Sebastien Rousseau

DORA ۲۰۲۶، قانون هوش مصنوعی اتحادیه اروپا ۲۰۲۶، حاکمیت داده بانک‌ها، تاب‌آوری عملیاتی، ریسک تمرکز ابری، انطباق هوش مصنوعی در خدمات مالی، هوش مصنوعی پرخطر

DORA، قانون هوش مصنوعی اتحادیه اروپا و حاکمیت داده: پشتهٔ انطباق ۲۰۲۶ برای بانک‌ها

پشتهٔ انطباق ۲۰۲۶ یک زونکن سیاستی نیست. یک معماری داده، ابر، هوش مصنوعی و تاب‌آوری عملیاتی است که می‌تواند کنترل را زیر فشار اثبات کند.

14 min read
Banner for: DORA، قانون هوش مصنوعی اتحادیه اروپا و حاکمیت داده: پشتهٔ انطباق ۲۰۲۶ برای بانک‌ها

DORA، قانون هوش مصنوعی اتحادیه اروپا و حاکمیت داده: پشتهٔ انطباق ۲۰۲۶ برای بانک‌ها

پشتهٔ انطباق اتحادیه اروپا در سال ۲۰۲۶ دیگر یک موضوع رو به آینده نیست. DORA از ۱۷ ژانویه ۲۰۲۵ در اجرای فعال بوده است. تعهدات پرخطرِ قانون هوش مصنوعی اتحادیه اروپا در ۲ اوت ۲۰۲۶ به‌طور کامل لازم‌الاجرا می‌شوند — هشت هفته پس از تاریخ انتشار این مقاله. Schrems II به‌همراه چارچوب حریم خصوصی دادهٔ اتحادیه اروپا-ایالات متحده واقعیت عملیاتی انتقال‌های فرامرزی داده است، نه یک دغدغهٔ آتی. ریسک تمرکز ابری از طریق EBA/GL/2019/02 ⧉ و رژیم تعیین ارائه‌دهندهٔ شخص ثالث حیاتی (CTPP) در DORA، درون محیط برون‌سپاری EBA قرار دارد. نهادهایی که هنوز این را به‌مثابهٔ یک دستور کار «آماده‌سازی» قاب‌بندی می‌کنند، پیشاپیش دو چرخهٔ مقرراتی را باخته‌اند.


خلاصهٔ اجرایی / نکات کلیدی

  • DORA در فاز حسابرسی است. مقررات (EU) 2022/2554 ⧉ مواد ۶ (چارچوب مدیریت ریسک فناوری اطلاعات و ارتباطات)، ۸ (دفتر اطلاعات)، ۱۸ (گزارش‌دهی حوادث)، ۲۶ (آزمون نفوذ مبتنی بر تهدید) و رژیم CTPP بر پایهٔ مواد ۲۸ تا ۴۴، ۱۶ ماه است که لازم‌الاجرا هستند. انتظارات نظارتی اکنون یافته‌های رسمی آزمون هستند، نه اظهارنظر مشورتی.
  • مهلت پرخطرِ قانون هوش مصنوعی اتحادیه اروپا ۲ اوت ۲۰۲۶ است. بند ۵(ب) پیوست سوم اعتبارسنجی را پوشش می‌دهد؛ بند ۱ شناسایی بیومتریک هنگام پذیرش مشتری را پوشش می‌دهد؛ بند ۷ ارزیابی ریسک بیمهٔ عمر و سلامت را پوشش می‌دهد. تعهدات مواد ۱۶ تا ۲۹ — مدیریت ریسک، حاکمیت داده، مستندات فنی، نگهداری سوابق، شفافیت، نظارت انسانی، دقت و امنیت سایبری — از آن تاریخ اعمال می‌شوند.
  • انتقال‌های فرامرزی داده یعنی SCCها + TIA، نه «حاکمیت داده»ی مبهم. بندهای قراردادی استاندارد، ارزیابی‌های اثر انتقال، اقدامات تکمیلی در جایی که TIA نشان دهد لازم‌اند. DPF تنها گیرندگان آمریکایی دارای گواهی DPF را پوشش می‌دهد؛ هر چیز دیگری همچنان به SCCها + TIA نیاز دارد. کمیسیون حفاظت داده ایرلند، CNIL و Garante همگی در سال ۲۰۲۵ تصمیمات اجرایی صادر کرده‌اند.
  • تمرکز ابری مهندسی می‌شود، نه اعلام. فعال-فعالِ چندمنطقه‌ای برای خدمات حیاتی؛ طرح خروج مستند با شواهد اجرای آزموده‌شده؛ ارزیابی‌های جایگزین‌پذیری بر پایهٔ ردهٔ خدمت؛ یک دفتر فناوری اطلاعات و ارتباطات شخص ثالث که با فهرست خدمات خودِ ارائه‌دهندهٔ ابری تطابق دارد. بند ۸۱ EBA/GL/2019/02 همان چیزی است که حسابرسان بررسی می‌کنند.
  • وجه تمایز سال ۲۰۲۶، سیاست‌به‌مثابهٔ‌کد است که در زمان اجرا سیم‌کشی شده باشد. Open Policy Agent که استقرارهای تولید را در برابر قواعد مشتق از DORA کنترل دروازه‌ای می‌کند؛ گزارش‌های حسابرسی تغییرناپذیر که شواهد دفتر مادهٔ ۸ را تغذیه می‌کنند؛ فهرست سامانه‌های هوش مصنوعی با طبقه‌بندی پیوست سوم که در خط لولهٔ CI/CD نمایان است. شواهد با سرعت گردش کار، نه در PDFهایی که هفتهٔ پیش از آزمون سرهم می‌شوند.

چرا ۲۰۲۶ سالِ فاز حسابرسی است

سه رژیم مقرراتی هم‌زمان به واقعیت عملیاتی برخورد می‌کنند.

اجرای DORA (از ۱۷ ژانویه ۲۰۲۵ به بعد). مقامات نظارتی اروپا (EBA، EIOPA، ESMA) تا سال ۲۰۲۴ RTS و ITS نهایی را منتشر کردند، رژیم تعیین CTPP در اوایل ۲۰۲۵ گشوده شد، و بانک‌های ردهٔ نخست در سراسر سال ۲۰۲۵ گزارش‌های حوادث مادهٔ ۱۸ را زیر قاعدهٔ اطلاع‌رسانی اولیهٔ ۴ ساعته ثبت کرده‌اند. چارچوب مشترک TLPT مقامات نظارتی — که رسماً همان چارچوب TIBER-EU ⧉ هم‌راستا با مادهٔ ۲۶ DORA است — مبنای برنامه‌های آزمون نفوذ مبتنی بر تهدیدی است که بیشتر G-SIBها امروز اجرا می‌کنند. یافته‌های نخستین موج آزمون‌های نظارتی از سه‌ماههٔ چهارم ۲۰۲۵ آغاز به فرود آمدن کردند.

اعمال مرحله‌ای قانون هوش مصنوعی اتحادیه اروپا. این قانون در ۱ اوت ۲۰۲۴ لازم‌الاجرا شد. مقررات مربوط به رویه‌های ممنوعه از ۲ فوریه ۲۰۲۵ اعمال شدند؛ تعهدات هوش مصنوعی همه‌منظوره از ۲ اوت ۲۰۲۵ اعمال می‌شوند؛ تعهدات سامانه‌های پرخطر از ۲ اوت ۲۰۲۶ اعمال می‌شوند. این همان مهلتی است که برای بانک‌ها اهمیت دارد. بیشتر نهادهای ردهٔ نخست دست‌کم یک سامانهٔ پیوست سوم در محیط تولید دارند — اعتبارسنجی (بند ۵ب)، شناسایی بیومتریک رودرروی مشتری (بند ۱)، یا ارزیابی ریسک بیمهٔ عمر/سلامت (بند ۷). تعهدات مواد ۱۶ تا ۲۹ — مدیریت ریسک، حاکمیت داده، مستندات فنی، نگهداری سوابق، شفافیت، نظارت انسانی، دقت، استواری و امنیت سایبری — از همان یک تاریخ و بدون هیچ دورهٔ گذار نرمی اعمال می‌شوند.

تسویهٔ عملیاتی Schrems II. حکم Schrems II دیوان دادگستری اتحادیه اروپا (ژوئیه ۲۰۲۰) Privacy Shield را باطل کرد و SCCها را معتبر دانست، مشروط به اقدامات تکمیلی در جایی که TIA حفاظت را ناکافی نشان دهد. کمیسیون اروپا در ژوئیه ۲۰۲۳ چارچوب حریم خصوصی دادهٔ اتحادیه اروپا-ایالات متحده (DPF) را پذیرفت — که سازوکار انتقال را تنها برای گیرندگان آمریکایی دارای گواهی DPF فراهم می‌کند. هر چیز دیگری همچنان به SCCها به‌همراه یک TIA مستند نیاز دارد. تصمیمات اجرایی CNIL دربارهٔ استقرارهای Microsoft 365 در ادارات دولتی فرانسه، جریمهٔ ۱٫۲ میلیارد یورویی DPC ایرلند علیه Meta در مه ۲۰۲۳، و اقدامات Garante علیه OpenAI در سال ۲۰۲۴، الگوی نظارتی را تثبیت کردند: TIAها بازرسی می‌شوند، اقدامات تکمیلی موشکافی می‌شوند، و ادعای صرفِ «ما از SCCها استفاده می‌کنیم» قبول نمی‌شود.

پرسش نهادی برای سال ۲۰۲۶ این نیست که آیا هر رژیم اعمال می‌شود یا نه. این است که آیا شواهد انطباقی که نهاد زیر موشکافی آزمون تولید می‌کند، منسجم باقی می‌ماند یا نه.

DORA در فاز حسابرسی — سازوکارهای ماده‌محور

موادی که در سال ۲۰۲۶ یافته‌های نظارتی تولید می‌کنند:

مادهٔ ۶ — چارچوب مدیریت ریسک فناوری اطلاعات و ارتباطات

چارچوب باید مستند، مورد تأیید هیئت مدیره، دست‌کم سالانه بازبینی‌شده، و با چارچوب کلی مدیریت ریسک نهاد یکپارچه باشد. ناظران این موارد را می‌آزمایند: بیانیه‌های صریح تحمل ریسک به‌ازای هر دستهٔ ریسک فناوری اطلاعات و ارتباطات؛ یک سیاست امنیت اطلاعات مستند؛ نقش‌ها و مسئولیت‌های تعریف‌شده در خط دفاعی دوم و سوم؛ یک ارزیابی سالانهٔ کمّی ریسک فناوری اطلاعات و ارتباطات که اشتهای ریسک نهاد را هدایت می‌کند. الگوی یافته‌های اوایل ۲۰۲۶: نهادهایی که طبقه‌بندی ریسک فناوری اطلاعات و ارتباطات‌شان با طبقه‌بندی گزارش‌دهی حوادث آن‌ها بر پایهٔ مادهٔ ۱۸ تطابق ندارد.

مادهٔ ۸ — دفتر اطلاعات (فناوری اطلاعات و ارتباطات شخص ثالث)

دفتر باید هر ترتیب قراردادی دربارهٔ استفاده از خدمات فناوری اطلاعات و ارتباطات را دربر بگیرد. فیلدهای الزامی بر پایهٔ ITS دربارهٔ دفتر اطلاعات ⧉ شامل کارکردِ پشتیبانی‌شده، طبقه‌بندی حیاتی‌بودن، محل پردازش و ذخیره‌سازی داده، زنجیرهٔ برون‌سپاری فرعی و ارزیابی راهبرد خروج است. رژیم تعیین CTPP بر پایهٔ مادهٔ ۳۱، دفترها را در سراسر اتحادیه اروپا می‌خواند تا تشخیص دهد کدام اشخاص ثالث از آستانهٔ سیستمی عبور می‌کنند. یک دفتر مادهٔ ۸ ناقص یا ناسازگار اکنون هم یک یافتهٔ فردی است و هم یک ریسک برای یکپارچگی محیط CTPP.

مادهٔ ۱۸ — گزارش‌دهی حوادث مرتبط با فناوری اطلاعات و ارتباطات

پنجرهٔ اطلاع‌رسانی اولیهٔ ۴ ساعته برای حوادث عمدهٔ مرتبط با فناوری اطلاعات و ارتباطات همان چیزی است که نهادها را غافلگیر می‌کند. معیارهای طبقه‌بندی «عمده» از مادهٔ ۱۸(۳) و RTS فنی پیروی می‌کنند — تعداد مشتریان متأثر، گسترهٔ جغرافیایی، از دست رفتن داده، اثر اقتصادی، اثر اعتباری، حیاتی‌بودن خدمات متأثر، مدت زمان. بانک‌هایی که فرایندهای بالغ رسیدگی به حادثه را اجرا می‌کنند هم همچنان با تصمیم طبقه‌بندی در ساعت نخست دست‌وپنجه نرم می‌کنند. خروجی مهندسی: یک دستیار خودکارِ طبقه‌بندی شدت که در پلتفرم مدیریت حادثه سیم‌کشی شده و در همان نخستین چرخهٔ پاسخ یک منطق تصمیم مادهٔ ۱۸ تولید می‌کند، نه پس از جلسهٔ اولویت‌بندی.

مادهٔ ۲۶ — آزمون نفوذ مبتنی بر تهدید

TLPT بر نهادهای مالی تعیین‌شده توسط مقام صلاحیت‌دار اعمال می‌شود و بر پایهٔ کارکردهای حیاتی یا مهم نهاد تعیین دامنه می‌گردد. آزمون باید از روش‌شناسی TIBER-EU (یا یک چارچوب ملی معادل) پیروی کند، از هوش تهدید برای ساخت سناریوهای حمله بهره ببرد، و دست‌کم هر سه سال یک بار اجرا شود. به‌کارگیری ارائه‌دهندگان زیر مادهٔ ۲۷ (انتخاب ارائه‌دهنده) و مادهٔ ۲۸ (اجرای آزمون) مقرراتی است. پرسش نظارتی سال ۲۰۲۶: آیا دامنهٔ TLPT نهاد، کارکردهای حیاتی میزبانی‌شده در ابر عمومی آن را دربر می‌گیرد، و آیا مدل به‌کارگیری ارائه‌دهنده، مرزهای امنیتی خودِ ارائه‌دهندهٔ ابری را به‌شکلی تمیز مدیریت می‌کند؟

مواد ۲۸ تا ۴۴ — ارائه‌دهندگان شخص ثالث حیاتی

رژیم CTPP نوآوری نظارتی‌ای است که مستقیم‌ترین اثر را بر راهبرد ابری دارد. AWS، Microsoft (Azure)، Google (GCP)، Salesforce، Workday و مشتی دیگر از ارائه‌دهندگان راهبردی درون یا نزدیک محیط تعیین قرار دارند. تعیین، نظارت مستقیم مقامات نظارتی اروپا را فعال می‌کند، از جمله حق درخواست اطلاعات، بازرسی‌های حضوری و توصیه‌های نظارتی. پیامد برای بانک‌های ردهٔ نخست: تمرکز ارائه‌دهندهٔ ابری اکنون یک سنجهٔ نظارتی تحت مقررات است، نه صرفاً یک دغدغهٔ مدیریت ریسک داخلی.

معماری قانون هوش مصنوعی اتحادیه اروپا برای سامانه‌های بانکی پرخطر

جدول زمانی اعمال مرحله‌ای:

تاریخ مقررات پیامد بانکی
۱ اوت ۲۰۲۴ لازم‌الاجرا شدن ساعت شمارش آغاز می‌شود
۲ فوریه ۲۰۲۵ رویه‌های ممنوعه (مادهٔ ۵) سامانه‌های سبک امتیازدهی اجتماعی ممنوع
۲ اوت ۲۰۲۵ تعهدات هوش مصنوعی همه‌منظوره (فصل پنجم) ارائه‌دهندگان مدل GPAI مشمول تعهدات مستندسازی و حق تکثیر
۲ اوت ۲۰۲۶ تعهدات سامانه‌های پرخطر (مواد ۱۶ تا ۲۹) سامانه‌های پیوست سوم باید چارچوب انطباق کامل را برآورده کنند
۲ اوت ۲۰۲۷ سامانه‌های پرخطرِ یکپارچه‌شده با دیگر محصولات تحت مقررات سامانه‌های بانکی یکپارچه‌شده با رژیم‌های ایمنی محصول پیوست اول

مقررات پیوست سوم که بیشترین برخورد را با بانک‌ها دارند:

خلاصهٔ تعهدات مواد ۱۶ تا ۲۹:

پرسش نظارتی برای اوت ۲۰۲۶: آیا بانک می‌تواند برای هر سامانهٔ پیوست سوم در محیط تولید یک ارزیابی انطباق بر پایهٔ پیوست ششم تولید کند؟ نهادهایی که چارچوب‌های مدیریت ریسک مدل هم‌راستا با SR 11-7 / SS1/23 ساخته‌اند بیشتر ورودی‌ها را از پیش دارند؛ کار، نگاشت کنترل‌های موجود به دسته‌های شواهد مواد ۹ تا ۱۵ قانون هوش مصنوعی است.

حاکمیت داده به‌مثابهٔ انضباط مهندسی

مدل عملیاتی حاکمیت داده در سال ۲۰۲۶:

بندهای قراردادی استاندارد (ماژول ۲ یا ۳ حسب مورد). SCCهای به‌روزرسانی‌شده که با تصمیم کمیسیون (EU) 2021/914 پذیرفته شده‌اند مبنا هستند. SCCهای پیش از ۲۰۲۱ دورهٔ مهلت داشتند؛ استفاده از آن‌ها در سال ۲۰۲۶ یک یافته است.

ارزیابی اثر انتقال. برای هر انتقال به یک کشور ثالث غیرمناسب، این موارد را مستند کنید: قوانین و رویه‌های کشور گیرنده که به حفاظت داده مربوط‌اند؛ اینکه آیا آن قوانین دسترسی مقامات عمومی را فراتر از آنچه در یک جامعهٔ دموکراتیک ضروری و متناسب است مجاز می‌کنند؛ دادهٔ خاصی که منتقل می‌شود؛ اقدامات تکمیلی فنی و سازمانی اعمال‌شده. توصیه‌های ۰۱/۲۰۲۰ ⧉ هیئت حفاظت داده اروپا چارچوب را فراهم می‌کنند.

بررسی گواهی چارچوب حریم خصوصی دادهٔ اتحادیه اروپا-ایالات متحده. گیرندگان آمریکایی دارای گواهی DPF امکان انتقال زیر تصمیم کفایت را بدون SCCها + TIA فراهم می‌کنند. راستی‌آزمایی: صفحهٔ گواهی DPF ⧉ گیرنده به‌همراه یک سابقهٔ داخلی از تاریخ راستی‌آزمایی. DPF نخستین بازبینی سالانهٔ خود را در سال ۲۰۲۴ از سر گذراند؛ دوام بلندمدت آن همچنان یک پرسش زنده باقی می‌ماند.

اقدامات تکمیلی در جایی که TIA نشان دهد لازم‌اند. نام‌مستعارسازی پیش از انتقال، رمزنگاری با کلیدهای نگهداری‌شده در اتحادیه اروپا، پردازش تفکیک‌شده، یا انتقال‌پس‌از‌تجمیع. الگوی اجرای سال ۲۰۲۵: یافته‌های CNIL دربارهٔ Microsoft 365 در ادارات فرانسه بر این متمرکز بود که آیا غیرفعال‌سازی Connected Experiences و پیکربندی جای‌گذاری مستأجرِ EU Data Boundary اقدامات تکمیلی کافی را تشکیل می‌دهد.

سازوکارهای EU Data Boundary ارائه‌دهندهٔ ابری. AWS European Sovereign Cloud، Microsoft EU Data Boundary، بستهٔ حاکمیت Google Cloud EU، به‌همراه مشارکت‌های ابر حاکمیتی (Bleu / Capgemini-Orange، Delos Cloud، Oracle EU Sovereign Cloud) همگی می‌کوشند تضمین‌های حاکمیت داده را در سطح پلتفرم مهندسی کنند. هیچ‌یک از آن‌ها الزام SCC + TIA را حذف نمی‌کند؛ آن‌ها سطح ریسک باقی‌ماندهٔ TIA را کاهش می‌دهند.

تمرکز ابری زیر DORA و رهنمودهای برون‌سپاری EBA

رژیم CTPP در DORA و رهنمودهای برون‌سپاری EBA روی هم لایه می‌شوند:

بند ۶۴ EBA/GL/2019/02 ⧉ نهادها را ملزم می‌کند تضمین کنند که ترتیبات برون‌سپاری حیاتی یا مهم، حضور اساسی نهاد در اتحادیه اروپا، نظارت مدیریت، یا توانایی تصمیم‌گیری دربارهٔ کارکرد برون‌سپاری‌شده را مختل نمی‌کند. بند ۸۱ ارزیابی‌های جایگزین‌پذیری را الزامی می‌کند. بندهای ۱۱۳ تا ۱۱۷ مستندات راهبرد خروجی را که ناظران واقعاً آزمون می‌کنند پوشش می‌دهند.

مادهٔ ۲۸ DORA الزامات محتوای قراردادی را برای ترتیبات فناوری اطلاعات و ارتباطات شخص ثالث که از کارکردهای حیاتی یا مهم پشتیبانی می‌کنند می‌افزاید: دسترس‌پذیری داده، امنیت داده، اقامت داده، حقوق حسابرسی، راهبردهای خروج و مقررات تداوم.

سپس رژیم CTPP بالای هر دو قرار می‌گیرد: اگر یک شخص ثالث از آستانهٔ تعیین عبور کند، مقامات نظارتی اروپا اختیار نظارت مستقیم به‌دست می‌آورند. پیامدهای مهندسی دربارهٔ انتخاب‌های طراحی جغرافیایی و معماری است: فعال-فعالِ چندمنطقه‌ای برای خدمات حیاتی؛ طرح‌های خروج مستند با آزمون‌های اجرای دوره‌ای (نه صرفاً تمرین‌های میزگردی)؛ دفترهای فناوری اطلاعات و ارتباطات شخص ثالث که با فهرست خدمات خودِ ارائه‌دهندهٔ ابری تطابق دارند.

این برای هر نوع بانک به چه معناست

بانک‌های سیستمی مهم جهانی

محیط انطباق اکنون یک مسئلهٔ معماری است. سرمایه‌گذاری، یک به‌روزرسانی سیاستی دیگر نیست — بلکه پلتفرم سیاست‌به‌مثابهٔ‌کد است که قواعد مشتق از DORA را در خط لولهٔ CI/CD سیم‌کشی می‌کند، فهرست سامانهٔ هوش مصنوعی که طبقه‌بندی پیوست سوم را در زمان استقرار نمایان می‌سازد، دفتر فناوری اطلاعات و ارتباطات شخص ثالث که به‌طور خودکار با سامانه‌های تدارکات و صورت‌مواد ابری تطابق می‌یابد، و گزارش حسابرسی تغییرناپذیر که شواهد دفتر مادهٔ ۸ را به‌درخواست ناظر تولید می‌کند. پلتفرم را بسازید؛ چرخهٔ مقرراتی‌ای که پس از پرخطرِ قانون هوش مصنوعی می‌آید (احتمالاً یک گسترش زیر آیین‌نامهٔ رفتار هوش مصنوعی همه‌منظوره) زیرساخت را به ارث می‌برد.

بانک‌های جامع و متوسط

موضع عمل‌گرایانه، فهرست دقیق پیوست سوم است. بیشتر بانک‌های جامع یک یا دو سامانه دارند که آشکارا در دامنه‌اند (امتیازدهی اعتباری، صدور وام مسکن، بیومتریک رودرروی مشتری) و یک دنبالهٔ بلند از موارد مرزی. صرف سه ماه در نیمهٔ نخست ۲۰۲۶ برای تولید یک طبقه‌بندی قابل‌دفاع پیوست سوم به‌ازای هر سامانهٔ هوش مصنوعی در محیط تولید — با یک منطق مکتوب که از بازبینی بیرونی جان سالم به‌در برد — ارزشمندتر از یک به‌روزرسانی چارچوب کنترلی دیگر است. کار طبقه‌بندی، هم‌زمان به‌مثابهٔ شواهد مدیریت ریسک فناوری اطلاعات و ارتباطات مادهٔ ۶ DORA برای سامانه‌های حاوی هوش مصنوعی نیز عمل می‌کند.

بانک‌های کوچک‌تر و مؤسسات ساختمانی

پاسخ راهبردی، بررسی دقیق فروشنده به‌جای ساخت داخلی است. فروشندگان هوش مصنوعی‌ای را انتخاب کنید که مستندات ارزیابی انطباق پیوست سوم را منتشر می‌کنند، که در قراردادهایشان به پشتیبانی شواهد مواد ۹ تا ۱۵ متعهد می‌شوند، و که اعتبارنامه‌های امنیتی شخص ثالث‌شان با الزامات مادهٔ ۲۸ DORA هم‌راستاست. ادعاهای فروشندگان را از طریق فرایند MRM خود اعتبارسنجی کنید. دامنهٔ داخلی، یکپارچه‌سازی، پیکربندی و نظارت عملیاتی است — نه ساخت چارچوب.

بیمه‌گران و بازوهای بیمهٔ بانکی

بند ۵(ج) پیوست سوم دربارهٔ ارزیابی ریسک بیمهٔ عمر و سلامت، بازوهای بیمه را صرف‌نظر از مواجههٔ بانک مادر، درون محیط پرخطر قرار می‌دهد. مهلت اوت ۲۰۲۶ اعمال می‌شود. با کارکرد انطباق قانون هوش مصنوعی بانک مادر هماهنگ شوید — بیشتر کار زیربنایی فهرست و شواهد مشترک است، و مواجههٔ مقرراتی مختص یک خط کسب‌وکار است.

فین‌تک‌ها، PSPها و رگ‌تک‌ها

پرسش محصولی برای فروشندگانی که در سال ۲۰۲۶ به بانک‌های اتحادیه اروپا می‌فروشند دیگر «آیا پلتفرم شما با DORA / قانون هوش مصنوعی منطبق است» نیست. بلکه «آیا پلتفرم شما مستنداتی تولید می‌کند که کارکرد انطباق یک بانک ردهٔ نخست برای اثبات انطباق خودش به آن نیاز دارد» است. ورودی‌های دفتر مادهٔ ۸ DORA، الگوهای مستندات فنی مادهٔ ۱۱ قانون هوش مصنوعی، متن آمادهٔ SCC + TIA برای هر ترتیب انتقال داده. فروشندگانی که با الگوهای قابل‌استفاده پاسخ می‌دهند معاملات سازمانی را می‌بندند؛ فروشندگانی که با PDF پاسخ می‌دهند به رقبایی که چنین نمی‌کنند می‌بازند.

مهندسی مدل عملیاتی

وجه تمایز سال ۲۰۲۶، سیاست‌به‌مثابهٔ‌کد است که در زمان اجرا سیم‌کشی شده باشد.

Open Policy Agent در دروازهٔ استقرار. هر استقرار تولید از ارزیابی OPA در برابر سیاست مشتق از DORA عبور می‌کند. نمونه‌ها: هر خدمتی که به دادهٔ مشتری دست بزند باید یک ورودی دفتر مادهٔ ۸ مستند داشته باشد؛ هر سامانهٔ هوش مصنوعی پیوست سوم باید شواهد ارزیابی انطباق را از مانیفست استقرار پیوند‌خورده داشته باشد؛ هر خدمت فناوری اطلاعات و ارتباطات شخص ثالث باید یک ارزیابی جایگزین‌پذیری درون اعتبار داشته باشد. سامانهٔ ثبت سیاست با Git نسخه‌گذاری می‌شود؛ استقرارهای ردشده منطق‌های قابل‌بازبینی تولید می‌کنند.

گزارش‌گیری حسابرسی تغییرناپذیر که شواهد مادهٔ ۸ را تغذیه می‌کند. رویدادهای استقرار، پیکربندی و دسترسیِ ذخیره‌شده به‌شیوهٔ WORM که به دفتر فناوری اطلاعات و ارتباطات شخص ثالث بازتطابق می‌یابند. ناظرانی که می‌پرسند «کنترل‌های خدمت X در تاریخ Y را نشانم بده» یک نتیجهٔ پرس‌وجو می‌گیرند، نه یک پروژهٔ سرهم‌کردن سند.

فهرست سامانهٔ هوش مصنوعی با طبقه‌بندی پیوست سوم که در CI/CD نمایان است. هر سامانهٔ هوش مصنوعی در فهرست نهاد یک طبقه‌بندی پیوست سوم دارد (بند ۱، ۵(الف)، ۵(ب)، ۵(ج)، ۶، ۷ یا هیچ). طبقه‌بندی هنگام تغییر سامانه بازبینی می‌شود؛ استقرار به محیط تولید بررسی می‌کند که طبقه‌بندی به‌روز باشد. دسته‌های شواهد مواد ۹ تا ۱۵ به فیلدهای فهرست نگاشت می‌شوند و خط لولهٔ CI/CD به‌مثابهٔ بخشی از هر انتشار، مصنوعات شواهد را می‌نویسد.

آزمون نفوذ مبتنی بر تهدید که در SDLC سیم‌کشی شده است. دامنه‌های TLPT از فهرست کارکردهای حیاتی و مهم نهاد مشتق می‌شوند؛ برنامهٔ آزمون به‌جای رویدادی گسسته هر سه سال یک بار، به‌طور پیوسته اجرا می‌شود. یافته‌ها به سامانهٔ ثبت سیاست OPA بازخورد می‌دهند؛ یافته‌های بسته‌شده بسته‌های شواهد آمادهٔ نظارت تولید می‌کنند.

نهادهایی که با سرعت گردش کار شواهد تولید می‌کنند از آزمون‌ها سربلند بیرون می‌آیند. نهادهایی که در پاسخ به درخواست‌های داده بسته‌های مستندات تولید می‌کنند، نه.

پرسش‌های پرتکرار

آیا DORA در سال ۲۰۲۶ هنوز در یک فاز «آماده‌سازی» است؟

خیر. DORA از ۱۷ ژانویه ۲۰۲۵ در اجرای فعال بوده است. مواد ۶، ۸، ۱۸ و ۲۶ همگی لازم‌الاجرا هستند؛ رژیم تعیین CTPP در سراسر ۲۰۲۵ و ۲۰۲۶ در حال گشوده شدن بوده است؛ یافته‌های نظارتی از نخستین موج آزمون در سه‌ماههٔ چهارم ۲۰۲۵ فرود آمدند. قاب‌بندی «آماده‌سازی» دو چرخهٔ مقرراتی عقب است.

مهلت قانون هوش مصنوعی اتحادیه اروپا که برای بانک‌ها اهمیت دارد چیست؟

۲ اوت ۲۰۲۶ — تاریخی که تعهدات مواد ۱۶ تا ۲۹ بر سامانه‌های پرخطر پیوست سوم اعمال می‌شوند. بند ۵(ب) پیوست سوم دربارهٔ ارزیابی اعتبار، بند ۱ دربارهٔ شناسایی بیومتریک هنگام پذیرش، و بند ۵(ج) دربارهٔ ارزیابی ریسک بیمهٔ عمر و سلامت، دسته‌های مرتبط با بانک هستند. بیشتر بانک‌های ردهٔ نخست دست‌کم یک سامانهٔ پیوست سوم در محیط تولید دارند.

آیا چارچوب حریم خصوصی داده نیاز به SCCها را حذف می‌کند؟

تنها برای گیرندگان آمریکایی دارای گواهی DPF. راستی‌آزمایی گواهی در لحظهٔ انتقال الزامی است، به‌همراه یک سابقهٔ داخلی. هر چیز دیگری همچنان به SCCها به‌همراه یک ارزیابی اثر انتقال مستند نیاز دارد.

خروجی مهندسی‌ای که انطباق با DORA را در یک آزمون نشان می‌دهد چیست؟

سیاست‌به‌مثابهٔ‌کد که استقرارهای تولید را در برابر قواعد مشتق از DORA کنترل دروازه‌ای می‌کند، گزارش‌های حسابرسی تغییرناپذیر که شواهد دفتر مادهٔ ۸ را تغذیه می‌کنند، یک فهرست سامانهٔ هوش مصنوعی با طبقه‌بندی پیوست سوم که در زمان استقرار نمایان می‌شود، و یک برنامهٔ TLPT که در برابر فهرست کارکردهای حیاتی و مهم تعیین دامنه شده است. شواهد با سرعت گردش کار.

آیا ارائه‌دهندگان ابری زیر DORA تحت مقررات هستند؟

بله — زیر مواد ۲۸ تا ۴۴. رژیم تعیین CTPP به مقامات نظارتی اروپا نظارت مستقیم بر ارائه‌دهندگان شخص ثالث حیاتی تعیین‌شده می‌دهد. AWS، Microsoft (Azure)، Google (GCP) و Salesforce همگی درون یا نزدیک محیط تعیین قرار دارند.

منابع

آخرین بازبینی .

بازنشر متقابل این مقاله

کپی قالب‌بندی‌شده برای Medium

# DORA، قانون هوش مصنوعی اتحادیه اروپا و حاکمیت داده: پشتهٔ انطباق ۲۰۲۶ برای بانک‌ها — Sebastien Rousseau

> Originally published at [https://sebastienrousseau.com/fa/2026-05-28-dora-ai-act-data-sovereignty-banking-compliance-stack-2026/](https://sebastienrousseau.com/fa/2026-05-28-dora-ai-act-data-sovereignty-banking-compliance-stack-2026/)

DORA، قانون هوش مصنوعی اتحادیه اروپا، GDPR، ریسک تمرکز ابری و حاکمیت داده در حال همگرا شدن به یک پشتهٔ انطباق واحد ۲۰۲۶ برای بانک‌ها هستند.

Read the full article on sebastienrousseau.com: https://sebastienrousseau.com/fa/2026-05-28-dora-ai-act-data-sovereignty-banking-compliance-stack-2026/

کپی قالب‌بندی‌شده برای Mastodon

DORA، قانون هوش مصنوعی اتحادیه اروپا و حاکمیت داده: پشتهٔ انطباق ۲۰۲۶ برای بانک‌ها — Sebastien Rousseau

DORA، قانون هوش مصنوعی اتحادیه اروپا، GDPR، ریسک تمرکز ابری و حاکمیت داده در حال همگرا شدن به یک پشتهٔ انطباق واحد ۲۰۲۶ برای بانک‌ها هستند.

https://sebastienrousseau.com/fa/2026-05-28-dora-ai-act-data-sovereignty-banking-compliance-stack-2026/

کپی قالب‌بندی‌شده برای LinkedIn

DORA، قانون هوش مصنوعی اتحادیه اروپا و حاکمیت داده: پشتهٔ انطباق ۲۰۲۶ برای بانک‌ها — Sebastien Rousseau

DORA، قانون هوش مصنوعی اتحادیه اروپا، GDPR، ریسک تمرکز ابری و حاکمیت داده در حال همگرا شدن به یک پشتهٔ انطباق واحد ۲۰۲۶ برای بانک‌ها هستند.

مهم‌ترین نکات راهبردی به این شرح است:

- DORA، قانون هوش مصنوعی اتحادیه اروپا و حاکمیت داده: پشتهٔ انطباق ۲۰۲۶ برای بانک‌ها. پشتهٔ انطباق اتحادیه اروپا در سال ۲۰۲۶ دیگر یک موضوع رو به آینده نیست.
- چرا ۲۰۲۶ سالِ فاز حسابرسی است. سه رژیم مقرراتی هم‌زمان به واقعیت عملیاتی برخورد می‌کنند.
- DORA در فاز حسابرسی — سازوکارهای ماده‌محور. موادی که در سال ۲۰۲۶ یافته‌های نظارتی تولید می‌کنند:.
- معماری قانون هوش مصنوعی اتحادیه اروپا برای سامانه‌های بانکی پرخطر. جدول زمانی اعمال مرحله‌ای:.

رویکرد سازمان شما به چالش‌های مطرح‌شده در این نوشته چیست؟

→ https://sebastienrousseau.com/fa/2026-05-28-dora-ai-act-data-sovereignty-banking-compliance-stack-2026/

#Dora۲۰۲۶،قانونهوشمصنوعیاتحادیهاروپا۲۰۲۶،حاکمیتدادهبانک‌ها،تاب‌آوریعملیاتی،ریسکتمرکزابری،انطباقهوشمصنوعیدرخدماتمالی،هوشمصنوعیپرخطر

Sebastien Rousseau | CC-BY-4.0
استناد به این مقاله

DORA، قانون هوش مصنوعی اتحادیه اروپا و حاکمیت داده: پشتهٔ انطباق ۲۰۲۶ برای بانک‌ها — Sebastien Rousseau

DORA، قانون هوش مصنوعی اتحادیه اروپا، GDPR، ریسک تمرکز ابری و حاکمیت داده در حال همگرا شدن به یک پشتهٔ انطباق واحد ۲۰۲۶ برای بانک‌ها هستند.

BibTeX

@online{rousseau2026dora,
  author  = {Rousseau, Sebastien},
  title   = {{DORA، قانون هوش مصنوعی اتحادیه اروپا و حاکمیت داده: پشتهٔ انطباق ۲۰۲۶ برای بانک‌ها — Sebastien Rousseau}},
  year    = {2026},
  url     = {https://sebastienrousseau.com/fa/2026-05-28-dora-ai-act-data-sovereignty-banking-compliance-stack-2026/},
  urldate = {2026}
}

RIS

TY  - GEN
AU  - Rousseau, Sebastien
TI  - DORA، قانون هوش مصنوعی اتحادیه اروپا و حاکمیت داده: پشتهٔ انطباق ۲۰۲۶ برای بانک‌ها — Sebastien Rousseau
PY  - 2026
UR  - https://sebastienrousseau.com/fa/2026-05-28-dora-ai-act-data-sovereignty-banking-compliance-stack-2026/
ER  -

Vancouver

Rousseau S. DORA، قانون هوش مصنوعی اتحادیه اروپا و حاکمیت داده: پشتهٔ انطباق ۲۰۲۶ برای بانک‌ها — Sebastien Rousseau. sebastienrousseau.com. 2026 May 28. Available from: https://sebastienrousseau.com/fa/2026-05-28-dora-ai-act-data-sovereignty-banking-compliance-stack-2026/

Chicago

Rousseau, Sebastien. "DORA، قانون هوش مصنوعی اتحادیه اروپا و حاکمیت داده: پشتهٔ انطباق ۲۰۲۶ برای بانک‌ها — Sebastien Rousseau." sebastienrousseau.com. May 28, 2026. https://sebastienrousseau.com/fa/2026-05-28-dora-ai-act-data-sovereignty-banking-compliance-stack-2026/.

APA

Rousseau, S. (2026, May 28). DORA، قانون هوش مصنوعی اتحادیه اروپا و حاکمیت داده: پشتهٔ انطباق ۲۰۲۶ برای بانک‌ها — Sebastien Rousseau. sebastienrousseau.com. https://sebastienrousseau.com/fa/2026-05-28-dora-ai-act-data-sovereignty-banking-compliance-stack-2026/

بازنشر این مقاله

DORA، قانون هوش مصنوعی اتحادیه اروپا و حاکمیت داده: پشتهٔ انطباق ۲۰۲۶ برای بانک‌ها — Sebastien Rousseau

DORA، قانون هوش مصنوعی اتحادیه اروپا، GDPR، ریسک تمرکز ابری و حاکمیت داده در حال همگرا شدن به یک پشتهٔ انطباق واحد ۲۰۲۶ برای بانک‌ها هستند.

این مقاله تحت مجوز زیر منتشر شده است Creative Commons Attribution 4.0 International. بازنشر مستلزم ذکر منبع با ارجاع به نشانی اصلی (canonical) است.

DORA، قانون هوش مصنوعی اتحادیه اروپا و حاکمیت داده: پشتهٔ انطباق ۲۰۲۶ برای بانک‌ها — Sebastien Rousseau

DORA، قانون هوش مصنوعی اتحادیه اروپا، GDPR، ریسک تمرکز ابری و حاکمیت داده در حال همگرا شدن به یک پشتهٔ انطباق واحد ۲۰۲۶ برای بانک‌ها هستند.

Originally published at https://sebastienrousseau.com/fa/2026-05-28-dora-ai-act-data-sovereignty-banking-compliance-stack-2026/ by Sebastien Rousseau.
Licensed under CC-BY-4.0.