Novas obrigações de reporte sobre cibersegurança estão em consulta pública

No passado dia 29 de abril, a Autoridade de Supervisão de Seguros e Fundos de Pensões (ASF) colocou em consulta pública o projeto de norma regulamentar referente à resiliência operacional digital, cibersegurança e à gestão de riscos tecnológicos no setor financeiro, no âmbito do regulamento europeu DORA (Digital Operational Resilience Act). Os interessados poderão enviar sugestões à ASF antes de as regras se tornarem finais.

Na sequência da publicação da Lei n.º 73/2025, de 23 de dezembro, serão introduzidos novos deveres de reporte ao supervisor. As seguradoras, resseguradoras, sociedades gestoras, e distribuidores de seguros terão de reportar:

• ataques informáticos, falhas graves de sistemas, fugas de dados, interrupções importantes dos serviços;
• contratos com empresas de tecnologia de terceiros;
• gestão do risco associado às tecnologias de informação e comunicação (TIC);
• a participação em acordos de partilha de informações específicas e sensíveis relativas a ciberataques.

Assim, vão ser revogadas a Norma Regulamentar n.º 6/2022-R, de 7 de junho, a Norma Regulamentar n.º 7/2024-R, de 20 de agosto, a Norma Regulamentar n.º 9/2024-R, de 26 de setembro, e a Circular n.º 3/2025, de 8 de abril.

O regulamento DORA define as regras obrigatórias de resiliência operacional digital para entidades financeiras e o objetivo é garantir que o setor financeiro consegue resistir, responder e recuperar de incidentes tecnológicos e ciberataques. Entrou em vigor em 2023 e passou a ser aplicável a partir de 17 de janeiro de 2025.

Os contributos podem ser enviados até 28 de maio por escrito para o endereço de e-mail [email protected]. É de sublinhar que a ASF irá publicar esses contributos.