Financijski subjekti podložni DORA-i suočavaju se s istovremenim obvezama prema EU AI aktu. Ovaj alat identificira mjesta gdje se IKT zahtjevi DORA-e i obveze AI akta preklapaju za vaš sektor i AI slučajeve upotrebe: kreditno bodovanje, otkrivanje prijevara, algoritamsko trgovanje, AML.
DORA (Akt o digitalnoj operativnoj otpornosti) primjenjuje se od 17. siječnja 2025. EU AI akt primjenjuje se od različitih datuma u 2025.–2028. Banke, osiguravatelji, investicijska društva, platne institucije i drugi financijski subjekti moraju istovremeno ispunjavati oba zahtjeva.
Dvije regulacije dijele značajnu konceptualnu osnovu — obje ciljaju upravljanje IKT rizicima, ovisnosti o trećim stranama i operativnu otpornost — ali s različitim opsezima i obvezama.
| AI slučaj upotrebe | Obveze prema DORA-i | Obveze prema EU AI aktu |
|---|---|---|
| Kreditno bodovanje / kreditne odluke | Upravljanje IKT rizicima (Čl. 5-10); rizik trećih strana ako je sustav dobavljača | Prilog III visokorizičan (Čl. 6); pune obveze prema Poglavlju III; rok prosin. 2027. |
| Otkrivanje prijevara | Klasifikacija IKT incidenata (Čl. 17-23); upravljanje trećom stranom (TPSP) | Prilog III visokorizičan (blizak kaznenom pravosuđu — provjerite opseg); Čl. 13 transparentnost prema korisnicima |
| Algoritamsko trgovanje | Upravljanje IKT promjenama (Čl. 14-16); operativni rizik | Vjerojatno minimalni rizik ili samo transparentnost; provjeri koriste li se GPAI modeli |
| AML / praćenje transakcija | IKT testiranje otpornosti (TLPT za značajne subjekte) | Potencijalno Prilog III (veza s kaznenim pravosuđem); potrebna pravna analiza |
| Chatbotovi korisničke podrške | IKT operativni rizik | Čl. 50 transparentnost — korisnicima se mora objaviti AI priroda |
| Određivanje cijena osiguranja | IKT rizik trećih strana za dobavljače modela | Prilog III visokorizičan (osnovne usluge — procjena rizika osiguranja) |
Rizik IKT trećih strana + obveze pružatelja prema AI aktu: DORA Čl. 28-44 zahtijeva ugovorne klauzule s IKT pružateljima usluga koje pokrivaju pravo na reviziju, strategije izlaska i standarde performansi. Kada je taj IKT pružatelj ujedno pružatelj prema AI aktu, AI akt zahtijeva da pružatelj dostavi tehničku dokumentaciju, upute za korištenje i podršku za nadzor nakon stavljanja na tržište. Jedan dobro sastavljen ugovor s dobavljačem može zadovoljiti oba uvjeta.
Prijava incidenata: DORA nalaže prijavu velikih incidenata vezanih uz IKT nadzornim tijelima. AI akt zahtijeva prijavu ozbiljnih incidenata koji uključuju visokorizičnu AI nacionalnim tijelima za nadzor tržišta. Za financijske subjekte, jedan kvar AI sustava (npr. ispad modela za kreditno bodovanje koji uzrokuje sustavni rizik) može istovremeno pokrenuti oba lanca prijave.
Testiranje otpornosti: Testiranje predvođeno prijetnjama (TLPT) prema DORA-i za značajne subjekte preklapa se s zahtjevima čvrstoće i kibersigurnosti prema Čl. 15 AI akta. Kombiniranje oba režima testiranja smanjuje duplikate.
Za detaljnu analizu regulatorne konvergencije, pogledajte AI akt vs. DORA vs. NIS2 →
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Da. DORA se primjenjuje na kreditne institucije, osiguravatelje, investicijska društva, pružatelje platnih usluga i druge financijske subjekte — i na snazi je od siječnja 2025. Isti ti subjekti podložni su i EU AI aktu za sve AI sustave koje razvijaju ili raspoređuju. Dvije regulacije imaju preklapajuće zahtjeve oko upravljanja IKT rizicima, prijave incidenata i upravljanja pružateljima trećih strana.
DORA zahtijeva od financijskih subjekata upravljanje njihovim IKT pružateljima usluga — uključujući dobavljače AI-ja — putem ugovornih aranžmana s posebnim zahtjevima (Čl. 28-44). AI akt neovisno zahtijeva od korisnika implementaciju mjera AI upravljanja. Kada je dobavljač AI-ja istovremeno DORA-in IKT treća strana i pružatelj prema AI aktu, ugovori moraju zadovoljiti oba regulatorna okvira.
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.