Auditorias de IT - Dora, ISO 27001, SOC 2, NIS2

Digital Operational Resilience Act

Inicie sessão para guardar o seu progresso nas checklists.

Iniciar Sessão

Guia Completo de DORA

Lei de Resiliência Operacional Digital (UE)

v1.0

7.000+

Palavras

Pilares

2025

Obrigatório

5 Pilares de Conformidade

Gestão de risco, incidentes, testes, terceiros e divulgação

Conformidade Obrigatória

Entrou em vigor em 17 de janeiro de 2025

Instituições Financeiras

Bancos, seguradoras, corretoras e provedores de TIC

O que está incluído:

✓5 Pilares de Conformidade com detalhes completos
✓Gestão de risco de TIC (ICT Risk Management)
✓Gestão de incidentes de TIC (24h reporting)
✓Testes de resiliência obrigatórios
✓Gestão de terceiros (Third-Party Risk)
✓Action plans em 3 fases
✓Cronograma de 12+ meses
✓Templates de matriz de risco e resposta a incidentes

⚠️ Conformidade Obrigatória desde 17/01/2025

DORA é uma regulação crítica para todas as instituições financeiras na UE. Este guia cobre todos os 5 pilares e ajuda a implementar conformidade completa com multas até €10 milhões por não-conformidade.

Informações do Documento:

Autor: Ricardo Silva

Versão: 1.0 (Fevereiro 2026)

Regulação: DORA (EU) 2023/2664

Classificação: Confidencial - Uso Interno

Total

Completos

Pendentes

Progresso

Gestão de Risco ICT

Frameworks robustos de gestão de risco integrados na estratégia geral

Estabelecer um framework robusto de gestão de risco ICT integrado na estratégia geral de gestão de risco

Atribuir papéis e responsabilidades claros para a gestão de risco ICT dentro da organização

Designar um órgão de gestão responsável pela supervisão de ICT

Estabelecer políticas e procedimentos de gestão de risco ICT documentados

Realizar avaliações regulares de risco ICT

Relatório de Incidentes ICT

Processo estruturado para notificação de incidentes significativos

Desenvolver procedimentos para detetar, gerir e notificar incidentes relacionados com ICT

Garantir comunicação atempada de incidentes significativos às autoridades relevantes

Implementar sistema de classificação de incidentes de acordo com critérios DORA

Estabelecer SLAs para notificação de incidentes

Manter registos de todos os incidentes notificados

Testes de Resiliência Operacional

Testes regulares da resiliência operacional digital

Conduzir testes regulares de sistemas ICT, incluindo avaliações de vulnerabilidades

Realizar testes de penetração de forma periódica

Implementar testes baseados em cenários para avaliar preparação

Para entidades críticas: Conduzir Advanced Threat-Led Penetration Testing (TLPT) a cada três anos

Documentar resultados de testes e implementar melhorias

Partilha de Informações

Partilha de informações sobre ameaças cibernéticas

Participar em acordos de partilha de informações sobre ameaças emergentes

Colaborar com pares da indústria e autoridades para melhorar resiliência coletiva

Implementar procedimentos para partilha segura de informações sobre ameaças

Designar ponto de contacto para coordenação de partilha de informações

Gestão de Risco de Terceiros

Avaliação e monitorização de fornecedores de serviços ICT

Avaliar e monitorizar riscos associados aos fornecedores de serviços ICT de terceiros

Formalizar acordos contratuais que definem expectativas de serviço e requisitos de conformidade

Incluir cláusulas de segurança, notificação de incidentes e resiliência operacional nos contratos

Realizar auditorias regulares aos fornecedores de terceiros

Manter registo padronizado de fornecedores críticos

Sobre DORA

Esta checklist foi criada para ajudar na implementação e conformidade com DORA. Todos os itens devem ser revistos e adaptados às necessidades específicas da sua organização.

Para mais informações detalhadas sobre requisitos e melhores práticas, consulte a documentação oficial.