O que é a DORA?
O Regulamento relativo à Resiliência Operacional Digital — conhecido como DORA — é o Regulamento (UE) 2022/2554, adotado pelo Parlamento Europeu e pelo Conselho em 14 de dezembro de 2022. A UE publicou-o no Jornal Oficial em 27 de dezembro de 2022. Entrou em vigor em 16 de janeiro de 2023 e tornou-se plenamente aplicável em 17 de janeiro de 2025.
A DORA colmata uma lacuna específica na regulamentação financeira da UE. Antes da DORA, as instituições financeiras geriam o risco operacional sobretudo através da constituição de capital. No entanto, essa abordagem não cobria adequadamente as perturbações relacionadas com as TIC, que podem afetar muitas instituições ao mesmo tempo quando um prestador de tecnologia partilhado falha. Por isso, a DORA introduz um quadro uniforme em toda a UE para a gestão do risco de TIC, a comunicação de incidentes, os testes de resiliência operacional e a supervisão de prestadores de tecnologia terceiros.
Quem tem de cumprir a DORA?
A DORA aplica-se a dois grupos principais de organizações envolvidas em serviços de tecnologias da informação e comunicação (TIC) no setor financeiro.
O primeiro grupo são as entidades financeiras. Incluem instituições de crédito, instituições de pagamento, instituições de moeda eletrónica, empresas de investimento, empresas de seguros e de resseguros, prestadores de serviços de criptoativos, depositários centrais de valores mobiliários, contrapartes centrais e plataformas de negociação, entre outras listadas no artigo 2.º do regulamento.
O segundo grupo são os prestadores terceiros de serviços de TIC — empresas que fornecem serviços tecnológicos a entidades financeiras. Este grupo inclui prestadores de computação em nuvem, programadores de software, empresas de análise de dados, empresas de cibersegurança, prestadores de centros de dados e qualquer outro prestador cujos serviços apoiem as operações de uma instituição financeira regulada.
Importa salientar que a DORA também abrange prestadores de TIC sediados fora da UE. Se uma empresa tecnológica nos Estados Unidos, no Reino Unido ou na Ásia fornecer serviços a instituições financeiras reguladas na UE, a DORA aplica-se a essa relação.
O requisito de LEI ao abrigo da DORA
A DORA exige que as entidades financeiras mantenham um Registo de Informações detalhado que abranja todos os seus prestadores terceiros de serviços de TIC. O Regulamento de Execução (UE) 2024/2956 da Comissão, publicado em 2 de dezembro de 2024, estabelece os modelos normalizados para este registo.
O artigo 3.º, n.º 5, desse regulamento de execução afirma diretamente:
“As entidades financeiras devem utilizar um identificador de entidade jurídica (LEI) válido e ativo ou o Identificador Único Europeu referido no artigo 16.º da Diretiva (UE) 2017/1132 (‘EUID’) e, quando disponíveis, ambos estes identificadores, para identificar todos os seus prestadores terceiros de serviços de TIC que sejam pessoas coletivas, exceto pessoas singulares que atuem no exercício de uma atividade empresarial.”
Por outras palavras, todos os prestadores terceiros de TIC que sejam uma entidade jurídica devem ser identificáveis utilizando um LEI válido e ativo ou um EUID. Ambos devem estar atualizados. Um LEI caducado ou expirado não satisfaz este requisito.
LEI ou EUID — qual se aplica a si?
Ambos os identificadores satisfazem os requisitos da DORA, mas abrangem situações diferentes. Compreender a diferença ajuda-o a escolher corretamente.
O LEI (Legal Entity Identifier) é um código alfanumérico de 20 caracteres, reconhecido globalmente, baseado na norma ISO 17442. A Global Legal Entity Identifier Foundation (GLEIF) governa o Sistema Global de LEI e disponibiliza publicamente todos os dados de LEI no Índice Global de LEI. O LEI abrange entidades jurídicas em mais de 200 jurisdições e inclui também dados de propriedade e controlo.
O EUID (European Unique Identifier) está ligado ao Business Registers Interconnection System (BRIS) da UE. Por se ligar exclusivamente a registos nacionais da UE, abrange apenas entidades registadas em Estados-Membros da UE.
Aqui, o regulamento de execução estabelece uma distinção crucial: os prestadores de TIC estabelecidos fora da UE devem ser identificados apenas através do LEI. O EUID simplesmente não está disponível para entidades não pertencentes à UE. Como resultado, o LEI é o único identificador válido para qualquer prestador que opere a partir de fora da UE.
Para prestadores sediados na UE, qualquer um dos identificadores funciona. No entanto, para operações globais ou prestadores com exposição fora da UE, o LEI é a opção mais robusta devido ao seu reconhecimento internacional e à maior abrangência de dados.
O que “Válido e Ativo” significa na prática
O regulamento de execução exige especificamente um LEI válido e ativo. Isto refere-se ao estado que aparece na base de dados global da GLEIF.
Um LEI com o estado “Issued” é válido e ativo e, por isso, satisfaz a DORA. Um LEI com o estado “Lapsed” está caducado e, consequentemente, não satisfaz o requisito. As entidades financeiras não podem registar um LEI caducado como identificador conforme no seu Registo de Informações.
Um LEI mantém-se válido durante um ano a partir da data de emissão ou da última renovação. Depois disso, o titular deve renová-lo para manter o estado ativo. Durante a renovação, a organização emissora volta a verificar os dados de referência da entidade — incluindo denominação social, morada registada e estrutura de propriedade — junto de fontes oficiais de registo. Este processo garante que os dados na base de dados global de LEI se mantêm exatos e atualizados.
Pode verificar o estado de qualquer LEI utilizando a ferramenta de pesquisa de LEI da GLEIF ou através da pesquisa do LEI System.
Porque o LEI é o padrão prático para o cumprimento da DORA
Os reguladores da DORA escolheram o LEI porque resolve um problema que nenhum identificador nacional consegue: a identificação consistente e transfronteiriça de entidades jurídicas num único formato reconhecido globalmente.
Os números nacionais de registo comercial variam significativamente entre países, nem sempre são legíveis por máquina e não abrangem de todo entidades fora da UE. O LEI, pelo contrário, fornece um código consistente para qualquer entidade jurídica, independentemente do local onde esteja constituída. Além disso, como os dados de LEI são públicos e verificáveis, as instituições financeiras podem confirmar de imediato os dados do prestador sem solicitar documentos.
Para instituições financeiras que gerem muitos fornecedores de TIC em diferentes países, esta normalização reduz significativamente a complexidade administrativa do cumprimento da DORA. Uma única consulta de LEI fornece informação verificada sobre a denominação social do prestador, dados de registo e estrutura de propriedade — tudo diretamente relevante para as obrigações de gestão do risco de terceiros previstas na DORA.
Para os prestadores de TIC, possuir um LEI válido torna simples para os clientes (instituições financeiras) incluí-los corretamente no seu registo DORA. Os prestadores sem um LEI válido, por outro lado, criam lacunas de conformidade para os seus clientes e, por isso, arriscam prejudicar a relação comercial. A GLEIF fornece mais contexto sobre como o LEI apoia isto na sua visão geral da utilização regulamentar do LEI.
O que os prestadores de TIC devem fazer agora
Verifique se tem um LEI válido. Se fornece serviços de TIC a qualquer instituição financeira regulada na UE, o seu cliente tem de o identificar no seu Registo de Informações DORA. Contacte-o para confirmar se registou o seu LEI e se este se encontra atualmente ativo.
Registe um LEI se ainda não tiver um. O processo é totalmente digital e, na maioria das jurisdições, fica concluído em 24 horas. Terá de fornecer a denominação social da sua empresa, a morada registada e o número de registo. Na maioria dos casos, o sistema verifica estes dados automaticamente junto de registos comerciais oficiais. O LEI System é um Agente de Registo acreditado pela GLEIF. Pode iniciar hoje o seu registo de LEI.
Renove o seu LEI se estiver caducado. Um LEI caducado tem de ser renovado antes de os seus clientes o poderem utilizar num registo DORA. A renovação repõe o estado “Issued” e volta a validar os dados de referência da sua empresa. Pode renovar rapidamente o seu LEI através do LEI System.
Mantenha os seus dados de LEI atualizados. Se a denominação social, a morada registada ou a estrutura de propriedade da sua empresa tiver mudado, atualize os dados de referência do seu LEI em conformidade. Dados de LEI desatualizados criam complicações de conformidade para os clientes (instituições financeiras) quando submetem o seu registo às autoridades nacionais.
A DORA no contexto de uma regulamentação mais ampla da UE
A DORA não funciona de forma isolada. Está alinhada com outros regulamentos da UE que também utilizam o LEI como identificador padrão para entidades jurídicas, incluindo a comunicação de transações ao abrigo da MiFID II, a comunicação de derivados ao abrigo do EMIR e o Regulamento da UE relativo a Pagamentos Imediatos. Para entidades financeiras que já utilizam LEIs para comunicação de transações, a DORA acrescenta, assim, uma dimensão adicional em vez de um sistema totalmente novo.
Além disso, a DORA liga-se diretamente à Diretiva NIS2 (Diretiva (UE) 2022/2555) sobre cibersegurança. A DORA funciona como um ato setorial específico ao abrigo da NIS2 para entidades financeiras. Pode ler mais sobre a NIS2 e o LEI no artigo sobre NIS2 e LEI neste site. Para uma visão mais ampla de como o LEI funciona na regulamentação financeira da UE, consulte Como o LEI funciona na prática na UE.
DORA e LEI — factos essenciais num relance
O que é a DORA? Regulamento (UE) 2022/2554 sobre a resiliência operacional digital no setor financeiro.
Quando é que a DORA se tornou aplicável? 17 de janeiro de 2025.
Quem tem de cumprir? Entidades financeiras da UE e os seus prestadores terceiros de serviços de TIC, incluindo prestadores fora da UE que prestem serviços a instituições financeiras da UE.
O que exige a DORA para a identificação de prestadores de TIC? Um LEI ou EUID válido e ativo, conforme especificado no Regulamento de Execução (UE) 2024/2956 da Comissão.
Que identificador se aplica a prestadores de TIC fora da UE? Apenas o LEI. O EUID abrange apenas entidades registadas na UE.
Que estado de LEI satisfaz a DORA? Apenas “Issued”. Um LEI “Lapsed” não satisfaz o requisito.
Onde posso registar ou renovar um LEI? Através de um Agente de Registo acreditado pela GLEIF, como o LEI System.