DORA، قانون هوش مصنوعی اتحادیه اروپا و حاکمیت داده: پشتهٔ انطباق ۲۰۲۶ برای بانکها
پشتهٔ انطباق اتحادیه اروپا در سال ۲۰۲۶ دیگر یک موضوع رو به آینده نیست. DORA از ۱۷ ژانویه ۲۰۲۵ در اجرای فعال بوده است. تعهدات پرخطرِ قانون هوش مصنوعی اتحادیه اروپا در ۲ اوت ۲۰۲۶ بهطور کامل لازمالاجرا میشوند — هشت هفته پس از تاریخ انتشار این مقاله. Schrems II بههمراه چارچوب حریم خصوصی دادهٔ اتحادیه اروپا-ایالات متحده واقعیت عملیاتی انتقالهای فرامرزی داده است، نه یک دغدغهٔ آتی. ریسک تمرکز ابری از طریق EBA/GL/2019/02 ⧉ و رژیم تعیین ارائهدهندهٔ شخص ثالث حیاتی (CTPP) در DORA، درون محیط برونسپاری EBA قرار دارد. نهادهایی که هنوز این را بهمثابهٔ یک دستور کار «آمادهسازی» قاببندی میکنند، پیشاپیش دو چرخهٔ مقرراتی را باختهاند.
خلاصهٔ اجرایی / نکات کلیدی
- DORA در فاز حسابرسی است. مقررات (EU) 2022/2554 ⧉ مواد ۶ (چارچوب مدیریت ریسک فناوری اطلاعات و ارتباطات)، ۸ (دفتر اطلاعات)، ۱۸ (گزارشدهی حوادث)، ۲۶ (آزمون نفوذ مبتنی بر تهدید) و رژیم CTPP بر پایهٔ مواد ۲۸ تا ۴۴، ۱۶ ماه است که لازمالاجرا هستند. انتظارات نظارتی اکنون یافتههای رسمی آزمون هستند، نه اظهارنظر مشورتی.
- مهلت پرخطرِ قانون هوش مصنوعی اتحادیه اروپا ۲ اوت ۲۰۲۶ است. بند ۵(ب) پیوست سوم اعتبارسنجی را پوشش میدهد؛ بند ۱ شناسایی بیومتریک هنگام پذیرش مشتری را پوشش میدهد؛ بند ۷ ارزیابی ریسک بیمهٔ عمر و سلامت را پوشش میدهد. تعهدات مواد ۱۶ تا ۲۹ — مدیریت ریسک، حاکمیت داده، مستندات فنی، نگهداری سوابق، شفافیت، نظارت انسانی، دقت و امنیت سایبری — از آن تاریخ اعمال میشوند.
- انتقالهای فرامرزی داده یعنی SCCها + TIA، نه «حاکمیت داده»ی مبهم. بندهای قراردادی استاندارد، ارزیابیهای اثر انتقال، اقدامات تکمیلی در جایی که TIA نشان دهد لازماند. DPF تنها گیرندگان آمریکایی دارای گواهی DPF را پوشش میدهد؛ هر چیز دیگری همچنان به SCCها + TIA نیاز دارد. کمیسیون حفاظت داده ایرلند، CNIL و Garante همگی در سال ۲۰۲۵ تصمیمات اجرایی صادر کردهاند.
- تمرکز ابری مهندسی میشود، نه اعلام. فعال-فعالِ چندمنطقهای برای خدمات حیاتی؛ طرح خروج مستند با شواهد اجرای آزمودهشده؛ ارزیابیهای جایگزینپذیری بر پایهٔ ردهٔ خدمت؛ یک دفتر فناوری اطلاعات و ارتباطات شخص ثالث که با فهرست خدمات خودِ ارائهدهندهٔ ابری تطابق دارد. بند ۸۱ EBA/GL/2019/02 همان چیزی است که حسابرسان بررسی میکنند.
- وجه تمایز سال ۲۰۲۶، سیاستبهمثابهٔکد است که در زمان اجرا سیمکشی شده باشد. Open Policy Agent که استقرارهای تولید را در برابر قواعد مشتق از DORA کنترل دروازهای میکند؛ گزارشهای حسابرسی تغییرناپذیر که شواهد دفتر مادهٔ ۸ را تغذیه میکنند؛ فهرست سامانههای هوش مصنوعی با طبقهبندی پیوست سوم که در خط لولهٔ CI/CD نمایان است. شواهد با سرعت گردش کار، نه در PDFهایی که هفتهٔ پیش از آزمون سرهم میشوند.
چرا ۲۰۲۶ سالِ فاز حسابرسی است
سه رژیم مقرراتی همزمان به واقعیت عملیاتی برخورد میکنند.
اجرای DORA (از ۱۷ ژانویه ۲۰۲۵ به بعد). مقامات نظارتی اروپا (EBA، EIOPA، ESMA) تا سال ۲۰۲۴ RTS و ITS نهایی را منتشر کردند، رژیم تعیین CTPP در اوایل ۲۰۲۵ گشوده شد، و بانکهای ردهٔ نخست در سراسر سال ۲۰۲۵ گزارشهای حوادث مادهٔ ۱۸ را زیر قاعدهٔ اطلاعرسانی اولیهٔ ۴ ساعته ثبت کردهاند. چارچوب مشترک TLPT مقامات نظارتی — که رسماً همان چارچوب TIBER-EU ⧉ همراستا با مادهٔ ۲۶ DORA است — مبنای برنامههای آزمون نفوذ مبتنی بر تهدیدی است که بیشتر G-SIBها امروز اجرا میکنند. یافتههای نخستین موج آزمونهای نظارتی از سهماههٔ چهارم ۲۰۲۵ آغاز به فرود آمدن کردند.
اعمال مرحلهای قانون هوش مصنوعی اتحادیه اروپا. این قانون در ۱ اوت ۲۰۲۴ لازمالاجرا شد. مقررات مربوط به رویههای ممنوعه از ۲ فوریه ۲۰۲۵ اعمال شدند؛ تعهدات هوش مصنوعی همهمنظوره از ۲ اوت ۲۰۲۵ اعمال میشوند؛ تعهدات سامانههای پرخطر از ۲ اوت ۲۰۲۶ اعمال میشوند. این همان مهلتی است که برای بانکها اهمیت دارد. بیشتر نهادهای ردهٔ نخست دستکم یک سامانهٔ پیوست سوم در محیط تولید دارند — اعتبارسنجی (بند ۵ب)، شناسایی بیومتریک رودرروی مشتری (بند ۱)، یا ارزیابی ریسک بیمهٔ عمر/سلامت (بند ۷). تعهدات مواد ۱۶ تا ۲۹ — مدیریت ریسک، حاکمیت داده، مستندات فنی، نگهداری سوابق، شفافیت، نظارت انسانی، دقت، استواری و امنیت سایبری — از همان یک تاریخ و بدون هیچ دورهٔ گذار نرمی اعمال میشوند.
تسویهٔ عملیاتی Schrems II. حکم Schrems II دیوان دادگستری اتحادیه اروپا (ژوئیه ۲۰۲۰) Privacy Shield را باطل کرد و SCCها را معتبر دانست، مشروط به اقدامات تکمیلی در جایی که TIA حفاظت را ناکافی نشان دهد. کمیسیون اروپا در ژوئیه ۲۰۲۳ چارچوب حریم خصوصی دادهٔ اتحادیه اروپا-ایالات متحده (DPF) را پذیرفت — که سازوکار انتقال را تنها برای گیرندگان آمریکایی دارای گواهی DPF فراهم میکند. هر چیز دیگری همچنان به SCCها بههمراه یک TIA مستند نیاز دارد. تصمیمات اجرایی CNIL دربارهٔ استقرارهای Microsoft 365 در ادارات دولتی فرانسه، جریمهٔ ۱٫۲ میلیارد یورویی DPC ایرلند علیه Meta در مه ۲۰۲۳، و اقدامات Garante علیه OpenAI در سال ۲۰۲۴، الگوی نظارتی را تثبیت کردند: TIAها بازرسی میشوند، اقدامات تکمیلی موشکافی میشوند، و ادعای صرفِ «ما از SCCها استفاده میکنیم» قبول نمیشود.
پرسش نهادی برای سال ۲۰۲۶ این نیست که آیا هر رژیم اعمال میشود یا نه. این است که آیا شواهد انطباقی که نهاد زیر موشکافی آزمون تولید میکند، منسجم باقی میماند یا نه.
DORA در فاز حسابرسی — سازوکارهای مادهمحور
موادی که در سال ۲۰۲۶ یافتههای نظارتی تولید میکنند:
مادهٔ ۶ — چارچوب مدیریت ریسک فناوری اطلاعات و ارتباطات
چارچوب باید مستند، مورد تأیید هیئت مدیره، دستکم سالانه بازبینیشده، و با چارچوب کلی مدیریت ریسک نهاد یکپارچه باشد. ناظران این موارد را میآزمایند: بیانیههای صریح تحمل ریسک بهازای هر دستهٔ ریسک فناوری اطلاعات و ارتباطات؛ یک سیاست امنیت اطلاعات مستند؛ نقشها و مسئولیتهای تعریفشده در خط دفاعی دوم و سوم؛ یک ارزیابی سالانهٔ کمّی ریسک فناوری اطلاعات و ارتباطات که اشتهای ریسک نهاد را هدایت میکند. الگوی یافتههای اوایل ۲۰۲۶: نهادهایی که طبقهبندی ریسک فناوری اطلاعات و ارتباطاتشان با طبقهبندی گزارشدهی حوادث آنها بر پایهٔ مادهٔ ۱۸ تطابق ندارد.
مادهٔ ۸ — دفتر اطلاعات (فناوری اطلاعات و ارتباطات شخص ثالث)
دفتر باید هر ترتیب قراردادی دربارهٔ استفاده از خدمات فناوری اطلاعات و ارتباطات را دربر بگیرد. فیلدهای الزامی بر پایهٔ ITS دربارهٔ دفتر اطلاعات ⧉ شامل کارکردِ پشتیبانیشده، طبقهبندی حیاتیبودن، محل پردازش و ذخیرهسازی داده، زنجیرهٔ برونسپاری فرعی و ارزیابی راهبرد خروج است. رژیم تعیین CTPP بر پایهٔ مادهٔ ۳۱، دفترها را در سراسر اتحادیه اروپا میخواند تا تشخیص دهد کدام اشخاص ثالث از آستانهٔ سیستمی عبور میکنند. یک دفتر مادهٔ ۸ ناقص یا ناسازگار اکنون هم یک یافتهٔ فردی است و هم یک ریسک برای یکپارچگی محیط CTPP.
مادهٔ ۱۸ — گزارشدهی حوادث مرتبط با فناوری اطلاعات و ارتباطات
پنجرهٔ اطلاعرسانی اولیهٔ ۴ ساعته برای حوادث عمدهٔ مرتبط با فناوری اطلاعات و ارتباطات همان چیزی است که نهادها را غافلگیر میکند. معیارهای طبقهبندی «عمده» از مادهٔ ۱۸(۳) و RTS فنی پیروی میکنند — تعداد مشتریان متأثر، گسترهٔ جغرافیایی، از دست رفتن داده، اثر اقتصادی، اثر اعتباری، حیاتیبودن خدمات متأثر، مدت زمان. بانکهایی که فرایندهای بالغ رسیدگی به حادثه را اجرا میکنند هم همچنان با تصمیم طبقهبندی در ساعت نخست دستوپنجه نرم میکنند. خروجی مهندسی: یک دستیار خودکارِ طبقهبندی شدت که در پلتفرم مدیریت حادثه سیمکشی شده و در همان نخستین چرخهٔ پاسخ یک منطق تصمیم مادهٔ ۱۸ تولید میکند، نه پس از جلسهٔ اولویتبندی.
مادهٔ ۲۶ — آزمون نفوذ مبتنی بر تهدید
TLPT بر نهادهای مالی تعیینشده توسط مقام صلاحیتدار اعمال میشود و بر پایهٔ کارکردهای حیاتی یا مهم نهاد تعیین دامنه میگردد. آزمون باید از روششناسی TIBER-EU (یا یک چارچوب ملی معادل) پیروی کند، از هوش تهدید برای ساخت سناریوهای حمله بهره ببرد، و دستکم هر سه سال یک بار اجرا شود. بهکارگیری ارائهدهندگان زیر مادهٔ ۲۷ (انتخاب ارائهدهنده) و مادهٔ ۲۸ (اجرای آزمون) مقرراتی است. پرسش نظارتی سال ۲۰۲۶: آیا دامنهٔ TLPT نهاد، کارکردهای حیاتی میزبانیشده در ابر عمومی آن را دربر میگیرد، و آیا مدل بهکارگیری ارائهدهنده، مرزهای امنیتی خودِ ارائهدهندهٔ ابری را بهشکلی تمیز مدیریت میکند؟
مواد ۲۸ تا ۴۴ — ارائهدهندگان شخص ثالث حیاتی
رژیم CTPP نوآوری نظارتیای است که مستقیمترین اثر را بر راهبرد ابری دارد. AWS، Microsoft (Azure)، Google (GCP)، Salesforce، Workday و مشتی دیگر از ارائهدهندگان راهبردی درون یا نزدیک محیط تعیین قرار دارند. تعیین، نظارت مستقیم مقامات نظارتی اروپا را فعال میکند، از جمله حق درخواست اطلاعات، بازرسیهای حضوری و توصیههای نظارتی. پیامد برای بانکهای ردهٔ نخست: تمرکز ارائهدهندهٔ ابری اکنون یک سنجهٔ نظارتی تحت مقررات است، نه صرفاً یک دغدغهٔ مدیریت ریسک داخلی.
معماری قانون هوش مصنوعی اتحادیه اروپا برای سامانههای بانکی پرخطر
جدول زمانی اعمال مرحلهای:
| تاریخ | مقررات | پیامد بانکی |
|---|---|---|
| ۱ اوت ۲۰۲۴ | لازمالاجرا شدن | ساعت شمارش آغاز میشود |
| ۲ فوریه ۲۰۲۵ | رویههای ممنوعه (مادهٔ ۵) | سامانههای سبک امتیازدهی اجتماعی ممنوع |
| ۲ اوت ۲۰۲۵ | تعهدات هوش مصنوعی همهمنظوره (فصل پنجم) | ارائهدهندگان مدل GPAI مشمول تعهدات مستندسازی و حق تکثیر |
| ۲ اوت ۲۰۲۶ | تعهدات سامانههای پرخطر (مواد ۱۶ تا ۲۹) | سامانههای پیوست سوم باید چارچوب انطباق کامل را برآورده کنند |
| ۲ اوت ۲۰۲۷ | سامانههای پرخطرِ یکپارچهشده با دیگر محصولات تحت مقررات | سامانههای بانکی یکپارچهشده با رژیمهای ایمنی محصول پیوست اول |
مقررات پیوست سوم که بیشترین برخورد را با بانکها دارند:
- بند ۱ پیوست سوم — شناسایی و دستهبندی بیومتریک. تطبیق بیومتریکِ پذیرش مشتری (برای نمونه، تشخیص زندهبودن بههمراه تطبیق عکس مدرک) اگر برای شناسایی بهکار رود و نه راستیآزمایی یک شخص واحد در برابر یک ادعا، پرخطر تلقی میشود. این تمایز از نظر عملیاتی معنادار است: تطبیق در برابر یک هویت اعلامشدهٔ واحد، راستیآزمایی است؛ تطبیق در برابر یک پایگاه داده، شناسایی است.
- بند ۵(ب) پیوست سوم — ارزیابی اعتبار. هر سامانهای که برای ارزیابی اعتبار اشخاص حقیقی یا تعیین امتیاز اعتباری آنها بهکار رود در دامنه است. این شامل امتیازدهی کارت اعتباری خرد، امتیازدهی صدور وام مسکن، پذیرهنویسی BNPL و تصمیمگیری اعتبار SME جایی است که اشخاص حقیقی موضوع باشند. سامانههای کشف تقلب مالی را مستثنا میکند (بند ۵۸ مقدماتی).
- بند ۵(ج) پیوست سوم — ارزیابی ریسک و قیمتگذاری در بیمهٔ عمر و سلامت. بازوهای بیمهٔ بانکی که مدلهای پذیرهنویسی را روی محصولات عمر یا سلامت اجرا میکنند درون این بند هستند، حتی اگر عملیات اعتبار خردِ بانک مادر نیز زیر بند ۵(ب) در دامنه باشد.
- بند ۷ پیوست سوم — اجرای عدالت و فرایندهای دموکراتیک. معمولاً برای بانکداری مرتبط نیست اما برای نهادهایی که خدمات پرداخت دادگاهی یا حساب قضایی ارائه میدهند ارزش تأیید کردن را دارد.
خلاصهٔ تعهدات مواد ۱۶ تا ۲۹:
- سامانهٔ مدیریت ریسک (مادهٔ ۹). فرایند تکراری پیوسته در سراسر چرخهٔ حیات سامانه، مستندشده بهصورت مکتوب.
- داده و حاکمیت داده (مادهٔ ۱۰). دادههای آموزش، اعتبارسنجی و آزمون مشمول رویههای حاکمیت و مدیریت داده هستند، از جمله مرتبطبودن، نمایندگی، کاملبودن و ارزیابی سوگیریها.
- مستندات فنی (مادهٔ ۱۱) و نگهداری سوابق (مادهٔ ۱۲). ثبت خودکار رویداد از خودِ سامانه، نگهداریشده برای دورههای متناسب با هدف سامانه.
- شفافیت نسبت به بهکارگیرندگان (مادهٔ ۱۳). دستورالعملهای استفاده که بهکارگیرندگان را قادر میسازد خروجی سامانه را تفسیر کنند.
- نظارت انسانی (مادهٔ ۱۴). اقدامات طراحیشده که اشخاص حقیقی را قادر به نظارت میکند، از جمله توانایی لغو یا توقف سامانه.
- دقت، استواری، امنیت سایبری (مادهٔ ۱۵). سنجههای عملکرد منتشرشده در دستورالعملهای استفاده؛ تابآوری در برابر ورودیهای خصمانه؛ اصلاح سوگیری در حین بهرهبرداری.
پرسش نظارتی برای اوت ۲۰۲۶: آیا بانک میتواند برای هر سامانهٔ پیوست سوم در محیط تولید یک ارزیابی انطباق بر پایهٔ پیوست ششم تولید کند؟ نهادهایی که چارچوبهای مدیریت ریسک مدل همراستا با SR 11-7 / SS1/23 ساختهاند بیشتر ورودیها را از پیش دارند؛ کار، نگاشت کنترلهای موجود به دستههای شواهد مواد ۹ تا ۱۵ قانون هوش مصنوعی است.
حاکمیت داده بهمثابهٔ انضباط مهندسی
مدل عملیاتی حاکمیت داده در سال ۲۰۲۶:
بندهای قراردادی استاندارد (ماژول ۲ یا ۳ حسب مورد). SCCهای بهروزرسانیشده که با تصمیم کمیسیون (EU) 2021/914 پذیرفته شدهاند مبنا هستند. SCCهای پیش از ۲۰۲۱ دورهٔ مهلت داشتند؛ استفاده از آنها در سال ۲۰۲۶ یک یافته است.
ارزیابی اثر انتقال. برای هر انتقال به یک کشور ثالث غیرمناسب، این موارد را مستند کنید: قوانین و رویههای کشور گیرنده که به حفاظت داده مربوطاند؛ اینکه آیا آن قوانین دسترسی مقامات عمومی را فراتر از آنچه در یک جامعهٔ دموکراتیک ضروری و متناسب است مجاز میکنند؛ دادهٔ خاصی که منتقل میشود؛ اقدامات تکمیلی فنی و سازمانی اعمالشده. توصیههای ۰۱/۲۰۲۰ ⧉ هیئت حفاظت داده اروپا چارچوب را فراهم میکنند.
بررسی گواهی چارچوب حریم خصوصی دادهٔ اتحادیه اروپا-ایالات متحده. گیرندگان آمریکایی دارای گواهی DPF امکان انتقال زیر تصمیم کفایت را بدون SCCها + TIA فراهم میکنند. راستیآزمایی: صفحهٔ گواهی DPF ⧉ گیرنده بههمراه یک سابقهٔ داخلی از تاریخ راستیآزمایی. DPF نخستین بازبینی سالانهٔ خود را در سال ۲۰۲۴ از سر گذراند؛ دوام بلندمدت آن همچنان یک پرسش زنده باقی میماند.
اقدامات تکمیلی در جایی که TIA نشان دهد لازماند. ناممستعارسازی پیش از انتقال، رمزنگاری با کلیدهای نگهداریشده در اتحادیه اروپا، پردازش تفکیکشده، یا انتقالپسازتجمیع. الگوی اجرای سال ۲۰۲۵: یافتههای CNIL دربارهٔ Microsoft 365 در ادارات فرانسه بر این متمرکز بود که آیا غیرفعالسازی Connected Experiences و پیکربندی جایگذاری مستأجرِ EU Data Boundary اقدامات تکمیلی کافی را تشکیل میدهد.
سازوکارهای EU Data Boundary ارائهدهندهٔ ابری. AWS European Sovereign Cloud، Microsoft EU Data Boundary، بستهٔ حاکمیت Google Cloud EU، بههمراه مشارکتهای ابر حاکمیتی (Bleu / Capgemini-Orange، Delos Cloud، Oracle EU Sovereign Cloud) همگی میکوشند تضمینهای حاکمیت داده را در سطح پلتفرم مهندسی کنند. هیچیک از آنها الزام SCC + TIA را حذف نمیکند؛ آنها سطح ریسک باقیماندهٔ TIA را کاهش میدهند.
تمرکز ابری زیر DORA و رهنمودهای برونسپاری EBA
رژیم CTPP در DORA و رهنمودهای برونسپاری EBA روی هم لایه میشوند:
بند ۶۴ EBA/GL/2019/02 ⧉ نهادها را ملزم میکند تضمین کنند که ترتیبات برونسپاری حیاتی یا مهم، حضور اساسی نهاد در اتحادیه اروپا، نظارت مدیریت، یا توانایی تصمیمگیری دربارهٔ کارکرد برونسپاریشده را مختل نمیکند. بند ۸۱ ارزیابیهای جایگزینپذیری را الزامی میکند. بندهای ۱۱۳ تا ۱۱۷ مستندات راهبرد خروجی را که ناظران واقعاً آزمون میکنند پوشش میدهند.
مادهٔ ۲۸ DORA الزامات محتوای قراردادی را برای ترتیبات فناوری اطلاعات و ارتباطات شخص ثالث که از کارکردهای حیاتی یا مهم پشتیبانی میکنند میافزاید: دسترسپذیری داده، امنیت داده، اقامت داده، حقوق حسابرسی، راهبردهای خروج و مقررات تداوم.
سپس رژیم CTPP بالای هر دو قرار میگیرد: اگر یک شخص ثالث از آستانهٔ تعیین عبور کند، مقامات نظارتی اروپا اختیار نظارت مستقیم بهدست میآورند. پیامدهای مهندسی دربارهٔ انتخابهای طراحی جغرافیایی و معماری است: فعال-فعالِ چندمنطقهای برای خدمات حیاتی؛ طرحهای خروج مستند با آزمونهای اجرای دورهای (نه صرفاً تمرینهای میزگردی)؛ دفترهای فناوری اطلاعات و ارتباطات شخص ثالث که با فهرست خدمات خودِ ارائهدهندهٔ ابری تطابق دارند.
این برای هر نوع بانک به چه معناست
بانکهای سیستمی مهم جهانی
محیط انطباق اکنون یک مسئلهٔ معماری است. سرمایهگذاری، یک بهروزرسانی سیاستی دیگر نیست — بلکه پلتفرم سیاستبهمثابهٔکد است که قواعد مشتق از DORA را در خط لولهٔ CI/CD سیمکشی میکند، فهرست سامانهٔ هوش مصنوعی که طبقهبندی پیوست سوم را در زمان استقرار نمایان میسازد، دفتر فناوری اطلاعات و ارتباطات شخص ثالث که بهطور خودکار با سامانههای تدارکات و صورتمواد ابری تطابق مییابد، و گزارش حسابرسی تغییرناپذیر که شواهد دفتر مادهٔ ۸ را بهدرخواست ناظر تولید میکند. پلتفرم را بسازید؛ چرخهٔ مقرراتیای که پس از پرخطرِ قانون هوش مصنوعی میآید (احتمالاً یک گسترش زیر آییننامهٔ رفتار هوش مصنوعی همهمنظوره) زیرساخت را به ارث میبرد.
بانکهای جامع و متوسط
موضع عملگرایانه، فهرست دقیق پیوست سوم است. بیشتر بانکهای جامع یک یا دو سامانه دارند که آشکارا در دامنهاند (امتیازدهی اعتباری، صدور وام مسکن، بیومتریک رودرروی مشتری) و یک دنبالهٔ بلند از موارد مرزی. صرف سه ماه در نیمهٔ نخست ۲۰۲۶ برای تولید یک طبقهبندی قابلدفاع پیوست سوم بهازای هر سامانهٔ هوش مصنوعی در محیط تولید — با یک منطق مکتوب که از بازبینی بیرونی جان سالم بهدر برد — ارزشمندتر از یک بهروزرسانی چارچوب کنترلی دیگر است. کار طبقهبندی، همزمان بهمثابهٔ شواهد مدیریت ریسک فناوری اطلاعات و ارتباطات مادهٔ ۶ DORA برای سامانههای حاوی هوش مصنوعی نیز عمل میکند.
بانکهای کوچکتر و مؤسسات ساختمانی
پاسخ راهبردی، بررسی دقیق فروشنده بهجای ساخت داخلی است. فروشندگان هوش مصنوعیای را انتخاب کنید که مستندات ارزیابی انطباق پیوست سوم را منتشر میکنند، که در قراردادهایشان به پشتیبانی شواهد مواد ۹ تا ۱۵ متعهد میشوند، و که اعتبارنامههای امنیتی شخص ثالثشان با الزامات مادهٔ ۲۸ DORA همراستاست. ادعاهای فروشندگان را از طریق فرایند MRM خود اعتبارسنجی کنید. دامنهٔ داخلی، یکپارچهسازی، پیکربندی و نظارت عملیاتی است — نه ساخت چارچوب.
بیمهگران و بازوهای بیمهٔ بانکی
بند ۵(ج) پیوست سوم دربارهٔ ارزیابی ریسک بیمهٔ عمر و سلامت، بازوهای بیمه را صرفنظر از مواجههٔ بانک مادر، درون محیط پرخطر قرار میدهد. مهلت اوت ۲۰۲۶ اعمال میشود. با کارکرد انطباق قانون هوش مصنوعی بانک مادر هماهنگ شوید — بیشتر کار زیربنایی فهرست و شواهد مشترک است، و مواجههٔ مقرراتی مختص یک خط کسبوکار است.
فینتکها، PSPها و رگتکها
پرسش محصولی برای فروشندگانی که در سال ۲۰۲۶ به بانکهای اتحادیه اروپا میفروشند دیگر «آیا پلتفرم شما با DORA / قانون هوش مصنوعی منطبق است» نیست. بلکه «آیا پلتفرم شما مستنداتی تولید میکند که کارکرد انطباق یک بانک ردهٔ نخست برای اثبات انطباق خودش به آن نیاز دارد» است. ورودیهای دفتر مادهٔ ۸ DORA، الگوهای مستندات فنی مادهٔ ۱۱ قانون هوش مصنوعی، متن آمادهٔ SCC + TIA برای هر ترتیب انتقال داده. فروشندگانی که با الگوهای قابلاستفاده پاسخ میدهند معاملات سازمانی را میبندند؛ فروشندگانی که با PDF پاسخ میدهند به رقبایی که چنین نمیکنند میبازند.
مهندسی مدل عملیاتی
وجه تمایز سال ۲۰۲۶، سیاستبهمثابهٔکد است که در زمان اجرا سیمکشی شده باشد.
Open Policy Agent در دروازهٔ استقرار. هر استقرار تولید از ارزیابی OPA در برابر سیاست مشتق از DORA عبور میکند. نمونهها: هر خدمتی که به دادهٔ مشتری دست بزند باید یک ورودی دفتر مادهٔ ۸ مستند داشته باشد؛ هر سامانهٔ هوش مصنوعی پیوست سوم باید شواهد ارزیابی انطباق را از مانیفست استقرار پیوندخورده داشته باشد؛ هر خدمت فناوری اطلاعات و ارتباطات شخص ثالث باید یک ارزیابی جایگزینپذیری درون اعتبار داشته باشد. سامانهٔ ثبت سیاست با Git نسخهگذاری میشود؛ استقرارهای ردشده منطقهای قابلبازبینی تولید میکنند.
گزارشگیری حسابرسی تغییرناپذیر که شواهد مادهٔ ۸ را تغذیه میکند. رویدادهای استقرار، پیکربندی و دسترسیِ ذخیرهشده بهشیوهٔ WORM که به دفتر فناوری اطلاعات و ارتباطات شخص ثالث بازتطابق مییابند. ناظرانی که میپرسند «کنترلهای خدمت X در تاریخ Y را نشانم بده» یک نتیجهٔ پرسوجو میگیرند، نه یک پروژهٔ سرهمکردن سند.
فهرست سامانهٔ هوش مصنوعی با طبقهبندی پیوست سوم که در CI/CD نمایان است. هر سامانهٔ هوش مصنوعی در فهرست نهاد یک طبقهبندی پیوست سوم دارد (بند ۱، ۵(الف)، ۵(ب)، ۵(ج)، ۶، ۷ یا هیچ). طبقهبندی هنگام تغییر سامانه بازبینی میشود؛ استقرار به محیط تولید بررسی میکند که طبقهبندی بهروز باشد. دستههای شواهد مواد ۹ تا ۱۵ به فیلدهای فهرست نگاشت میشوند و خط لولهٔ CI/CD بهمثابهٔ بخشی از هر انتشار، مصنوعات شواهد را مینویسد.
آزمون نفوذ مبتنی بر تهدید که در SDLC سیمکشی شده است. دامنههای TLPT از فهرست کارکردهای حیاتی و مهم نهاد مشتق میشوند؛ برنامهٔ آزمون بهجای رویدادی گسسته هر سه سال یک بار، بهطور پیوسته اجرا میشود. یافتهها به سامانهٔ ثبت سیاست OPA بازخورد میدهند؛ یافتههای بستهشده بستههای شواهد آمادهٔ نظارت تولید میکنند.
نهادهایی که با سرعت گردش کار شواهد تولید میکنند از آزمونها سربلند بیرون میآیند. نهادهایی که در پاسخ به درخواستهای داده بستههای مستندات تولید میکنند، نه.
پرسشهای پرتکرار
آیا DORA در سال ۲۰۲۶ هنوز در یک فاز «آمادهسازی» است؟
خیر. DORA از ۱۷ ژانویه ۲۰۲۵ در اجرای فعال بوده است. مواد ۶، ۸، ۱۸ و ۲۶ همگی لازمالاجرا هستند؛ رژیم تعیین CTPP در سراسر ۲۰۲۵ و ۲۰۲۶ در حال گشوده شدن بوده است؛ یافتههای نظارتی از نخستین موج آزمون در سهماههٔ چهارم ۲۰۲۵ فرود آمدند. قاببندی «آمادهسازی» دو چرخهٔ مقرراتی عقب است.
مهلت قانون هوش مصنوعی اتحادیه اروپا که برای بانکها اهمیت دارد چیست؟
۲ اوت ۲۰۲۶ — تاریخی که تعهدات مواد ۱۶ تا ۲۹ بر سامانههای پرخطر پیوست سوم اعمال میشوند. بند ۵(ب) پیوست سوم دربارهٔ ارزیابی اعتبار، بند ۱ دربارهٔ شناسایی بیومتریک هنگام پذیرش، و بند ۵(ج) دربارهٔ ارزیابی ریسک بیمهٔ عمر و سلامت، دستههای مرتبط با بانک هستند. بیشتر بانکهای ردهٔ نخست دستکم یک سامانهٔ پیوست سوم در محیط تولید دارند.
آیا چارچوب حریم خصوصی داده نیاز به SCCها را حذف میکند؟
تنها برای گیرندگان آمریکایی دارای گواهی DPF. راستیآزمایی گواهی در لحظهٔ انتقال الزامی است، بههمراه یک سابقهٔ داخلی. هر چیز دیگری همچنان به SCCها بههمراه یک ارزیابی اثر انتقال مستند نیاز دارد.
خروجی مهندسیای که انطباق با DORA را در یک آزمون نشان میدهد چیست؟
سیاستبهمثابهٔکد که استقرارهای تولید را در برابر قواعد مشتق از DORA کنترل دروازهای میکند، گزارشهای حسابرسی تغییرناپذیر که شواهد دفتر مادهٔ ۸ را تغذیه میکنند، یک فهرست سامانهٔ هوش مصنوعی با طبقهبندی پیوست سوم که در زمان استقرار نمایان میشود، و یک برنامهٔ TLPT که در برابر فهرست کارکردهای حیاتی و مهم تعیین دامنه شده است. شواهد با سرعت گردش کار.
آیا ارائهدهندگان ابری زیر DORA تحت مقررات هستند؟
بله — زیر مواد ۲۸ تا ۴۴. رژیم تعیین CTPP به مقامات نظارتی اروپا نظارت مستقیم بر ارائهدهندگان شخص ثالث حیاتی تعیینشده میدهد. AWS، Microsoft (Azure)، Google (GCP) و Salesforce همگی درون یا نزدیک محیط تعیین قرار دارند.
منابع
- European Union, (2022). مقررات (EU) 2022/2554 — قانون تابآوری عملیاتی دیجیتال (DORA) ⧉.
- European Union, (2024). مقررات (EU) 2024/1689 — قانون هوش مصنوعی ⧉.
- European Banking Authority, (2019). EBA/GL/2019/02 — رهنمودهای مربوط به ترتیبات برونسپاری ⧉.
- European Supervisory Authorities, (2024). گزارش نهایی دربارهٔ ITS مربوط به دفتر اطلاعات زیر DORA ⧉.
- European Central Bank, (2024). چارچوب TIBER-EU ⧉.
- European Data Protection Board, (2020). توصیههای ۰۱/۲۰۲۰ دربارهٔ اقدامات تکمیلی ⧉.
- US Department of Commerce, (2023). چارچوب حریم خصوصی دادهٔ اتحادیه اروپا-ایالات متحده ⧉.
- European Commission, (2021). تصمیم اجرایی کمیسیون (EU) 2021/914 — بندهای قراردادی استاندارد ⧉.
آخرین بازبینی .
بازنشر متقابل این مقاله
کپی قالببندیشده برای Medium
# DORA، قانون هوش مصنوعی اتحادیه اروپا و حاکمیت داده: پشتهٔ انطباق ۲۰۲۶ برای بانکها — Sebastien Rousseau > Originally published at [https://sebastienrousseau.com/fa/2026-05-28-dora-ai-act-data-sovereignty-banking-compliance-stack-2026/](https://sebastienrousseau.com/fa/2026-05-28-dora-ai-act-data-sovereignty-banking-compliance-stack-2026/) DORA، قانون هوش مصنوعی اتحادیه اروپا، GDPR، ریسک تمرکز ابری و حاکمیت داده در حال همگرا شدن به یک پشتهٔ انطباق واحد ۲۰۲۶ برای بانکها هستند. Read the full article on sebastienrousseau.com: https://sebastienrousseau.com/fa/2026-05-28-dora-ai-act-data-sovereignty-banking-compliance-stack-2026/
کپی قالببندیشده برای Mastodon
DORA، قانون هوش مصنوعی اتحادیه اروپا و حاکمیت داده: پشتهٔ انطباق ۲۰۲۶ برای بانکها — Sebastien Rousseau DORA، قانون هوش مصنوعی اتحادیه اروپا، GDPR، ریسک تمرکز ابری و حاکمیت داده در حال همگرا شدن به یک پشتهٔ انطباق واحد ۲۰۲۶ برای بانکها هستند. https://sebastienrousseau.com/fa/2026-05-28-dora-ai-act-data-sovereignty-banking-compliance-stack-2026/
کپی قالببندیشده برای LinkedIn
DORA، قانون هوش مصنوعی اتحادیه اروپا و حاکمیت داده: پشتهٔ انطباق ۲۰۲۶ برای بانکها — Sebastien Rousseau DORA، قانون هوش مصنوعی اتحادیه اروپا، GDPR، ریسک تمرکز ابری و حاکمیت داده در حال همگرا شدن به یک پشتهٔ انطباق واحد ۲۰۲۶ برای بانکها هستند. مهمترین نکات راهبردی به این شرح است: - DORA، قانون هوش مصنوعی اتحادیه اروپا و حاکمیت داده: پشتهٔ انطباق ۲۰۲۶ برای بانکها. پشتهٔ انطباق اتحادیه اروپا در سال ۲۰۲۶ دیگر یک موضوع رو به آینده نیست. - چرا ۲۰۲۶ سالِ فاز حسابرسی است. سه رژیم مقرراتی همزمان به واقعیت عملیاتی برخورد میکنند. - DORA در فاز حسابرسی — سازوکارهای مادهمحور. موادی که در سال ۲۰۲۶ یافتههای نظارتی تولید میکنند:. - معماری قانون هوش مصنوعی اتحادیه اروپا برای سامانههای بانکی پرخطر. جدول زمانی اعمال مرحلهای:. رویکرد سازمان شما به چالشهای مطرحشده در این نوشته چیست؟ → https://sebastienrousseau.com/fa/2026-05-28-dora-ai-act-data-sovereignty-banking-compliance-stack-2026/ #Dora۲۰۲۶،قانونهوشمصنوعیاتحادیهاروپا۲۰۲۶،حاکمیتدادهبانکها،تابآوریعملیاتی،ریسکتمرکزابری،انطباقهوشمصنوعیدرخدماتمالی،هوشمصنوعیپرخطر Sebastien Rousseau | CC-BY-4.0
استناد به این مقاله
DORA، قانون هوش مصنوعی اتحادیه اروپا و حاکمیت داده: پشتهٔ انطباق ۲۰۲۶ برای بانکها — Sebastien Rousseau
DORA، قانون هوش مصنوعی اتحادیه اروپا، GDPR، ریسک تمرکز ابری و حاکمیت داده در حال همگرا شدن به یک پشتهٔ انطباق واحد ۲۰۲۶ برای بانکها هستند.
BibTeX
@online{rousseau2026dora,
author = {Rousseau, Sebastien},
title = {{DORA، قانون هوش مصنوعی اتحادیه اروپا و حاکمیت داده: پشتهٔ انطباق ۲۰۲۶ برای بانکها — Sebastien Rousseau}},
year = {2026},
url = {https://sebastienrousseau.com/fa/2026-05-28-dora-ai-act-data-sovereignty-banking-compliance-stack-2026/},
urldate = {2026}
}RIS
TY - GEN AU - Rousseau, Sebastien TI - DORA، قانون هوش مصنوعی اتحادیه اروپا و حاکمیت داده: پشتهٔ انطباق ۲۰۲۶ برای بانکها — Sebastien Rousseau PY - 2026 UR - https://sebastienrousseau.com/fa/2026-05-28-dora-ai-act-data-sovereignty-banking-compliance-stack-2026/ ER -
Vancouver
Rousseau S. DORA، قانون هوش مصنوعی اتحادیه اروپا و حاکمیت داده: پشتهٔ انطباق ۲۰۲۶ برای بانکها — Sebastien Rousseau. sebastienrousseau.com. 2026 May 28. Available from: https://sebastienrousseau.com/fa/2026-05-28-dora-ai-act-data-sovereignty-banking-compliance-stack-2026/
Chicago
Rousseau, Sebastien. "DORA، قانون هوش مصنوعی اتحادیه اروپا و حاکمیت داده: پشتهٔ انطباق ۲۰۲۶ برای بانکها — Sebastien Rousseau." sebastienrousseau.com. May 28, 2026. https://sebastienrousseau.com/fa/2026-05-28-dora-ai-act-data-sovereignty-banking-compliance-stack-2026/.
APA
Rousseau, S. (2026, May 28). DORA، قانون هوش مصنوعی اتحادیه اروپا و حاکمیت داده: پشتهٔ انطباق ۲۰۲۶ برای بانکها — Sebastien Rousseau. sebastienrousseau.com. https://sebastienrousseau.com/fa/2026-05-28-dora-ai-act-data-sovereignty-banking-compliance-stack-2026/
بازنشر این مقاله
DORA، قانون هوش مصنوعی اتحادیه اروپا و حاکمیت داده: پشتهٔ انطباق ۲۰۲۶ برای بانکها — Sebastien Rousseau
DORA، قانون هوش مصنوعی اتحادیه اروپا، GDPR، ریسک تمرکز ابری و حاکمیت داده در حال همگرا شدن به یک پشتهٔ انطباق واحد ۲۰۲۶ برای بانکها هستند.
این مقاله تحت مجوز زیر منتشر شده است Creative Commons Attribution 4.0 International. بازنشر مستلزم ذکر منبع با ارجاع به نشانی اصلی (canonical) است.
DORA، قانون هوش مصنوعی اتحادیه اروپا و حاکمیت داده: پشتهٔ انطباق ۲۰۲۶ برای بانکها — Sebastien Rousseau DORA، قانون هوش مصنوعی اتحادیه اروپا، GDPR، ریسک تمرکز ابری و حاکمیت داده در حال همگرا شدن به یک پشتهٔ انطباق واحد ۲۰۲۶ برای بانکها هستند. Originally published at https://sebastienrousseau.com/fa/2026-05-28-dora-ai-act-data-sovereignty-banking-compliance-stack-2026/ by Sebastien Rousseau. Licensed under CC-BY-4.0.
