15 jun. 2026

O seu sistema legado não passou na auditoria DORA. E agora?

A DORA está expondo limitações estruturais dos sistemas legados que vão além de processos e políticas.
gft-contact-carlos-kazuo.png
Carlos Kazuo Missao
Global Head of Innovation Solutions, Americas GFT
blogAbstractMinutes
blogAbstractTimeReading
A glowing cube bursting through a cracked surface symbolizes the disruptive power of AI-driven modernization. The fractured outer layer represents rigid legacy systems, while the radiant energy and circuitry emerging from within reflect innovation, agility, and new digital capabilities. This image captures the moment organizations break free from constraints to unlock scalable, future-ready transformation.
AI Modernization
contact
share
O DORA está expondo limitações estruturais nos sistemas legados que vão além de processos e políticas. Muitas arquiteturas não conseguem oferecer suporte a relatórios em tempo real, observabilidade ou mapeamento de dependências. Este artigo explica por que a conformidade regulatória está se tornando um desafio arquitetônico. Também mostra como é uma estratégia de modernização confiável para atender a essas exigências.

O DORA (Digital Operational Resilience Act) introduz requisitos rigorosos para resiliência operacional, comunicação de incidentes, gestão de riscos de TIC e transparência dos sistemas em todo o setor financeiro europeu. Estruturas regulatórias semelhantes estão surgindo em todo o mundo, refletindo uma atenção crescente ao risco tecnológico e à resiliência operacional. As arquiteturas legadas frequentemente não possuem os recursos necessários para atender a esses requisitos de forma eficaz, tornando a modernização essencial tanto para o compliance quanto para a resiliência de longo prazo.

Principais conclusões

  • A DORA e a NIS2 expõem lacunas arquitetônicas que as políticas, por si só, não conseguem resolver
  • Os sistemas legados baseados em processamento em lote têm dificuldade para atender aos requisitos de detecção e comunicação em tempo real
  • Dependências não documentadas comprometem as obrigações de inventário de ativos de TIC
  • O risco de concentração em mainframes é agora uma preocupação regulatória
  • Um programa de modernização documentado é a posição regulatória mais sólida

Porque é que o DORA cria um problema de arquitetura para sistemas legados?

O DORA (Digital Operational Resilience Act) exige capacidades que as arquiteturas legadas nunca foram projetadas para oferecer.

O DORA já não é um exercício de compliance para o futuro. Ele está em vigor, é aplicado ativamente e tem foco em resiliência operacional, observabilidade e controle. Muitos ambientes legados conseguem atender aos requisitos de documentação, mas têm dificuldade para cumprir os requisitos arquitetônicos.

O processamento em lote, as dependências não documentadas e as plataformas de fornecedor único criam lacunas que não podem ser resolvidas apenas com melhorias nos processos.

O DORA não é apenas um desafio de compliance. É um impulsionador da modernização.

Por que o inventário de ativos de TIC é tão difícil em ambientes legados?

Na maioria dos ambientes legados, as dependências críticas estão incorporadas ao código, e não à documentação.

O DORA exige um inventário continuamente preciso e auditável dos ativos de TIC e de suas interdependências. Em muitos ambientes de mainframe, essas relações existem apenas em cadeias de processamento em lote, agendadores de tarefas e no conhecimento informal de engenheiros com muitos anos de experiência.

O mapeamento automatizado de dependências é cada vez mais a única forma confiável de atender a esse requisito e, ao mesmo tempo, torna-se a base para qualquer roteiro de modernização realista.

Por que os sistemas legados não conseguem atender aos requisitos de comunicação de incidentes em tempo real?

As arquiteturas legadas detectam incidentes tarde demais, muitas vezes apenas após a conclusão dos ciclos de processamento em lote.

O DORA exige a detecção e a comunicação de incidentes graves de TIC em poucas horas. Os sistemas baseados em processamento em lote atrasam a visibilidade até que o processamento programado seja concluído, tornando uma resposta rápida difícil ou até impossível.

A observabilidade moderna, o monitoramento em tempo real, o rastreamento e os alertas não podem ser implementados de forma eficaz em arquiteturas que nunca foram projetadas para isso. Não se trata de uma falha de governança. Trata-se de uma limitação de arquitetura.

Isso também explica por que muitas iniciativas de IA fracassam em ambientes legados sem dados em tempo real e sistemas de observabilidade, reforçando a necessidade da modernização com IA.

genericImageAlt

Como o DORA altera o perfil de risco das dependências de mainframe?

Isso transforma dependências há muito tempo aceitas em riscos explícitos de concentração.

O DORA exige que as instituições identifiquem e gerenciem riscos de concentração relacionados a terceiros de TIC. Sistemas centrais dependentes de:

  • Um único fornecedor de hardware
  • Uma única plataforma de middleware
  • Uma força de trabalho especializada cada vez mais escassa

passam agora a estar diretamente sob o escopo da supervisão regulatória.

Embora o DORA não exija a migração imediata dos mainframes, ele requer que as instituições demonstrem uma gestão ativa dos riscos e sua redução ao longo do tempo.

Assim, os esforços de modernização deixam de ser apenas uma iniciativa de redução de custos e passam a ser uma necessidade regulatória.

O que caracteriza uma resposta regulatória confiável?

Os órgãos reguladores não buscam perfeição. Eles buscam controle e execução.

A posição mais sólida é a de um programa de modernização documentado e aprovado pelo conselho administrativo, que mapeia explicitamente as correções arquitetônicas aos requisitos regulatórios. Instituições que conseguem demonstrar progresso estruturado estão muito mais bem posicionadas do que aquelas que dependem apenas de intenções ou planos futuros.

Na prática, isso significa ir além de correções isoladas e avançar para uma modernização de ponta a ponta, desde o mapeamento de dependências e o redesenho da arquitetura até a observabilidade em tempo real e bases de dados preparadas para IA. Esses recursos também são essenciais para o sucesso das iniciativas de modernização com IA, permitindo que as organizações ampliem o uso da IA sobre bases tecnológicas resilientes, observáveis e em conformidade com os requisitos regulatórios.

Estruturas regulatórias semelhantes estão surgindo em todo o mundo. Regulamentos como o Operational Resilience do Reino Unido, o CPS 230 da Austrália, as Diretrizes de Gestão de Risco Tecnológico da MAS de Singapura e a NIS2 reforçam a necessidade de maior resiliência, visibilidade dos riscos tecnológicos e gestão eficaz de sistemas e dependências críticas. Embora os detalhes regulatórios variem, a direção é clara: as organizações precisam fortalecer as bases arquitetônicas que sustentam operações críticas de negócio.

Fortaleça sua estratégia de modernização com IA para estar preparado para as exigências regulatórias.

gft-contact-carlos-kazuo.png

Carlos Kazuo Missao

Global Head of Innovation Solutions, Americas GFT
message
dataProtectionDeclaration