4.0

Painel na Futurecom discute como a nova indústria brasileira deve estimular o desenvolvimento tecnológico e capacitação profissional

    Embratel agora é Claro empresas Saiba mais