A DORA está em vigor desde janeiro de 2025, e a folga que a maioria dos times sentiu no início acabou. Se você é uma entidade financeira da UE, ou um fornecedor de tecnologia que atende uma, a resiliência operacional digital agora é uma obrigação regulatória com prazos nomeados, não uma boa prática interna que você implanta no seu próprio ritmo.
O registro de terceiros é a parte que pega os times desprevenidos. A DORA exige um registro de informações mantido cobrindo cada contrato de TIC: quem é o fornecedor, qual função ele suporta e se essa função é crítica. A maioria das empresas descobre que o inventário de fornecedores é uma planilha desatualizada no dia em que o supervisor pede, e o risco de concentração fica invisível até virar um achado.
A notificação de incidentes é a segunda armadilha. Incidentes de TIC precisam ser classificados e reportados à autoridade competente contra o relógio, e um incidente grave tem uma janela de notificação inicial medida em horas. Esse prazo não espera alguém montar os fatos a partir de threads de chat e linhas do tempo lembradas pela metade depois que o incêndio acabou.
Comece com um modelo grátis de registro de fornecedores de TIC
O Cadenio oferece um modelo de workflow grátis para o registro de informações da DORA, classificação de fornecedores e notificação de incidentes com o prazo como SLA. Mantenha-o atual porque mantê-lo atual é uma etapa.
Começar gratuitamenteA correção tem o mesmo formato do resto do compliance. Rode, não documente. Mantenha o registro de terceiros como um intake vivo, em que cada fornecedor novo dispara uma classificação de tier e de criticidade. Rode a resposta a incidente como workflow com a classificação embutida e o prazo regulatório de notificação como SLA. Cada run vira a evidência que o supervisor pede, recuperável num lugar só.
“Rode, não documente.”
Os testes de resiliência fecham o ciclo. A DORA espera testes regulares e, para entidades significativas, testes de invasão guiados por ameaça. Coloque a cadência de testes no calendário com sign-off e achados rastreados até o fechamento, do mesmo jeito que você rodaria um ciclo de auditoria interna. Achado não rastreado é como um programa de testes vira teatro em silêncio.
Comece pelo registro. Você não consegue gerenciar risco de concentração nem reportar um incidente contra um fornecedor que não catalogou, e o catálogo é a primeira coisa que um supervisor vai pedir para ver. Monte uma vez como workflow, e ele se mantém atual porque mantê-lo atual é uma etapa, não um projeto trimestral.