CONTRATOS EM SERVIÇOS DE TIC: REQUISITOS ESSENCIAIS DAS CLÁUSULAS CONTRATUAIS PARA A CONFORMIDADE COM O DORA

As cláusulas contratuais entre entidades financeiras e terceiros prestadores de serviços de tecnologias de informação e comunicação (TIC) desempenham um papel fundamental na garantia da resiliência operacional digital, conforme estabelecido pelo regulamento DORA. Para assegurar a clareza, segurança jurídica e eficácia operacional, os contratos devem seguir critérios rigorosos, especialmente quando envolvem funções críticas ou importantes. Neste artigo, exploramos os elementos obrigatórios que devem constar nos acordos contratuais, alinhados com as exigências da regulamentação europeia.

ESTRUTURA E REQUISITOS GERAIS DOS CONTRATOS DE TIC

Todos os contratos devem ser documentados por escrito, incluindo os acordos de nível de serviço (SLA), e devem estar disponíveis num formato duradouro, acessível e descarregável. As entidades financeiras devem garantir que as cláusulas contratuais descrevem de forma clara:

1. As funções e serviços de TIC contratados, com indicação da possibilidade de subcontratação e respetivas condições;
2. Os locais de prestação dos serviços e onde os dados são armazenados ou tratados, com obrigação de notificação prévia em caso de alteração;
3. Disposições sobre proteção de dados, assegurando a sua autenticidade, integridade, disponibilidade e confidencialidade;
4. Direitos de acesso, recuperação e devolução de dados, mesmo em cenários de insolvência ou cessação das operações do fornecedor;
5. Descrição dos níveis de serviço, com mecanismos para revisão e atualização;
6. Obrigações de assistência em caso de incidentes de TIC, sem custos adicionais ou com custos previamente definidos;
7. Colaboração com autoridades competentes, incluindo entidades de supervisão e resolução;
8. Direitos de rescisão, com períodos de pré-aviso adequados;
9. Participação do fornecedor em programas de formação e sensibilização sobre segurança das TIC.

REQUISITOS ESPECÍFICOS PARA FUNÇÕES CRÍTICAS OU IMPORTANTES

Quando os serviços de TIC apoiam funções críticas ou importantes, os contratos devem incluir:

1. Metas de desempenho rigorosas e quantitativas, que permitam à entidade monitorizar e reagir a falhas de forma eficaz;
2. Obrigações de notificação antecipada sobre qualquer fator que possa afetar a prestação de serviços;
3. Requisitos de segurança e continuidade, incluindo planos de contingência e medidas técnicas robustas;
4. Participação obrigatória nos Testes de Penetração Baseados em Ameaças (TLPT);
5. Direitos ilimitados de acesso, auditoria e inspeção, tanto para a entidade contratante quanto para as autoridades competentes;
6. Cláusulas que assegurem a transição e migração dos serviços (estratégias de saída) em caso de término contratual, com períodos de transição ajustados à complexidade do serviço.

EXCEÇÃO PARA MICROEMPRESAS

As microempresas podem acordar com o prestador de serviços TIC que os direitos de auditoria e inspeção sejam exercidos por uma entidade terceira independente. Ainda assim, devem ter o direito de solicitar, a qualquer momento, informações e garantias sobre a prestação dos serviços.

CONCLUSÃO

Dispor de contratos robustos e detalhados é uma exigência incontornável para as entidades financeiras no contexto do DORA. As disposições contratuais asseguram a transparência, protegem a continuidade operacional e permitem uma supervisão eficaz das relações com prestadores de serviços de TIC. A adoção destes requisitos contratuais reforça a resiliência operacional digital e prepara o setor financeiro para responder eficazmente a qualquer eventualidade no domínio das TIC.