Preskočiť na obsah
7.40Pokročilý7 min

DORA riziko tretích strán v oblasti IKT: Kedy sa poskytovatelia AI považujú za kritických poskytovateľov IKT služieb

Blck Alpaca·
Definition

DORA riziko tretích strán v oblasti IKT označuje povinnosť finančných subjektov riadiť riziká vyplývajúce z externe zabezpečovaných IKT služieb. Podľa nariadenia (EÚ) 2022/2554 (DORA, účinné od 17. januára 2025) môžu byť poskytovatelia AI a LLM zachytení ako externí poskytovatelia IKT služieb a vtedy podliehajú súboru povinností článkov 28 až 30.

Key Takeaways

  • DORA (nariadenie EÚ 2022/2554) je účinné od 17. januára 2025 a upravuje riziko tretích strán v oblasti IKT finančných subjektov v článkoch 28 až 30.
  • Poskytovatelia AI/LLM môžu byť poskytovateľmi IKT služieb v zmysle DORA. Orientačná pomôcka BaFin z 18. decembra 2025 zaraďuje systémy AI ako podprípad sieťových a informačných systémov podľa čl. 3 ods. 2 DORA.
  • Každá zmluvná IKT služba musí byť zapísaná do informačného registra (Register of Information), ktorý sa nahlasuje príslušným orgánom dohľadu.
  • Dňa 18. novembra 2025 ESA po prvýkrát určili 19 kritických externých poskytovateľov IKT služieb (CTPP), medzi nimi AWS, Microsoft Azure, Google Cloud, Oracle, IBM, SAP, Deutsche Telekom, Equinix a Swift.
  • DORA čl. 30 vyžaduje pevný súbor zmluvných ustanovení: práva na audit, exit klauzuly, kontrolu subdodávateľov (sub-processor) ako aj SLA k rezidencii dát, latencii a výpočtovej kapacite.
  • Tento príspevok nie je právnym poradenstvom. Či je konkrétna AI služba relevantná z hľadiska DORA, vyžaduje posúdenie v jednotlivom prípade.

DORA riziko tretích strán v oblasti IKT označuje povinnosť finančných subjektov aktívne riadiť riziká vyplývajúce z externe zabezpečovaných IKT služieb. Podľa nariadenia (EÚ) 2022/2554 (DORA, účinné od 17. januára 2025) môžu byť poskytovatelia AI a LLM zachytení ako externí poskytovatelia IKT služieb a vtedy spúšťajú súbor povinností článkov 28 až 30: informačný register, zmluvné požiadavky, riadenie koncentračného rizika a prípadne rámec dohľadu pre kritických poskytovateľov.

  • Koho sa to týka? DORA sa zameriava na finančné subjekty (okrem iného inštitúcie podľa CRR, poisťovne podľa Solventnosti II), nie priamo na poskytovateľov AI. AI služba je zachytená prostredníctvom finančného subjektu.
  • Prečo AI? Orientačná pomôcka BaFin z 18. decembra 2025 zaraďuje systémy AI ako podprípad „sieťových a informačných systémov" podľa čl. 3 ods. 2 DORA a tým vťahuje celý súbor povinností DORA do governance AI.
  • Najprv kľúčová povinnosť: Každá zmluvná IKT služba – aj produktívne využívaná LLM služba – patrí do informačného registra, ktorý sa sprístupňuje orgánom dohľadu.

Prečo sa poskytovatelia AI/LLM stávajú poskytovateľmi IKT služieb

DORA nereguluje AI ako technológiu, ale digitálnu prevádzkovú odolnosť finančných subjektov. Rozhodujúcou pákou je široká definícia IKT služieb a sieťových a informačných systémov. Akonáhle finančný subjekt produktívne nasadí AI službu – napríklad hostovaný jazykový model, fraud-scoring API alebo cloudového dokumentového asistenta – stáva sa táto služba súčasťou jeho rizika tretích strán v oblasti IKT.

Orientačná pomôcka BaFin k IKT rizikám pri nasadení AI vo finančných subjektoch z 18. decembra 2025 robí túto súvislosť v nemeckej praxi dohľadu explicitnou: systémy AI sú podprípadom „sieťových a informačných systémov" podľa čl. 3 ods. 2 DORA. Tým pre záťaže (workloads) podporované AI platia povinnosti DORA k riadeniu IKT rizík (čl. 5 – 15), k testom odolnosti vrátane Threat-Led Penetration Testing (čl. 24 – 27) ako aj k riziku tretích strán v oblasti IKT (čl. 28 – 30). Orientačná pomôcka je formálne nezáväzná, no v praxi dohľadu materiálne obracia dôkazné bremeno: kto ju nedodržiava, musí pri kontrolách BaFin dokumentovať rovnocennosť alternatívnych opatrení. Adresátmi sú primárne inštitúcie podľa CRR a poisťovne podľa Solventnosti II.

Praktický dôsledok: poskytovateľ AI nepodlieha DORA „automaticky". Zachytená je služba prostredníctvom využívajúceho finančného subjektu – a ten musí svojho poskytovateľa riadiť, zmluvne zaviazať a dokumentovať tak, aby boli požiadavky DORA splniteľné.

Informačný register (Register of Information)

Centrálnym nástrojom riadenia rizika tretích strán v oblasti IKT je informačný register. Finančné subjekty musia viesť úplný zoznam všetkých zmluvných dohôd o IKT službách a sprístupniť ho príslušným orgánom dohľadu. Tento register zachytáva, akú funkciu služba podopiera, či podporuje kritickú alebo dôležitú funkciu, kto je poskytovateľom a ktorí subdodávatelia sú zapojení.

Pre AI to znamená: produktívne využívaná LLM alebo ML služba nie je „nástroj v marketingovom rozpočte", ale IKT služba podliehajúca registrácii, akonáhle zodpovedá zmluvnému externému zabezpečovaniu. Register je zároveň dátovým základom, na ktorom European Supervisory Authorities (ESA) rozpoznávajú, ktorí poskytovatelia sú v rámci sektora natoľko rozšírení, že ich treba klasifikovať ako kritických.

Kritickí externí poskytovatelia IKT služieb (CTPP) a rámec dohľadu

DORA zriaďuje vlastný rámec dohľadu (Oversight Framework) pre kritických externých poskytovateľov IKT služieb (Critical ICT Third-Party Providers, CTPP). Dňa 18. novembra 2025 ESA po prvýkrát určili 19 CTPP – medzi nimi AWS, Microsoft Azure, Google Cloud, Oracle, IBM, SAP, Deutsche Telekom, Equinix a Swift. Títo poskytovatelia podliehajú od roku 2026 priamemu dohľadu EÚ. DORA Joint Oversight Forum vykoná v priebehu roka 2026 prvé komplexné kontroly a pravdepodobne vydá záväzné odporúčania.

Dôležité pre diskusiu o AI: väčšina produktívnych AI/LLM záťaží dnes beží práve na týchto hyperscaleroch. Aj keď AI startup sám (zatiaľ) nie je určený ako CTPP, technicky často sedí na určenom poskytovateľovi. Dohľad nad hyperscalerom, ktorý je v základe, pritom nič nemení na vlastnej zodpovednosti finančného subjektu za externé zabezpečovanie, schopnosť exitu a koncentračné riziko.

Koncentračné riziko a exit stratégia

Koncentračné riziko je v kontexte AI obzvlášť výrazné. Keď je takmer každá banka v regióne DACH pri AI záťažiach odkázaná na jedného z mála určených hyperscalerov alebo na centrálne združené riešenia, vzniká systémový zhluk. DORA preto vyžaduje, aby finančné subjekty aktívne riadili svoju závislosť: exit plány treba testovať ročne a multi-cloud, resp. nahraditeľné stratégie sa fakticky vynucujú. Podľa výskumu zostáva systematická multi-cloud AI architektúra v roku 2026 technicky a komerčne náročná – medzera medzi „symbolickým exit plánom" a skutočne nacvičiteľnou zmenou poskytovateľa je reálnou témou dohľadu.

Požiadavky na externé zabezpečovanie a zmluvy (čl. 30)

DORA čl. 30 definuje povinný súbor zmluvných ustanovení pre IKT služby, ktorý nahrádza, resp. prekrýva existujúce režimy outsourcingu. EBA Outsourcing Guidelines (EBA/GL/2019/02) ako aj ESMA Outsourcing Guidelines (ESMA50-164-4285) boli prostredníctvom DORA čl. 28 – 30 podstatne modifikované. Kľúčové prvky ustanovení:

  • Povinné práva na audit a prístup pre finančné subjekty a dohľad
  • Exit klauzuly s usporiadanou cestou na výstup
  • Kontrola subdodávateľov (sub-processor)
  • Dohody o úrovni služieb (SLA) s prísľubmi k rezidencii dát, latencii a výpočtovej kapacite

Podľa výskumu sú tieto ustanovenia pri hyperscaleroch aktuálne vo veľkej miere štandardným textom, pri AI startupoch naopak častou prekážkou v obstarávaní (procurement blocker). Pre AI dodávateľov bez spoľahlivých práv na audit, bez transparentnosti subdodávateľov a bez dokumentovanej rezidencie dát sa proces výberu vo finančných domoch v regióne DACH často končí pred finálnym kolom.

Prehľad: Povinnosť, Koho sa týka, Súvislosť

Povinnosť

Koho sa týka

Súvislosť (podľa výskumu/DORA)

Riadenie IKT rizík vrátane AI záťaží

Finančné subjekty (inštitúcie podľa CRR, poisťovne podľa Solventnosti II)

DORA čl. 5 – 15; AI ako podprípad sieťových/informačných systémov podľa čl. 3 ods. 2 (orientačná pomôcka BaFin 18.12.2025)

Informačný register o IKT službách

Finančné subjekty; podliehajúce ohlasovaniu dohľadu

súbor povinností DORA k riziku tretích strán v oblasti IKT (čl. 28 – 30)

Súbor zmluvných ustanovení (audit, exit, sub-processor, SLA)

Finančné subjekty voči poskytovateľovi IKT/AI služieb

DORA čl. 30

Riadenie koncentračného rizika, ročné testovanie exit plánov

Finančné subjekty

požiadavka DORA; sprísnená určením CTPP

Rámec dohľadu pre kritických poskytovateľov

19 určených CTPP (napr. AWS, Azure, Google Cloud, SAP, IBM, Swift)

určenie ESA 18.11.2025; Joint Oversight Forum od roku 2026

Hlásenie závažných IKT incidentov

Finančné subjekty

hlásenie incidentov DORA; 525 hlásení pre BaFin Q1 – Q3 2025, ~70 % od úverových inštitúcií

Praktický príklad: LLM asistent v regionálnej banke

Stredne veľká banka zavádza interného znalostného asistenta podporeného LLM, ktorý beží cez API poskytovateľa AI, ktorý zasa hostuje na Microsoft Azure. Kroky relevantné z hľadiska DORA:

  1. Klasifikovať: Podopiera asistent kritickú alebo dôležitú funkciu? Ak áno, požiadavky sa sprísňujú.
  2. Registrovať: Zmluva a služba sa zapíšu do informačného registra – vrátane subdodávateľa Azure (určený CTPP).
  3. Zmluvne zabezpečiť (čl. 30): práva na audit, exit klauzula, transparentnosť subdodávateľov, SLA s rezidenciou dát v EÚ.
  4. Posúdiť koncentračné riziko: Leží kritická funkcia na jedinom hyperscaleri? Definovať cestu exitu a ročne testovať.
  5. Proces incidentov: Závažné IKT incidenty služby – napríklad halucinované regulačné citácie ako materiálna udalosť prevádzkového rizika (operational risk) – podliehajú podľa DORA hláseniu.

Pseudokód logiky governance:

```
ak AI_sluzba.je_zmluvne_externe_zabezpecovanie:
Register.zapisat(AI_sluzba, sub_processory=[Hyperscaler])
ak AI_sluzba.podopiera_kriticku_funkciu:
Zmluva.preverit(Cl30_ustanovenia) # audit, exit, SLA, sub-processor
ExitPlan.test(interval="rocne")
Koncentracne_riziko.posudit(poskytovatel, funkcia)
Incident.aktivovat_cestu_hlasenia(zavaznost="major")
```

Uvedené čísla článkov, dátumy a status CTPP pochádzajú z podkladového výskumu, resp. z overených znalostí o DORA. Tento príspevok nie je právnym poradenstvom; či a ako je DORA aplikovateľná na konkrétnu AI službu, vyžaduje posúdenie v jednotlivom prípade odbornou právnou a dohľadovou poradenskou činnosťou.

Pre agentúry a B2B rozhodovateľov

Pre marketingové agentúry a poskytovateľov služieb, ktorí dodávajú AI funkcie bankám, poisťovniam alebo iným finančným subjektom, je DORA tvrdým predajným kritériom, nie doplnkom. Kto chce predávať riešenia podporené LLM do regulovaného finančného sektora, mal by od začiatku zohľadňovať schopnosť auditu, transparentnosť subdodávateľov, rezidenciu dát v EÚ a spoľahlivú cestu exitu – inak projekt nestroskotá na kvalite modelu, ale na obstarávaní (procurement). Blck Alpaca podporuje pri koncepcii AI workflowov v súlade s DORA a ich začlenení do procesov externého zabezpečovania a dodávateľov, aby sa vaša AI iniciatíva vo finančnom sektore vôbec dostala do finálneho výberového kola. Právne posúdenie v jednotlivom prípade si doplňujúco zabezpečte u odbornej poradenskej činnosti.

Často kladené otázky

Spadá každý poskytovateľ AI automaticky pod DORA?
Nie. DORA sa zameriava na finančné subjekty, nie priamo na poskytovateľov AI. Ak však poskytovateľ AI/LLM poskytuje IKT službu pre zachytený finančný subjekt, táto služba sa stáva súčasťou rizika tretích strán v oblasti IKT daného finančného subjektu. Orientačná pomôcka BaFin z 18. decembra 2025 zaraďuje systémy AI ako podprípad sieťových a informačných systémov podľa čl. 3 ods. 2 DORA. Či je konkrétna služba zachytená, sa posudzuje v jednotlivom prípade.
Čo je Register of Information (informačný register)?
Informačný register je úplný zoznam všetkých zmluvných dohôd o IKT službách, ktorý musí finančný subjekt viesť a sprístupniť príslušným orgánom dohľadu. Tvorí základ, na ktorom ESA identifikujú kritických externých poskytovateľov IKT služieb. Produktívne využívaná AI služba patrí do tohto registra.
Čo znamená určenie za kritického externého poskytovateľa IKT služieb (CTPP)?
Dňa 18. novembra 2025 ESA po prvýkrát určili 19 kritických externých poskytovateľov IKT služieb, medzi nimi AWS, Microsoft Azure, Google Cloud, Oracle, IBM, SAP, Deutsche Telekom, Equinix a Swift. Tí podliehajú od roku 2026 priamemu dohľadu EÚ; DORA Joint Oversight Forum vykoná v priebehu roka 2026 prvé komplexné kontroly a pravdepodobne vydá záväzné odporúčania. Pre finančné subjekty pretrváva vlastná zodpovednosť za externé zabezpečovanie, exit plány a koncentračné riziko.
Aké zmluvné ustanovenia vyžaduje DORA pri poskytovateľoch IKT služieb?
DORA čl. 30 definuje povinný súbor ustanovení: práva na audit a prístup, exit klauzuly, kontrolu subdodávateľov (sub-processor) ako aj dohody o úrovni služieb (SLA) k rezidencii dát, latencii a výpočtovej kapacite. Pri hyperscaleroch je to podľa výskumu vo veľkej miere štandardný text, pri AI startupoch často prekážka v obstarávaní (procurement blocker).
Je tento článok právnym poradenstvom?
Nie. Tento príspevok zhŕňa overené základné body DORA a orientačnej pomôcky BaFin a nenahrádza právne posúdenie. Konkrétne povinnosti závisia od právnej formy, statusu dohľadu a usporiadania príslušnej IKT služby a vyžadujú posúdenie v jednotlivom prípade odbornou poradenskou činnosťou.

Ísť hlbšie?

Získajte nové analýzy priamo do schránky – alebo sa pozrite, ako tieto poznatky nasadzujeme pre firmy.

Odoberať newsletterNaše služby
NextPovinnosti DORA pre poskytovateľov AI, ktorí zásobujú finančné podniky