Finansiella entiteter som lyder under DORA möter samtidiga skyldigheter enligt EU:s AI-förordning. Detta verktyg identifierar var DORA:s IKT-krav och AI-förordningens skyldigheter överlappar för din sektor och dina AI-användningsfall: kreditbedömning, bedrägeridetektering, algoritmisk handel, AML.
DORA (förordningen om digital operativ motståndskraft) har gällt sedan 17 januari 2025. EU:s AI-förordning tillämpas från olika datum under 2025–2028. Banker, försäkringsbolag, värdepappersföretag, betalningsinstitut och andra finansiella entiteter måste uppfylla båda regelverken samtidigt.
De två förordningarna delar avsevärd konceptuell grund — båda riktar sig mot IKT-riskhantering, tredjepartsberoenden och operativ motståndskraft — men med olika tillämpningsområden och skyldigheter.
| AI-användningsfall | DORA-skyldigheter | EU AI-förordningens skyldigheter |
|---|---|---|
| Kreditbedömning/lånebeslut | IKT-riskhantering (Art. 5–10); tredjepartsrisk om leverantören tillhandahåller det | Bilaga III högrisk (Art. 6); fullständiga kapitel III-skyldigheter; frist dec 2027 |
| Bedrägeridetektering | IKT-incidentklassificering (Art. 17–23); hantering av tredjepartsleverantörer | Bilaga III högrisk (angränsande till brottsbekämpning — kontrollera tillämpningsområdet); Art. 13 transparens mot driftsättare |
| Algoritmisk handel | IKT-ändringshantering (Art. 14–16); operativ risk | Troligen minimal risk eller enbart transparens; kontrollera om GPAI-modeller underbygger den |
| AML/transaktionsövervakning | IKT-motståndstestning (TLPT för betydande entiteter) | Potentiellt Bilaga III (koppling till brottsbekämpning); juridisk analys krävs |
| Kundservicechatbottar | IKT-operativ risk | Art. 50 transparens — måste avslöja AI-karaktär för användare |
| Försäkringsriskprissättning | IKT-tredjepartsrisk för modelleverantörer | Bilaga III högrisk (viktiga tjänster — försäkringsriskbedömning) |
IKT-tredjepartsrisk + AI-förordningens tillhandahållarskyldigheter: DORA Art. 28–44 kräver avtalsenliga klausuler med IKT-tjänsteleverantörer som täcker revisionsrättigheter, exitstrategier och prestandastandarder. När den IKT-leverantören också är en AI-förordnings-tillhandahållare, kräver AI-förordningen att tillhandahållaren levererar teknisk dokumentation, bruksanvisningar och stöd för övervakning efter utsläppande. Ett välformulerat leverantörsavtal kan uppfylla båda regelverken.
Incidentrapportering: DORA kräver rapportering av större IKT-relaterade incidenter till tillsynsmyndigheter. AI-förordningen kräver rapportering av allvarliga incidenter som involverar högrisk-AI till nationella marknadskontrollmyndigheter. För finansiella entiteter kan ett enda AI-fel (t.ex. ett avbrott i en kreditbedömningsmodell som orsakar systemrisk) utlösa båda rapporteringskedjorna simultant.
Motståndstestning: DORA:s hotledd penetrationstestning (TLPT) för betydande entiteter överlappar med AI-förordningens Art. 15 krav på robusthet och cybersäkerhet. Att kombinera båda testningsregimerna minskar duplicering.
För en detaljerad analys av regelverkets konvergens, se AI-förordningen vs. DORA vs. NIS2 →
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Ja. DORA gäller för kreditinstitut, försäkringsbolag, värdepappersföretag, betaltjänstleverantörer och andra finansiella entiteter — och har gällt sedan januari 2025. Dessa entiteter är även föremål för EU:s AI-förordning för AI-system de utvecklar eller driftsätter. De två förordningarna har överlappande krav kring IKT-riskhantering, incidentrapportering och hantering av tredjepartstjänstleverantörer.
DORA kräver att finansiella entiteter hanterar sina IKT-tjänsteleverantörer — inklusive AI-leverantörer — under avtalsmässiga arrangemang med specifika krav (Art. 28–44). AI-förordningen kräver separat att driftsättare implementerar AI-styrningsåtgärder. När en AI-leverantör är både en DORA IKT-tredje part och en AI-förordnings-tillhandahållare, måste avtal uppfylla båda regelverken.
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.