Novas obrigações de reporte sobre cibersegurança estão em consulta pública
No passado dia 29 de abril, a Autoridade de Supervisão de Seguros e Fundos de Pensões (ASF) colocou em consulta pública o projeto de norma regulamentar referente à resiliência operacional digital, cibersegurança e à gestão de riscos tecnológicos no setor financeiro, no âmbito do regulamento europeu DORA (Digital Operational Resilience Act). Os interessados poderão enviar sugestões à ASF antes de as regras se tornarem finais.
Na sequência da publicação da Lei n.º 73/2025, de 23 de dezembro, serão introduzidos novos deveres de reporte ao supervisor. As seguradoras, resseguradoras, sociedades gestoras, e distribuidores de seguros terão de reportar:
- ataques informáticos, falhas graves de sistemas, fugas de dados, interrupções importantes dos serviços;
- contratos com empresas de tecnologia de terceiros;
- gestão do risco associado às tecnologias de informação e comunicação (TIC);
- a participação em acordos de partilha de informações específicas e sensíveis relativas a ciberataques.
Assim, vão ser revogadas a Norma Regulamentar n.º 6/2022-R, de 7 de junho, a Norma Regulamentar n.º 7/2024-R, de 20 de agosto, a Norma Regulamentar n.º 9/2024-R, de 26 de setembro, e a Circular n.º 3/2025, de 8 de abril.
O regulamento DORA define as regras obrigatórias de resiliência operacional digital para entidades financeiras e o objetivo é garantir que o setor financeiro consegue resistir, responder e recuperar de incidentes tecnológicos e ciberataques. Entrou em vigor em 2023 e passou a ser aplicável a partir de 17 de janeiro de 2025.
Os contributos podem ser enviados até 28 de maio por escrito para o endereço de e-mail consultaspublicas@asf.com.pt. É de sublinhar que a ASF irá publicar esses contributos.
