DORA (Regulation 2022/2554) is the EU's Digital Operational Resilience Act. It establishes a uniform framework for managing ICT risks in the financial sector. Unlike directives, DORA is directly applicable in all EU member states without national transposition.

When did DORA take effect?

DORA entered into force on January 16, 2023 and applies since January 17, 2025. All financial entities in scope must now comply with its requirements for ICT risk management, incident reporting, resilience testing, and third-party risk management.

Who must comply with DORA?

DORA applies to 21 types of financial entities including banks, insurance companies, investment firms, payment institutions, crypto-asset service providers, and fund managers. It also applies to critical ICT third-party service providers (cloud, SaaS, data analytics) serving the financial sector.

What are the penalties for DORA non-compliance?

Financial entities face administrative fines up to 2% of total annual worldwide turnover. For critical ICT third-party providers, fines can reach up to 5 million euros or 1% of average daily worldwide turnover. National competent authorities can also impose periodic penalty payments.

How does SiteGuardian help with DORA compliance?

SiteGuardian continuously monitors your ICT security posture (TLS/SSL, headers, DNS, email authentication), detects incidents in real time with 4-hour major incident reporting support, runs automated resilience tests from multiple regions, and provides 5-level supplier risk scoring for ICT third-party risk management under DORA Art. 28.

Regulamento UE 2022/2554

O DORA está em vigor.
A sua resiliência TIC está preparada?

O Regulamento de Resiliência Operacional Digital exige que as entidades financeiras giram os riscos TIC, reportem incidentes em 4 horas e testem a resiliência operacional — ou enfrentem multas até 2% do faturamento global.

Em vigor desde 17 de janeiro de 2025

Analise o seu website agora Ver planos de conformidade

O DORA aplica-se a si?

O DORA aplica-se a 21 tipos de entidades financeiras e aos seus prestadores de serviços TIC terceiros críticos. Se opera no setor financeiro da UE, muito provavelmente está no âmbito.

Bancos

Entidade financeira

Seguros

Entidade financeira

Empresas de investimento

Entidade financeira

Instituições de pagamento

Entidade financeira

Prestadores de serviços de criptoativos

Entidade financeira

Gestores de fundos

Entidade financeira

Agências de notação de crédito

Entidade financeira

Prestadores de serviços TIC terceiros

Prestador crítico

O custo da não conformidade

Entidades financeiras

do faturamento anual mundial total

multas administrativas determinadas pelas autoridades nacionais competentes

Prestadores de serviços TIC terceiros críticos

5 M€

ou 1 % do faturamento diário médio mundial

mais pagamentos periódicos de penalização por incumprimento continuado

As autoridades nacionais competentes podem também restringir ou suspender atividades e responsabilizar pessoalmente a gestão.

Os 5 pilares do DORA — e o que o SiteGuardian monitoriza

O DORA estabelece cinco pilares para a resiliência operacional digital. O SiteGuardian monitoriza continuamente quatro deles para a sua infraestrutura TIC exposta à web.

Art. 5–15

Gestão de riscos TIC

Monitorizado

O SiteGuardian fornece monitorização contínua da postura de segurança para a sua infraestrutura exposta à web: validação TLS/SSL, acompanhamento do ciclo de vida de certificados, deteção de vulnerabilidades, aplicação de cabeçalhos de segurança, verificação DNSSEC e um registo de auditoria imutável para demonstrar a governação da gestão de riscos.

Art. 17–23

Gestão de incidentes TIC

Monitorizado

O SiteGuardian deteta incidentes em tempo real, classifica-os por gravidade e suporta fluxos de notificação conformes com o DORA — incluindo a notificação inicial de 4 horas para incidentes TIC graves, relatórios intermédios de 72 horas e relatórios finais de 1 mês. Os relatórios de incidentes pré-preenchidos para a sua autoridade nacional competente são gerados automaticamente.

Art. 24–27

Testes de resiliência operacional digital

Monitorizado

O SiteGuardian executa análises de segurança automatizadas que abrangem configuração TLS, cabeçalhos de segurança HTTP, fortalecimento de DNS, autenticação de e-mail (DMARC/SPF/DKIM) e validação de certificados a partir de múltiplas regiões geográficas — fornecendo testes contínuos de resiliência de base conforme exigido pelo Art. 25.

Art. 28–30

Gestão de riscos de terceiros TIC

Monitorizado

O SiteGuardian avalia a postura de segurança dos fornecedores em 5 níveis de maturidade, acompanha o risco de concentração para prestadores TIC críticos, monitoriza a segurança TLS e de e-mail de terceiros e suporta a geração do Registo de Informação DORA (Art. 28(3)) para todos os acordos contratuais com prestadores de serviços TIC terceiros.

Art. 31–44

Supervisão de prestadores de serviços TIC terceiros críticos

Este pilar aplica-se a prestadores TIC designados como críticos pelas Autoridades Europeias de Supervisão (AES). O supervisor principal conduz inspeções, emite recomendações e pode impor sanções. O SiteGuardian não cobre diretamente os processos de supervisão das AES.

A conformidade com o DORA começa com visibilidade

Analise o seu website para avaliar a sua postura de segurança TIC. O SiteGuardian mapeia cada descoberta para artigos do DORA — para que saiba exatamente onde se encontra.

Verificação de segurança gratuita Ver planos de conformidade

Grátis para sempre para 1 monitor. Sem necessidade de cartão de crédito.

Perguntas frequentes

O que é o DORA?

O DORA (Regulamento 2022/2554) é o Regulamento da UE sobre a Resiliência Operacional Digital. Cria um quadro abrangente para a gestão de riscos TIC no setor financeiro, cobrindo governação de riscos, notificação de incidentes, testes de resiliência, gestão de riscos de terceiros e partilha de informações. Ao contrário de uma diretiva, o DORA é diretamente aplicável em todos os estados-membros da UE.

Quando é que o DORA se tornou aplicável?

O DORA entrou em vigor a 16 de janeiro de 2023 e é plenamente aplicável desde 17 de janeiro de 2025. Todas as entidades financeiras no âmbito e os prestadores de serviços TIC terceiros críticos devem agora cumprir os seus requisitos.

O DORA aplica-se a prestadores TIC?

Sim. O DORA aplica-se não apenas a entidades financeiras, mas também aos seus prestadores de serviços TIC terceiros críticos — incluindo plataformas cloud, prestadores SaaS, serviços de análise de dados e fornecedores de software. As Autoridades Europeias de Supervisão (AES) designam quais prestadores são considerados críticos e sujeitos a supervisão direta.

Quais são os prazos de notificação de incidentes no âmbito do DORA?

Para incidentes TIC graves, o DORA exige: uma notificação inicial dentro de 4 horas após a classificação (e no máximo 24 horas após a deteção), um relatório intermédio dentro de 72 horas e um relatório final dentro de 1 mês. O SiteGuardian rastreia estes prazos automaticamente e gera relatórios pré-preenchidos.

Como o SiteGuardian ajuda na conformidade com o DORA?

O SiteGuardian monitoriza continuamente a sua infraestrutura TIC exposta à web para riscos de segurança (TLS, cabeçalhos, DNS, autenticação de e-mail), deteta incidentes em tempo real, executa testes automatizados de resiliência a partir de múltiplas regiões e fornece avaliação de risco de fornecedores em 5 níveis. As descobertas são mapeadas para artigos do DORA e os relatórios de conformidade estão prontos para auditoria.

O DORA está em vigor. A sua resiliência TIC está preparada?

O DORA aplica-se a si?

O custo da não conformidade

Os 5 pilares do DORA — e o que o SiteGuardian monitoriza

Gestão de riscos TIC

Gestão de incidentes TIC

Testes de resiliência operacional digital

Gestão de riscos de terceiros TIC

Supervisão de prestadores de serviços TIC terceiros críticos

A conformidade com o DORA começa com visibilidade

Perguntas frequentes

Tem certeza?

O DORA está em vigor.
A sua resiliência TIC está preparada?