Oversikt

Sammenligning side om side

For vi gar inn i detaljene, her er en sammenligning av DORA og EU AI Act pa tvers av dimensjonene som er viktigst for finansinstitusjoner som tar i bruk AI.

Dimensjon DORA (EU 2022/2554) EU AI Act (EU 2024/1689)
Rettslig form Forordning (direkte anvendelig) Forordning (direkte anvendelig)
Sektorfokus Kun finansielle tjenester Alle sektorer (horisontal regulering)
Primare enheter ~22 000 finansielle enheter i EU + kritiske IKT-leverandorer Tilbydere, brukere, importorer og distributorer av AI-systemer
Ikrafttredelse 17. januar 2025 Fasevis: aug. 2024 (ikrafttredelse) til aug. 2027 (full anvendelse)
Kjernefokus Digital operasjonell motstandsdyktighet (IKT-risiko, testing, tredjeparter) Risikobasert AI-styring (sikkerhet, grunnleggende rettigheter, transparens)
Risikoklassifisering IKT-risikovurdering pa tvers av all drift 4-trinns AI-risiko: uakseptabel, hoy, begrenset, minimal
Testkrav Arlig grunnleggende testing + TLPT hvert 3. ar for utpekte enheter Samsvarsvurdering for hoyrisiko AI for markedsplassering
Tredjepartstilsyn Informasjonsregister, obligatoriske kontraktsklausuler, CTPP-tilsyn Tilbyderforpliktelser flyter gjennom verdikjeden; brukers aktsomhetsplikt
Hendelsesrapportering 4t forste / 72t mellom / 1 mnd endelig til tilsynsmyndighet Rapportering av alvorlige hendelser til markedstilsynsmyndigheter
Sanksjoner Fastsettes av tilsynsmyndigheter; CTPP-boter opptil 1 % daglig omsetning Opptil EUR 35 mill. eller 7 % omsetning (forbudt); EUR 15 mill. eller 3 % (hoyrisiko)
Tilsynsmodell Finansielle tilsynsmyndigheter (ECB, EBA, ESMA, EIOPA) + hovedtilsynsforere Nasjonale markedstilsynsmyndigheter + EU AI Office

DORA

DORA: Operasjonell motstandsdyktighet for finanssektoren

DORA (forordning (EU) 2022/2554) er en EU-forordning som utelukkende fokuserer pa a sikre at finansielle enheter kan motsta, reagere pa og gjenopprette seg etter IKT-relaterte forstyrrelser. Den adresserer den systemiske risikoen som opstar nar finanssektoren er sterkt avhengig av teknologi og et konsentrert sett av kritiske teknologileverandorer.

DORA gjelder for omtrent 22 000 finansielle enheter i EU, inkludert banker, forsikringsselskaper, verdipapirforetak, betalingsforetak, e-pengeforetak, kryptoaktiva-tjenesteleverandorer og sentrale motparter. Den bringer ogsa kritiske IKT-tredjepartsleverandorer (CTPP-er) under direkte EU-tilsyn for forste gang.

Forordningen er organisert rundt fem pilarer: IKT-risikostyring (art. 5-16), hendelseshandtering og -rapportering (art. 17-23), digital motstandsdyktighetstesting (art. 24-27), tredjepartsrisikostyring for IKT (art. 28-44) og informasjonsdeling (art. 45). For en komplett oversikt, se var DORA compliance-guide.

Kritisk for AI-diskusjonen: DORA behandler all programvare - inkludert AI-systemer - som IKT-aktiva. Enhver AI-modell eller ethvert AI-system distribuert innenfor en finansiell enhet faller innenfor DORAa virkeomrade som del av IKT-miljoet som ma vare motstandsdyktig, testet og styrt.


EU AI Act

EU AI Act: Risikobasert AI-styring

EU AI Act (forordning (EU) 2024/1689) er verdens forste omfattende juridiske rammeverk for kunstig intelligens. Den gjelder horisontalt pa tvers av alle sektorer, inkludert finansielle tjenester, og regulerer AI-systemer basert pa risikonivat de utgjor for helse, sikkerhet og grunnleggende rettigheter.

AI Act klassifiserer AI-systemer i fire risikoniva. Uakseptabel risiko-AI (sosial scoring, sanntids biometrisk fjernidentifikasjon pa offentlige steder for rettshanding, med snevre unntak) er forbudt. Hoyrisiko-AI - som inkluderer kredittscoring, forsikringsprissetting og svindeldeteksjon i finans - ma oppfylle strenge krav til datakvalitet, transparens, menneskelig tilsyn, noyaktighet og robusthet. Begrenset risiko-AI (chatboter, folelsesgjenkjenning) krever transparensforpliktelser slik at brukere vet de samhandler med AI. Minimal risiko-AI (spamfiltre, AI-aktiverte spill) er i stor grad uregulert.

AI Act tilordner forpliktelser langs AI-verdikjeden. Tilbydere (de som utvikler eller plasserer AI pa markedet) bar de tyngste forpliktelsene: samsvarsvurderinger, teknisk dokumentasjon, kvalitetsstyringssystemer og overvaking etter markedsplassering. Brukere (de som benytter AI-systemer) ma sikre menneskelig tilsyn, overvake risiko, gjennomfore konsekvensutredning for grunnleggende rettigheter for hoyrisiko-AI, og informere enkeltpersoner nar de er gjenstand for AI-beslutninger.

Forordningen handeves av nasjonale markedstilsynsmyndigheter i hvert medlemsland, koordinert pa EU-niva av European AI Office etablert under EU-kommisjonen. AI Act tradte i kraft 1. august 2024, med bestemmelser som gjelder i faser til 2. august 2027.


Overlapp

Hvor DORA og AI Act overlapper

Nar en finansinstitusjon tar i bruk AI, gjelder begge forordningene samtidig. Flere overlappomrader skaper muligheter for integrert compliance.

1

Risikostyringsrammeverk

Begge forordningene krever strukturert risikostyring. DORA paplegger et IKT-risikostyringsrammeverk som dekker identifikasjon, beskyttelse, deteksjon, respons og gjenoppretting. AI Act krever et risikostyringssystem for hoyrisiko-AI som kjorer gjennom hele AI-systemets livssyklus. Finansielle enheter kan bygge ett enkelt risikorammeverk som adresserer bade IKT-motstandsdyktighetsrisiko (DORA) og AI-spesifikke risikoer (noyaktighet, skjevhet, robusthet).

2

Styring og ansvar

DORA krever at ledelsesorganet godkjenner og overvaker IKT-risikostyringsrammeverket, med personlig ansvar. AI Act krever at brukere av hoyrisiko-AI tilordner roller for menneskelig tilsyn og sikrer kompetanse hos ansatte. Begge krever styreniva-bevissthet om risikoene knyttet til teknologiene enheten bruker. En samlet styringsstruktur kan tilfredsstille begge sett med krav.

3

Dokumentasjon og journalforing

DORA krever et IKT-aktivaregister, et Informasjonsregister over IKT-tredjepartsavtaler og detaljerte hendelsesregistre. AI Act krever teknisk dokumentasjon, logging av AI-systemoperasjoner og registrering av samsvarsvurderinger. AI-systemer som ogsa er IKT-aktiva trenger dokumentasjon som tilfredsstiller begge rammeverk - en kombinert dokumentasjonstilnarming unngal duplisering.

4

Tredjepartsrisiko og leverandorkjede

DORA paplegger detaljert tredjepartstilsyn for IKT-leverandorer: obligatoriske kontraktsklausuler, aktsomhetsvurderinger for kontrakt, konsentrasjonsrisikoovervaking og exitstrategier. AI Act krever at forpliktelser flyter gjennom AI-verdikjeden, med brukere som gjennomforer aktsomhetsvurdering av AI-tilbydere. Nar et AI-system anskaffes fra en ekstern leverandor, gjelder bade DORAa IKT-tredjepartskrav og AI Acts verdikjedeforpliktelser samtidig.


Forskjeller

Hvor DORA og AI Act skiller seg

Til tross for overlappen adresserer de to forordningene fundamentalt ulike bekymringer og paplegger distinkte forpliktelser som ikke kan tilfredsstilles av en enkelt compliance-aktivitet.

Hendelsesrapportering vs alvorlig hendelsesrapportering. DORA krever at finansielle enheter rapporterer IKT-relaterte hendelser til sin nasjonale tilsynsmyndighet innen 4 timer etter klassifisering, med mellom- og sluttrapporter som folger. AI Act krever at tilbydere og brukere rapporterer alvorlige hendelser - de som involverer dod, alvorlig skade pa helse, eiendom eller miljo, eller alvorlige brudd pa grunnleggende rettigheter - til markedstilsynsmyndigheter. Utloserne, tidslinjene, mottakerne og formatene er forskjellige.

Motstandsdyktighetstesting vs samsvarsvurdering. DORA krever lopende motstandsdyktighetstesting: sarbarhetsvurderinger, penetrasjonstesting, scenariotesting og for utpekte enheter, trusselbasert penetrasjonstesting (TLPT) hvert tredje ar. AI Act krever en samsvarsvurdering for et hoyrisiko AI-system plasseres pa markedet eller tas i bruk. DORA-testing er kontinuerlig og operasjonelt fokusert; AI Acts samsvarsvurdering er en pre-markedssjekk som verifiserer at systemet oppfyller vesentlige krav.

CE-merking og forbudte praksiser. AI Act innforer konsepter uten DORA-ekvivalent: CE-merking for hoyrisiko AI-systemer, en EU-database over hoyrisiko-AI, direkte forbud mot visse AI-praksiser (f.eks. sosial scoring, manipulativ AI, umaldrettede ansiktsgjenkjenningsdatabaser), og krav for generelle AI-modeller. Dette er AI-spesifikke styringsmekanismer som eksisterer utenfor DORAa virkeomrade for operasjonell motstandsdyktighet.

Konsekvensutredning for grunnleggende rettigheter. AI Act krever at brukere av hoyrisiko-AI gjennomforer konsekvensutredning for grunnleggende rettigheter for de tar slike systemer i bruk. DORA adresserer ikke grunnleggende rettigheter direkte - risikovurderingene fokuserer pa operasjonell motstandsdyktighet, forretningskontinuitet og finansiell stabilitet. En bank som distribuerer AI for kredittscoring ma gjennomfore bade en DORA IKT-risikovurdering og en AI Act konsekvensutredning for grunnleggende rettigheter.

Transparens og forklarbarhet. AI Act krever at hoyrisiko AI-systemer er tilstrekkelig transparente til at brukere kan tolke resultatene, og at enkeltpersoner informeres nar de er gjenstand for AI-baserte beslutninger. DORA paplegger ikke AI-spesifikke transparenskrav. Finansielle enheter ma adressere transparens under AI Act selv om deres DORA compliance-program er fullt modent.


Dobbelt etterlevelse

AI i finanssektoren: Hvor begge forordningene slap til

Flere AI-bruksomrader i finanssektoren er klassifisert som hoyrisiko under AI Act vedlegg III og faller samtidig innenfor DORAa virkeomrade som IKT-tjenester. Disse dobbeltregulerte bruksomradene krever grundig compliance-planlegging.

Kredittscoring og kredittvurdering. AI Act vedlegg III, punkt 5(b) klassifiserer AI-systemer brukt til a vurdere kredittverdighet eller etablere kredittscore som hoyrisiko. Under DORA er det samme systemet et IKT-aktivum som stotter en kritisk eller viktig funksjon (utlan). Banken ma sikre at AI-modellen oppfyller AI Acts krav til datakvalitet, skjevhetstesting, menneskelig tilsyn og transparens, samtidig som den sikrer at den underliggende IKT-infrastrukturen er motstandsdyktig, testet og dekket av IKT-risikostyringsrammeverket under DORA.

Risikovurdering og prissetting i forsikring. AI Act vedlegg III, punkt 5(c) klassifiserer AI brukt til risikovurdering og prissetting i livs- og helseforsikring som hoyrisiko. Forsikrere som bruker AI til garantivurdering ma etterleve bade AI Acts samsvarsvurderingskrav og DORAa krav til operasjonell motstandsdyktighet. AI-modellens noyaktighet og rettferdighet styres av AI Act; systemets tilgjengelighet, gjenopprettbarhet og tredjepartsrisiko styres av DORA.

Svindeldeteksjon og hvitvasking. AI-systemer brukt i transaksjonsovervaking, svindeldeteksjon og AML-screening er IKT-aktiva under DORA og kan falle under AI Acts bestemmelser avhengig av hvordan de pavirker enkeltpersoner. Der slike systemer fatter eller vesentlig pavirker beslutninger om enkeltpersoner (f.eks. blokkering av transaksjoner, flagging av kontoer), kan de klassifiseres som hoyrisiko og underlegges krav om menneskelig tilsyn og transparens.

Dobbelt etterlevelse i praksis

For finansielle enheter som distribuerer hoyrisiko-AI betyr dobbelt etterlevelse a opprettholde to parallelle, men sammenkoblede styringsspor. DORA-sporet dekker operasjonell motstandsdyktighet: er AI-systemet i aktivaregisteret ditt, er det testet for motstandsdyktighet, er tredjepartsleverandoren styrt av passende kontrakter, har du en exitstrategi? AI Act-sporet dekker AI-styring: har systemet bestatt samsvarsvurdering, er menneskelig tilsyn pa plass, er enkeltpersoner informert, overvakes systemet for noyaktighet og skjevhet? Begge sporene rapporterer til samme ledelsesorgan, men de adresserer ulike risikoer og krever ulik ekspertise.


Tilsynslandskap

Tilsynsforventninger: AI som IKT under DORA

Europeiske finanstilsyn har begynt a adressere skjaeringspunktet mellom AI og operasjonell motstandsdyktighet. European Banking Authority (EBA) og nasjonale tilsynsmyndigheter har signalisert at AI-systemer distribuert av finansielle enheter klart faller innenfor DORAa virkeomrade som IKT-aktiva og -tjenester.

I desember 2025 publiserte EBA veiledning som klargjor at AI- og maskinlaringsmodeller brukt i beslutningsprosesser utgjor IKT-tjenester under DORA og ma inkluderes i IKT-risikostyringsrammeverket, aktivaregisteret, tredjepartsrisikovurderinger (der de leveres eksternt) og motstandsdyktighetstestprogrammer. Veiledningen understreker at AI-modellers ugjennomsiktighet ikke fritar finansielle enheter fra DORAa krav om a forsta, teste og dokumentere sitt IKT-miljo.

BaFin (Tysklands finanstilsynsmyndighet) har likeledes indikert at AI-systemer faller innenfor virkeomradet til DORAa IKT-risikostyring og tredjepartstilsynskrav. BaFins tilsynspraksis behandler AI-leverandorer som IKT-tredjepartsleverandorer underlagt de samme kontraktuelle kravene, risikovurderingene og exitplanleggingskravene som enhver annen teknologileverandor.

Den praktiske implikasjonen er klar: finansielle enheter kan ikke behandle DORA-etterlevelse og AI Act-etterlevelse som separate arbeidsstrommar som aldri krysser hverandre. Tilsynsmyndighetene forventer at AI styres som del av IKT-miljoet under DORA, og som en regulert teknologi under AI Act. DORA GRC-plattformen stotter begge dimensjoner, med integrert IKT-aktivastyring, AI-systemsporing og risikovurderingskapasiteter.


Tidslinje

Tidslinjesammenligning

A forsta den fasebaserte tidslinjen for begge forordningene er avgjorende for planlegging. DORA er allerede fullt gjeldende; AI Act gjelder i faser.

Dato DORA EU AI Act
Jan. 2023 Tradte i kraft (16. jan. 2023)
Aug. 2024 Tradte i kraft (1. aug. 2024)
Jan. 2025 Full anvendelse (17. jan. 2025)
Feb. 2025 Forbudte AI-praksiser gjelder (2. feb. 2025)
Aug. 2025 GPAI-modellforpliktelser gjelder (2. aug. 2025)
Aug. 2026 Pagaende (forste CTPP-utpekinger forventet) Hoyrisiko AI-forpliktelser gjelder (2. aug. 2026)
Aug. 2027 Full anvendelse for alle AI-systemer, inkl. vedlegg I hoyrisiko (2. aug. 2027)
Viktig poeng: Finansielle enheter er allerede underlagt DORA. Hoyrisiko AI-forpliktelser under AI Act gjelder fra august 2026. Enheter som bruker AI til kredittscoring, forsikringsgaranti eller andre vedlegg III-bruksomrader bor bygge sitt AI Act compliance-program na, integrert med deres eksisterende DORA-rammeverk.

FAQ

Vanlige sporsmal

Ja. EU AI Act (forordning 2024/1689) gjelder pa tvers av alle sektorer, inkludert finansielle tjenester. Finansinstitusjoner som utvikler, distribuerer eller bruker AI-systemer er underlagt AI Acts krav. Vedlegg III lister spesifikt kredittvurdering og kredittscoring som hoyrisiko AI-bruksomrader, sammen med AI brukt til risikovurdering og prissetting i livs- og helseforsikring. Banker, forsikrere og andre finansielle enheter som bruker AI pa disse omradene ma etterleve bade DORA og AI Act samtidig.

Ja. DORA definerer IKT-aktiva bredt til a inkludere programvare, maskinvare og tjenester som stotter forretningsdriften. Et AI-system distribuert innenfor en finansiell enhet - enten bygget internt eller anskaffet fra tredjepart - kvalifiserer som et IKT-aktivum under DORA. Dette betyr at det ma inkluderes i enhetens IKT-aktivaregister, dekkes av IKT-risikostyringsrammeverket, underlegges motstandsdyktighetstesting, og dersom det leveres av tredjepart, styres av tredjepartsrisikostyringskravene inkludert Informasjonsregisteret.

AI Act tradte i kraft 1. august 2024 med en fasebasert compliance-tidslinje. Forbudte AI-praksiser gjelder fra 2. februar 2025. Krav for generelle AI-modeller (GPAI) gjelder fra 2. august 2025. Forpliktelser for hoyrisiko AI-systemer - som er mest relevante for finanssektoren - gjelder fra 2. august 2026. Finansielle enheter bor forberede seg na, ettersom hoyrisiko AI-systemer brukt i kredittvurdering, forsikringsprissetting og svindeldeteksjon ma oppfylle krav til samsvarsvurdering, transparens og menneskelig tilsyn innen august 2026.

Delvis. Begge forordningene krever risikostyring, styringsansvar, dokumentasjon og hendelsesrelaterte prosesser. En finansiell enhet kan bygge et integrert compliance-rammeverk som adresserer begge. De har imidlertid distinkte krav: DORA fokuserer pa operasjonell motstandsdyktighet, hendelsesrapportering til finanstilsyn, tredjepartstilsyn og motstandsdyktighetstesting. AI Act fokuserer pa samsvarsvurdering, CE-merking, konsekvensutredning for grunnleggende rettigheter, transparensforpliktelser og menneskelig tilsyn med AI-beslutninger. Overlappen er sterkest innen risikostyring og styring; divergensen er storst innen testing og sertifisering.