A DORA hatálya alá tartozó pénzügyi szervezetekre egyidejűleg EU MI-törvény szerinti kötelezettségek is vonatkoznak. Ez az eszköz azonosítja, hol fednek át a DORA IKT-követelményei és az MI-törvény kötelezettségei az Ön szektorában és MI-felhasználási esetei tekintetében: hitelminősítés, csalásfelderítés, algoritmikus kereskedés, pénzmosás elleni küzdelem.
A DORA (digitális működési rezilienciáról szóló rendelet) 2025. január 17. óta alkalmazandó. Az EU MI-törvény 2025–2028 között különböző időpontokban lép hatályba. A bankoknak, biztosítóknak, befektetési vállalkozásoknak, fizetési intézményeknek és más pénzügyi szervezeteknek egyidejűleg kell mindkét követelménynek eleget tenniük.
A két rendelet jelentős fogalmi közös területet oszt meg — mindkettő az IKT-kockázatkezelést, a harmadik felektől való függőséget és az operatív rezilienciát célozza —, de eltérő hatállyal és kötelezettségekkel.
| MI-felhasználási eset | DORA-kötelezettségek | EU MI-törvény kötelezettségei |
|---|---|---|
| Hitelminősítés / hiteldöntések | IKT-kockázatkezelés (Art. 5-10); harmadik fél kockázata, ha szállítótól vásárolt | III. melléklet magas kockázatú (Art. 6); teljes III. fejezet szerinti kötelezettségek; határidő: 2027. december |
| Csalásfelderítés | IKT-incidens osztályozás (Art. 17-23); harmadik fél TPSP-kezelés | III. melléklet magas kockázatú (bűnüldözéshez kapcsolódó — ellenőrizze a hatályt); Art. 13 átláthatóság az alkalmazók felé |
| Algoritmikus kereskedés | IKT-változáskezelés (Art. 14-16); operatív kockázat | Valószínűleg minimális kockázat vagy kizárólag átláthatósági kötelezettség; ellenőrizze, hogy GPAI-modellek állnak-e mögötte |
| Pénzmosás elleni küzdelem / tranzakciófigyelés | IKT reziliencia tesztelés (TLPT a jelentős szervezetek számára) | Potenciálisan III. melléklet (bűnüldözési nexus); jogi elemzés szükséges |
| Ügyfélszolgálati chatbotok | IKT operatív kockázat | Art. 50 átláthatóság — a felhasználókat tájékoztatni kell az MI-jellegről |
| Biztosítási kockázati árazás | IKT harmadik fél kockázata modellszállítók esetén | III. melléklet magas kockázatú (alapvető szolgáltatások — biztosítási kockázatértékelés) |
IKT harmadik fél kockázat + MI-törvény szolgáltatói kötelezettségek: A DORA Art. 28-44 meghatározott követelményeket tartalmazó szerződéses záradékokat ír elő az IKT-szolgáltatókkal (audit-jogok, kilépési stratégiák, teljesítményszabványok). Amikor az IKT-szolgáltató egyúttal MI-törvény szerinti szolgáltató is, az MI-törvény előírja, hogy a szolgáltató műszaki dokumentációt, használati utasítást és forgalomba hozatal utáni figyelési támogatást nyújtson. Egyetlen jól megírt szállítói szerződés mindkét követelményt kielégítheti.
Incidensbejelentés: A DORA előírja a jelentős IKT-vonatkozású incidensek bejelentését a felügyeleti hatóságoknak. Az MI-törvény megköveteli a magas kockázatú MI súlyos incidenseinek bejelentését a nemzeti piacfelügyeleti hatóságoknak. Pénzügyi szervezetek esetén egyetlen MI-meghibásodás (pl. rendszerszintű kockázatot okozó hitelminősítő modell kiesése) egyszerre válthatja ki mindkét bejelentési kötelezettséget.
Reziliencia tesztelés: A DORA Threat-Led Penetration Testing (TLPT) a jelentős szervezetek számára átfed az MI-törvény Art. 15 szerinti robusztussági és kiberbiztonsági követelményeivel. Mindkét tesztelési rendszer összevonása csökkenti az ismétlődéseket.
A szabályozási konvergencia részletes elemzéséért lásd: MI-törvény vs. DORA vs. NIS2 →
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Igen. A DORA hitelintézetekre, biztosítótársaságokra, befektetési vállalkozásokra, fizetési szolgáltatókra és más pénzügyi szervezetekre vonatkozik — és 2025. januártól hatályos. Ugyanezekre a szervezetekre az EU MI-törvény is alkalmazandó minden általuk fejlesztett vagy alkalmazott MI-rendszer tekintetében. A két rendelet átfedő követelményeket tartalmaz az IKT-kockázatkezelés, az incidensbejelentés és a harmadik fél szolgáltatóinak kezelése terén.
A DORA előírja a pénzügyi szervezetek számára, hogy IKT-szolgáltatóikat — köztük az MI-szállítókat — meghatározott követelményeket tartalmazó szerződéses megállapodások keretében kezeljék (Art. 28-44). Az MI-törvény önállóan megköveteli az alkalmazóktól MI-irányítási intézkedések bevezetését. Amikor egy MI-szállító egyszerre DORA szerinti IKT harmadik fél és MI-törvény szerinti szolgáltató, a szerződéseknek mindkét szabályozási keretet ki kell elégíteniük.
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.