A Diretiva CER e o DORA são dois importantes regulamentos da UE focados em tornar as organizações mais resilientes de diferentes formas. Mas como saber qual se aplica ao seu negócio? E se um (ou ambos) se aplicar, que medidas deve tomar agora para cumprir?

O que são o CER e o DORA?

Em termos gerais, tanto o CER como o DORA visam aumentar a resiliência, mas abordam diferentes tipos de riscos em diferentes setores:

  • A Diretiva Resiliência das Entidades Críticas (CER) diz respeito à resiliência física das organizações em setores críticos. Centra-se em ameaças físicas, como terrorismo, catástrofes naturais e perturbações na cadeia de abastecimento.
  • O Regulamento da Resiliência Operacional Digital (DORA) visa especificamente o setor financeiro e centra-se na resiliência digital. Garante que as instituições financeiras, bem como os seus parceiros tecnológicos, estão preparados para riscos cibernéticos, como pirataria informática e falhas de sistema.

Tanto o CER como o DORA enfatizam a necessidade de uma forte cibersegurança e resiliência para os serviços críticos na UE. Estas leis ajudam a manter os sistemas estáveis e seguros face a ameaças graves.

Então, é afetado?

Qual destes regulamentos se aplica ao seu negócio? Eis como descobrir:

    • Energia
    • Transportes
    • Banca
    • Infraestruturas do mercado financeiro
    • Saúde
    • Produção, processamento e distribuição de alimentos em grande escala
    • Água potável
    • Águas residuais
    • Infraestrutura digital
    • Administração pública
    • Espaço
  • O DORA, por outro lado, é específico para o setor financeiro, incluindo:
    • Bancos
    • Empresas de investimento
    • Companhias de seguros
    • Prestadores de serviços de TIC a estas instituições

Se trabalha numa instituição financeira e opera num setor crítico, como a banca, ambos os regulamentos podem aplicar-se a si. Além disso, embora o CER e o DORA abranjam domínios diferentes (físico vs. digital), sobrepõem-se no que diz respeito à gestão de riscos de terceiros. Ambos exigem que avalie a resiliência dos seus fornecedores, não apenas do seu próprio negócio.

Qual é a diferença entre o CER e o DORA?

Embora os dois quadros tenham objetivos semelhantes, também diferem em alguns aspetos. Eis como se comparam em termos de âmbito e requisitos:

Diretiva CER DORA
Foco Resiliência física das infraestruturas críticas Resiliência digital e gestão de TIC
Setores 11 setores críticos Setor financeiro
Principais Riscos Abordados Ameaças físicas Ameaças cibernéticas
Órgão de Execução Principal Reguladores nacionais em cada país da UE Autoridades Europeias de Supervisão (AES) e reguladores financeiros nacionais

Penalizações por incumprimento

 As autoridades nacionais podem impor multas ou revogar licenças Pesadas sanções financeiras e ações de execução regulamentar
Requisito Diretiva CER DORA
Avaliações de Risco Obrigatórias de quatro em quatro anos, abrangendo riscos físicos para as operações Monitorização e testes contínuos obrigatórios dos riscos de TIC
Comunicação de Incidentes Os incidentes de segurança física devem ser comunicados às autoridades nacionais Os incidentes de cibersegurança e relacionados com as TIC devem ser comunicados aos reguladores financeiros
Continuidade do Negócio As entidades devem desenvolver estratégias de continuidade para infraestruturas físicas críticas As empresas devem garantir a plena resiliência operacional digital, incluindo redundâncias de sistemas
Risco de Terceiros e da Cadeia de Abastecimento Os fornecedores críticos devem ser avaliados quanto à resiliência da segurança física Supervisão obrigatória dos fornecedores de TIC terceiros, incluindo serviços na nuvem

O que deve fazer agora?

Quer esteja a cumprir o DORA, a preparar-se para o CER, ou ambos, aqui estão cinco passos para se antecipar:

1. Confirme se é afetado.

  • Se estiver num setor crítico, o CER aplica-se a si.
  • Se estiver no setor financeiro, o DORA aplica-se a si.

Se ainda não tiver a certeza, consulte as suas equipas de conformidade ou jurídicas para confirmar.

2. Identifique as partes interessadas adequadas.

Estes regulamentos afetarão vários departamentos. Terá de envolver equipas de gestão de risco, gestão de continuidade de negócio (BCM), TI, conformidade e gestão de risco de terceiros (TPRM). Mais especificamente, envolverão:

  • CER: Equipas de gestão de risco empresarial (ERM), BCM e gestão da cadeia de abastecimento.
  • DORA: Equipas de risco, cibersegurança, TI e conformidade.

3. Realize uma análise de lacunas.

Avalie onde os seus sistemas atuais ficam aquém dos requisitos de qualquer um dos regulamentos. Concentre-se nas seguintes áreas:

  • Avaliações de risco físico (CER)
  • Monitorização contínua de TIC e testes de sistemas digitais (DORA)
  • Avaliações de fornecedores terceiros (ambos)

4. Integre as equipas.

Para simplificar a conformidade com o CER e/ou o DORA, integre as suas funções de governança, risco e conformidade (GRC) com os seus esforços de BCM e resiliência.

  • Sistemas partilhados: Implemente software unificado de GRC e resiliência para acompanhar as avaliações de risco, os riscos de terceiros, os incidentes e o estado de conformidade em ambos os domínios. Isto garante que os dados de ERM, TPRM e conformidade estão todos ligados e fornecem uma única fonte de verdade.
  • Alinhamento regular: Agende reuniões regulares e multifuncionais entre as equipas de risco, conformidade, TI, cibersegurança e BCM. Isto mantém todos alinhados quanto ao progresso, prazos e áreas de melhoria.

5. Crie um roteiro de conformidade.

O DORA entrou em vigor em 2025. O CER, por outro lado, tem um cronograma de conformidade com prazos a partir de 2026 e que continuam até 2027. Começar com antecedência ajudará o seu negócio a evitar uma corrida de última hora.

Como o software de gestão de risco ajuda

Acompanhar os novos regulamentos pode ser assustador, mas as ferramentas certas podem simplificar o processo. Eis como o software de gestão de risco pode reforçar a sua conformidade:

  • Centralizar todos os seus dados de risco: Obtenha uma visão completa da sua conformidade com ambos os regulamentos, tendo os seus dados de risco – físicos, digitais, de terceiros e outros – num só lugar.
  • Realizar análises de lacunas e monitorização contínua: Com o DORA, isto é crucial para a gestão contínua do risco de TIC, enquanto para o CER, ajuda a acompanhar e avaliar a resiliência da segurança física.
  • Automatizar relatórios e rastreamento de incidentes: Ambos os regulamentos exigem relatórios de incidentes em tempo útil; O software automatiza esse processo, garantindo que os incidentes são rastreados e comunicados rapidamente.
  • Colaborar entre equipas: A conformidade requer contributos de várias equipas, e uma plataforma de gestão de risco permite que todas as partes interessadas colaborem na mesma plataforma e garante o alinhamento.
  • Gerir o seu risco de terceiros: Uma plataforma de software pode avaliar e monitorizar a resiliência dos seus fornecedores em sistemas físicos e digitais.

O DORA já está em vigor e os prazos do CER estão a aproximar-se rapidamente. Agora é o momento de avaliar a sua postura de risco, alinhar as suas equipas e garantir que a sua estratégia de conformidade está definida. Ao compreender quais os regulamentos que se aplicam a si, que ações tomar e como simplificar o processo, pode garantir que a sua organização está em conformidade – e resiliente.

Para mais informações sobre resiliência, leia o GRC: O Guia Definitivo, e saiba mais sobre como operacionalizar estes regulamentos no seu negócio, descarregando as nossas fichas informativas sobre a Diretiva CER e o DORA.