Финансовите субекти, за които се прилага DORA, имат едновременни задължения по Закона на ЕС за ИИ. Този инструмент идентифицира областите, в които изискванията на DORA за ИКТ и задълженията по Закона за ИИ се припокриват за вашия сектор и случаи на употреба на ИИ: кредитен скоринг, измами, алгоритмична търговия, AML.
DORA (Регламент за цифрова оперативна устойчивост) се прилага от 17 януари 2025 г. Законът на ЕС за ИИ се прилага от различни дати в периода 2025–2028 г. Банките, застрахователите, инвестиционните посредници, платежните институции и другите финансови субекти трябва едновременно да отговарят на изискванията на двата регламента.
Двата регламента споделят значителна концептуална основа — и двата са насочени към управлението на ИКТ риска, зависимостите от трети страни и оперативната устойчивост — но с различни обхвати и задължения.
| Случай на употреба на ИИ | Задължения по DORA | Задължения по Закона на ЕС за ИИ |
|---|---|---|
| Кредитен скоринг / решения за заеми | Управление на ИКТ риска (чл. 5-10); риск от трети страни при доставка от доставчик | Приложение III с висок риск (чл. 6); пълни задължения по Глава III; краен срок декември 2027 г. |
| Измами | Класификация на ИКТ инциденти (чл. 17-23); управление на ИКТ доставчици | Приложение III с висок риск (свързано с правоприлагане — проверете обхвата); прозрачност по чл. 13 към крайните потребители |
| Алгоритмична търговия | Управление на ИКТ промени (чл. 14-16); оперативен риск | Вероятно минимален риск или само прозрачност; проверете дали GPAI модели са в основата |
| AML / мониторинг на транзакции | ИКТ тестване за устойчивост (TLPT за значими субекти) | Потенциално Приложение III (връзка с правоприлагане); необходим правен анализ |
| Чатботове за обслужване на клиенти | Оперативен ИКТ риск | Прозрачност по чл. 50 — трябва да разкриват природата на ИИ пред потребителите |
| Ценообразуване на застрахователния риск | ИКТ риск от трети страни за доставчиците на модели | Приложение III с висок риск (основни услуги — оценка на застрахователния риск) |
Риск от ИКТ трети страни + задължения на доставчиците по Закона за ИИ: Чл. 28-44 от DORA изисква договорни клаузи с доставчиците на ИКТ услуги, обхващащи права за одит, стратегии за изход и стандарти за изпълнение. Когато този ИКТ доставчик е и доставчик по Закона за ИИ, Законът за ИИ изисква от доставчика да предоставя техническа документация, инструкции за употреба и поддръжка на мониторинга след пускане на пазара. Един добре изготвен договор с доставчик може да удовлетвори и двата регламента.
Докладване на инциденти: DORA задължава за докладване на значителни ИКТ инциденти пред надзорниците. Законът за ИИ изисква докладване на сериозни инциденти с ИИ с висок риск пред националните органи за надзор на пазара. За финансови субекти единична неизправност на ИИ (напр. прекъсване на модел за кредитен скоринг, причиняващо системен риск) може едновременно да задейства двете вериги за докладване.
Тестване за устойчивост: Тестването с водено заплашване (TLPT) по DORA за значими субекти се припокрива с изискванията за надеждност и киберсигурност по чл. 15 от Закона за ИИ. Съчетаването на двата режима на тестване намалява дублирането.
За подробен анализ на регулаторното сближаване вижте Закон за ИИ срещу DORA срещу NIS2 →
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Да. DORA се прилага за кредитни институции, застрахователни дружества, инвестиционни посредници, доставчици на платежни услуги и други финансови субекти — и е в сила от януари 2025 г. Тези същите субекти са също обект на Закона на ЕС за ИИ за всички системи за ИИ, които разработват или разгръщат. Двата регламента имат припокриващи се изисквания относно управлението на ИКТ риска, докладването на инциденти и управлението на доставчиците на ИКТ услуги от трети страни.
DORA изисква финансовите субекти да управляват своите доставчици на ИКТ услуги — включително доставчиците на ИИ — при договорни условия с конкретни изисквания (чл. 28-44). Законът за ИИ независимо изисква от крайните потребители да прилагат мерки за управление на ИИ. Когато доставчик на ИИ е едновременно ИКТ трета страна по DORA и доставчик по Закона за ИИ, договорите трябва да отговарят на двете нормативни рамки.
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.