Sammenligning side om side
For vi gar inn i detaljene, her er en sammenligning av DORA og EU AI Act pa tvers av dimensjonene som er viktigst for finansinstitusjoner som tar i bruk AI.
| Dimensjon | DORA (EU 2022/2554) | EU AI Act (EU 2024/1689) |
|---|---|---|
| Rettslig form | Forordning (direkte anvendelig) | Forordning (direkte anvendelig) |
| Sektorfokus | Kun finansielle tjenester | Alle sektorer (horisontal regulering) |
| Primare enheter | ~22 000 finansielle enheter i EU + kritiske IKT-leverandorer | Tilbydere, brukere, importorer og distributorer av AI-systemer |
| Ikrafttredelse | 17. januar 2025 | Fasevis: aug. 2024 (ikrafttredelse) til aug. 2027 (full anvendelse) |
| Kjernefokus | Digital operasjonell motstandsdyktighet (IKT-risiko, testing, tredjeparter) | Risikobasert AI-styring (sikkerhet, grunnleggende rettigheter, transparens) |
| Risikoklassifisering | IKT-risikovurdering pa tvers av all drift | 4-trinns AI-risiko: uakseptabel, hoy, begrenset, minimal |
| Testkrav | Arlig grunnleggende testing + TLPT hvert 3. ar for utpekte enheter | Samsvarsvurdering for hoyrisiko AI for markedsplassering |
| Tredjepartstilsyn | Informasjonsregister, obligatoriske kontraktsklausuler, CTPP-tilsyn | Tilbyderforpliktelser flyter gjennom verdikjeden; brukers aktsomhetsplikt |
| Hendelsesrapportering | 4t forste / 72t mellom / 1 mnd endelig til tilsynsmyndighet | Rapportering av alvorlige hendelser til markedstilsynsmyndigheter |
| Sanksjoner | Fastsettes av tilsynsmyndigheter; CTPP-boter opptil 1 % daglig omsetning | Opptil EUR 35 mill. eller 7 % omsetning (forbudt); EUR 15 mill. eller 3 % (hoyrisiko) |
| Tilsynsmodell | Finansielle tilsynsmyndigheter (ECB, EBA, ESMA, EIOPA) + hovedtilsynsforere | Nasjonale markedstilsynsmyndigheter + EU AI Office |
DORA: Operasjonell motstandsdyktighet for finanssektoren
DORA (forordning (EU) 2022/2554) er en EU-forordning som utelukkende fokuserer pa a sikre at finansielle enheter kan motsta, reagere pa og gjenopprette seg etter IKT-relaterte forstyrrelser. Den adresserer den systemiske risikoen som opstar nar finanssektoren er sterkt avhengig av teknologi og et konsentrert sett av kritiske teknologileverandorer.
DORA gjelder for omtrent 22 000 finansielle enheter i EU, inkludert banker, forsikringsselskaper, verdipapirforetak, betalingsforetak, e-pengeforetak, kryptoaktiva-tjenesteleverandorer og sentrale motparter. Den bringer ogsa kritiske IKT-tredjepartsleverandorer (CTPP-er) under direkte EU-tilsyn for forste gang.
Forordningen er organisert rundt fem pilarer: IKT-risikostyring (art. 5-16), hendelseshandtering og -rapportering (art. 17-23), digital motstandsdyktighetstesting (art. 24-27), tredjepartsrisikostyring for IKT (art. 28-44) og informasjonsdeling (art. 45). For en komplett oversikt, se var DORA compliance-guide.
Kritisk for AI-diskusjonen: DORA behandler all programvare - inkludert AI-systemer - som IKT-aktiva. Enhver AI-modell eller ethvert AI-system distribuert innenfor en finansiell enhet faller innenfor DORAa virkeomrade som del av IKT-miljoet som ma vare motstandsdyktig, testet og styrt.
EU AI Act: Risikobasert AI-styring
EU AI Act (forordning (EU) 2024/1689) er verdens forste omfattende juridiske rammeverk for kunstig intelligens. Den gjelder horisontalt pa tvers av alle sektorer, inkludert finansielle tjenester, og regulerer AI-systemer basert pa risikonivat de utgjor for helse, sikkerhet og grunnleggende rettigheter.
AI Act klassifiserer AI-systemer i fire risikoniva. Uakseptabel risiko-AI (sosial scoring, sanntids biometrisk fjernidentifikasjon pa offentlige steder for rettshanding, med snevre unntak) er forbudt. Hoyrisiko-AI - som inkluderer kredittscoring, forsikringsprissetting og svindeldeteksjon i finans - ma oppfylle strenge krav til datakvalitet, transparens, menneskelig tilsyn, noyaktighet og robusthet. Begrenset risiko-AI (chatboter, folelsesgjenkjenning) krever transparensforpliktelser slik at brukere vet de samhandler med AI. Minimal risiko-AI (spamfiltre, AI-aktiverte spill) er i stor grad uregulert.
AI Act tilordner forpliktelser langs AI-verdikjeden. Tilbydere (de som utvikler eller plasserer AI pa markedet) bar de tyngste forpliktelsene: samsvarsvurderinger, teknisk dokumentasjon, kvalitetsstyringssystemer og overvaking etter markedsplassering. Brukere (de som benytter AI-systemer) ma sikre menneskelig tilsyn, overvake risiko, gjennomfore konsekvensutredning for grunnleggende rettigheter for hoyrisiko-AI, og informere enkeltpersoner nar de er gjenstand for AI-beslutninger.
Forordningen handeves av nasjonale markedstilsynsmyndigheter i hvert medlemsland, koordinert pa EU-niva av European AI Office etablert under EU-kommisjonen. AI Act tradte i kraft 1. august 2024, med bestemmelser som gjelder i faser til 2. august 2027.
Hvor DORA og AI Act overlapper
Nar en finansinstitusjon tar i bruk AI, gjelder begge forordningene samtidig. Flere overlappomrader skaper muligheter for integrert compliance.
Risikostyringsrammeverk
Begge forordningene krever strukturert risikostyring. DORA paplegger et IKT-risikostyringsrammeverk som dekker identifikasjon, beskyttelse, deteksjon, respons og gjenoppretting. AI Act krever et risikostyringssystem for hoyrisiko-AI som kjorer gjennom hele AI-systemets livssyklus. Finansielle enheter kan bygge ett enkelt risikorammeverk som adresserer bade IKT-motstandsdyktighetsrisiko (DORA) og AI-spesifikke risikoer (noyaktighet, skjevhet, robusthet).
Styring og ansvar
DORA krever at ledelsesorganet godkjenner og overvaker IKT-risikostyringsrammeverket, med personlig ansvar. AI Act krever at brukere av hoyrisiko-AI tilordner roller for menneskelig tilsyn og sikrer kompetanse hos ansatte. Begge krever styreniva-bevissthet om risikoene knyttet til teknologiene enheten bruker. En samlet styringsstruktur kan tilfredsstille begge sett med krav.
Dokumentasjon og journalforing
DORA krever et IKT-aktivaregister, et Informasjonsregister over IKT-tredjepartsavtaler og detaljerte hendelsesregistre. AI Act krever teknisk dokumentasjon, logging av AI-systemoperasjoner og registrering av samsvarsvurderinger. AI-systemer som ogsa er IKT-aktiva trenger dokumentasjon som tilfredsstiller begge rammeverk - en kombinert dokumentasjonstilnarming unngal duplisering.
Tredjepartsrisiko og leverandorkjede
DORA paplegger detaljert tredjepartstilsyn for IKT-leverandorer: obligatoriske kontraktsklausuler, aktsomhetsvurderinger for kontrakt, konsentrasjonsrisikoovervaking og exitstrategier. AI Act krever at forpliktelser flyter gjennom AI-verdikjeden, med brukere som gjennomforer aktsomhetsvurdering av AI-tilbydere. Nar et AI-system anskaffes fra en ekstern leverandor, gjelder bade DORAa IKT-tredjepartskrav og AI Acts verdikjedeforpliktelser samtidig.
Hvor DORA og AI Act skiller seg
Til tross for overlappen adresserer de to forordningene fundamentalt ulike bekymringer og paplegger distinkte forpliktelser som ikke kan tilfredsstilles av en enkelt compliance-aktivitet.
Hendelsesrapportering vs alvorlig hendelsesrapportering. DORA krever at finansielle enheter rapporterer IKT-relaterte hendelser til sin nasjonale tilsynsmyndighet innen 4 timer etter klassifisering, med mellom- og sluttrapporter som folger. AI Act krever at tilbydere og brukere rapporterer alvorlige hendelser - de som involverer dod, alvorlig skade pa helse, eiendom eller miljo, eller alvorlige brudd pa grunnleggende rettigheter - til markedstilsynsmyndigheter. Utloserne, tidslinjene, mottakerne og formatene er forskjellige.
Motstandsdyktighetstesting vs samsvarsvurdering. DORA krever lopende motstandsdyktighetstesting: sarbarhetsvurderinger, penetrasjonstesting, scenariotesting og for utpekte enheter, trusselbasert penetrasjonstesting (TLPT) hvert tredje ar. AI Act krever en samsvarsvurdering for et hoyrisiko AI-system plasseres pa markedet eller tas i bruk. DORA-testing er kontinuerlig og operasjonelt fokusert; AI Acts samsvarsvurdering er en pre-markedssjekk som verifiserer at systemet oppfyller vesentlige krav.
CE-merking og forbudte praksiser. AI Act innforer konsepter uten DORA-ekvivalent: CE-merking for hoyrisiko AI-systemer, en EU-database over hoyrisiko-AI, direkte forbud mot visse AI-praksiser (f.eks. sosial scoring, manipulativ AI, umaldrettede ansiktsgjenkjenningsdatabaser), og krav for generelle AI-modeller. Dette er AI-spesifikke styringsmekanismer som eksisterer utenfor DORAa virkeomrade for operasjonell motstandsdyktighet.
Konsekvensutredning for grunnleggende rettigheter. AI Act krever at brukere av hoyrisiko-AI gjennomforer konsekvensutredning for grunnleggende rettigheter for de tar slike systemer i bruk. DORA adresserer ikke grunnleggende rettigheter direkte - risikovurderingene fokuserer pa operasjonell motstandsdyktighet, forretningskontinuitet og finansiell stabilitet. En bank som distribuerer AI for kredittscoring ma gjennomfore bade en DORA IKT-risikovurdering og en AI Act konsekvensutredning for grunnleggende rettigheter.
Transparens og forklarbarhet. AI Act krever at hoyrisiko AI-systemer er tilstrekkelig transparente til at brukere kan tolke resultatene, og at enkeltpersoner informeres nar de er gjenstand for AI-baserte beslutninger. DORA paplegger ikke AI-spesifikke transparenskrav. Finansielle enheter ma adressere transparens under AI Act selv om deres DORA compliance-program er fullt modent.
AI i finanssektoren: Hvor begge forordningene slap til
Flere AI-bruksomrader i finanssektoren er klassifisert som hoyrisiko under AI Act vedlegg III og faller samtidig innenfor DORAa virkeomrade som IKT-tjenester. Disse dobbeltregulerte bruksomradene krever grundig compliance-planlegging.
Kredittscoring og kredittvurdering. AI Act vedlegg III, punkt 5(b) klassifiserer AI-systemer brukt til a vurdere kredittverdighet eller etablere kredittscore som hoyrisiko. Under DORA er det samme systemet et IKT-aktivum som stotter en kritisk eller viktig funksjon (utlan). Banken ma sikre at AI-modellen oppfyller AI Acts krav til datakvalitet, skjevhetstesting, menneskelig tilsyn og transparens, samtidig som den sikrer at den underliggende IKT-infrastrukturen er motstandsdyktig, testet og dekket av IKT-risikostyringsrammeverket under DORA.
Risikovurdering og prissetting i forsikring. AI Act vedlegg III, punkt 5(c) klassifiserer AI brukt til risikovurdering og prissetting i livs- og helseforsikring som hoyrisiko. Forsikrere som bruker AI til garantivurdering ma etterleve bade AI Acts samsvarsvurderingskrav og DORAa krav til operasjonell motstandsdyktighet. AI-modellens noyaktighet og rettferdighet styres av AI Act; systemets tilgjengelighet, gjenopprettbarhet og tredjepartsrisiko styres av DORA.
Svindeldeteksjon og hvitvasking. AI-systemer brukt i transaksjonsovervaking, svindeldeteksjon og AML-screening er IKT-aktiva under DORA og kan falle under AI Acts bestemmelser avhengig av hvordan de pavirker enkeltpersoner. Der slike systemer fatter eller vesentlig pavirker beslutninger om enkeltpersoner (f.eks. blokkering av transaksjoner, flagging av kontoer), kan de klassifiseres som hoyrisiko og underlegges krav om menneskelig tilsyn og transparens.
Dobbelt etterlevelse i praksis
For finansielle enheter som distribuerer hoyrisiko-AI betyr dobbelt etterlevelse a opprettholde to parallelle, men sammenkoblede styringsspor. DORA-sporet dekker operasjonell motstandsdyktighet: er AI-systemet i aktivaregisteret ditt, er det testet for motstandsdyktighet, er tredjepartsleverandoren styrt av passende kontrakter, har du en exitstrategi? AI Act-sporet dekker AI-styring: har systemet bestatt samsvarsvurdering, er menneskelig tilsyn pa plass, er enkeltpersoner informert, overvakes systemet for noyaktighet og skjevhet? Begge sporene rapporterer til samme ledelsesorgan, men de adresserer ulike risikoer og krever ulik ekspertise.
Tilsynsforventninger: AI som IKT under DORA
Europeiske finanstilsyn har begynt a adressere skjaeringspunktet mellom AI og operasjonell motstandsdyktighet. European Banking Authority (EBA) og nasjonale tilsynsmyndigheter har signalisert at AI-systemer distribuert av finansielle enheter klart faller innenfor DORAa virkeomrade som IKT-aktiva og -tjenester.
I desember 2025 publiserte EBA veiledning som klargjor at AI- og maskinlaringsmodeller brukt i beslutningsprosesser utgjor IKT-tjenester under DORA og ma inkluderes i IKT-risikostyringsrammeverket, aktivaregisteret, tredjepartsrisikovurderinger (der de leveres eksternt) og motstandsdyktighetstestprogrammer. Veiledningen understreker at AI-modellers ugjennomsiktighet ikke fritar finansielle enheter fra DORAa krav om a forsta, teste og dokumentere sitt IKT-miljo.
BaFin (Tysklands finanstilsynsmyndighet) har likeledes indikert at AI-systemer faller innenfor virkeomradet til DORAa IKT-risikostyring og tredjepartstilsynskrav. BaFins tilsynspraksis behandler AI-leverandorer som IKT-tredjepartsleverandorer underlagt de samme kontraktuelle kravene, risikovurderingene og exitplanleggingskravene som enhver annen teknologileverandor.
Den praktiske implikasjonen er klar: finansielle enheter kan ikke behandle DORA-etterlevelse og AI Act-etterlevelse som separate arbeidsstrommar som aldri krysser hverandre. Tilsynsmyndighetene forventer at AI styres som del av IKT-miljoet under DORA, og som en regulert teknologi under AI Act. DORA GRC-plattformen stotter begge dimensjoner, med integrert IKT-aktivastyring, AI-systemsporing og risikovurderingskapasiteter.
Tidslinjesammenligning
A forsta den fasebaserte tidslinjen for begge forordningene er avgjorende for planlegging. DORA er allerede fullt gjeldende; AI Act gjelder i faser.
| Dato | DORA | EU AI Act |
|---|---|---|
| Jan. 2023 | Tradte i kraft (16. jan. 2023) | — |
| Aug. 2024 | — | Tradte i kraft (1. aug. 2024) |
| Jan. 2025 | Full anvendelse (17. jan. 2025) | — |
| Feb. 2025 | — | Forbudte AI-praksiser gjelder (2. feb. 2025) |
| Aug. 2025 | — | GPAI-modellforpliktelser gjelder (2. aug. 2025) |
| Aug. 2026 | Pagaende (forste CTPP-utpekinger forventet) | Hoyrisiko AI-forpliktelser gjelder (2. aug. 2026) |
| Aug. 2027 | — | Full anvendelse for alle AI-systemer, inkl. vedlegg I hoyrisiko (2. aug. 2027) |
Vanlige sporsmal
Ja. EU AI Act (forordning 2024/1689) gjelder pa tvers av alle sektorer, inkludert finansielle tjenester. Finansinstitusjoner som utvikler, distribuerer eller bruker AI-systemer er underlagt AI Acts krav. Vedlegg III lister spesifikt kredittvurdering og kredittscoring som hoyrisiko AI-bruksomrader, sammen med AI brukt til risikovurdering og prissetting i livs- og helseforsikring. Banker, forsikrere og andre finansielle enheter som bruker AI pa disse omradene ma etterleve bade DORA og AI Act samtidig.
Ja. DORA definerer IKT-aktiva bredt til a inkludere programvare, maskinvare og tjenester som stotter forretningsdriften. Et AI-system distribuert innenfor en finansiell enhet - enten bygget internt eller anskaffet fra tredjepart - kvalifiserer som et IKT-aktivum under DORA. Dette betyr at det ma inkluderes i enhetens IKT-aktivaregister, dekkes av IKT-risikostyringsrammeverket, underlegges motstandsdyktighetstesting, og dersom det leveres av tredjepart, styres av tredjepartsrisikostyringskravene inkludert Informasjonsregisteret.
AI Act tradte i kraft 1. august 2024 med en fasebasert compliance-tidslinje. Forbudte AI-praksiser gjelder fra 2. februar 2025. Krav for generelle AI-modeller (GPAI) gjelder fra 2. august 2025. Forpliktelser for hoyrisiko AI-systemer - som er mest relevante for finanssektoren - gjelder fra 2. august 2026. Finansielle enheter bor forberede seg na, ettersom hoyrisiko AI-systemer brukt i kredittvurdering, forsikringsprissetting og svindeldeteksjon ma oppfylle krav til samsvarsvurdering, transparens og menneskelig tilsyn innen august 2026.
Delvis. Begge forordningene krever risikostyring, styringsansvar, dokumentasjon og hendelsesrelaterte prosesser. En finansiell enhet kan bygge et integrert compliance-rammeverk som adresserer begge. De har imidlertid distinkte krav: DORA fokuserer pa operasjonell motstandsdyktighet, hendelsesrapportering til finanstilsyn, tredjepartstilsyn og motstandsdyktighetstesting. AI Act fokuserer pa samsvarsvurdering, CE-merking, konsekvensutredning for grunnleggende rettigheter, transparensforpliktelser og menneskelig tilsyn med AI-beslutninger. Overlappen er sterkest innen risikostyring og styring; divergensen er storst innen testing og sertifisering.