Com a entrada em vigor do Regulamento DORA, as entidades financeiras enfrentam um novo desafio: garantir a resiliência operacional digital e gerir de forma eficaz os riscos associados às tecnologias da informação e comunicação (TIC).
Mas afinal, quem é responsável pela implementação do DORA dentro das organizações?
A resposta é clara e direta: o órgão de administração.
Neste artigo, explicamos o que a legislação exige da gestão de topo das entidades financeiras e como deve funcionar a governança para cumprimento do DORA.
QUEM LIDERA A IMPLEMENTAÇÃO DO DORA NAS ENTIDADES FINANCEIRAS?
Segundo o regulamento, o órgão de administração é o responsável final pela aplicação das medidas exigidas pelo DORA.
Assim, o órgão de administração deve assumir os seguintes papéis principais:
- Definir e aprovar a estratégia de resiliência digita: a administração deve estabelecer o nível de tolerância ao risco TIC, aprovar políticas de continuidade e recuperação e monitorizar a aplicação dessas estratégias;
- Assumir responsabilidade total pela gestão de risco TIC: o conselho precisa de garantir disponibilidade, integridade, autenticidade e confidencialidade dos dados, bem assim comunicar eficazmente entre todas as áreas de TIC;
- Supervisionar contratos com fornecedores de TIC: a administração deve aprovar acordos com terceiros, avaliar mudanças com impacto em funções críticas e ser informada sobre incidentes graves e medidas corretivas;
- Garantir recursos e formação: a entidade deve atribuir orçamento adequado, promover formações periódicas para a liderança e equipa e manter programas de sensibilização sobre riscos digitais;
- Nomear um responsável por contratos TIC: salvo em microempresas, é obrigatória a criação de um cargo específico para supervisionar terceiros ou designar um membro da gestão para essa função;
- Promover a atualização contínua da liderança: os membros do órgão de administração precisam de manter-se atualizados sobre os riscos tecnológicos emergentes e as novas obrigações regulatórias.
PORQUE É QUE O DORA EXIGE ENVOLVIMENTO DIRETO DA ADMINISTRAÇÃO?
O DORA reconhece que o risco cibernético e as falhas tecnológicas podem ter impacto sistémico no setor financeiro. Por isso, exige que a governança seja robusta, proativa e monitorizada diretamente pela liderança da organização.
Essa abordagem eleva a cibersegurança à esfera estratégica, obrigando decisões mais conscientes, estruturadas e alinhadas com o negócio.
CONCLUSÃO
A implementação e governação do DORA não são tarefas exclusivas da equipa de tecnologia ou compliance. São uma responsabilidade institucional e indelegável da administração.
Para cumprir o regulamento e proteger a continuidade do negócio, é fundamental estruturar um sistema de governança forte, informado e bem documentado.
