Finansielle enheder, der er underlagt DORA, har simultane EU AI-forordningsforpligtelser. Dette værktøj identificerer, hvor DORA's IKT-krav og AI-forordningens forpligtelser overlapper for din sektor og AI-anvendelsestilfælde: kreditvurdering, svindeldetektering, algoritmisk handel, hvidvaskning.
DORA (forordningen om digital operationel modstandsdygtighed) har gældt siden 17. januar 2025. EU AI-forordningen gælder fra forskellige datoer i 2025-2028. Banker, forsikringsselskaber, investeringsselskaber, betalingsinstitutioner og andre finansielle enheder skal opfylde begge regler simultant.
De to forordninger deler et betydeligt begrebsmæssigt grundlag — begge retter sig mod IKT-risikostyring, tredjepartsafhængigheder og operationel modstandsdygtighed — men med forskellige anvendelsesområder og forpligtelser.
| AI-anvendelsestilfælde | DORA-forpligtelser | EU AI-forordningsforpligtelser |
|---|---|---|
| Kreditvurdering / lånebeslutninger | IKT-risikostyring (Art. 5-10); tredjepartsrisiko, hvis leverandørleveret | Bilag III højrisiko (Art. 6); fulde kapitel III-forpligtelser; frist dec. 2027 |
| Svindeldetektering | IKT-hændelsesklassificering (Art. 17-23); tredjepartsforvaltning af TPSP | Bilag III højrisiko (tilstødende retshåndhævelse — tjek omfang); Art. 13 gennemsigtighed over for deployere |
| Algoritmisk handel | IKT-ændringsstyring (Art. 14-16); operationel risiko | Sandsynligvis minimal risiko eller kun gennemsigtighed; tjek om GPAI-modeller understøtter det |
| AML / transaktionsovervågning | IKT-modstandsdygtighedstest (TLPT for betydelige enheder) | Potentielt Bilag III (forbindelsen til retshåndhævelse); juridisk analyse kræves |
| Kundeservice-chatbots | IKT-operationel risiko | Art. 50 gennemsigtighed — skal oplyse AI-natur til brugere |
| Forsikringsrisikopris | IKT-tredjepartsrisiko for modelleverandører | Bilag III højrisiko (væsentlige tjenester — forsikringsrisikovurdering) |
IKT-tredjepartsrisiko + AI-forordningens udbyderforpligtelser: DORA Art. 28-44 kræver kontraktmæssige klausuler med IKT-tjenesteudbydere, der dækker revisionsrettigheder, exitstrategier og præstationsstandarder. Når denne IKT-udbyder også er en AI-forordnings udbyder, kræver AI-forordningen, at udbyderen leverer teknisk dokumentation, brugsanvisninger og support til eftersalgsovervågning. En enkelt velformuleret leverandørkontrakt kan opfylde begge.
Hændelsesrapportering: DORA pålægger rapportering af større IKT-relaterede hændelser til tilsynsmyndigheder. AI-forordningen kræver rapportering af alvorlige hændelser, der involverer højrisiko-AI, til nationale markedsovervågningsmyndigheder. For finansielle enheder kan en enkelt AI-fejl (f.eks. et kreditvurderingssystem med nedbrud, der forårsager systemisk risiko) simultant udløse begge rapporteringskæder.
Modstandsdygtighedstest: DORA's trusselsledede penetrationstest (TLPT) for betydelige enheder overlapper med AI-forordningens Art. 15's krav om robusthed og cybersikkerhed. Kombinering af begge testregimer reducerer duplikering.
For en detaljeret analyse af den regulatoriske konvergens, se AI-forordning vs. DORA vs. NIS2 →
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Ja. DORA gælder for kreditinstitutter, forsikringsselskaber, investeringsselskaber, betalingstjenesteudbydere og andre finansielle enheder — og har været i kraft siden januar 2025. Disse samme enheder er også underlagt EU AI-forordningen for alle AI-systemer, de udvikler eller implementerer. De to forordninger har overlappende krav om IKT-risikostyring, hændelsesrapportering og styring af tredjepartsleverandører.
DORA kræver, at finansielle enheder styrer deres IKT-tjenesteudbydere — inklusive AI-leverandører — under kontraktlige aftaler med specifikke krav (Art. 28-44). AI-forordningen kræver uafhængigt, at deployere implementerer AI-governance-foranstaltninger. Når en AI-leverandør er både en DORA IKT-tredjepart og en AI-forordnings udbyder, skal kontrakter opfylde begge regulatoriske rammer.
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.