SETOR FINANCEIRO – O Regulamento DORA em Portugal: o que muda com a Lei n.º 73/2025, de 23 de dezembro

O Regulamento DORA (Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022) entrou em vigor a 17 de janeiro de 2025, impondo novas e rigorosas obrigações às entidades financeiras e aos prestadores de serviços de Tecnologias de Informação e Comunicação (“TIC”), como fornecedores de cloud computing, software e infraestruturas de TIC.

Sendo um regulamento europeu, o DORA é diretamente aplicável nos Estados-Membros, não carecendo de transposição para produzir efeitos jurídicos.

Todavia, a publicação da Lei n.º 73/2025, de 23 de dezembro, veio densificar a sua aplicação no ordenamento jurídico português, designadamente através da identificação das autoridades nacionais competentes, da articulação com os regimes jurídicos internos relevantes e da consagração de um regime sancionatório nacional autónomo.

Face ao novo quadro regulatório, impõe-se uma análise detalhada e imediata dos contratos em vigor com vista à sua revisão e atualização.

Isto porque, para além de introduzir obrigações estruturais quanto à segurança e resiliência dos sistemas das entidades financeiras, o Regulamento DORA cria um quadro normativo detalhado que tem em vista regular as relações contratuais com os denominados “Terceiros Prestadores de Serviços de TIC”, respondendo à dependência crescente das entidades financeiras relativamente a fornecedores externos de suporte às suas funções e processos em matéria de TIC.

Um dos eixos centrais do DORA é a gestão do risco associado aos referidos terceiros prestadores, impondo um núcleo mínimo de obrigações contratuais, que tanto entidades financeiras como prestadores devem respeitar, tendo em vista, principalmente, assegurar (i) a monitorização contínua dos serviços prestados, de modo a garantir a continuidade operacional das entidades financeiras e  (ii) uma supervisão eficaz pelas autoridades competentes sobre os prestadores de serviços de TIC, com especial enfoque naqueles que suportem processos críticos ou importantes das entidades financeiras.

Assim, tendo em vista assegurar uma eficaz monitorização, continuidade operacional e supervisão regulatória, o legislador europeu, através do artigo 30.º do Regulamento DORA, veio determinar que os contratos celebrados entre as entidades financeiras e os prestadores de serviços de TIC devem, no mínimo, contemplar, as seguintes disposições:

  • Uma descrição detalhada dos serviços de TIC a prestar, incluindo a possibilidade e as condições de subcontratação;
  • A identificação dos locais da prestação de serviços e do tratamento de dados, com obrigação de notificação prévia em caso de alteração desses locais;
  • Estabelecer obrigações rigorosas em matéria de políticas de tratamento de dados, assegurando a sua disponibilidade, integridade, autenticidade e confidencialidade, bem como o cumprimento das disposições resultantes do Regulamento Geral sobre a Proteção de Dados Pessoais (“RGPD”);
  • Prever procedimentos de acesso e de recuperação de dados, aplicáveis em situações de cessação de atividade ou em cenários de insolvência ou resolução contratual;
  • Estabelecer níveis de serviço (SLAs), incluindo a obrigação de atualização e revisão periódica, assegurando a sua adequação e uma abordagem de melhoria contínua ao longo da relação contratual;
  • Implementar procedimentos de assistência obrigatória em matéria de incidentes de TIC;
  • Prever um dever de cooperação plena com as autoridades competentes, incluindo a disponibilização de informação relevante sempre que necessário;
  • Estipular cláusulas de resolução, com períodos mínimos de pré-aviso alinhados com as exigências regulatórias;
  • Definir as condições de participação em programas de formação sobre segurança das TIC e resiliência operacional digital, cuja promoção passa a ser uma das obrigações das entidades financeiras.

Nos casos em que os prestadores de serviços de TIC suportem funções críticas ou importantes – entenda-se, funções cuja perturbação comprometa de forma significativa o desempenho, a continuidade dos serviços ou o cumprimento das obrigações legais das entidades financeiras – os contratos devem ainda prever:

  • Descrições completas dos níveis de serviço, com metas rigorosas de desempenho quantitativas e qualitativas para os níveis de serviço acordados, com mecanismos de atualização e revisão, bem como medidas corretivas imediatas para casos de incumprimento;
  • Obrigações de notificação prévia de qualquer desenvolvimento relevante, que possam ter impacto material na capacidade de o terceiro prestador de serviços de TIC prestar eficazmente serviços de TIC que apoiem funções críticas ou importantes;
  • Planos de contingência e medidas de segurança robustas, testados e ajustados regularmente, assegurando a conformidade regulatória;
  • Participação obrigatória dos prestadores em testes de penetração (Threat-Led Penetration Testing ou “TLPT”);
  • Direitos de monitorização contínua, incluindo acessos, inspeções e auditorias pela entidade financeira, terceiros designados e autoridades competentes;
  • Definição de estratégias de saída e períodos de transição obrigatórios, garantindo a continuidade ou migração eficiente dos serviços, minimizando o risco de perturbações.

Perante estas exigências regulatórias, as entidades financeiras devem adotar uma postura proativa, implementando de forma célere e eficaz:

  • Um processo de mapeamento rigoroso dos processos internos que recorrem a serviços de TIC de terceiros prestadores, priorizando aqueles que envolvam o suporte a funções críticas ou importantes;
  • Um programa de definição e gestão de prioridades com critérios claros para a revisão contratual;
  • Uma calendarização exigente para garantir a conformidade com as normas em vigor.

Note-se que, para assegurar uma supervisão eficiente e em conformidade com o Regulamento DORA, as entidades financeiras estão obrigadas a manter um registo atualizado e detalhado de todos os contratos celebrados com prestadores de serviços de TIC, atribuindo especial destaque aos contratos que envolvam funções críticas ou importantes.

Este registo deve incluir informações relevantes, como as principais cláusulas contratuais, datas de vigência, alterações significativas e o nível de criticidade dos serviços prestados. Este registo deve estar facilmente acessível e ser imediatamente disponibilizado às autoridades de controlo sempre que solicitado, permitindo assim uma verificação rápida e eficaz do cumprimento das obrigações regulatórias.

Com a entrada em vigor da Lei n.º 73/2025, de 23 de dezembro, o incumprimento das obrigações decorrentes do Regulamento DORA passou a estar sujeito a um regime sancionatório nacional autónomo, prevendo a aplicação de coimas significativas às entidades financeiras, que podem atingir 5.000.000 € ou, em certos casos, 10 % do volume de negócios anual, bem como a responsabilização de pessoas singulares.

Adicionalmente, os terceiros prestadores de serviços de TIC críticos podem ser alvo de sanções pecuniárias compulsórias, que podem atingir 1 % do volume de negócios mundial médio diário do exercício anterior, reforçando substancialmente o risco económico associado à não conformidade.

Acresce que esta nova lei nacional prevê expressamente a divulgação pública das decisões definitivas ou transitadas em julgado de condenação pela prática de contraordenações graves ou muito graves relacionadas com o incumprimento do Regulamento DORA.

Essa divulgação é efetuada através do sítio na Internet da autoridade de supervisão competente e mantém-se acessível por um período de cinco anos, não podendo, contudo, ser indexada a motores de pesquisa.

Este mecanismo de publicidade das sanções introduz uma dimensão reputacional autónoma e particularmente relevante ao regime sancionatório, reforçando o impacto do incumprimento para além da vertente estritamente financeira.

Neste contexto, a conformidade com o Regulamento DORA (agora enquadrada por um regime nacional claro de supervisão e sanções) exige uma abordagem integrada, envolvendo as áreas jurídicas, de compliance, tecnológicas (IT) e contratuais, com especial enfoque na revisão urgente dos contratos de TIC.

 Impacto específico do Regulamento DORA no setor segurador:

No setor segurador, a Lei n.º 73/2025, de 23 de dezembro, assume particular relevância ao integrar expressamente o Regulamento DORA no Regime Jurídico de Acesso e Exercício da Atividade Seguradora e Resseguradora, reforçando a exigência de conformidade em matéria de resiliência operacional digital para as empresas de seguros e de resseguros com sede em Portugal.

A alteração ao artigo 64.º do referido regime consagra de forma explícita o dever de as seguradoras criarem e gerirem sistemas de rede e informação em conformidade com o DORA, integrando a resiliência digital no núcleo das obrigações de exercício da atividade seguradora.

Na prática, falhas na governação do risco de TIC, na continuidade operacional, na gestão de incidentes ou na relação com terceiros prestadores de serviços de TIC deixam de ser meramente operacionais, podendo configurar incumprimentos regulatórios e prudenciais, sancionáveis pela autoridade de supervisão competente.

A Belzuz Abogados, S.L.P. conta com Advogados experientes na área de Contratos, Compliance e Direito Digital e poderá prestar assessoria jurídica nesta matéria, apoiando os processos de revisão contratual de forma eficaz.

Solicite aconselhamento jurídico especializado

A nossa equipa de advogados analisa o seu caso e apresenta soluções jurídicas claras, estratégicas e adaptadas à sua situação.

Explique a sua situação e receba uma proposta personalizada

Solicitar orçamento jurídico

Outras publicações

La protección del paciente ante fallos organizativos en los servicios sanitarios

Introducción Desde la perspectiva del Derecho del Seguro, la interposición de acciones de responsabilidad por una actuación médica inadecuada exige acreditar los elementos que configuran dicha responsabilidad, tanto contractual como extracontractual. El artículo

Leer más

La acción directa contra la aseguradora de la Administración queda excluida si la reclamación patrimonial fue desestimada en vía administrativa

El Tribunal Supremo ha establecido recientemente que, cuando una reclamación de responsabilidad patrimonial frente a la Administración concluye con una resolución desestimatoria —ya sea expresa o por silencio administrativo—, el perjudicado no puede

Leer más

El Tribunal Supremo delimita cuándo la paralización de actividad queda realmente cubierta por el seguro

Estas resoluciones, que resuelven litigios vinculados a reclamaciones surgidas durante la pandemia de la COVID‑19, dejan patente que la paralización de la actividad empresarial solo queda cubierta cuando deriva de los riesgos concretamente

Leer más

La necesidad de un daño real como requisito esencial para declarar responsabilidad civil

La determinación de la responsabilidad civil —ya sea en su vertiente patrimonial de la Administración o en el ámbito estrictamente privado— exige, entre otros elementos, que el perjuicio alegado tenga carácter real y

Leer más

El Tribunal Supremo reafirma la obligatoriedad del procedimiento pericial del artículo 38 LCS

En la práctica profesional del Derecho del Seguro, es común encontrarse con siniestros de gran envergadura en los que, pese a que la aseguradora reconoce la existencia del siniestro, surgen fuertes diferencias respecto

Leer más

La acción de jactancia: una excepción histórica al principio dispositivo en el proceso civil

La acción de jactancia es una figura procesal de raíz medieval que, pese a su carácter arcaico, sigue proyectando efectos en el Derecho español contemporáneo. En el ámbito del Derecho del Seguro —especialidad

Leer más
error: Content is protected !!