NIS2-guide
Voltar ao blog
Setor financeiro
DORA vs NIS2: guia prático para bancos, seguradoras e fintechs (2026)

DORA vs NIS2: guia prático para bancos, seguradoras e fintechs (2026)

9 min de leitura
AD

Alexandre Durand

Diretor editorial — Especialista em cibersegurança

Segunda-feira de manhã, 9h. O CISO de um banco português recebe duas cartas. A primeira do Banco de Portugal recorda que o regulamento DORA (regulamento (UE) 2022/2554) é plenamente aplicável desde 17 de janeiro de 2025. A segunda do CNCS sinaliza que a transposição NIS2 portuguesa cobre agora as suas atividades. Pergunta simples, resposta complexa: deve-se aplicar ambos os textos, ou um prevalece?

Esta confusão é generalizada. De acordo com as orientações conjuntas da ENISA e das três autoridades europeias de supervisão (EBA, EIOPA, ESMA), a resposta depende de um princípio jurídico preciso: a *lex specialis*. Eis como articular concretamente os dois regimes para um banco, uma seguradora ou uma fintech a operar na Europa.

DORA e NIS2: dois textos, duas lógicas

A DORA (Digital Operational Resilience Act, regulamento (UE) 2022/2554) é um regulamento europeu, portanto diretamente aplicável em todos os Estados-Membros sem transposição nacional. Adotada em dezembro de 2022, aplicável desde 17 de janeiro de 2025, visa especificamente o setor financeiro: bancos, seguradoras, sociedades gestoras de ativos, prestadores de serviços de pagamento, plataformas de criptoativos, contrapartes centrais e mais de 20 categorias de entidades financeiras.

A NIS2 (diretiva 2022/2555) é uma diretiva — exige transposição por cada Estado-Membro. O seu âmbito cobre 18 setores altamente críticos e críticos, incluindo o setor bancário e as infraestruturas dos mercados financeiros. A transposição deveria ter sido concluída até 17 de outubro de 2024; em maio de 2026, vários países ainda estão atrasados.

A abordagem difere: a DORA trata da resiliência operacional digital de ponta a ponta (gestão de riscos TIC, testes, incidentes, prestadores terceiros, partilha de informação). A NIS2 fixa um quadro geral de cibersegurança aplicável a todos os setores críticos.

Painel de monitorização de riscos operacionais em tempo real
Painel de monitorização de riscos operacionais em tempo real

Lex specialis: a DORA prevalece sobre a NIS2 para entidades financeiras

O considerando 28 e o artigo 4.º da DORA, combinados com o artigo 4.º da diretiva 2022/2555, são explícitos: para entidades financeiras no âmbito da DORA, aplicam-se as obrigações DORA em matéria de gestão de riscos TIC, notificação de incidentes e supervisão de prestadores terceiros — não as da NIS2.

Concretamente, um banco português coberto pela DORA não precisa de duplicar os seus processos para responder à NIS2 sobre estes temas. O Banco de Portugal é a autoridade competente, o CNCS recua nestes aspetos.

Mas atenção: a NIS2 mantém-se pertinente para atividades acessórias não cobertas pela DORA. Uma seguradora que opera o seu próprio centro de dados partilhado com entidades não financeiras, ou um banco que publica software comercializado a terceiros, conserva obrigações NIS2 nesses perímetros específicos.

As 6 diferenças-chave a conhecer

1. Entidades cobertas

A DORA visa explicitamente 21 categorias de entidades financeiras, desde instituições de crédito a gestores de fundos de investimento alternativos, contrapartes centrais e administradores de índices de referência críticos. As microempresas estão em princípio excluídas, mas nenhum outro limite quantitativo se aplica.

A NIS2 cobre 18 setores com limiares dimensionais (50 trabalhadores, 10 milhões de euros de volume de negócios). As entidades "essenciais" são as grandes organizações dos setores altamente críticos; as entidades "importantes" abrangem o resto.

2. Notificação de incidentes: 4 horas vs 24 horas

É a diferença operacional mais marcante.

Sob a DORA (artigo 19.º), um incidente TIC grave deve ser notificado à autoridade competente no prazo de 4 horas após classificação como grave — com um limite absoluto de 24 horas após a deteção. O relatório intermédio é devido em 72 horas, o relatório final em 1 mês.

Sob a NIS2 (artigo 23.º, diretiva 2022/2555), o alerta inicial é exigido em 24 horas, o relatório completo em 72 horas e o relatório final em 1 mês.

A DORA é portanto significativamente mais rigorosa quanto ao prazo inicial. Para os pormenores operacionais do circuito NIS2, consulte o nosso [guia prático de notificação de incidentes em 72h](/pt/blog/nis2-notificacao-incidentes-72h-guia-pratico).

3. Supervisão de prestadores terceiros TIC

A DORA introduz um regime sem equivalente: um registo de informação obrigatório de todos os contratos com prestadores TIC (artigo 28.º). Os prestadores "críticos" — tipicamente os hyperscalers de cloud, os grandes outsourcers — serão supervisionados diretamente pelas autoridades europeias através do quadro de supervisão (Oversight Framework). EBA, EIOPA e ESMA partilham este papel.

A NIS2 (artigo 21.º(2)(d)) impõe avaliação de riscos de fornecedores e cláusulas contratuais, mas sem registo centralizado nem supervisão europeia direta. Para boas práticas contratuais do lado NIS2, consulte o nosso [artigo sobre a cadeia de abastecimento](/pt/blog/nis2-cadeia-abastecimento-fornecedores).

4. Testes de penetração TLPT

A DORA exige testes TLPT (Threat-Led Penetration Testing) a cada 3 anos para entidades financeiras de importância significativa — principalmente grandes bancos e infraestruturas de mercado. Estes testes, enquadrados pelo quadro TIBER-EU do BCE, simulam ataques reais com acesso a sistemas em produção.

A NIS2 menciona testes de segurança nas medidas técnicas do artigo 21.º mas sem profundidade prescrita nem frequência imposta.

Reunião do comité de auditoria a rever o quadro de resiliência operacional
Reunião do comité de auditoria a rever o quadro de resiliência operacional

5. Partilha de informação (threat intelligence)

A DORA encoraja formalmente a partilha de informação sobre ciberameaças entre entidades financeiras (artigo 45.º) através de mecanismos setoriais como o FS-ISAC ou os CERT financeiros nacionais. A NIS2 também prevê mecanismos de partilha voluntária (artigo 29.º) mas sem um quadro setorial financeiro dedicado.

6. Sanções

A DORA não harmoniza as sanções a nível europeu; cada Estado-Membro fixa as coimas. Em Portugal, o Banco de Portugal pode pronunciar sanções que afetam significativamente os casos de incumprimento grave.

A NIS2 (artigo 34.º) limita as coimas a 10 milhões de euros ou 2% do volume de negócios mundial para entidades essenciais, 7 milhões ou 1,4% para entidades importantes. Para os pormenores sobre sanções e responsabilidade pessoal dos dirigentes, consulte a nossa [análise das sanções NIS2](/pt/blog/sancoes-nis2-dirigentes-riscos).

Como articular as duas conformidades na prática

Para um banco ou uma seguradora no âmbito da DORA, a abordagem pragmática consiste em construir um programa de conformidade unificado, com a DORA como base principal e a NIS2 tratada por exceção nos perímetros residuais.

*Etapa 1 — Mapear as atividades.* As atividades financeiras principais (concessão de crédito, gestão de ativos, pagamentos, negociação) entram na DORA. As atividades acessórias (publicação de software comercial, serviços cloud a terceiros não financeiros, infraestruturas de telecomunicações internas) podem permanecer sob a NIS2.

*Etapa 2 — Alinhar prazos pelos mais rigorosos.* Se a DORA impõe 4 horas e a NIS2 impõe 24 horas, o seu dispositivo de resposta deve funcionar em 4 horas. O relatório final NIS2 (1 mês) coincide com o da DORA, portanto não há conflito.

*Etapa 3 — Um registo único de terceiros.* Crie um registo de prestadores TIC que satisfaça os requisitos DORA (artigo 28.º) — esse nível de detalhe cobre amplamente o que a NIS2 exige.

*Etapa 4 — Governança partilhada.* As responsabilidades do conselho de administração são quase idênticas nos dois textos. Veja a nossa [análise do artigo 20 NIS2](/pt/blog/nis2-artigo-20-conselho-administracao-responsabilidades) — estas obrigações também se aplicam sob a DORA através das orientações EBA sobre governança de riscos TIC.

*Etapa 5 — Testes e resiliência.* Estabeleça um programa de testes que satisfaça o TLPT DORA (o mais exigente) — cobrirá mecanicamente os requisitos NIS2.

Calendário 2026 e riscos de incumprimento

A DORA é aplicável desde 17 de janeiro de 2025. Já não há período transitório. As autoridades europeias iniciaram as suas primeiras inspeções no primeiro trimestre de 2025; os relatórios de incidentes graves são exigidos em tempo real.

Para a NIS2, vários Estados-Membros continuam atrasados. A Comissão Europeia iniciou em 2025 procedimentos de infração contra 23 Estados-Membros — a pressão regulatória aumenta.

O risco mais subestimado para o setor financeiro não é a coima. É o incidente notificado fora do prazo que se torna um sinal adicional para o supervisor, ou a falha de um prestador terceiro que revela a ausência de um plano de continuidade. Os primeiros casos de sanções DORA, esperados até ao final de 2026, abordarão provavelmente estes aspetos.

Para iniciar uma auditoria interna, a nossa [checklist NIS2 gratuita](/pt/checklist) cobre os fundamentos. Para as obrigações específicas da DORA — registo de terceiros, TLPT, taxonomia de incidentes — consulte as orientações conjuntas da ENISA + EBA + EIOPA + ESMA.

*Este artigo é meramente informativo e não constitui aconselhamento jurídico. Para uma situação específica, consulte um advogado especializado em regulação financeira europeia.*

Este artigo é fornecido apenas para fins informativos e não constitui aconselhamento jurídico.