Finanzunternehmen, die DORA unterliegen, haben gleichzeitig EU-AI-Act-Pflichten. Dieses Tool identifiziert, wo sich DORA-IKT-Anforderungen und AI-Act-Pflichten für Ihren Sektor und Ihre KI-Anwendungsfälle überschneiden: Kreditwürdigkeitsprüfung, Betrugserkennung, algorithmischer Handel, Geldwäschebekämpfung.
DORA (Digital Operational Resilience Act) gilt seit dem 17. Januar 2025. Der EU AI Act gilt ab verschiedenen Daten in den Jahren 2025–2028. Banken, Versicherer, Wertpapierfirmen, Zahlungsinstitute und andere Finanzunternehmen müssen beide Verordnungen gleichzeitig einhalten.
Die beiden Verordnungen teilen erheblichen konzeptuellen Überschneidungen — beide zielen auf IKT-Risikomanagement, Drittabhängigkeiten und Betriebsresilienz ab — jedoch mit unterschiedlichen Anwendungsbereichen und Pflichten.
| KI-Anwendungsfall | DORA-Pflichten | EU-AI-Act-Pflichten |
|---|---|---|
| Kreditwürdigkeitsprüfung / Kreditentscheidungen | IKT-Risikomanagement (Art. 5–10); Drittparteienrisiko bei Anbieter-Einkauf | Anhang III hochriskant (Art. 6); vollständige Kapitel-III-Pflichten; Frist Dez. 2027 |
| Betrugserkennung | IKT-Vorfallsklassifizierung (Art. 17–23); TPSP-Management Drittanbieter | Anhang III hochriskant (strafverfolgungsnahe — Anwendungsbereich prüfen); Art. 13 Transparenz gegenüber Betreibern |
| Algorithmischer Handel | IKT-Änderungsmanagement (Art. 14–16); operationelles Risiko | Wahrscheinlich minimales Risiko oder nur Transparenzpflichten; prüfen, ob GPAI-Modelle zugrunde liegen |
| Geldwäschebekämpfung / Transaktionsüberwachung | IKT-Resilienztest (TLPT für bedeutende Unternehmen) | Potenziell Anhang III (Strafverfolgungsnexus); rechtliche Analyse erforderlich |
| Kunden-Service-Chatbots | IKT-Betriebsrisiko | Art. 50 Transparenz — muss KI-Natur gegenüber Nutzern offenlegen |
| Versicherungsrisikobepreisung | IKT-Drittparteienrisiko für Modellanbieter | Anhang III hochriskant (wesentliche Dienste — Versicherungsrisikobeurteilung) |
IKT-Drittparteienrisiko + AI-Act-Anbieter-Pflichten: DORA Art. 28–44 verlangt vertragliche Klauseln mit IKT-Dienstleistern, die Prüfungsrechte, Ausstiegsstrategien und Leistungsstandards abdecken. Wenn dieser IKT-Anbieter auch ein AI-Act-Anbieter ist, verpflichtet der AI Act den Anbieter, technische Dokumentation, Gebrauchsanweisungen und Unterstützung für die Marktüberwachung bereitzustellen. Ein sorgfältig ausgearbeiteter Anbietervertrag kann beide erfüllen.
Vorfallsmeldung: DORA verlangt die Meldung größerer IKT-bezogener Vorfälle an die Aufsichtsbehörden. Der AI Act verlangt die Meldung schwerwiegender Vorfälle bei hochriskanter KI an die nationalen Marktüberwachungsbehörden. Für Finanzunternehmen kann ein einzelner KI-Ausfall (z. B. ein Ausfall des Kreditwürdigkeitsmodells mit systemischem Risiko) gleichzeitig beide Meldeketten auslösen.
Resilienztest: DORA's Threat-Led Penetration Testing (TLPT) für bedeutende Unternehmen überschneidet sich mit den Robustheit- und Cybersicherheitsanforderungen von Art. 15 des AI Act. Die Kombination beider Testregimes reduziert Doppelarbeit.
Eine detaillierte Analyse der regulatorischen Konvergenz finden Sie unter AI Act vs. DORA vs. NIS2 →
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Ja. DORA gilt für Kreditinstitute, Versicherungsunternehmen, Wertpapierfirmen, Zahlungsdienstleister und andere Finanzunternehmen — und ist seit Januar 2025 in Kraft. Dieselben Unternehmen unterliegen auch dem EU AI Act für alle KI-Systeme, die sie entwickeln oder einsetzen. Beide Verordnungen haben überlappende Anforderungen in den Bereichen IKT-Risikomanagement, Vorfallsmeldung und Management von Drittanbieter-Dienstleistungsanbietern.
DORA verpflichtet Finanzunternehmen, ihre IKT-Dienstleister — einschließlich KI-Anbieter — im Rahmen vertraglicher Vereinbarungen mit spezifischen Anforderungen zu verwalten (Art. 28–44). Der AI Act verpflichtet Betreiber unabhängig davon, KI-Governance-Maßnahmen umzusetzen. Wenn ein KI-Anbieter sowohl ein DORA-IKT-Drittanbieter als auch ein AI-Act-Anbieter ist, müssen Verträge beide Regulierungsrahmen erfüllen.
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.