DORA-le alluvad finantsüksused seisavad silmitsi samaaegsete EL AI seaduse kohustustega. See tööriist tuvastab, kus teie sektori ja AI kasutusjuhtude puhul kattuvad DORA IKT nõuded ja AI seaduse kohustused: krediidihindamine, pettuste tuvastamine, algoritmipõhine kauplemine, AML.
DORA (digitaalse tegevuskerksuse seadus) on kehtinud alates 17. jaanuarist 2025. EL AI seadus kohaldub alates erinevatest kuupäevadest ajavahemikus 2025–2028. Pangad, kindlustusseltsid, investeerimisühingud, makseasutused ja muud finantsüksused peavad mõlemale samaaegselt vastama.
Kaks määrust jagavad märkimisväärset kontseptuaalset alust — mõlemad on suunatud IKT riskijuhtimisele, kolmanda osapoole sõltuvustele ja tegevuskerksusele — kuid erinevate ulatuste ja kohustuste puhul.
| AI kasutusjuht | DORA kohustused | EL AI seaduse kohustused |
|---|---|---|
| Krediidihindamine / laenuotsused | IKT riskijuhtimine (Art. 5–10); kolmanda osapoole risk tarnijalt saadud puhul | III lisa kõrge riskiga (Art. 6); täielikud III peatüki kohustused; tähtaeg dets 2027 |
| Pettuste tuvastamine | IKT intsidentide klassifitseerimine (Art. 17–23); kolmanda osapoole TPSP haldamine | III lisa kõrge riskiga (õiguskaitsega külgnev — kontrollige ulatust); Art. 13 läbipaistvus kasutuselevõtjatele |
| Algoritmipõhine kauplemine | IKT muutuste haldamine (Art. 14–16); tegevusrisk | Tõenäoliselt minimaalne risk või ainult läbipaistvus; kontrollige, kas aluseks on GPAI mudelid |
| AML / tehingute seire | IKT kerksuse testimine (TLPT oluliste üksuste jaoks) | Potentsiaalselt III lisa (õiguskaitse seos); nõuab juriidilist analüüsi |
| Klienditeeninduse vestlusrobotid | IKT tegevusrisk | Art. 50 läbipaistvus — peab avalikustama kasutajatele AI-olemuse |
| Kindlustuse riskihindamine | IKT kolmanda osapoole risk mudeli tarnijate puhul | III lisa kõrge riskiga (põhiteenused — kindlustuse riskihindamine) |
IKT kolmanda osapoole risk + AI seaduse pakkuja kohustused: DORA Art. 28–44 nõuab lepingulisi klausleid IKT teenuse pakkujatega, mis hõlmab auditeerimisõigusi, väljumisstrateegiad ja toimivusstandardeid. Kui see IKT pakkuja on ka AI seaduse pakkuja, nõuab AI seadus, et pakkuja esitaks tehnilist dokumentatsiooni, kasutusjuhiseid ja järelturu järelevalve tuge. Üks hästi koostatud tarnijapoolne leping suudab mõlemaid rahuldada.
Intsidentide teatamine: DORA kohustab teatama järelevaatajatele olulistest IKT-ga seotud intsidentidest. AI seadus nõuab, et tõsiste intsidentide puhul, mis hõlmavad kõrge riskiga AI-d, teavitataks riiklikke turujärelevalveasutuseid. Finantsüksuste puhul võib üksik AI tõrge (nt krediidihindamismudeli katkestus, mis põhjustab süsteemset riski) käivitada samaaegselt mõlemad teatamiskohad.
Kerksuse testimine: DORA ohuteadlik läbitungimistestimine (TLPT) oluliste üksuste puhul kattub AI seaduse Art. 15 vastupidavuse ja küberturvalisuse nõuetega. Mõlema testirežiimi kombineerimine vähendab dubleerimist.
Üksikasjaliku regulatiivse kattuvuse analüüsi kohta vt AI seadus vs. DORA vs. NIS2 →
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Jah. DORA kohaldub krediidiasutustele, kindlustusseltsidele, investeerimisühingutele, makseteenuse pakkujatele ja muudele finantsüksustele — ning on jõus alates jaanuarist 2025. Need samad üksused alluvad ka EL AI seadusele mis tahes AI-süsteemide puhul, mida nad arendavad või kasutusele võtavad. Kahel määrusel on kattuvad nõuded seoses IKT riskijuhtimise, intsidentide teatamise ja kolmanda osapoole teenuse pakkujate haldamisega.
DORA kohustab finantsüksuseid haldama oma IKT teenuse pakkujaid — sealhulgas AI tarnijaid — konkreetsete nõuetega lepinguliste kokkulepete alusel (Art. 28–44). AI seadus nõuab kasutuselevõtjatelt iseseisvalt AI juhtimismeetmete rakendamist. Kui AI tarnija on nii DORA IKT kolmas osapool kui ka AI seaduse pakkuja, peavad lepingud rahuldama mõlema regulatiivse raamistiku.
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.