BCE finaliza guia sobre subcontratação de serviços de computação em nuvem

16 de julho de 2025

• O guia enuncia as expectativas prudenciais relativamente à implementação de requisitos relacionados com o Regulamento DORA e apresenta boas práticas para uma gestão eficaz do risco de subcontratação de serviços de computação em nuvem.
• O objetivo do guia é tornar a supervisão mais coerente e assegurar condições de igualdade para as instituições de crédito supervisionadas.
• As revisões efetuadas clarificam as medidas de gestão do risco recomendadas para a subcontratação de serviços de computação em nuvem, bem como o âmbito de aplicação e a natureza jurídica do guia, alinhando a terminologia com a regulamentação pertinente.

O Banco Central Europeu (BCE) publicou hoje a versão final do seu Guia sobre subcontratação de serviços de computação em nuvem a prestadores de serviços de computação em nuvem, na sequência de uma consulta pública concluída em julho de 2024.

À semelhança dos restantes guias do BCE, este guia não estabelece requisitos, práticas ou regras juridicamente vinculativos. Do mesmo modo, não introduz novas regras ou requisitos, além dos já impostos pelo regulamento relativo à resiliência operacional digital (o Regulamento DORA, do inglês “Digital Operational Resilience Act”). Ao invés, clarifica as expectativas do BCE em relação ao cumprimento dos requisitos do Regulamento DORA por parte das instituições de crédito. Com base em práticas observadas no setor, apresenta igualmente boas práticas para a gestão eficaz do risco de subcontratação pelas instituições de crédito sob a supervisão do BCE que utilizam serviços de computação em nuvem prestados por terceiros.

“As instituições de crédito estão dependentes da subcontratação de serviços de computação em nuvem a um pequeno número de terceiros prestadores de serviços. Em resultado, ficam expostas a vários riscos, nomeadamente riscos de segurança informática e cibernéticos, que continuam a ser uma prioridade do BCE em tempos de tensão geopolítica acrescida”, afirmou Anneli Tuominen, membro do Conselho de Supervisão do BCE. “O nosso guia descreve boas práticas, que refletem as expectativas do BCE em relação à forma como as instituições de crédito devem gerir esses riscos e assentam na experiência adquirida nas nossas atividades de supervisão permanente.”

O BCE considerou os 696 comentários recebidos de 26 entidades que responderam à consulta pública, os quais contribuíram para aperfeiçoar o guia. O guia final distingue mais claramente os requisitos estabelecidos no Regulamento DORA das boas práticas recomendadas pelo BCE. Clarifica igualmente a forma como é aplicado o princípio da proporcionalidade. Um resumo dos comentários recebidos e a avaliação dos mesmos pelo BCE são disponibilizados num documento de análise das respostas à consulta pública.

Com a publicação deste guia, o BCE tornará a supervisão mais coerente e ajudará a assegurar condições de igualdade para as instituições de crédito que supervisiona, descrevendo as suas expectativas de modo transparente e recomendando boas práticas. O guia destaca a importância de manter uma abordagem assente no risco e de aplicar proporcionalidade na subcontratação de serviços de computação em nuvem, tendo também em conta as várias estruturas organizacionais, áreas de atividade e perfis de risco das instituições de crédito supervisionadas pelo BCE.

Para resposta a eventuais perguntas dos meios de comunicação social, contactar Clara Martín Marqués (tel.: +49 69 1344 17919).