A transformação digital passou de um diferencial competitivo para uma condição de sobrevivência das empresas nos últimos anos. Os ambientes digitais estão se tornando cada vez mais complexos, e os sistemas financeiros, serviços de saúde, governos e até pequenas empresas dependem deles. Isso também eleva os riscos: ataques cibernéticos, problemas com fornecedores, incidentes de continuidade e critérios regulatórios. Nesse contexto, a União Europeia apresenta uma legislação inovadora que está agitando o setor: o Digital Operational Resilience Act (DORA).
O regulamento, que entrou em vigor em 2025, estabelece regras rígidas para que instituições financeiras e seus provedores críticos de serviços de TI assegurem resiliência operacional digital. Em outras palavras, não basta mais proteger dados ou cumprir normas de segurança: as empresas precisam demonstrar capacidade de resistir, responder e se recuperar de incidentes tecnológicos.
Mas afinal, o que podemos aprender com o DORA no contexto brasileiro de compliance, riscos e governança de TI?
O que é o DORA e por que ele importa?
O DORA é uma regulamentação da União Europeia voltada inicialmente para o setor financeiro, mas com impacto direto em toda a cadeia de fornecedores de tecnologia. Bancos, seguradoras, fintechs, empresas de pagamentos e até provedores de nuvem passam a ser avaliados não apenas pela robustez de seus controles de segurança, mas também pela sua resiliência operacional end-to-end.
Isso significa, por exemplo, que:
- Testes de continuidade e de resposta a crises se tornam obrigatórios.
- Incidentes significativos precisam ser reportados a reguladores em prazos curtos.
- Há exigências explícitas de gestão de riscos de terceiros e prestadores de serviços de TI.
- Governança passa a incluir resiliência digital como métrica corporativa, e não apenas como preocupação técnica.
Em termos práticos, o DORA eleva a régua: não basta mais “ter segurança”, é necessário comprovar resiliência de ponta a ponta.
As lições para Governança e Compliance no Brasil
Embora o DORA seja europeu, seus efeitos são globais. Afinal, provedores de tecnologia que atuam em diferentes países precisarão se adaptar, e instituições brasileiras que mantenham operações internacionais também.
Do ponto de vista de governança e riscos de TI, há pelo menos quatro lições importantes que podemos antecipar:
1. Resiliência digital precisa sair do discurso
No Brasil, muito se fala de continuidade de negócios e gestão de riscos, mas ainda de forma fragmentada. O DORA traz uma visão integrada: cibersegurança, continuidade, governança e gestão de terceiros precisam andar juntos em um mesmo framework.
2. Terceiros e fornecedores são parte central do risco
Boa parte dos incidentes recentes de cibersegurança ocorreu através de fornecedores — vide casos como o ataque à Kaseya ou o impacto da SolarWinds. O DORA reconhece isso e exige auditoria, monitoramento e cláusulas contratuais específicas para provedores críticos. Para nós, é um alerta: não adianta blindar o castelo se o portão dos parceiros estiver aberto.
3. Testes e métricas ganham protagonismo
Um dos pontos mais inovadores do DORA é a exigência de testes periódicos de resiliência (como simulações de crises e exercícios de resposta). Não é mais suficiente ter políticas escritas: é preciso provar na prática que a organização é capaz de resistir a cenários adversos. Esse é um caminho que o compliance brasileiro ainda precisa percorrer.
4. Governança como responsabilidade estratégica
O DORA também explicita que resiliência digital não é só um assunto técnico: é um tema de governança corporativa. Conselhos e diretoria precisam ter clareza sobre riscos digitais e capacidade de supervisão. Para quem atua em Governança de TI no Brasil, isso significa reforçar a conexão entre tecnologia e estratégia de negócio.
DORA e o futuro das regulações no Brasil
É natural que normas europeias acabem inspirando regulações em outros países — vimos isso com o GDPR e sua influência direta na LGPD brasileira. Não seria surpresa se, nos próximos anos, autoridades locais como o Banco Central ou a própria ANPD começassem a exigir padrões semelhantes de resiliência digital.
Além disso, tendências como open finance, uso massivo de cloud computing e crescimento das fintechs colocam o Brasil em posição de risco e de oportunidade. A regulação europeia nos mostra um caminho: preparar-se para incidentes inevitáveis e não apenas para evitar ataques.
E como as empresas podem se preparar desde já?
Mesmo que o DORA não seja obrigatório por aqui, organizações brasileiras podem se beneficiar ao adotar práticas semelhantes. Algumas recomendações:
- Integrar cibersegurança e continuidade de negócios em um único programa de resiliência digital.
- Avaliar riscos de terceiros de forma contínua, incluindo auditorias e revisões contratuais.
- Implementar simulações de incidentes periódicas, envolvendo áreas de negócios e não apenas TI.
- Levar resiliência digital para a pauta do conselho, garantindo que decisões estratégicas considerem riscos tecnológicos.
- Alinhar-se a frameworks internacionais (NIST, ISO 22301, ISO 27001, COBIT), que já dialogam com muitas das exigências do DORA.
O DORA marca uma mudança de paradigma: sai de cena a visão de que “segurança” é suficiente e entra o conceito de resiliência digital como responsabilidade corporativa. Para quem atua em Compliance, Riscos e Governança de TI, esse é um alerta e, ao mesmo tempo, uma oportunidade.
As empresas que se anteciparem e começarem a estruturar sua governança digital com base nos princípios do DORA estarão mais preparadas para o futuro — seja para lidar com regulações que certamente chegarão, seja para enfrentar incidentes que, inevitavelmente, virão.
No fim das contas, resiliência digital não é apenas sobre sobreviver a crises: é sobre garantir confiança e continuidade em um mundo cada vez mais dependente da tecnologia.
Siga o Itshow no LinkedIn e assine a nossa News para ficar por dentro de todas as notícias do setor de TI e Cibersegurança!
