Atenção, o seu browser está desactualizado.
Para ter uma boa experiência de navegação recomendamos que utilize uma versão actualizada do Chrome, Firefox, Safari, Opera ou Internet Explorer.
Pesquisa Avançada

Designação de entidades críticas - Regulamento DORA

PUBLICAÇÕES SÉRVULO 19 Dez 2025

As Autoridades Europeias de Supervisão - EBA, EIOPA e ESMA - publicaram a primeira lista oficial de fornecedores críticos de terceiros de TIC (CTPPs), no âmbito do Regulamento (UE) 2022/2554, mais conhecido como Regulamento DORA. O processo envolveu a recolha de dados dos registos de informação das entidades financeiras, seguida de uma avaliação criteriosa da sua importância sistémica, do papel que desempenham no funcionamento das instituições financeiras e da substituibilidade dos seus serviços.

No total, foram designados 19 fornecedores:

  • Accenture plc
  • Amazon web Services EMEA Sarl
  • Bloomberg L.P.
  • Capgemini SE
  • Colt Technology Services
  • Deutsche Telekom AG
  • Equinix (EMEA) B.V.
  • Fidelity National Information Services, Inc.
  • Google Cloud EMEA Limited
  • International Business Machine Corporation
  • InterXion HeadQuarters B.V.
  • Kyndryl Inc.
  • LSEG Data and Risk Limited
  • Microsoft Ireland Operations Limited
  • NTT DATA Inc.
  • Oracle Nederland B.V.
  • Orange SA
  • SAP SE
  • Tata Consultancy Services Limited 

 

Com a designação das CTPPs, as implicações para as instituições financeiras são significativas:

  • Reforçar a gestão de risco de terceiros ao longo de todo o ciclo de vida, garantindo que os contratos cumprem os requisitos do DORA. É essencial manter um registo atualizado de todos os prestadores TIC, com destaque para os que suportam funções críticas, e estar preparadas para responder a pedidos das autoridades.
  • Caso as Autoridades Europeias de Supervisão emitam recomendações aos CTPPs, as entidades podem ter de avaliar impactos e implementar medidas corretivas.
  • Preparar planos para substituir fornecedores se necessário, testar cenários de falhas, garantindo que os dados podem ser transferidos facilmente. Também precisam de assegurar notificações rápidas em caso de incidentes, analisar causas e colaborar em testes de segurança (TLPT) com os CTPPs.
  • Reforçar a governança e ter visibilidade sobre toda a cadeia de subcontratação, incluindo fornecedores indiretos, locais onde os dados são processados e leis aplicáveis, garantindo conformidade com regras de proteção de dados e acesso regulatório.
  • Demonstrar claramente quais funções críticas dependem dos CTPPs, como os controlos e testes cobrem essas dependências e como incorporam as conclusões da supervisão europeia na sua gestão de risco.

Estas medidas exigem uma revisão profunda das políticas de outsourcing e da estratégia de gestão de risco operacional.

download PDF
Expertise Relacionadas
TMT
Advogados Relacionados
Beatriz de Figueiredo Teixeira Sara Ti