Bankām, apdrošinātājiem, aktīvu pārvaldītājiem un maksājumu institūcijām ES MI Akta pienākumi ir uzslāņoti virs esošajiem finanšu regulējumiem (DORA, MiFID II, VDAR, KPP). Šī lapa izskaidro, kuri MI lietošanas gadījumi ir augsta riska, kā nozares regulatori mijiedarbojas ar MI Aktu un kas finanšu iestādēm jādara, lai atbilstu.
MI Akts Nāk uz Finansēm
Finanšu iestādes — bankas, apdrošinātāji, aktīvu pārvaldītāji, maksājumu nodrošinātāji, kredītbiroji — ir vienas no visintensīvākajām MI lietotājām Eiropā. Kredītu vērtēšana, krāpšanas atklāšana, algoritmiskā tirdzniecība, klientu riska profilēšana, apdrošināšanas parakstīšana, regulatīvās ziņošanas automatizācija un NILLTPN/KPKK skrīnings visi balstās uz MI sistēmām, kas var būt pakļautas ES MI Aktam.
Finanšu iestādēm ES MI Akts nenāk izolēti. Tas uzslāņojas uz jau tā blīvu regulatīvo kopumu: DORA (digitālā noturība), MiFID II (ieguldījumu pakalpojumi), VDAR (datu aizsardzība), KPP/KPKP (kapitāla prasības), Maksātspēja II (apdrošināšana), PSD2/PSD3 (maksājumu pakalpojumi) un nozares EBI, EIOPC un EVPK pamatnostādnes. Izpratne par to, kā MI Akts integrējas ar — un dažkārt konfliktē ar — esošajiem finanšu regulējumiem, ir būtiska efektīvai atbilstībai.
Kuri MI Lietošanas Gadījumi ir Augsta Riska Finansēs?
ES MI Akta III pielikums identificē lietošanas gadījumus, kas automātiski ir augsta riska. Finanšu sektorā vistiešāk aktuālie ir:
5(b) Kategorija: Kredītspējas Novērtēšana
Augsts risks. MI sistēmas, ko izmanto fizisko personu kredītspējas novērtēšanai vai fizisko personu kredītriska klasificēšanai, ir skaidri uzskaitītas. Tas aptver:
- Automatizētu kredītu vērtēšanu patēriņa aizdevumiem, personīgajiem overdraftiem, kredītkartēm un hipotekārajiem kredītiem
- Modeļus, kas novērtē individuālo patērētāju atmaksas varbūtību, saistību neizpildes risku vai parāda ietilpību
- MI sistēmas, kas iesaka kredītu limitus vai aizdevumu summas, pamatojoties uz individuālo riska novērtēšanu
Nav automātiski apterts: Korporatīvie kredītu modeļi, kas novērtē juridiskās personas, nevis fiziskās personas, lai gan tie var joprojām izraisīt Art. 50 pārredzamības pienākumus atkarībā no izvietošanas.
5(b) Kategorija: Apdrošināšanas Prēmijas un Seguma Lēmumi
Augsts risks, ja būtiski ietekmē fiziskās personas. MI sistēmas, kas pieņem vai spēcīgi ietekmē lēmumus par:
- Apdrošināšanas segumu (pieteikumu apstiprināšanu vai noraidīšanu)
- Prēmiju līmeņiem (aktuāriālie modeļi, kas nosaka individuālās prēmijas)
- Prasījumu novērtēšanu un nokārtošanu (automatizēta prasījumu apstrāde)
Automobiļu apdrošināšanas cenu noteikšanas modeļi, veselības apdrošināšanas parakstīšana un mājokļu apdrošināšanas modeļi mājsaimniecībām ir tieši tvērumā. Noteicošais faktors ir tas, vai MI sistēma pieņem vai būtiski ietekmē lēmumu, kas materiāli ietekmē fiziskās personas piekļuvi būtiskiem privātiem pakalpojumiem.
1. Kategorija: Biometriskā Identifikācija
Augsts risks. MI sistēmas, ko izmanto:
- Attālinātai klientu biometriskās identifikācijai (KPKK video verifikācija, nepārtraukta autentifikācija)
- Biometriskajai kategorizācijai, kur tā ietekmē riska klasifikāciju vai pakalpojumu piekļuvi
Reāllaika biometriskā identifikācija publiski pieejamās vietās tiesībaizsardzības nolūkos ir aizliegta saskaņā ar Art. 5. Komerciālie identitātes verifikācijas sistēmas, kas izmanto sejas atpazīšanu KPKK, ir pakļautas augsta riska prasībām, bet nav aizliegtas.
6. Kategorija: NILLTPN/KPKK un Tiesībaizsardzībai Piegulošas
MI sistēmas, ko finanšu iestādes izmanto, lai atbalstītu NILLTPN/KPKK skrīningu, sankciju filtrēšanu vai darījumu uzraudzību, kur rezultāts tiek ziņots vai izmantots tiesībaizsardzībā, var ietilpt III pielikuma 6. kategorijā (tiesībaizsardzība). Tas ietver:
- MI ģenerētus Aizdomīgas darbības ziņojumus (ADZ), kas nosūtīti FIZ
- Automatizētas Politiski eksponēto personu (PEP) skrīninga sistēmas
Sistēmas, ko izmanto tikai iekšējai riska pārvaldībai bez tiesībaizsardzības izvades, mazāk iespējams klasificēt kā augsta riska saskaņā ar 6. kategoriju, lai gan citas kategorijas var piemēroties.
Ko Augsta Riska MI Pienākumi Nozīmē Finanšu Iestādēm
Ja MI sistēma, ko izmanto finanšu iestāde, ir augsta riska saskaņā ar III pielikumu, pienākumi atšķiras atkarībā no tā, vai iestāde ir nodrošinātāja (izstrādāja sistēmu) vai izmantotāja (nopirka vai licencēja to).
Ja Esat Nodrošinātājs (Izstrādājāt Sistēmu)
- Riska pārvaldības sistēma (Art. 9): Izveidot un uzturēt dokumentētu riska pārvaldības procesu, kas atkārtots visā sistēmas dzīves ciklā
- Datu pārvaldība (Art. 10): Apmācības, validācijas un testēšanas datiem jābūt pakļautiem pārvaldības praksei, kas aptver atbilstību, reprezentativitāti un aizspriedumu novērtēšanu
- Tehniskā dokumentācija (IV pielikums): Pilns techniskais dokuments, tostarp sistēmas apraksts, arhitektūra, apmācības pieeja, darbības rādītāji un pēctirgus uzraudzības plāns
- Pārredzamība (Art. 13): Lietošanas instrukcijas, kas ļauj izmantotājiem saprast spējas, ierobežojumus un uzraudzības prasības
- Cilvēku uzraudzība (Art. 14): Dizaina pasākumi cilvēku uzraudzībai un iejaukšanās iespējai
- Precizitāte, robustums, kiberdrošība (Art. 15): Demonstrēti darbības līmeņi un noturīgums
- Atbilstības novērtēšana: Pašnovērtēšana (VI pielikums) lielākajai daļai III pielikuma sistēmu vai paziņotās iestādes novērtēšana biometriskajām sistēmām
- CE marķējums un ES atbilstības deklarācija
- Reģistrācija ES MI datubāzē
- Pēctirgus uzraudzība (Art. 72): Aktīva sistēma reālās pasaules darbības datu vākšanai un incidentu ziņošanai
Ja Esat Izmantotājs (Nopirkāt/Licencējāt Sistēmu)
- Instrukciju atbilstība: Izmantot sistēmu stingri saskaņā ar nodrošinātāja instrukcijām
- Cilvēku uzraudzība: Norīkot kvalificētu personālu uzraudzībai ar atbilstošu autoritāti un resursiem
- Ievades datu kvalitāte: Nodrošināt, ka ievades dati ir atbilstoši un reprezentatīvi konkrētajam izvietošanas kontekstam
- Žurnālu saglabāšana: Aktivizēt un saglabāt automatizētos žurnālus nepieciešamajam periodam
- Incidentu ziņošana: Ziņot par nopietniem incidentiem nodrošinātājam un dažos gadījumos tieši iestādēm
- Pamattiesību ietekmes novērtēšana (Art. 27): Nepieciešams publiskajām iestādēm; ieteicams privāta sektora izmantotājiem jutīgos kontekstos
Mijiedarbība ar DORA
Digitālās operacionālās noturības akts (DORA) stājās piemērošanā 2025. gada janvārī un uzliek visaptverošas IKT riska pārvaldības prasības finanšu iestādēm — tostarp MI sistēmām kā IKT komponentiem.
Galvenie mijiedarbības punkti:
IKT Riska Pārvaldības Sistēma
DORA prasa finanšu iestādēm uzturēt IKT riska pārvaldības sistēmu, kas aptver identificēšanu, aizsardzību, atklāšanu, reaģēšanu un atgūšanos. MI sistēmas ir IKT rīki, kas pakļauti šai sistēmai. ES MI Akts pievieno MI specifiskās prasības: aizspriedumu testēšana, pārredzamības dokumentācija, cilvēku uzraudzības dizains un dzīves cikla pārvaldība.
Praksē: Bankas MI kredītu vērtēšanas modelim jāatbilst gan DORA IKT riska pārvaldībai (incidentu atklāšana, nepārtrauktības plānošana, izmaiņu pārvaldība), gan ES MI Akta augsta riska prasībām (riska pārvaldības sistēma, techniskā dokumentācija, pēctirgus uzraudzība).
Trešo Personu Risks (IKT Trešo Personu Nodrošinātāji)
DORA uzliek detalizētas prasības IKT trešo personu nodrošinātāju pārvaldībai — tostarp līgumiskās prasības, audita tiesības un nozīmīgu nodrošinātāju uzraudzība. Kad finanšu iestāde izmanto trešās puses MI sistēmu (piemēram, pārdevēja piegādātu kredītu vērtēšanas modeli), DORA trešo personu riska pārvaldības prasības piemērojamas šim pārdevējam.
ES MI Akta izmantotāja pienākumi arī piemērojas — prasot nodrošinātājam sniegt instrukcijas, atbilstības dokumentāciju un reģistrēšanas spēju. Finanšu iestādēm jānodrošina, ka to trešo personu MI pārdevēju līgumi apmierina gan DORA IKT nodrošinātāja prasības, gan ES MI Akta izmantotāja informācijas tiesības.
Incidentu Ziņošana
DORA ir sava incidentu ziņošanas sistēma nozīmīgiem IKT incidentiem, ko ziņo nozares uzraudzītājiem (EBI, EIOPC, EVPK). ES MI Akts prasa ziņot par nopietniem incidentiem, kas saistīti ar augsta riska MI sistēmām, valstu tirgus uzraudzības iestādēm.
Tie ir atsevišķi ziņošanas pienākumi dažādām iestādēm. Nopietns incidents, kas saistīts ar MI kredītu vērtēšanas sistēmu, varētu izraisīt gan DORA incidentu ziņojumu (EBI/valstu finanšu uzraugam), gan ES MI Akta incidentu ziņojumu (tirgus uzraudzības iestādei).
Nozares Uzraugi un MI Akta Izpilde
Finanšu iestādēm nozares finanšu uzraugi — EBI (banku darbība), EIOPC (apdrošināšana), EVPK (vērtspapīri un tirgi) — ir konkrēta loma ES MI Akta ieviešanā, lai gan tie nav galvenā MI Akta izpildes iestāde.
Saskaņā ar MI Aktu finanšu iestādēm, kas ir augsta riska MI sistēmu nodrošinātāji, jāreģistrējas ES MI datubāzē. Finanšu sektorā attiecīgā finanšu uzraudzības iestāde var tikt norīkota kā vai sadarboties ar valstu tirgus uzraudzības iestādi, kas atbildīga par MI Akta uzraudzību šajā sektorā.
Eiropas Uzraudzības iestādes (EUI) ir aktīvas:
- Publicējot norādījumus par MI pārvaldību finanšu pakalpojumos (EBI pamatnostādnes par iekšējo pārvaldību, ML/MI kredītriskā)
- Piedalīties ES MI Akta ieviešanas norādījumu izstrādē finanšu sektoram
- Koordinēt ar ES MI biroju par GPAI modeļu uzraudzību, ciktāl tā ietekmē finanšu pakalpojumus
Praktiskās Atbilstības Prioritātes Finanšu Iestādēm
-
Inventarizēt visas lietošanā esošās MI sistēmas — klasificēt katru pret III pielikuma kritērijiem. Prioritizēt kredītspējas novērtēšanas, apdrošināšanas cenu noteikšanas un biometriskās/KPKK sistēmas.
-
Noteikt nodrošinātāja pret izmantotāja statusu katrai sistēmai — vai izmantojat pārdevēja piegādātus modeļus vai veidojat iekšēji?
-
Saskaņot MI pārvaldību ar DORA IKT riska sistēmu — integrēt MI Akta pienākumus esošajā DORA pārvaldības struktūrā, lai izvairītos no dublēšanās procesiem.
-
Pārskatīt trešo personu MI pārdevēju līgumus — nodrošināt, ka līgumi sniedz: atbilstības dokumentāciju, lietošanas instrukcijas, reģistrēšanas piekļuvi, incidentu paziņošanas saistības, atjaunināšanas pienākumus un audita tiesības.
-
Izveidot cilvēku uzraudzības mehānismus — augsta riska MI lietošanas gadījumiem nodrošināt, ka kvalificētam personālam ir autoritāte, rīki un laiks jēgpilnai MI izvades pārskatīšanai pirms svarīgu lēmumu pieņemšanas.
-
Savienot ar pēctirgus uzraudzību — paplašināt esošos modeļu riska pārvaldības procesus (Bāzeles modeļu validācija, DORA izmaiņu pārvaldība), lai aptvertu Art. 72 pēctirgus uzraudzības prasības.
-
Sagatavoties ES MI datubāzei — ja esat augsta riska MI sistēmu nodrošinātājs, reģistrācija ir obligāta. Ja esat publiskā iestāde kā izmantotājs, reģistrācija arī var būt nepieciešama.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Jā. Kredītspējas novērtēšanas MI sistēmas — ko izmanto fizisko personu kredītspējas novērtēšanai vai kredītriska klasificēšanai — ir skaidri uzskaitītas III pielikuma 5(b) kategorijā kā augsta riska. Tas aptver automatizētu kredītu vērtēšanu patēriņa aizdevumiem, hipotekārajiem kredītiem, kredītkartēm un overdraftiem. Sistēmas, ko izmanto tikai korporatīvo kredītu novērtēšanai, var nebūt iekļautas, taču sistēmas, kas ietver individuālo fizisko personu novērtēšanu, ir skaidri aptvertas.
DORA (Digitālās operacionālās noturības akts) un ES MI Akts pārklājas, taču atšķiras pēc tvēruma. DORA aptver IKT riska pārvaldību plašākā nozīmē — tostarp MI sistēmas kā IKT rīkus — ar prasībām par incidentu ziņošanu, noturības testēšanu un trešo personu riska pārvaldību. ES MI Akts pievieno specifiskus MI pienākumus (aizspriedumu testēšana, pārredzamība, cilvēku uzraudzība, pēctirgus uzraudzība) augsta riska MI lietošanas gadījumiem. Finanšu iestādēm atbilstība prasa abus ietvarus — DORA neatbrīvo iestādes no MI Akta pienākumiem, un MI Akts neaizstāj DORA IKT riska prasības.
Tas ir atkarīgs no lietošanas gadījuma. MI sistēmas, ko izmanto reāllaika darījumu krāpšanas atklāšanai — kur MI atzīmē aizdomīgus darījumus cilvēku pārskatīšanai vai automātiski bloķē tos — nav automātiski augsta riska saskaņā ar III pielikumu. Tomēr, ja sistēma pieņem vai spēcīgi ietekmē lēmumus, kas būtiski ietekmē personas (piemēram, konta bloķēšana, kredīta limita samazināšana, apdrošināšanas prasījumu atteikums), lietošanas gadījums var ietilpt III pielikuma 5. kategorijā (piekļuve būtiskiem pakalpojumiem). Juridiskā noteiktība būs atkarīga no regulatīvajiem norādījumiem un konkrētās izvietošanas.
Apdrošināšanas cenu noteikšanas un parakstīšanas MI sistēmas, kas pieņem vai spēcīgi ietekmē lēmumus par segumu, prēmiju līmeņiem vai prasījumu nokārtošanu fiziskām personām, visticamāk ietilpst III pielikuma 5. kategorijā (piekļuve būtiskiem privātiem pakalpojumiem). Tas ietver automobiļu apdrošināšanas cenu noteikšanas modeļus, veselības apdrošināšanas parakstīšanu un mājokļu apdrošināšanas modeļus mājsaimniecībām. Katrs lietošanas gadījums individuāli jānovērtē pret III pielikuma kritērijiem.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.