Consulta pública das normas técnicas de regulamentação do Regulamento da Resiliência Operacional Digital do setor financeiro (DORA)

O Regulamento da Resiliência Operacional Digital do setor financeiro (DORA) visou criar um quadro regulamentar harmonizado por forma a reforçar a resiliência e a segurança da utilização das tecnologias da informação e da comunicação (TIC) pelas entidades financeiras. O DORA entrou em vigor em 16 de janeiro de 2023 e aplicar-se-á às entidades financeiras a partir de 17 de janeiro de 2025. Para mais informações, consulte a nossa newsletter anterior sobre o tema, disponível aqui.

As Autoridades Europeias de Supervisão (AES’s)[1] foram incumbidas de desenvolver normas técnicas de regulamentação para a aplicação do novo quadro regulamentar do DORA, neste sentido, em 19 de junho de 2023, publicaram o primeiro conjunto de normas técnicas relativamente aos artigos 15, 16(3), 18(3), 28(9) e 28(10) do DORA, encontrando-se disponíveis para consulta os seguintes documentos:

Normas Técnicas de Regulamentação (NTR) sobre o quadro de gestão do risco das TIC (artigo 15.º) e Norma Técnica de Regulamentação sobre o quadro simplificado de gestão do risco das TIC (n.º 3 do artigo 16.º), disponíveis aqui.

Normas Técnicas de Regulamentação sobre os critérios de classificação dos incidentes relacionados com as TIC (n.º 3 do artigo 18.º), disponível aqui.

Normas Técnicas de Execução para estabelecer os modelos para o registo de informações (artigo 28.º, n.º 9), disponível aqui.

Normas Técnicas de Regulamentação para especificar a política relativa aos serviços de TIC prestados por terceiros prestadores de serviços TIC (artigo 28.º, n.º 10), disponível aqui.

Deste modo, os participantes no mercado (entidades financeiras e empresas tecnológicas) foram convidados a dar a sua opinião sobre os projetos de normas técnicas de regulamentação e execução, podendo responder às questões colocadas nos documentos sob consulta.

As AES’s também publicaram uma Nota Introdutória com uma visão geral dos documentos em consulta, disponível aqui.

Próximas etapas:

A consulta pública sobre o primeiro conjunto de normas técnicas encontrar-se-á aberta até 11 de setembro de 2023.

Os vários instrumentos jurídicos serão finalizados pelas AES’s e apresentados à Comissão Europeia até 17 de janeiro de 2024. A consulta pública sobre o segundo conjunto de normas (relativamente aos artigos 11.º, n.º 11, 20.º-A, 20.º-B, 26.º, n.º 11, 30.º, n.º 5, 32.º, n.º 7 e 41.º do DORA) encontra-se prevista para o final de 2023.

As entidades abrangidas pelo âmbito de aplicação da DORA são encorajadas a começar a preparar-se para a sua aplicação, identificando eventuais lacunas na sua governação e nos seus processos de TIC e analisando quais dos seus prestadores de serviços são suscetíveis de serem considerados críticos.

Os requisitos incluem (entre outros) a exigência de implementação de determinadas disposições contratuais nos contratos de prestação de serviços de TIC.

Os contratos celebrados com fornecedores terceiros que apoiem funções críticas ou importantes encontrar-se-ão sujeitos a requisitos mais abrangentes.

Se tiver alguma dúvida sobre as informações contidas na presente nota informativa, não hesite em contactar a equipa de Direito Financeiro e TMT da Abreu Advogados.

[1] A Autoridade Bancária Europeia (EBA), a Autoridade Europeia dos Valores Mobiliários e dos Mercados (ESMA) e a Autoridade Europeia dos Seguros e Pensões Complementares de Reforma (EIOPA)