Finansinės įstaigos, kurioms taikoma DORA, susiduria su vienalaikiais ES DI akto įpareigojimais. Šis įrankis nustato, kur DORA IRT reikalavimai ir DI akto įsipareigojimai persikerta jūsų sektoriuje ir DI naudojimo atvejais: kreditų vertinimas, sukčiavimo aptikimas, algoritminis sandorių sudarymas, PLP.
DORA (Skaitmeninio veiklos atsparumo aktas) galioja nuo 2025 m. sausio 17 d. ES DI aktas taikomas nuo įvairių datų 2025–2028 m. Bankai, draudikai, investicinės įmonės, mokėjimo įstaigos ir kitos finansinės įstaigos turi vienu metu laikytis abiejų.
Abu teisės aktai turi reikšmingų konceptualių bendrumų — abu nukreipti į IRT rizikos valdymą, trečiųjų šalių priklausomybes ir veiklos atsparumą — tačiau skirtingomis apimtimis ir įpareigojimais.
| DI naudojimo atvejis | DORA įsipareigojimai | ES DI akto įsipareigojimai |
|---|---|---|
| Kreditų vertinimas / paskolų sprendimai | IRT rizikos valdymas (Art. 5–10); trečiosios šalies rizika, jei tiekiama pardavėjo | Annex III didelės rizikos (Art. 6); visas III skyriaus įsipareigojimai; terminas 2027 m. gruodžio mėn. |
| Sukčiavimo aptikimas | IRT incidentų klasifikavimas (Art. 17–23); trečiosios šalies TPSP valdymas | Annex III didelės rizikos (teisėsaugai artima — patikrinkite apimtį); Art. 13 skaidrumas naudotojams |
| Algoritminis sandorių sudarymas | IRT pokyčių valdymas (Art. 14–16); veiklos rizika | Greičiausiai minimali rizika arba tik skaidrumas; patikrinkite, ar GPAI modeliai yra jo pagrindas |
| PLP / sandorių stebėjimas | IRT atsparumo testavimas (TLPT reikšmingoms įstaigoms) | Potencialiai Annex III (teisėsaugos jungtis); reikalinga teisinė analizė |
| Klientų aptarnavimo pokalbių robotai | IRT veiklos rizika | Art. 50 skaidrumas — naudotojams turi būti atskleistas DI pobūdis |
| Draudimo rizikos kainodaros nustatymas | IRT trečiųjų šalių rizika modelių pardavėjams | Annex III didelės rizikos (esminės paslaugos — draudimo rizikos vertinimas) |
IRT trečiųjų šalių rizika + DI akto teikėjo įsipareigojimai: DORA Art. 28–44 reikalauja sutartinių sąlygų su IRT paslaugų teikėjais, apimančių audito teises, išėjimo strategijas ir veiklos standartus. Kai tas IRT teikėjas taip pat yra DI akto teikėjas, DI aktas reikalauja, kad teikėjas pateiktų techninę dokumentaciją, naudojimo instrukcijas ir stebėjimo po pateikimo rinkai paramą. Viena gerai parengta pardavėjo sutartis gali atitikti abu reikalavimus.
Incidentų pranešimas: DORA įpareigoja teikti didelių su IRT susijusių incidentų ataskaitas priežiūros institucijoms. DI aktas reikalauja pranešti apie rimtus incidentus, susijusius su didelės rizikos DI, nacionalinėms rinkos priežiūros institucijoms. Finansinėms įstaigoms, vienas DI gedimas (pvz., kreditų vertinimo modelio sutrikimas, keliantis sisteminę riziką) gali vienu metu suaktyvinti abi pranešimų grandines.
Atsparumo testavimas: DORA grėsmių valdomasis įsiskverbimo testavimas (TLPT) reikšmingoms įstaigoms sutampa su DI akto Art. 15 patikimumo ir kibernetinio saugumo reikalavimais. Abiejų testavimo režimų derinimas sumažina dublikavimą.
Išsamią reguliavimo konvergencijos analizę žr. DI aktas vs. DORA vs. NIS2 →
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Taip. DORA taikoma kredito įstaigoms, draudimo bendrovėms, investicinėms įmonėms, mokėjimo paslaugų teikėjams ir kitoms finansinėms įstaigoms — galioja nuo 2025 m. sausio mėn. Tos pačios įstaigos taip pat yra pavaldžios ES DI aktui dėl bet kokių DI sistemų, kurias jos kuria ar diegia. Abiem teisės aktams būdingi persidengimai, susiję su IRT rizikos valdymu, incidentų pranešimu ir trečiųjų šalių paslaugų teikėjų valdymu.
DORA reikalauja, kad finansinės įstaigos valdytų savo IRT paslaugų teikėjus — įskaitant DI pardavėjus — pagal sutartinius susitarimus su konkrečiais reikalavimais (Art. 28–44). DI aktas nepriklausomai reikalauja, kad naudotojai įgyvendintų DI valdymo priemones. Kai DI pardavėjas yra ir DORA IRT trečioji šalis, ir DI akto teikėjas, sutartys turi atitikti abu reguliavimo sistemas.
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.