Finančni subjekti, ki jih zavezuje DORA, se soočajo s hkratnimi obveznostmi Akta EU o UI. To orodje identificira, kje se zahteve IKT po DORA in obveznosti Akta o UI prekrivajo za vaš sektor in primere uporabe UI: kreditno točkovanje, zaznavanje goljufij, algoritemsko trgovanje, preprečevanje pranja denarja.
DORA (Akt o digitalni operativni odpornosti) se uporablja od 17. januarja 2025. Akt EU o UI se uporablja od različnih datumov v obdobju 2025–2028. Banke, zavarovalnice, investicijska podjetja, plačilne institucije in drugi finančni subjekti morajo hkrati upoštevati oba.
Obe uredbi si delita znaten konceptualni prostor — obe ciljata na upravljanje IKT tveganj, odvisnosti od tretjih oseb in operativno odpornost — toda z različnimi obsegi in obveznostmi.
| Primer uporabe UI | Obveznosti DORA | Obveznosti Akta EU o UI |
|---|---|---|
| Kreditno točkovanje / kreditne odločitve | Upravljanje IKT tveganj (čl. 5–10); tveganje tretjih oseb, če jo zagotavlja prodajalec | Annex III visokotveganostna (čl. 6); polne obveznosti Poglavja III; rok dec. 2027 |
| Zaznavanje goljufij | Klasifikacija IKT incidentov (čl. 17–23); upravljanje tretjih oseb TPSP | Annex III visokotveganostna (primerljivo z kazenskim pregonom — preverite obseg); preglednost čl. 13 do izvajalcev |
| Algoritemsko trgovanje | Upravljanje sprememb IKT (čl. 14–16); operativno tveganje | Verjetno minimalno tveganje ali samo preglednost; preverite, ali so v ozadju modeli GPAI |
| Preprečevanje pranja denarja / spremljanje transakcij | Preizkušanje odpornosti IKT (TLPT za pomembne subjekte) | Potencialno Annex III (povezava s kazenskim pregonom); potrebna je pravna analiza |
| Klepetalniki za stranke | Operativno tveganje IKT | Preglednost čl. 50 — mora razkriti naravo UI uporabnikom |
| Določanje cen zavarovalnih tveganj | Tveganje tretjih oseb za prodajalce modelov | Annex III visokotveganostna (bistvene storitve — ocena zavarovalnih tveganj) |
Tveganje tretjih oseb IKT + obveznosti ponudnikov po Aktu o UI: DORA čl. 28–44 zahteva pogodbene klavzule s ponudniki IKT storitev, ki pokrivajo pravice revizije, strategije izhoda in standarde uspešnosti. Ko je ta ponudnik IKT hkrati ponudnik po Aktu o UI, Akt o UI zahteva, da ponudnik zagotovi tehnično dokumentacijo, navodila za uporabo in podporo za nadzor po trženju. Ena dobro sestavljena pogodba z dobaviteljem lahko izpolni oba.
Poročanje o incidentih: DORA zahteva poročanje nadzornim organom o večjih incidentih, povezanih z IKT. Akt o UI zahteva poročanje o resnih incidentih, ki vključujejo visokotveganostno UI, nacionalnim organom za nadzor trga. Za finančne subjekte bi ena napaka UI (npr. izpad modela za kreditno točkovanje, ki povzroča sistemsko tveganje) lahko hkrati sprožila obe poročevalni verigi.
Preizkušanje odpornosti: Preizkušanje z grožnjami (TLPT) za pomembne subjekte po DORA se prekriva z zahtevami čl. 15 Akta o UI glede robustnosti in kibernetske varnosti. Kombiniranje obeh preizkusnih režimov zmanjšuje podvajanje.
Za podrobno analizo regulativne konvergence glejte Akt o UI vs. DORA vs. NIS2 →
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Da. DORA se uporablja za kreditne institucije, zavarovalnice, investicijska podjetja, ponudnike plačilnih storitev in druge finančne subjekte — in je v veljavi od januarja 2025. Te iste institucije so prav tako zavezane Aktu EU o UI za vse sisteme UI, ki jih razvijajo ali uvajajo. Obe uredbi imata prekrivajoče se zahteve glede upravljanja IKT tveganj, poročanja o incidentih in upravljanja ponudnikov storitev tretjih oseb.
DORA od finančnih subjektov zahteva upravljanje njihovih ponudnikov IKT storitev — vključno s prodajalci UI — v okviru pogodbenih dogovorov s posebnimi zahtevami (členi 28–44). Akt o UI od izvajalcev neodvisno zahteva implementacijo ukrepov upravljanja UI. Ko je prodajalec UI hkrati tretja oseba IKT po DORA in ponudnik po Aktu o UI, morajo pogodbe izpolnjevati oba regulativna okvira.
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.