Financiële entiteiten die onder DORA vallen, hebben tegelijkertijd verplichtingen uit de EU AI-verordening. Deze tool identificeert waar DORA ICT-vereisten en AI-verordening-verplichtingen overlappen voor uw sector en AI-toepassingen: kredietscoring, fraudedetectie, algoritmische handel, AML.
DORA (Digital Operational Resilience Act) is van toepassing sinds 17 januari 2025. De EU AI-verordening is van toepassing vanaf diverse datums in 2025–2028. Banken, verzekeraars, beleggingsondernemingen, betalingsinstellingen en andere financiële entiteiten moeten tegelijkertijd aan beide voldoen.
De twee verordeningen delen aanzienlijke conceptuele gronden — beide richten zich op ICT-risicobeheer, afhankelijkheid van derde partijen en operationele weerbaarheid — maar met verschillende toepassingsgebieden en verplichtingen.
| AI-toepassing | DORA-verplichtingen | EU AI-verordening-verplichtingen |
|---|---|---|
| Kredietscoring / leningbeslissingen | ICT-risicobeheer (Art. 5-10); risico van derde partijen indien leverancier | Bijlage III hoog risico (Art. 6); volledige verplichtingen Hoofdstuk III; termijn dec. 2027 |
| Fraudedetectie | ICT-incidentclassificatie (Art. 17-23); beheer van externe ICT-dienstverleners | Bijlage III hoog risico (rechtshandhaving-adjacent — controleer toepassingsgebied); Art. 13 transparantie voor afnemers |
| Algoritmische handel | ICT-wijzigingsbeheer (Art. 14-16); operationeel risico | Waarschijnlijk minimaal risico of uitsluitend transparantie; controleer of GPAI-modellen er aan ten grondslag liggen |
| AML / transactiemonitoring | ICT-weerbaarheidstest (TLPT voor significante entiteiten) | Mogelijk Bijlage III (rechtshandhavingsconnectie); juridische analyse vereist |
| Klantenservice chatbots | ICT-operationeel risico | Art. 50 transparantie — moet AI-aard aan gebruikers bekendmaken |
| Verzekeringsprijsstelling | ICT-risico derde partijen voor modelleveranciers | Bijlage III hoog risico (essentiële diensten — beoordeling verzekeringsrisico) |
ICT-risico derde partijen + verplichtingen AI-verordening-aanbieder: DORA Art. 28-44 vereist contractuele clausules met ICT-dienstverleners met betrekking tot auditrechten, exitstrategieën en prestatienormen. Wanneer die ICT-leverancier ook een AI-verordening-aanbieder is, verplicht de AI-verordening de aanbieder technische documentatie, gebruiksinstructies en ondersteuning voor post-marktbewaking te leveren. Eén goed opgesteld leverancierscontract kan aan beide voldoen.
Incidentrapportage: DORA verplicht financiële entiteiten om grote ICT-gerelateerde incidenten te melden aan toezichthouders. De AI-verordening verplicht de melding van ernstige incidenten met hoog-risico AI aan nationale markttoezichtautoriteiten. Voor financiële entiteiten kan een enkele AI-storing (bijv. uitval van een kredietscoringsmodel met systemisch risico) tegelijkertijd beide rapportageketens triggeren.
Weerbaarheidstests: De Threat-Led Penetration Testing (TLPT) van DORA voor significante entiteiten overlapt met de vereisten voor robuustheid en cyberbeveiliging van Art. 15 van de AI-verordening. Het combineren van beide testregiems vermindert duplicatie.
Zie AI-verordening versus DORA versus NIS2 → voor een gedetailleerde analyse van de regelgevende convergentie.
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Ja. DORA is van toepassing op kredietinstellingen, verzekeringsmaatschappijen, beleggingsondernemingen, betalingsdienstaanbieders en andere financiële entiteiten — en is van kracht sinds januari 2025. Diezelfde entiteiten zijn ook onderworpen aan de EU AI-verordening voor alle AI-systemen die zij ontwikkelen of inzetten. De twee verordeningen hebben overlappende vereisten op het gebied van ICT-risicobeheer, incidentrapportage en beheer van externe ICT-dienstverleners.
DORA verplicht financiële entiteiten om hun ICT-dienstverleners — inclusief AI-leveranciers — te beheren via contractuele regelingen met specifieke vereisten (Art. 28-44). De AI-verordening verplicht afnemers onafhankelijk AI-governance-maatregelen te implementeren. Wanneer een AI-leverancier zowel een DORA ICT-derde partij als een AI-verordening-aanbieder is, moeten contracten aan beide regelgevingskaders voldoen.
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.