DORA:n soveltamisalaan kuuluvat rahoitusalan toimijat kohtaavat samanaikaisesti EU:n tekoälyasetuksen velvoitteita. Tämä työkalu tunnistaa, missä DORA:n tieto- ja viestintätekniikkavaatimukset ja tekoälyasetuksen velvoitteet ovat päällekkäisiä toimialasi ja tekoälyn käyttötapausten — luottoluokitus, petosten havaitseminen, algoritminen kaupankäynti, rahanpesun estäminen — osalta.
DORA (digitaalista operatiivista häiriönsietokykyä koskeva asetus) on ollut sovellettavissa 17. tammikuuta 2025 alkaen. EU:n tekoälyasetus soveltuu eri päivämääristä 2025–2028 alkaen. Pankkien, vakuuttajien, sijoitusyritysten, maksuinstituutioiden ja muiden rahoitusalan toimijoiden on noudatettava molempia samanaikaisesti.
Kahdella asetuksella on merkittävää käsitteellistä yhteistä maaperää — molemmat kohdistuvat tieto- ja viestintätekniikan riskienhallintaan, kolmansien osapuolten riippuvuuksiin ja operatiiviseen häiriönsietokykyyn — mutta niillä on eri soveltamisala ja velvoitteet.
| Tekoälyn käyttötapaus | DORA-velvoitteet | EU:n tekoälyasetuksen velvoitteet |
|---|---|---|
| Luottoluokitus / lainapäätökset | Tieto- ja viestintätekniikan riskienhallinta (Art. 5–10); kolmannen osapuolen riski toimittajan tarjoamissa | Liite III korkeariskinen (Art. 6); kaikki luvun III velvoitteet; määräaika joulukuu 2027 |
| Petosten havaitseminen | Tieto- ja viestintätekniikan tapahtumaluokittelu (Art. 17–23); TPSP-hallinta | Liite III korkeariskinen (lainvalvontaan liittyvä — tarkista soveltamisala); Art. 13 avoimuus käyttäjille |
| Algoritminen kaupankäynti | Tieto- ja viestintätekniikan muutoksenhallinta (Art. 14–16); operatiivinen riski | Todennäköisesti minimiriski tai pelkkä avoimuusvelvoite; tarkista, onko GPAI-malleja taustalla |
| Rahanpesun estäminen / tapahtumien valvonta | Tieto- ja viestintätekniikan häiriönsietokykytestaus (TLPT merkittäville toimijoille) | Mahdollisesti liite III (lainvalvontayhteys); oikeudellinen analyysi vaaditaan |
| Asiakaspalvelun chatbotit | Tieto- ja viestintätekniikan operatiivinen riski | Art. 50 avoimuus — tekoälyluonteesta on ilmoitettava käyttäjille |
| Vakuutusriskien hinnoittelu | Tieto- ja viestintätekniikan kolmannen osapuolen riski mallin toimittajille | Liite III korkeariskinen (olennaiset palvelut — vakuutusriskiarviointi) |
Tieto- ja viestintätekniikan kolmansien osapuolten riski + tekoälyasetuksen tarjoajavelvoitteet: DORA Art. 28–44 edellyttää sopimuslausekkeita tieto- ja viestintätekniikan palveluntarjoajien kanssa, kattaen tarkastusoikeudet, poistumisstrategiat ja suoritusvaatimukset. Kun kyseinen tieto- ja viestintätekniikan tarjoaja on myös tekoälyasetuksen tarjoaja, tekoälyasetus edellyttää tarjoajaa toimittamaan teknisen dokumentaation, käyttöohjeet ja markkinoille saattamisen jälkeisen valvonnan tuen. Yksi hyvin laadittu toimittajasopimus voi täyttää molemmat.
Tapahtumailmoitukset: DORA velvoittaa ilmoittamaan merkittävistä tieto- ja viestintätekniikkaan liittyvistä tapahtumista valvojille. Tekoälyasetus edellyttää vakavien tapahtumien, joihin liittyy korkeariskinen tekoäly, ilmoittamista kansallisille markkinavalvontaviranomaisille. Rahoitusalan toimijoille yksittäinen tekoälyvirhe (esim. luottoluokitusmallin katkos, joka aiheuttaa systeemistä riskiä) voi samanaikaisesti laukaista molemmat raportointiketjut.
Häiriönsietokykytestaus: DORA:n uhkalähtöinen penetraatiotestaus (TLPT) merkittäville toimijoille on päällekkäinen tekoälyasetuksen Art. 15:n mukaisten kestävyys- ja kyberturvallisuusvaatimusten kanssa. Molempien testausregiimien yhdistäminen vähentää päällekkäisyyttä.
Yksityiskohtainen analyysi sääntelykehysten yhdentymisestä löytyy kohdasta Tekoälyasetus vs. DORA vs. NIS2 →
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Kyllä. DORA koskee luottolaitoksia, vakuutusyhtiöitä, sijoitusyrityksiä, maksupalveluntarjoajia ja muita rahoitusalan toimijoita — ja se on ollut voimassa tammikuusta 2025. Samat toimijat ovat myös EU:n tekoälyasetuksen soveltamisalassa minkä tahansa kehittämänsä tai käyttöönottamansa tekoälyjärjestelmän osalta. Kahdella asetuksella on päällekkäisiä vaatimuksia tieto- ja viestintätekniikan riskienhallinnan, tapahtumaraportoinnin ja kolmansien osapuolten palveluntarjoajien hallinnan osalta.
DORA edellyttää, että rahoitusalan toimijat hallitsevat tieto- ja viestintätekniikan palveluntarjoajiaan — mukaan lukien tekoälytoimittajia — sopimusjärjestelyin, joissa on erityiset vaatimukset (Art. 28–44). Tekoälyasetus edellyttää itsenäisesti, että käyttäjät toteuttavat tekoälyn hallintotoimenpiteet. Kun tekoälytoimittaja on sekä DORA:n mukainen tieto- ja viestintätekniikan kolmas osapuoli että tekoälyasetuksen tarjoaja, sopimusten on täytettävä molempien sääntelykehysten vaatimukset.
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.