Preskočiť na obsah
7.41Pokročilý7 min

Povinnosti DORA pre poskytovateľov AI, ktorí zásobujú finančné podniky

Blck Alpaca·
Definition

Povinnosti DORA pre poskytovateľov AI sú regulačné požiadavky z nariadenia EÚ 2022/2554, ktoré sa cez finančné podniky zmluvne prenášajú na dodávateľov AI. Kto zásobuje banky, poisťovne alebo poskytovateľov platobných služieb systémami AI, považuje sa za tretiu stranu poskytujúcu IKT a musí plniť práva na audit, príspevky k incident-reportingu, exit-klauzuly a kontroly sub-outsourcingu.

Key Takeaways

  • DORA (nariadenie (EÚ) 2022/2554, uplatniteľné od 17. januára 2025) nezaväzuje poskytovateľov AI priamo, ale pôsobí na nich zmluvne cez poverujúce finančné podniky.
  • Podľa orientačnej pomôcky BaFin z 18. decembra 2025 sa systémy AI považujú za sieťové a informačné systémy podľa čl. 3 bod 2 DORA, čím sa uplatní celý súbor povinností (čl. 5-15, 24-27, 28-30).
  • Centrálnou pákou je súbor zmluvných klauzúl podľa DORA čl. 30: práva na audit/prístup, exit-klauzuly, kontroly sub-processorov, SLA so záväzkami o dátovej rezidencii, latencii a výpočtovej kapacite.
  • Poskytovatelia AI musia prispievať k incident-reportingu; len samotnému BaFin bolo v prvých troch kvartáloch 2025 nahlásených 525 závažných IKT-incidentov, približne 70 percent od úverových inštitúcií.
  • Dňa 18. novembra 2025 ESAs designovali 19 Critical ICT Third-Party Provider (o. i. AWS, Microsoft Azure, Google Cloud, IBM, SAP), ktorí od roku 2026 podliehajú priamemu dohľadu EÚ.
  • Bez zmluvne použiteľných DORA-klauzúl AI-startupy pravidelne neuspejú vo výberových konaniach DACH-BFSI; u hyperscalerov je súbor klauzúl už štandardným textom.

Povinnosti DORA pre poskytovateľov AI sú regulačné požiadavky z nariadenia EÚ 2022/2554 (Digital Operational Resilience Act), ktoré sa cez poverujúce finančné podniky zmluvne prenášajú na dodávateľov AI. Kto zásobuje banky, poisťovne alebo poskytovateľov platobných služieb systémami AI, považuje sa za tretiu stranu poskytujúcu IKT a musí plniť zmluvné minimálne obsahy, práva na audit a prístup, príspevky k incident-reportingu ako aj pravidlá exitu a sub-outsourcingu. DORA je uplatniteľná od 17. januára 2025.

  • Nie priamo, ale s plným prenosom: DORA nereguluje poskytovateľov AI bezprostredne, ale núti finančné podniky preniesť všetky požiadavky zmluvne ďalej.
  • AI je IKT: Od orientačnej pomôcky BaFin z 18. decembra 2025 sa systémy AI považujú za sieťové a informačné systémy podľa čl. 3 bod 2 DORA, čím sa uplatní celý súbor povinností.
  • Pákou je zmluva: Bez DORA-konformných klauzúl (čl. 30) sa poskytovatelia AI vo výberových konaniach DACH-BFSI typicky nedostanú do finálneho výberového kola.

Prečo sa DORA prenáša na poskytovateľov AI

DORA formálne oslovuje finančné podniky pod dohľadom, primárne inštitúcie podľa CRR a poisťovne podľa Solvency II. Poskytovatelia AI nie sú regulovaní bezprostredne, ale sú zachytení ako tretie strany poskytujúce IKT. Mechanizmus je nepriamy, ale účinný: finančné podniky sú povinné preniesť požiadavky DORA zmluvne na svojich dodávateľov. Kto teda predáva inštitúcii pod dohľadom algoritmus na detekciu podvodov, RAG-podporovaný asistent pre zamestnancov alebo underwriting-model, dedí povinnosti cez zmluvný rámec.

Rozhodujúci výkladový krok pre AI pochádza z Nemecka: orientačná pomôcka BaFin k IKT-rizikám pri nasadení AI vo finančných podnikoch z 18. decembra 2025 výslovne zakotvuje systémy AI ako podprípad sieťových a informačných systémov podľa čl. 3 bod 2 DORA. Je formálne nezáväzná, no v praxi dohľadu materiálne obracia dôkazné bremeno: kto sa ňou neriadi, musí pri kontrolách BaFin dokumentovať rovnocennosť alternatívnych opatrení. Tým BaFin vťahuje celý súbor povinností DORA do AI-governance:

  • Čl. 5-15 – riadenie IKT-rizík
  • Čl. 24-27 – testy odolnosti, vrátane Threat-Led Penetration Testing (TLPT)
  • Čl. 28-30 – riadenie rizika tretích strán v oblasti IKT

Vo Švajčiarsku preberá funkčne porovnateľnú úlohu oznámenie dohľadu FINMA 08/2024 z 18. decembra 2024, no nie je s líniou BaFin plne zhodné. V Rakúsku podľa stavu východiskovej rešerše (máj 2026) neexistuje formálne sektorové AI-usmernenie FMA; rakúske inštitúcie sa v praxi opierajú o BaFin a EBA.

Päť zväzkov povinností v detaile

Pre poskytovateľov AI sa DORA konkretizuje predovšetkým v režime tretích strán (čl. 28-30) a v súbore zmluvných klauzúl čl. 30. Nasledujúca tabuľka prekladá centrálne požiadavky do ich významu pre dodávateľov AI.

Požiadavka (väzba na DORA)

Význam pre poskytovateľov AI

Zmluvné minimálne obsahy (súbor klauzúl čl. 30)

Štandardizované povinné klauzuly musia byť dojednateľné a podpísateľné: opis výkonu, dátová rezidencia, záväzky o latencii a výpočtovej kapacite. U hyperscalerov štandardný text, u AI-startupov častejší procurement-blocker.

Práva na audit a prístup (čl. 30)

Finančné podniky a dohľad (mimoriadna kontrola BaFin, kontrola FINMA na mieste, kontrola OeNB na mieste) získavajú práva na kontrolu a prístup. Poskytovatelia AI musia dodať audit-trails odolné voči revízii: na každú inference prompt, kontext, retrieval-zdroje, verziu modelu a výstup.

Príspevky k incident-reportingu

AI-incidenty (halucinované regulačné citácie, halucinované portfóliové dáta, drift modelu) sa považujú za materiálne operačné riziká. Poskytovatelia musia poskytovať takú súčinnosť, aby objednávateľ mohol včas splniť svoju DORA-povinnosť hlásenia incidentov.

Exit-stratégie (čl. 28)

Riadený odchod bez prerušenia prevádzky musí byť zmluvne zabezpečený. Finančné podniky testujú exit-plány každoročne; export dát, formáty odovzdania a reverzibilita sa musia preukázať.

Kontroly sub-outsourcingu (čl. 30)

Nasadenie sub-processorov (napr. nadväzujúce modelové, inferenčné alebo hosting-služby) podlieha kontrolným, informačným a sčasti schvaľovacím právam. Dodávateľský reťazec musí ostať transparentný a riaditeľný.

Zmluvné minimálne obsahy a práva na audit

Súbor zmluvných klauzúl čl. 30 je praktickým jadrom. Vyžaduje záväzné práva na audit, exit-klauzuly, kontroly sub-processorov ako aj dohody o úrovni služieb (SLA) so záväzkami o dátovej rezidencii, latencii a výpočtovej kapacite. Pre poskytovateľov AI to konkrétne znamená: architektúra musí byť od začiatku postavená tak, aby každá inferencia mohla byť protokolovaná odolne voči revízii. Pri mimoriadnych kontrolách dohľadu očakáva dohľad, že interne zodpovedná osoba dokáže AI-výstup nielen reprodukovať, ale aj pomenovať hnacie faktory. To prakticky vylučuje čisté black-box modely v rolách blízkych rozhodovaniu.

Incident-reporting

AI-špecifické chybové prejavy sa v kontexte BFSI ošetrujú ako operačné riziká a môžu podliehať ohlasovacej povinnosti. Rozsah zdôrazňuje relevanciu: len samotnému BaFin bolo v prvých troch kvartáloch 2025 nahlásených celkovo 525 závažných IKT-incidentov, z toho približne 70 percent od úverových inštitúcií. Poskytovatelia AI sami zriedka podliehajú ohlasovacej povinnosti, no musia zmluvne a technicky zabezpečiť, aby finančný podnik včas dostal potrebné informácie.

Exit-stratégie a sub-outsourcing

Exit-plány treba testovať každoročne; v kombinácii s CTPP-designáciou sú multi-cloud stratégie fakticky vynútené. Pre poskytovateľov AI to znamená preukázať prenositeľnosť dát, zdokumentované procesy odovzdania a reverzibilitu. Pri sub-outsourcingu musí byť celý reťazec odhalený a kontrolovateľný – relevantné práve vtedy, keď poskytovateľ AI sám odoberá inferenciu foundation modelu, vektorové databázy alebo GPU-kapacitu od tretích strán.

Riziko koncentrácie a 19 CTPPs

Dňa 18. novembra 2025 ESAs (EBA, EIOPA, ESMA) po prvý raz designovali 19 Critical ICT Third-Party Provider (CTPPs) – medzi nimi AWS, Microsoft Azure, Google Cloud, Oracle, IBM, SAP, Deutsche Telekom, Equinix a Swift. Týchto 19 poskytovateľov od roku 2026 podlieha priamemu dohľadu EÚ; DORA Joint Oversight Forum vykoná v priebehu roka 2026 prvé komplexné kontroly a pravdepodobne vydá záväzné odporúčania. Pre poskytovateľov AI, ktorých workloady bežia na niektorom z týchto hyperscalerov, to znamená dodatočné pozorovanie a sprísnené riziko koncentrácie na strane objednávateľa. EBA navyše v októbri 2025 prevzal šesť pilierov BSI-Test-Criteria-Catalogue (výkon, robustnosť, fairness, vysvetliteľnosť, compliance, ochrana spotrebiteľa) ako základ pre svoje nadchádzajúce AI Risk Management Guidelines – de facto procurement-benchmark pre DACH-banky a poisťovne.

Dôležité pre zaradenie: EBA Outsourcing Guidelines (EBA/GL/2019/02) a ESMA-Outsourcing-Guidelines (ESMA50-164-4285) platia naďalej, boli však prostredníctvom DORA čl. 28-30 podstatne modifikované. DORA tým nie je jediným, ale rozhodujúcim režimom tretích strán.

Praktický príklad: AI-knowledge-agent v RFP banky stredného segmentu

Poskytovateľ AI ponúka stredne veľkej DACH-inštitúcii (bilančná suma v nízkej dvojcifernej miliardovej oblasti) RAG-podporovaný asistent pre zamestnancov na internú rešerš. Vo verejnom obstarávaní nezlyháva model, ale zmluva. Typické blokátory a ich riešenie:

```text
RFP-Gate (poháňané DORA) Stav startup Vyžadované (čl. 30 / 28)
-------------------------------- --------------- ----------------------------
Práva na audit/prístup pre BaFin chýba zmluvne zaručiť
Inference-log odolný voči revízii čiastočne Prompt + zdroj + verzia modelu
Exit-klauzula + export dát chýba ročne testovateľné, reverzibilné
Transparentnosť sub-processorov nejasné odhaliť reťazec + kontrolné právo
Dátová rezidencia (EÚ / suverénna) Hyperscaler-US EÚ-/Sovereign-Cloud-opcia
AIC4 / ISO 42001 / 27001 / SOC 2 len ISO 27001 doložiť atestácie
```

Až keď poskytovateľ zmluvne zaručí EÚ-dátovú rezidenciu, kompletné inference-logging a riadený exit-proces, dostane sa do finálneho kola. AI-vendori bez BSI AIC4, ISO 42001, SOC 2 alebo ISO 27001 sa vo výberových konaniach DACH-BFSI v roku 2026 typicky nedostanú do koncového výberu. Uprednostňované sú suverénne cloudy (napr. STACKIT, Open Telekom Cloud, IONOS Sovereign Cloud v DE; Swisscom, Exoscale, Infomaniak v CH) alebo on-premise združené riešenia.

Poznámka: Tento príspevok slúži na odbornú orientáciu a nie je právnym poradenstvom. Konkrétny stav povinností DORA, väzby na články a lehoty treba v jednotlivom prípade preveriť s kvalifikovanými právnymi a compliance funkciami; regulačné zdroje sú v rokoch 2025/2026 v pohybe.

Pre agentúry a B2B-poskytovateľov

Kto vyvíja AI-produkty alebo content pre finančný sektor, mal by DORA-konformitu zohľadňovať nie ako právnu tému na konci, ale ako predpoklad architektúry a go-to-market od začiatku. Compliance-vrstva tvorí v regulovaných DACH-odvetviach podľa skúseností 30 až 50 percent implementačnej náročnosti – viac ako v horizontálnych odvetviach. Pre marketingové a tech-agentúry je to dvojitý signál: po prvé, obsahy, ktoré presne a spoľahlivo vysvetľujú požiadavky DORA pre poskytovateľov AI, vyhľadávajú rozhodovatelia v bankách a poisťovniach. Po druhé, preukázateľná audit-spôsobilosť, dátová rezidencia a testovateľná exit-cesta sú to, čo v RFP rozhoduje o prijatí alebo odmietnutí. Blck Alpaca vás podporí pri tom, aby ste AI-zámery pre regulovaných objednávateľov nastavili a komunikovali tak, aby prešli procurement-gates finančného sektora.

Často kladené otázky

Platí DORA priamo pre poskytovateľov AI?
Nie. DORA oslovuje primárne finančné podniky pod dohľadom, teda inštitúcie podľa CRR a poisťovne podľa Solvency II. Poskytovatelia AI nie sú regulovaní bezprostredne, ale sú zachytení ako tretie strany poskytujúce IKT: finančné podniky sú povinné preniesť požiadavky DORA zmluvne na svojich dodávateľov. Fakticky sa tým povinnosti v plnom rozsahu prenášajú na poskytovateľov AI. Výnimku tvorí 19 designovaných Critical ICT Third-Party Provider, ktorí od roku 2026 podliehajú priamemu dohľadu EÚ.
Prečo vôbec systémy AI spadajú pod DORA?
Orientačná pomôcka BaFin k IKT-rizikám pri nasadení AI z 18. decembra 2025 zakotvuje systémy AI ako podprípad sieťových a informačných systémov podľa čl. 3 bod 2 DORA. Tým vťahuje celý súbor povinností DORA do AI-governance: riadenie IKT-rizík (čl. 5-15), testy odolnosti vrátane Threat-Led Penetration Testing (čl. 24-27) a riziko tretích strán v oblasti IKT (čl. 28-30).
Aké zmluvné obsahy konkrétne vyžaduje DORA čl. 30?
Súbor zmluvných klauzúl podľa čl. 30 vyžaduje záväzné práva na audit a prístup pre finančné podniky a dohľad, exit-klauzuly s riadeným odchodom, kontrolné práva nad sub-processormi (sub-outsourcing) ako aj dohody o úrovni služieb (SLA) so záväzkami o dátovej rezidencii, latencii a výpočtovej kapacite. U hyperscalerov je to štandardný text, u AI-startupov častý procurement-blocker.
Čo znamená CTPP-designácia pre poskytovateľov AI?
Dňa 18. novembra 2025 ESAs po prvý raz designovali 19 Critical ICT Third-Party Provider, medzi nimi AWS, Microsoft Azure, Google Cloud, Oracle, IBM, SAP, Deutsche Telekom, Equinix a Swift. Tí od roku 2026 podliehajú priamemu dohľadu EÚ. AI-workloady na týchto hyperscaleroch sú pod dodatočným pozorovaním; finančné podniky musia exit-plány každoročne testovať a sú fakticky tlačené k multi-cloud stratégiám.
Musia poskytovatelia AI prispievať k incident-reportingu?
Áno. Incidenty v systémoch AI, napríklad halucinované regulačné citácie, halucinované dáta o klientskom portfóliu alebo drift modelu v produktívnych scoringových systémoch, sa v kontexte BFSI považujú za materiálne operačné riziká a môžu podliehať ohlasovacej povinnosti. Poskytovatelia AI musia svojim objednávateľom zmluvne poskytovať súčinnosť, aby tí mohli plniť svoje DORA-povinnosti hlásenia incidentov. BaFin bolo v prvých troch kvartáloch 2025 nahlásených 525 závažných IKT-incidentov.

Ísť hlbšie?

Získajte nové analýzy priamo do schránky – alebo sa pozrite, ako tieto poznatky nasadzujeme pre firmy.

Odoberať newsletterNaše služby
PreviousDORA riziko tretích strán v oblasti IKT: Kedy sa poskytovatelia AI považujú za kritických poskytovateľov IKT služiebNextZmluvy s IT poskytovateľmi v súlade s DORA (čl. 28 a nasl.)