DORA (Digital Operation Resilliance Act) trer i kraft i EU 17. januar 2025 og setter med dette nye standarder for hvordan finanssektoren skal styrke operasjonell motstandskraft. Bakgrunnen for det nye regelverket, er finanssektorens økende risiko for å være avhengig av IKT-relaterte tjenester som blir stadig mer sårbare for forstyrrelser og cyberangrep.
Kunstig intelligens er med på å transformere finansnæringen ved effektivisering og personalisering. For å legge til rette for trygg, tillitsvekkende og etisk bruk av kunstig intelligens har EU utformet AI Act.
EU har store ambisjoner for Europas digitale tiår, og både DORA og AI Act er brikker i et større puslespill som sammen med en rekke andre reguleringsinitiativer skal bidra til å forme EUs digitale fremtid. Å se de kommende forordningene i sammenheng vil være nødvendig for å sørge for både kostnadseffektiv og robust etterlevelse av regelverk.
For finansvirksomheter, er både DORA og AI Act kritiske regulatoriske rammeverk som påvirker hvordan virksomheten kan utnytte og kontrollere risiko knyttet til digital operasjonell motstandskraft og kunstig intelligens. Begge lovverk setter klare krav til ansvarlighet og kontroll over teknologi og leverandørforhold, noe som fordrer en strategisk tilnærming til hvordan virksomhetene skal tilpasse seg for å sikre konkurransefortrinn og etterlevelse.
En av grunnpilarene i DORA handler om styring av leverandørrisiko. Forordningen stiller eksplisitte krav til hva en kontrakt mellom en finansvirksomhet og deres IKT-leverandører minimum skal inneholde for å sikre en fullstendig monitorering av finansvirksomheten. Krav til innhold strekker seg fra beskrivelser av tjenestene som skal leveres, til bestemmelser som skal sikre dataenes konfidensialitet, integritet og tilgjengelighet. Kontrakter som regulerer tjenester som er ansett som kritiske eller som understøtter viktige funksjoner, har flere krav enn de øvrige.
AI Act har en risikobaserttilnærming hvilket innebærer at forpliktelsene avhenger av hvilken risiko det aktuelle AI-systemet har for individets helse, sikkerhet og grunnleggende rettigheter. Finansvirksomheter som bruker kunstig intelligens ved eksempelvis vurdering av kredittverdighet eller kredittscore, risikovurdering knyttet til enkelte typer forsikring, eller automatisert rådgivning bør vurdere om bruken faller inn under AI Act‘s definisjon av «AI – system» og videre reguleringens klassifisering av risiko. AI systemer som faller inn under høy risiko medfører omfattende krav til blant annet testing, dokumentasjon, og risikohåndtering.
En av de viktigste forberedelsene finansvirksomheter må gjøre fremover er å styrke leverandørstyringen og sikre at dette skjer i tråd med nytt regelverk. For å møte kravene i DORA om leverandørstyring, må virksomhetene:
Kontraktene med IKT-leverandører skal ifølge DORA inneholde bestemmelser om håndtering av hendelser og avvik som kan påvirke driften, og det skal være prosedyrer for varsling, respons og gjenoppretting. Der leverandøren håndterer sensitiv informasjon krever DORA at kontrakten inkluderer bestemmelser om hvordan data lagres, behandles og sikres mot uautorisert tilgang. AI Act har også krav knyttet til blant annet teknisk robusthet og sikkerhet. For å effektivt oppfylle sentrale krav i begge regelverk anbefaler vi at man ser på kravene i sammenheng.
Kontrakten skal ellers inneholde bestemmelser for hvordan avtaleforholdet kan avsluttes på en kontrollert måte uten at det påvirker driften for finansinstitusjonen.
Deloitte Advokatfirma har bred erfaring med digital regulering og compliance i finanssektoren, og kan tilby bistand til både finansinstitusjoner og IKT-tredjepartsleverandører som ønsker å sikre etterlevelse av krav i både DORA og AI Act.
DORA representerer en omfattende regulering som sikrer at finansinstitusjoner kan håndtere digitale risikoer knyttet til deres IKT-tjenester, spesielt i samarbeid med tredjepartsleverandører. I en tid hvor kunstig intelligens blir stadig mer integrert i digitale løsninger, vil det måtte stilles strengere krav til hvordan AI håndteres gjennom kontrakter. Deloitte Advokatfirma tilbyr bred ekspertise på området og kan bistå med alt fra kontraktsutforming og compliance til håndtering av AI-risiko og exit-strategier.
Ved å samarbeide med Deloitte kan både finansinstitusjoner og deres leverandører være sikre på at de overholder DORA-kravene og samtidig forvalter AI-teknologi på en sikker og ansvarlig måte.