{"id":4738,"date":"2025-02-09T23:00:00","date_gmt":"2025-02-09T23:00:00","guid":{"rendered":""},"modified":"-0001-11-30T00:00:00","modified_gmt":"-0001-11-29T23:00:00","slug":"revisao-contratual-urgente-os-impactos-do-regulamento-dora-no-setor-financeiro","status":"publish","type":"publicacion","link":"https:\/\/belzuz.com\/en\/publicacion\/revisao-contratual-urgente-os-impactos-do-regulamento-dora-no-setor-financeiro\/","title":{"rendered":"Revis\u00e3o contratual urgente: Os impactos do Regulamento DORA no setor financeiro"},"content":{"rendered":"

\n

O (Regulamento (UE) 2022\/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022) entrou em vigor a 17 de janeiro de 2025, impondo novas e rigorosas obrigações às entidades financeiras e aos prestadores de serviços de Tecnologias de Informação e Comunicação (“TIC”), como fornecedores de cloud computing<\/em>, software e infraestruturas de TIC.<\/p>\n

Face ao novo quadro regulatório, impõe-se uma análise detalhada e imediata dos contratos em vigor com vista à sua revisão e atualização.<\/p>\n

Isto porque, para além de introduzir obrigações estruturais quanto à segurança e resiliência dos sistemas das entidades financeiras, o Regulamento DORA cria um quadro normativo detalhado que tem em vista regular as relações contratuais com os denominados “Terceiros Prestadores de Serviços de TIC”, respondendo à dependência crescente das entidades financeiras relativamente a fornecedores externos de suporte às suas funções e processos em matéria de TIC.<\/p>\n

Um dos eixos centrais do DORA é a gestão do risco associado aos referidos terceiros prestadores, impondo um núcleo mínimo de obrigações contratuais<\/strong><\/span>, que tanto entidades financeiras como prestadores devem respeitar, tendo em vista, principalmente, assegurar (i)<\/strong> a monitorização contínua dos serviços prestados, de modo a garantir a continuidade operacional das entidades financeiras e (ii)<\/strong> uma supervisão eficaz pelas autoridades competentes sobre os prestadores de serviços de TIC, com especial enfoque naqueles que suportem processos críticos ou importantes das entidades financeiras.<\/p>\n

Assim, tendo em vista assegurar uma eficaz monitorização, continuidade operacional e supervisão regulatória, o legislador europeu, através do artigo 30.º do Regulamento DORA, veio determinar que os contratos celebrados entre as entidades financeiras e os prestadores de serviços de TIC devem, no mínimo<\/strong><\/span>, contemplar, as seguintes disposições:<\/p>\n

– Uma descrição detalhada dos serviços de TIC a prestar, incluindo a possibilidade e as condições de subcontratação;<\/p>\n

– A identificação dos locais da prestação de serviços e do tratamento de dados, com obrigação de notificação prévia em caso de alteração desses locais;<\/p>\n

– Estabelecer obrigações rigorosas em matéria de políticas de tratamento de dados, assegurando a sua disponibilidade, integridade, autenticidade e confidencialidade, bem como o cumprimento das disposições resultantes do Regulamento Geral sobre a Proteção de Dados Pessoais (“RGPD”);<\/p>\n

– Prever procedimentos de acesso e de recuperação de dados, aplicáveis em situações de cessação de atividade ou em cenários de insolvência ou resolução contratual;<\/p>\n

– Estabelecer níveis de serviço (SLAs), incluindo a obrigação de atualização e revisão periódica, assegurando a sua adequação e uma abordagem de melhoria contínua ao longo da relação contratual;<\/p>\n

– Implementar procedimentos de assistência obrigatória em matéria de incidentes de TIC;<\/p>\n

– Prever um dever de cooperação plena com as autoridades competentes, incluindo a disponibilização de informação relevante sempre que necessário;<\/p>\n

– Estipular cláusulas de resolução, com períodos mínimos de pré-aviso alinhados com as exigências regulatórias;<\/p>\n

– Definir as condições de participação em programas de formação sobre segurança das TIC e resiliência operacional digital, cuja promoção passa a ser uma das obrigações das entidades financeiras.<\/p>\n

Nos casos em que os prestadores de serviços de TIC suportem funções críticas ou importantes<\/span> — entenda-se, funções cuja perturbação comprometa de forma significativa o desempenho, a continuidade dos serviços ou o cumprimento das obrigações legais das entidades financeiras — os contratos devem ainda prever<\/span>:<\/p>\n

– Descrições completas dos níveis de serviço, com metas rigorosas de desempenho quantitativas e qualitativas para os níveis de serviço acordados, com mecanismos de atualização e revisão, bem como medidas corretivas imediatas para casos de incumprimento;<\/p>\n

– Obrigações de notificação prévia de qualquer desenvolvimento relevante, que possam ter impacto material na capacidade de o terceiro prestador de serviços de TIC prestar eficazmente serviços de TIC que apoiem funções críticas ou importantes;<\/p>\n

– Planos de contingência e medidas de segurança robustas, testados e ajustados regularmente, assegurando a conformidade regulatória;<\/p>\n

– Participação obrigatória dos prestadores em testes de penetração (Threat-Led Penetration Testing ou <\/em>“TLPT”);<\/p>\n

– Direitos de monitorização contínua, incluindo acessos, inspeções e auditorias pela entidade financeira, terceiros designados e autoridades competentes;<\/p>\n

– Definição de estratégias de saída e períodos de transição obrigatórios, garantindo a continuidade ou migração eficiente dos serviços, minimizando o risco de perturbações.<\/p>\n

Perante estas exigências regulatórias, as entidades financeiras devem adotar uma postura proativa, implementando de forma célere e eficaz<\/strong><\/span>:<\/p>\n

(a) Um processo de mapeamento rigoroso dos processos internos que recorrem a serviços de TIC de terceiros prestadores, priorizando aqueles que envolvam o suporte a funções críticas ou importantes;<\/p>\n

(b) Um programa de definição e gestão de prioridades com critérios claros para a revisão contratual;<\/p>\n

(c) Uma calendarização exigente para garantir a conformidade com as normas em vigor.<\/p>\n

Note-se que, para assegurar uma supervisão eficiente e em conformidade com o Regulamento DORA, as entidades financeiras estão obrigadas a manter um registo atualizado e detalhado de todos os contratos celebrados com prestadores de serviços de TIC<\/span>, atribuindo especial destaque aos contratos que envolvam funções críticas ou importantes.<\/p>\n

Este registo deve incluir informações relevantes, como as principais cláusulas contratuais, datas de vigência, alterações significativas e o nível de criticidade dos serviços prestados.<\/p>\n

Este registo deve estar facilmente acessível e ser imediatamente disponibilizado às autoridades de controlo sempre que solicitado, permitindo assim uma verificação rápida e eficaz do cumprimento das obrigações regulatórias.<\/p>\n

Por fim, de referir que as autoridades de controlo vão ter competência para fiscalizar tanto as entidades financeiras como os próprios terceiros prestadores de serviços de TIC<\/span>, podendo mesmo, no caso de incumprimento das medidas exigidas, aplicar aos prestadores de serviços de TIC críticos<\/span> sanções pecuniárias compulsórias que podem chegar a 1 % do volume de negócios mundial médio diário do exercício anterior.<\/p>\n

A <\/strong> conta com Advogados experientes na área de Contratos, Compliance<\/em> e e poderá prestar assessoria jurídica nesta matéria, apoiando os processos de revisão contratual de forma eficaz.<\/p>\n

 <\/p>\n

<\/span><\/p>\n

<\/p>\n","protected":false},"featured_media":431,"template":"","categories":[],"area-de-practica":[],"publicaciones":[],"idioma-publicacion":[72],"areas-practica-publicacciones":[],"class_list":["post-4738","publicacion","type-publicacion","status-publish","has-post-thumbnail","hentry","idioma-publicacion-portugues"],"acf":[],"_links":{"self":[{"href":"https:\/\/belzuz.com\/en\/wp-json\/wp\/v2\/publicacion\/4738","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/belzuz.com\/en\/wp-json\/wp\/v2\/publicacion"}],"about":[{"href":"https:\/\/belzuz.com\/en\/wp-json\/wp\/v2\/types\/publicacion"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/belzuz.com\/en\/wp-json\/wp\/v2\/media\/431"}],"wp:attachment":[{"href":"https:\/\/belzuz.com\/en\/wp-json\/wp\/v2\/media?parent=4738"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/belzuz.com\/en\/wp-json\/wp\/v2\/categories?post=4738"},{"taxonomy":"area-de-practica","embeddable":true,"href":"https:\/\/belzuz.com\/en\/wp-json\/wp\/v2\/area-de-practica?post=4738"},{"taxonomy":"publicaciones","embeddable":true,"href":"https:\/\/belzuz.com\/en\/wp-json\/wp\/v2\/publicaciones?post=4738"},{"taxonomy":"idioma-publicacion","embeddable":true,"href":"https:\/\/belzuz.com\/en\/wp-json\/wp\/v2\/idioma-publicacion?post=4738"},{"taxonomy":"areas-practica-publicacciones","embeddable":true,"href":"https:\/\/belzuz.com\/en\/wp-json\/wp\/v2\/areas-practica-publicacciones?post=4738"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}