Podmioty finansowe podlegające DORA muszą jednocześnie spełniać obowiązki wynikające z EU AI Act. To narzędzie identyfikuje, gdzie wymogi ICT wynikające z DORA i obowiązki EU AI Act nakładają się dla Twojego sektora i zastosowań AI: scoring kredytowy, wykrywanie oszustw, handel algorytmiczny, AML.
DORA (Rozporządzenie o operacyjnej odporności cyfrowej) obowiązuje od 17 stycznia 2025 r. EU AI Act ma zastosowanie od różnych dat w latach 2025–2028. Banki, ubezpieczyciele, firmy inwestycyjne, instytucje płatnicze i inne podmioty finansowe muszą jednocześnie spełniać oba zestawy przepisów.
Dwa rozporządzenia mają znaczną część wspólną koncepcyjną — obie dotyczą zarządzania ryzykiem ICT, zależności od podmiotów zewnętrznych i odporności operacyjnej — ale z różnymi zakresami i obowiązkami.
| Zastosowanie AI | Obowiązki DORA | Obowiązki EU AI Act |
|---|---|---|
| Scoring kredytowy / decyzje kredytowe | Zarządzanie ryzykiem ICT (Art. 5–10); ryzyko zewnętrzne jeśli dostarczane przez dostawcę | Annex III wysokiego ryzyka (Art. 6); pełne obowiązki z rozdziału III; termin grudzień 2027 |
| Wykrywanie oszustw | Klasyfikacja incydentów ICT (Art. 17–23); zarządzanie zewnętrznymi dostawcami TPSP | Annex III wysokiego ryzyka (zbliżone do egzekwowania prawa — sprawdź zakres); przejrzystość Art. 13 dla podmiotów wdrażających |
| Handel algorytmiczny | Zarządzanie zmianami ICT (Art. 14–16); ryzyko operacyjne | Prawdopodobnie minimalne ryzyko lub wyłącznie przejrzystość; sprawdź, czy nie opiera się na modelach GPAI |
| AML / monitorowanie transakcji | Testy odporności ICT (TLPT dla znaczących podmiotów) | Potencjalnie Annex III (powiązanie z egzekwowaniem prawa); wymagana analiza prawna |
| Chatboty obsługi klienta | Ryzyko operacyjne ICT | Przejrzystość Art. 50 — muszą ujawniać użytkownikom swój charakter AI |
| Wycena ryzyka ubezpieczeniowego | Ryzyko zewnętrzne ICT dla dostawców modeli | Annex III wysokiego ryzyka (usługi niezbędne — ocena ryzyka ubezpieczeniowego) |
Ryzyko zewnętrzne ICT + obowiązki dostawcy EU AI Act: Art. 28–44 DORA wymaga klauzul umownych z dostawcami usług ICT obejmujących prawa do audytu, strategie wyjścia i standardy wydajności. Gdy dostawca ICT jest jednocześnie dostawcą w rozumieniu EU AI Act, EU AI Act wymaga od dostawcy dostarczenia dokumentacji technicznej, instrukcji użytkowania i wsparcia dla nadzoru posprzedażowego. Jedna dobrze sporządzona umowa z dostawcą może spełniać oba wymagania.
Zgłaszanie incydentów: DORA nakazuje zgłaszanie głównych incydentów związanych z ICT do organów nadzoru. EU AI Act wymaga zgłaszania poważnych incydentów z udziałem AI wysokiego ryzyka krajowym organom nadzoru rynku. Dla podmiotów finansowych pojedyncza awaria AI (np. przestój modelu scoringu kredytowego powodujący ryzyko systemowe) może jednocześnie uruchamiać oba łańcuchy sprawozdawcze.
Testy odporności: Testy penetracyjne oparte na zagrożeniach (TLPT) w ramach DORA dla znaczących podmiotów pokrywają się z wymogami robustności i cyberbezpieczeństwa Art. 15 EU AI Act. Połączenie obu reżimów testów ogranicza powielanie działań.
Szczegółową analizę konwergencji regulacyjnej znajdziesz w AI Act a DORA a NIS2 →
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Tak. DORA ma zastosowanie do instytucji kredytowych, zakładów ubezpieczeń, firm inwestycyjnych, dostawców usług płatniczych i innych podmiotów finansowych — i obowiązuje od stycznia 2025 r. Te same podmioty podlegają również EU AI Act w odniesieniu do wszelkich systemów AI, które opracowują lub wdrażają. Dwa rozporządzenia mają nakładające się wymagania w zakresie zarządzania ryzykiem ICT, zgłaszania incydentów i zarządzania zewnętrznymi dostawcami usług ICT.
DORA wymaga od podmiotów finansowych zarządzania dostawcami usług ICT — w tym dostawcami AI — w ramach umownych rozwiązań ze szczegółowymi wymaganiami (Art. 28–44). EU AI Act niezależnie wymaga od podmiotów wdrażających wdrożenia środków zarządzania AI. Gdy dostawca AI jest jednocześnie zewnętrznym dostawcą ICT w rozumieniu DORA i dostawcą w rozumieniu EU AI Act, umowy muszą spełniać oba ramy regulacyjne.
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.