A Lei n.º 73/2025, publicada em 23 de dezembro de 2025, assegura a execução do Regulamento DORA e a transposição da Diretiva (UE) 2022/2556, alinhando o ordenamento jurídico português com o quadro europeu de resiliência operacional digital e introduzindo alterações a vários regimes financeiros, designando o Banco de Portugal, a ASF e a CMVM como autoridades competentes, centralizando no Banco de Portugal o reporte de incidentes graves de TIC, reforçando a cooperação institucional e estabelecendo um regime sancionatório robusto, com coimas elevadas e divulgação pública das condenações, o que intensifica o enforcement e o risco regulatório, exigindo às entidades abrangidas um reforço da governação, da gestão do risco TIC, dos mecanismos de reporte de incidentes, da conformidade contratual com prestadores de serviços TIC, da preparação para supervisão e testes de resiliência operacional e da formação das equipas internas.
I. Contexto
No dia 23 de dezembro de 2025, foi publicada a Lei n.º 73/2025, que procede à execução, na ordem jurídica interna, do Regulamento (UE) 2022/2554 (Regulamento DORA), assegura a transposição da Diretiva (UE) 2022/2556 e introduz as correspondentes alterações em diversos regimes legais nacionais, em particular no Regime Geral das Instituições de Crédito e Sociedades Financeiras, no Código dos Valores Mobiliários, no Regime Jurídico de Acesso e Exercício da Atividade Seguradora e Resseguradora, no Regime Jurídico dos Serviços de Pagamento e da Moeda Eletrónica, no Regime Jurídico da Constituição e Funcionamento dos Fundos de Pensões e das Entidades Gestoras dos Fundos de Pensões e no Regime da Gestão de Ativos, entre outros diplomas setoriais.
O diploma tem como objetivo assegurar, a nível nacional, a aplicação efetiva do novo quadro legislativo europeu em matéria de resiliência operacional digital, alinhando o ordenamento jurídico português com os requisitos e regras uniformes aplicáveis à segurança dos sistemas de rede e de informação que suportam os processos operacionais das entidades financeiras, em especial no domínio das tecnologias de informação e comunicação (TIC).
II. Pontos-chave
a) Autoridades competentes e supervisão
- Designação das autoridades competentes: a nova Lei procede à identificação do Banco de Portugal, da Autoridade de Supervisão de Seguros e Fundos de Pensões (ASF) e da Comissão do Mercado de Valores Mobiliários (CMVM) como autoridades nacionais competentes para efeitos da aplicação, supervisão e fiscalização do Regulamento DORA, em função do âmbito subjetivo das entidades sujeitas à respetiva supervisão. Nos casos em que uma entidade financeira se encontre simultaneamente sujeita à supervisão de mais do que uma autoridade nacional competente, a competência para efeitos de reporte, acompanhamento e articulação em matéria de incidentes graves de TIC é atribuída à autoridade responsável pela supervisão prudencial, sem prejuízo dos deveres de informação às demais autoridades competentes;
- Centralização do reporte de incidentes: o Banco de Portugal é designado como ponto focal nacional para a receção de notificações de incidentes severos de TIC e de comunicações voluntárias de ciberameaças significativas, em particular nos cenários de natureza transversal ou que envolvam múltiplas entidades ou setores do sistema financeiro;
- Cooperação institucional obrigatória: o diploma consagra deveres formais de cooperação institucional e de partilha de informação entre o Banco de Portugal, a ASF e a CMVM, com vista a assegurar uma atuação coordenada na supervisão da resiliência operacional digital;
- Habilitação regulamentar: as autoridades nacionais ficam expressamente habilitadas a regulamentar e densificar aspetos operacionais críticos da execução do Regulamento DORA, incluindo, designadamente, os canais e formatos de reporte, registos de subcontratação de serviços TIC, comunicação de contratos de apoio a funções críticas ou importantes e a realização de testes avançados de resiliência operacional (TLPT).
b) Regime sancionatório
- Tipificação ampla de infrações: o regime sancionatório abrange um elenco alargado de infrações, incluindo falhas nos mecanismos de governação, na gestão de risco associado às TIC, no reporte e comunicação de incidentes, na realização de TLPT, na subcontratação de serviços TIC, bem como no cumprimento dos deveres de colaboração, transparência e prestação de informação às autoridades competentes, estendendo-se ainda à violação de quaisquer outros deveres ou obrigações impostos pelo Regulamento DORA e respetiva legislação de execução;
- Coimas: as infrações podem ser sancionadas com coimas de montante elevado, que podem atingir até cinco milhões de euros, 10 % do volume de negócios anual total ou o triplo do benefício económico obtido com a infração, consoante o critério que conduza ao valor mais elevado, sendo o regime aplicável tanto a pessoas coletivas como a pessoas singulares;
- Divulgação pública: as decisões definitivas de condenação por infrações qualificadas como graves ou muito graves são objeto de divulgação pública no site da autoridade competente, com potencial impacto reputacional significativo para as entidades visadas.
III. Desenvolvimentos e cautelas
Ao completar o quadro europeu de resiliência operacional digital, a Lei n.º 73/2025 garante a sua aplicação efetiva no ordenamento jurídico português, reforçando a supervisão e o enforcement do Regulamento DORA. Embora não introduza novas obrigações materiais, o diploma densifica os mecanismos institucionais e sancionatórios que tornam o regime plenamente exequível, com impacto direto na governação, na gestão do risco tecnológico e na responsabilização das entidades e dos respetivos órgãos de administração.
Do ponto de vista prático, a Lei n.º 73/2025 reforça significativamente o risco regulatório associado ao incumprimento do DORA, ao introduzir um regime sancionatório claro, coimas elevadas e mecanismos de divulgação pública das condenações.
Neste sentido, as entidades abrangidas devem:
- Rever os modelos de governação e de tomada de decisão, assegurando que a resiliência operacional digital e o cumprimento do DORA são tratados como matérias estratégicas ao nível da administração e da gestão de topo;
- Avaliar e reforçar os frameworks de gestão do risco TIC, garantindo a identificação, monitorização e mitigação adequada dos riscos tecnológicos críticos e a sua integração nos sistemas globais de gestão de risco;
- Implementar e testar procedimentos eficazes de deteção, classificação, reporte e resposta a incidentes TIC, assegurando o cumprimento dos prazos, formatos e canais definidos pelas autoridades competentes;
- Rever e alinhar os contratos com prestadores de serviços TIC, em particular os relativos a funções críticas ou importantes, assegurando que incluem cláusulas conformes com o DORA em matéria de auditoria, acesso, subcontratação, TLPT, rescisão e cooperação com as autoridades;
- Mapear e documentar de forma completa o outsourcing e a cadeia de subcontratação TIC, mantendo registos atualizados e preparados para efeitos de supervisão e reporte;
- Preparar-se para auditorias, pedidos de informação e ações de supervisão, garantindo a existência de documentação, evidências e processos internos que demonstrem a conformidade com os requisitos regulatórios;
- Planear e integrar testes de resiliência operacional digital, incluindo, quando aplicável, testes avançados como TLPT, de forma coordenada com os prestadores de serviços relevantes;
- Sensibilizar e formar as equipas internas relevantes, incluindo áreas de TI, risco, compliance, legal e procurement, para os requisitos e impactos práticos do DORA.
A equipa de Tecnologia permanece ao dispor para o esclarecimento de quaisquer questões relacionadas com a implementação deste diploma. Para mais informações, contacte-nos.
