Finančné subjekty podliehajúce DORA čelia súčasným povinnostiam podľa nariadenia EÚ o AI. Tento nástroj identifikuje, kde sa požiadavky ICT podľa DORA a povinnosti nariadenia o AI prekrývajú pre váš sektor a prípady použitia AI: kreditné skóre, detekcia podvodov, algoritmické obchodovanie, AML.
DORA (nariadenie o digitálnej prevádzkovej odolnosti) platí od 17. januára 2025. Nariadenie EÚ o AI platí od rôznych dátumov v rokoch 2025–2028. Banky, poisťovne, investičné spoločnosti, platobné inštitúcie a iné finančné subjekty musia súčasne spĺňať obe.
Obe nariadenia zdieľajú výraznú konceptuálnu základňu — obe cieľajú na riadenie rizík ICT, závislosti od tretích strán a prevádzkovú odolnosť — ale s rôznymi rozsahmi a povinnosťami.
| Prípad použitia AI | Povinnosti DORA | Povinnosti nariadenia EÚ o AI |
|---|---|---|
| Kreditné skóre / úverové rozhodnutia | Riadenie rizík ICT (čl. 5–10); riziko tretích strán v prípade dodávateľa | Príloha III vysokorizikový (čl. 6); plné povinnosti podľa Kapitoly III; termín dec. 2027 |
| Detekcia podvodov | Klasifikácia incidentov ICT (čl. 17–23); riadenie TPSP tretích strán | Príloha III vysokorizikový (blízko presadzovania práva — skontrolujte rozsah); transparentnosť čl. 13 voči nasadzujúcim subjektom |
| Algoritmické obchodovanie | Riadenie zmien ICT (čl. 14–16); operačné riziko | Pravdepodobne minimálne riziko alebo len transparentnosť; skontrolujte, či ich podkladom sú modely GPAI |
| AML / monitorovanie transakcií | Testovanie odolnosti ICT (TLPT pre významné subjekty) | Potenciálne Príloha III (prepojenie s presadzovaním práva); vyžaduje sa právna analýza |
| Zákaznícky servis — chatboty | Operačné riziko ICT | Čl. 50 transparentnosť — musia zverejniť svoju povahu AI používateľom |
| Poistné oceňovanie rizík | Riziko tretích strán ICT pre predajcov modelov | Príloha III vysokorizikový (základné služby — hodnotenie poistného rizika) |
Riziko ICT tretích strán + povinnosti poskytovateľov podľa nariadenia o AI: Čl. 28–44 DORA vyžaduje zmluvné doložky s poskytovateľmi ICT služieb pokrývajúce práva na audit, stratégie ukončenia a výkonnostné normy. Keď je tento poskytovateľ ICT zároveň poskytovateľom podľa nariadenia o AI, nariadenie o AI vyžaduje, aby poskytovateľ dodal technickú dokumentáciu, pokyny na používanie a podporu post-market monitoringu. Jedna dobre vypracovaná zmluva s predajcom môže spĺňať obe.
Hlásenie incidentov: DORA nariaďuje hlásenie hlavných incidentov súvisiacich s ICT dozorným orgánom. Nariadenie o AI vyžaduje hlásenie závažných incidentov zahŕňajúcich vysokorizikové systémy AI národným orgánom trhového dohľadu. Pre finančné subjekty môže jediná zlyhanie AI (napr. výpadok modelu kreditného skórovania spôsobujúci systémové riziko) súčasne spustiť oba reportingové reťazce.
Testovanie odolnosti: Testovanie vedené hrozbami (TLPT) DORA pre významné subjekty sa prekrýva s požiadavkami na robustnosť a kybernetickú bezpečnosť podľa čl. 15 nariadenia o AI. Kombinácia oboch testovacích režimov znižuje duplicitu.
Podrobnú analýzu regulačnej konvergencie nájdete v časti Nariadenie o AI vs. DORA vs. NIS2 →
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Áno. DORA sa vzťahuje na úverové inštitúcie, poisťovne, investičné spoločnosti, poskytovateľov platobných služieb a iné finančné subjekty — a je v platnosti od januára 2025. Tieto subjekty sú tiež predmetom nariadenia EÚ o AI pre všetky systémy AI, ktoré vyvíjajú alebo nasadzujú. Obe nariadenia majú prekrývajúce sa požiadavky v oblasti riadenia rizík ICT, hlásenia incidentov a riadenia poskytovateľov služieb tretích strán.
DORA vyžaduje, aby finančné subjekty riadili svojich poskytovateľov ICT služieb — vrátane dodávateľov AI — prostredníctvom zmluvných dojednaní s konkrétnymi požiadavkami (čl. 28–44). Nariadenie o AI nezávisle vyžaduje, aby nasadzujúci subjekty implementovali opatrenia správy AI. Keď je dodávateľ AI súčasne treťou stranou ICT podľa DORA a poskytovateľom podľa nariadenia o AI, zmluvy musia spĺňať oba regulačné rámce.
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.