Finanční subjekty podléhající DORA čelí souběžným povinnostem podle EU AI Act. Tento nástroj identifikuje, kde se požadavky DORA na IKT a povinnosti AI Act překrývají pro vaše odvětví a případy použití AI: úvěrové skórování, detekce podvodů, algoritmické obchodování, praní peněz.
DORA (Zákon o digitální provozní odolnosti) se uplatňuje od 17. ledna 2025. EU AI Act se uplatňuje od různých dat v letech 2025–2028. Banky, pojišťovny, investiční firmy, platební instituce a další finanční subjekty musí splňovat oba předpisy současně.
Obě nařízení sdílejí výrazné pojmové průsečíky — oba se zaměřují na řízení rizik IKT, závislosti na třetích stranách a provozní odolnost — avšak s různým rozsahem a povinnostmi.
| Případ použití AI | Povinnosti DORA | Povinnosti EU AI Act |
|---|---|---|
| Úvěrové skórování / úvěrová rozhodnutí | Řízení rizik IKT (čl. 5–10); riziko třetích stran při dodávce od dodavatele | Vysoce rizikový systém — Příloha III (čl. 6); plné povinnosti Kapitoly III; lhůta prosinec 2027 |
| Detekce podvodů | Klasifikace incidentů IKT (čl. 17–23); řízení třetích stran TPSP | Vysoce rizikový systém — Příloha III (přesah s vymáháním práva — ověřte rozsah); transparentnost podle čl. 13 vůči provozovatelům |
| Algoritmické obchodování | Řízení změn IKT (čl. 14–16); operační riziko | Pravděpodobně minimální riziko nebo pouze transparentnost; ověřte, zda jsou základem modely GPAI |
| Praní peněz / monitorování transakcí | Testování odolnosti IKT (TLPT pro významné subjekty) | Potenciálně Příloha III (přesah s vymáháním práva); nutná právní analýza |
| Chatboti zákaznického servisu | Operační riziko IKT | Transparentnost podle čl. 50 — musí uživatelům sdělit, že jde o AI |
| Oceňování pojistného rizika | Riziko IKT třetích stran pro dodavatele modelů | Vysoce rizikový systém — Příloha III (základní služby — hodnocení pojistného rizika) |
Riziko IKT třetích stran + povinnosti poskytovatele podle AI Act: DORA čl. 28–44 vyžaduje smluvní doložky s poskytovateli služeb IKT zahrnující práva na audit, strategie ukončení a standardy výkonu. Pokud je tento poskytovatel IKT zároveň poskytovatelem podle AI Act, AI Act vyžaduje, aby poskytovatel dodal technickou dokumentaci, pokyny k použití a podporu monitorování po uvedení na trh. Jediná dobře sepsaná dodavatelská smlouva může splňovat obojí.
Hlášení incidentů: DORA nařizuje hlášení závažných incidentů spojených s IKT dozorovým orgánům. AI Act vyžaduje hlášení závažných incidentů zahrnujících vysoce rizikové systémy AI vnitrostátním orgánům dozoru nad trhem. U finančních subjektů může jediné selhání AI (např. výpadek modelu úvěrového skórování způsobující systémové riziko) současně vyvolat obě povinnosti hlášení.
Testování odolnosti: Testování pomocí hrozby vedené penetračním testováním (TLPT) DORA pro významné subjekty se překrývá s požadavky robustnosti a kybernetické bezpečnosti podle čl. 15 AI Act. Kombinace obou testovacích režimů snižuje duplicitu.
Podrobnou analýzu regulačního sbíhání naleznete v části AI Act vs. DORA vs. NIS2 →
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Ano. DORA se vztahuje na úvěrové instituce, pojišťovny, investiční firmy, poskytovatele platebních služeb a další finanční subjekty — a je v platnosti od ledna 2025. Tyto subjekty podléhají také EU AI Act pro jakékoli systémy AI, které vyvíjejí nebo nasazují. Obě nařízení mají překrývající se požadavky v oblasti řízení rizik IKT, hlášení incidentů a řízení poskytovatelů služeb třetích stran.
DORA vyžaduje, aby finanční subjekty řídily své poskytovatele služeb IKT — včetně dodavatelů AI — na základě smluvních ujednání s konkrétními požadavky (čl. 28–44). AI Act samostatně vyžaduje, aby provozovatelé zavedli opatření řízení AI. Pokud je dodavatel AI zároveň třetí stranou IKT podle DORA i poskytovatelem podle AI Act, musí smlouvy splňovat oba regulační rámce.
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.