Sebastien Rousseau

DORA 2026

DORA, EU AI Act आणि डेटा सार्वभौमत्व: बँकांसाठी 2026 चा अनुपालन-स्तर

2026 चा अनुपालन-स्तर हा धोरणांची फाईल नाही. तो एक डेटा, क्लाउड, AI आणि परिचालन-लवचिकतेचे स्थापत्य आहे जे ताणाखालीही नियंत्रण सिद्ध करू शकते.

14 मिनिटे वाचन
Banner for: DORA, EU AI Act आणि डेटा सार्वभौमत्व: बँकांसाठी 2026 चा अनुपालन-स्तर

DORA, EU AI Act आणि डेटा सार्वभौमत्व: बँकांसाठी 2026 चा अनुपालन-स्तर

2026 चा EU अनुपालन-स्तर आता भविष्याकडे पाहणारा विषय राहिलेला नाही. DORA 17 जानेवारी 2025 पासून सक्रिय अंमलबजावणीत आहे. EU AI Act च्या उच्च-जोखीम बंधनांना 2 ऑगस्ट 2026 रोजी पूर्ण बळ मिळते — या लेखाच्या प्रकाशन तारखेपासून आठ आठवडे दूर. Schrems II आणि EU-US Data Privacy Framework ही सीमापार डेटा हस्तांतरणाची परिचालनातील वस्तुस्थिती आहे, भविष्यातील चिंता नव्हे. क्लाउड एकाग्रता जोखीम EBA/GL/2019/02 ⧉ आणि DORA critical third-party provider (CTPP) पदनाम व्यवस्थेद्वारे EBA च्या आउटसोर्सिंग परिघात बसते. जी संस्था याला अजूनही "तयारी"चा कार्यक्रम मानतात त्यांनी आधीच दोन नियामक चक्रे गमावली आहेत.


कार्यकारी सारांश / मुख्य मुद्दे

  • DORA ऑडिट टप्प्यात आहे. Regulation (EU) 2022/2554 ⧉ ची कलमे 6 (ICT जोखीम-व्यवस्थापन आराखडा), 8 (माहिती नोंदवही), 18 (घटना अहवाल), 26 (धमकी-आधारित प्रवेश-चाचणी) आणि कलम 28-44 अंतर्गत CTPP व्यवस्था 16 महिन्यांपासून लागू आहेत. पर्यवेक्षकीय अपेक्षा आता औपचारिक परीक्षा-निष्कर्ष आहेत, सल्लावजा टिप्पणी नव्हे.
  • EU AI Act ची उच्च-जोखीम अंतिम मुदत 2 ऑगस्ट 2026 आहे. Annex III मुद्दा 5(b) पत-श्रेणीकरणाला व्यापतो; मुद्दा 1 ग्राहक-नोंदणीच्या वेळी जैवमापन ओळखीला व्यापतो; मुद्दा 7 जीवन व आरोग्य विम्याच्या जोखीम-मूल्यांकनाला व्यापतो. कलम 16-29 ची बंधने — जोखीम व्यवस्थापन, डेटा प्रशासन, तांत्रिक दस्तऐवजीकरण, नोंद-ठेवणी, पारदर्शकता, मानवी देखरेख, अचूकता आणि सायबर-सुरक्षा — त्या तारखेपासून लागू होतात.
  • सीमापार डेटा हस्तांतरण म्हणजे SCCs + TIA, अस्पष्ट "डेटा सार्वभौमत्व" नव्हे. Standard Contractual Clauses, transfer impact assessments, आणि TIA दाखवते तेथे पूरक उपाय. DPF केवळ DPF-प्रमाणित US प्राप्तकर्त्यांना व्यापते; बाकी सर्वांना अजूनही SCCs + TIA आवश्यक आहे. आयरिश Data Protection Commission, CNIL आणि Garante या सर्वांनी 2025 मध्ये अंमलबजावणी निर्णय जारी केले आहेत.
  • क्लाउड एकाग्रता ही अभियांत्रिकीने घडवली जाते, घोषित केली जात नाही. गंभीर सेवांसाठी multi-region active-active; तपासलेल्या अंमलबजावणी-पुराव्यासह दस्तऐवजीकृत निर्गमन योजना; सेवा-स्तरानुसार बदली-योग्यता मूल्यांकन; क्लाउड पुरवठादाराच्या स्वतःच्या सेवा-सूचीशी जुळणारी तृतीय-पक्ष ICT नोंदवही. EBA/GL/2019/02 परिच्छेद 81 हेच लेखापरीक्षक तपासतात.
  • 2026 चा वेगळेपणा म्हणजे रनटाइममध्ये जोडलेले policy-as-code. DORA-व्युत्पन्न नियमांविरुद्ध उत्पादन तैनाती गेट करणारे Open Policy Agent; कलम 8 नोंदवही-पुराव्याला खाद्य देणाऱ्या अपरिवर्तनीय ऑडिट नोंदी; CI/CD पाइपलाइनमध्ये पुढे आणलेल्या Annex III वर्गीकरणासह AI-प्रणाली सूची. परीक्षेच्या आदल्या आठवड्यात जमवलेल्या PDF मध्ये नव्हे, तर कार्यप्रवाहाच्या वेगाने पुरावा.

2026 हे ऑडिट-टप्प्याचे वर्ष का आहे

तीन नियामक व्यवस्था एकाच वेळी परिचालनातील वस्तुस्थितीत उतरतात.

DORA अंमलबजावणी (17 जानेवारी 2025 पासून). European Supervisory Authorities (EBA, EIOPA, ESMA) यांनी 2024 पर्यंत अंतिम RTS आणि ITS प्रकाशित केले, CTPP पदनाम व्यवस्था 2025 च्या सुरुवातीला उघडली, आणि टियर-1 बँका 2025 भर 4-तासांच्या प्रारंभिक-अधिसूचना नियमानुसार कलम 18 घटना अहवाल दाखल करत आल्या आहेत. ESAs ची संयुक्त TLPT आराखडा — औपचारिकपणे DORA कलम 26 शी संरेखित TIBER-EU framework ⧉ — आज बहुतांश G-SIBs चालवत असलेल्या धमकी-आधारित प्रवेश-चाचणी कार्यक्रमांचा आधार आहे. पर्यवेक्षकीय परीक्षांच्या पहिल्या लाटेतील निष्कर्ष 2025 च्या चौथ्या तिमाहीत येऊ लागले.

EU AI Act टप्प्याटप्प्याने लागू. हा कायदा 1 ऑगस्ट 2024 रोजी अंमलात आला. प्रतिबंधित-प्रथा तरतुदी 2 फेब्रुवारी 2025 पासून लागू झाल्या; सामान्य-हेतू AI बंधने 2 ऑगस्ट 2025 पासून लागू होतात; उच्च-जोखीम प्रणाली बंधने 2 ऑगस्ट 2026 पासून लागू होतात. बँकांसाठी हीच महत्त्वाची अंतिम मुदत आहे. बहुतांश टियर-1 संस्थांकडे उत्पादनात किमान एक Annex III प्रणाली आहे — पत-श्रेणीकरण (मुद्दा 5b), ग्राहकाभिमुख जैवमापन ओळख (मुद्दा 1), किंवा जीवन/आरोग्य विमा जोखीम-मूल्यांकन (मुद्दा 7). कलम 16-29 अंतर्गतची बंधने — जोखीम व्यवस्थापन, डेटा प्रशासन, तांत्रिक दस्तऐवजीकरण, नोंद-ठेवणी, पारदर्शकता, मानवी देखरेख, अचूकता, मजबुती आणि सायबर-सुरक्षा — कोणत्याही सौम्य संक्रमण-कालावधीशिवाय त्याच एका तारखेपासून लागू होतात.

Schrems II परिचालनातील निपटारा. CJEU च्या Schrems II निर्णयाने (जुलै 2020) Privacy Shield रद्द केले आणि जेथे TIA संरक्षण अपुरे दाखवते तेथे पूरक उपायांच्या अटीवर SCCs वैध ठरवले. European Commission ने जुलै 2023 मध्ये EU-US Data Privacy Framework (DPF) स्वीकारले — जे केवळ DPF-प्रमाणित US प्राप्तकर्त्यांसाठी हस्तांतरण-यंत्रणा पुरवते. बाकी सर्वांना अजूनही SCCs आणि दस्तऐवजीकृत TIA आवश्यक आहे. फ्रेंच सार्वजनिक प्रशासनातील Microsoft 365 तैनातींवरील CNIL चे अंमलबजावणी निर्णय, मे 2023 मधील Meta विरुद्ध आयरिश DPC चा 1.2 अब्ज युरोंचा दंड, आणि 2024 मधील OpenAI विरुद्ध Garante च्या कारवाया यांनी पर्यवेक्षकीय आकृतिबंध प्रस्थापित केला: TIA तपासले जातात, पूरक उपायांची छाननी होते, आणि केवळ "आम्ही SCCs वापरतो" हा दावा उत्तीर्ण होत नाही.

2026 साठी संस्थात्मक प्रश्न हा प्रत्येक व्यवस्था लागू होते की नाही हा नाही. तो हा आहे की परीक्षकीय छाननीखाली संस्था जो अनुपालन-पुरावा तयार करते तो एकसंध टिकतो का.

ऑडिट टप्प्यातील DORA — कलम-विशिष्ट यंत्रणा

2026 मध्ये पर्यवेक्षकीय निष्कर्ष निर्माण करणारी कलमे:

कलम 6 — ICT जोखीम-व्यवस्थापन आराखडा

आराखडा दस्तऐवजीकृत असावा, व्यवस्थापन-मंडळाने मंजूर केलेला असावा, किमान वार्षिक पुनरावलोकन केलेला असावा, आणि संस्थेच्या एकंदर जोखीम-व्यवस्थापन आराखड्याशी एकात्मित असावा. पर्यवेक्षक याची चाचणी करतात: प्रत्येक ICT जोखीम-श्रेणीसाठी स्पष्ट जोखीम-सहनशीलता विधाने; दस्तऐवजीकृत माहिती-सुरक्षा धोरण; दुसऱ्या-रेषा आणि तिसऱ्या-रेषा बचावाकडील परिभाषित भूमिका व जबाबदाऱ्या; संस्थेच्या जोखीम-प्रवृत्तीला चालना देणारे परिमाणित वार्षिक ICT जोखीम-मूल्यांकन. 2026 च्या सुरुवातीच्या निष्कर्षांतील आकृतिबंध: ज्या संस्थांची ICT जोखीम-वर्गवारी त्यांच्या कलम 18 अंतर्गतच्या घटना-अहवाल वर्गवारीशी जुळत नाही.

कलम 8 — माहिती नोंदवही (तृतीय-पक्ष ICT)

नोंदवहीत ICT सेवांच्या वापरावरील प्रत्येक करारात्मक व्यवस्था असणे आवश्यक आहे. ITS on the register of information ⧉ नुसार अनिवार्य क्षेत्रांमध्ये समर्थित कार्य, गंभीरता-वर्गीकरण, डेटा प्रक्रिया व साठवणुकीचे स्थान, उप-आउटसोर्सिंग साखळी, आणि निर्गमन-धोरण मूल्यांकन यांचा समावेश होतो. कलम 31 अंतर्गत CTPP पदनाम व्यवस्था संपूर्ण EU मधील नोंदवह्या वाचून कोणते तृतीय पक्ष प्रणालीगत मर्यादा ओलांडतात हे ओळखते. अपूर्ण किंवा विसंगत कलम 8 नोंदवही आता वैयक्तिक निष्कर्ष तसेच CTPP-परिघ अखंडता जोखीम दोन्ही आहे.

कलम 18 — ICT-संबंधित घटना अहवाल

मोठ्या ICT-संबंधित घटनांसाठी 4-तासांची प्रारंभिक-अधिसूचना खिडकी हीच संस्थांना अडचणीत आणते. "मोठी" घटनेसाठीचे वर्गीकरण-निकष कलम 18(3) आणि तांत्रिक RTS चे अनुसरण करतात — बाधित ग्राहकांची संख्या, भौगोलिक व्याप्ती, डेटा हानी, आर्थिक परिणाम, प्रतिष्ठात्मक परिणाम, बाधित सेवांची गंभीरता, कालावधी. परिपक्व घटना-प्रक्रिया चालवणाऱ्या बँका देखील पहिल्या-तासाच्या वर्गीकरण-निर्णयाशी झुंजतात. अभियांत्रिकी वितरण: घटना-व्यवस्थापन प्लॅटफॉर्ममध्ये जोडलेला एक स्वयंचलित गंभीरता-वर्गीकरण सहाय्यक जो त्रयस्थ बैठकीनंतर नव्हे तर पहिल्या प्रतिसाद-चक्रात कलम 18 चा निर्णय-आधार तयार करतो.

कलम 26 — धमकी-आधारित प्रवेश-चाचणी

TLPT हे सक्षम प्राधिकरणाने नियुक्त केलेल्या वित्तीय संस्थांना लागू होते, आणि त्याची व्याप्ती संस्थेच्या गंभीर किंवा महत्त्वाच्या कार्यांनुसार ठरते. चाचणीने TIBER-EU पद्धती (किंवा समतुल्य राष्ट्रीय आराखडा) अनुसरली पाहिजे, हल्ल्याचे परिस्थिती-चित्र रचण्यासाठी धमकी-गुप्तवार्ता वापरली पाहिजे, आणि किमान दर तीन वर्षांनी चालवली पाहिजे. पुरवठादारांची नियुक्ती कलम 27 (पुरवठादार निवड) आणि कलम 28 (चाचणी अंमलबजावणी) अंतर्गत नियमित आहे. 2026 चा पर्यवेक्षकीय प्रश्न: संस्थेच्या TLPT व्याप्तीत तिची सार्वजनिक-क्लाउडवर होस्ट केलेली गंभीर कार्ये समाविष्ट आहेत का, आणि पुरवठादार-नियुक्ती प्रारूप क्लाउड-पुरवठादाराच्या स्वतःच्या सुरक्षा-सीमा स्वच्छपणे हाताळते का?

कलमे 28-44 — गंभीर तृतीय-पक्ष पुरवठादार

CTPP व्यवस्था ही पर्यवेक्षकीय नवसंकल्पना आहे जी क्लाउड धोरणावर सर्वाधिक थेट परिणाम करते. AWS, Microsoft (Azure), Google (GCP), Salesforce, Workday आणि इतर काही धोरणात्मक पुरवठादार पदनाम-परिघाच्या आत किंवा जवळ बसतात. पदनामामुळे ESAs कडून थेट देखरेख सुरू होते, ज्यात माहिती-विनंतीचा अधिकार, स्थळ-तपासणी, आणि पर्यवेक्षकीय शिफारसी यांचा समावेश आहे. टियर-1 बँकांसाठी याचा अर्थ: क्लाउड-पुरवठादार एकाग्रता आता केवळ अंतर्गत जोखीम-व्यवस्थापनाची चिंता नसून एक नियमित पर्यवेक्षकीय मापदंड आहे.

उच्च-जोखीम बँकिंग प्रणालींसाठी EU AI Act चे स्थापत्य

टप्प्याटप्प्याने-लागू होण्याचा कालपट:

तारीख तरतुदी बँकिंग परिणाम
1 ऑगस्ट 2024 अंमलात येणे गणना-घड्याळ सुरू
2 फेब्रुवारी 2025 प्रतिबंधित प्रथा (कलम 5) सामाजिक-श्रेणीकरणसदृश प्रणाली प्रतिबंधित
2 ऑगस्ट 2025 सामान्य-हेतू AI बंधने (प्रकरण V) GPAI मॉडेल पुरवठादार दस्तऐवजीकरण व प्रताधिकार बंधनांच्या अधीन
2 ऑगस्ट 2026 उच्च-जोखीम प्रणाली बंधने (कलमे 16-29) Annex III प्रणालींनी पूर्ण अनुपालन-आराखडा पूर्ण करणे आवश्यक
2 ऑगस्ट 2027 इतर नियमित उत्पादनांशी एकात्मित उच्च-जोखीम प्रणाली Annex I उत्पादन-सुरक्षा व्यवस्थांशी एकात्मित बँकिंग प्रणाली

बँकांना सर्वाधिक फटका देणाऱ्या Annex III तरतुदी:

कलमे 16-29 ची बंधने सारांशाने:

ऑगस्ट 2026 साठीचा पर्यवेक्षकीय प्रश्न: उत्पादनातील प्रत्येक Annex III प्रणालीसाठी बँक Annex VI अंतर्गत Conformity Assessment तयार करू शकते का? ज्या संस्थांनी SR 11-7 / SS1/23 शी संरेखित मॉडेल-जोखीम-व्यवस्थापन आराखडे उभारले आहेत त्यांच्याकडे बहुतांश निविष्ठे आधीच आहेत; काम म्हणजे विद्यमान नियंत्रणे AI Act च्या कलम 9-15 पुरावा-श्रेणींशी जोडणे.

अभियांत्रिकी शिस्त म्हणून डेटा सार्वभौमत्व

2026 मधील परिचालनातील डेटा-सार्वभौमत्व प्रारूप:

Standard Contractual Clauses (लागू असेल त्यानुसार Module 2 किंवा 3). Commission Decision (EU) 2021/914 ने स्वीकारलेले सुधारित SCCs हा आधारभूत स्तर आहे. 2021-पूर्वीच्या SCCs ना सवलत-कालावधी दिला गेला होता; 2026 मध्ये त्यांचा वापर हा एक निष्कर्ष आहे.

Transfer Impact Assessment. प्रत्येक गैर-पर्याप्त तृतीय देशाकडील हस्तांतरणासाठी दस्तऐवजीकरण करा: प्राप्तकर्त्या देशातील डेटा-संरक्षणाशी संबंधित कायदे व प्रथा; ते कायदे लोकशाही समाजात आवश्यक व प्रमाणबद्ध असलेल्यापेक्षा जास्त सार्वजनिक-प्राधिकरण प्रवेशाला परवानगी देतात का; हस्तांतरित होणारा विशिष्ट डेटा; लागू केलेले तांत्रिक व संघटनात्मक पूरक उपाय. EDPB च्या Recommendations 01/2020 ⧉ हा आराखडा पुरवतात.

EU-US Data Privacy Framework प्रमाणन तपासणी. DPF-प्रमाणित US प्राप्तकर्ते SCCs + TIA शिवाय पर्याप्तता-निर्णयाखाली हस्तांतरणास परवानगी देतात. पडताळणी: प्राप्तकर्त्याचे DPF certification page ⧉ आणि पडताळणी तारखेची अंतर्गत नोंद. DPF ने 2024 मध्ये आपले पहिले वार्षिक पुनरावलोकन पार केले; त्याची दीर्घकालीन टिकाऊपणा हा अजूनही जिवंत प्रश्न आहे.

TIA आवश्यक दाखवते तेथे पूरक उपाय. हस्तांतरणापूर्वी छद्मनामीकरण, EU मध्ये ठेवलेल्या किल्ल्यांसह कूटलेखन, विभाजित प्रक्रिया, किंवा एकत्रीकरणानंतरचे हस्तांतरण. 2025 चा अंमलबजावणी आकृतिबंध: फ्रेंच प्रशासनातील Microsoft 365 वरील CNIL चे निष्कर्ष Connected Experiences बंद करणे आणि EU Data Boundary टेनंट-स्थान-निश्चिती हे पुरेसे पूरक उपाय ठरतात का यावर केंद्रित होते.

क्लाउड-पुरवठादार EU Data Boundary यंत्रणा. AWS European Sovereign Cloud, Microsoft EU Data Boundary, Google Cloud EU सार्वभौमत्व पॅकेज, तसेच सार्वभौम-क्लाउड भागीदाऱ्या (Bleu / Capgemini-Orange, Delos Cloud, Oracle EU Sovereign Cloud) या सर्व प्लॅटफॉर्म-स्तरावर डेटा-सार्वभौमत्व हमी अभियांत्रिकीने घडवण्याचा प्रयत्न करतात. यापैकी कोणतीही SCC + TIA आवश्यकता नाहीशी करत नाही; ती TIA च्या अवशिष्ट-जोखीम पृष्ठभाग कमी करतात.

DORA आणि EBA आउटसोर्सिंग मार्गदर्शक तत्त्वांखाली क्लाउड एकाग्रता

DORA CTPP व्यवस्था आणि EBA आउटसोर्सिंग मार्गदर्शक तत्त्वे एकमेकांवर स्तरित होतात:

EBA/GL/2019/02 ⧉ परिच्छेद 64 नुसार संस्थांनी हे सुनिश्चित करावे की गंभीर किंवा महत्त्वाच्या आउटसोर्सिंग व्यवस्था संस्थेच्या EU मधील ठोस उपस्थितीला, व्यवस्थापनाच्या देखरेखीला, किंवा आउटसोर्स केलेल्या कार्यावर निर्णय घेण्याच्या क्षमतेला बाधा आणत नाहीत. परिच्छेद 81 नुसार बदली-योग्यता मूल्यांकन आवश्यक आहे. परिच्छेद 113-117 हे पर्यवेक्षक प्रत्यक्षात तपासतात त्या निर्गमन-धोरण दस्तऐवजीकरणाला व्यापतात.

DORA कलम 28 गंभीर किंवा महत्त्वाच्या कार्यांना आधार देणाऱ्या ICT तृतीय-पक्ष व्यवस्थांसाठी करारात्मक-मजकुराच्या आवश्यकता जोडते: डेटा-सुलभता, डेटा-सुरक्षा, डेटा-निवास, ऑडिट-अधिकार, निर्गमन-धोरणे, आणि सातत्य-तरतुदी.

CTPP व्यवस्था नंतर दोन्हींच्या वर बसते: एखादा तृतीय पक्ष पदनाम-मर्यादा ओलांडल्यास ESAs ना थेट देखरेख-अधिकार मिळतो. अभियांत्रिकी परिणाम भौगोलिक व स्थापत्यात्मक रचना-निवडींबद्दल आहेत: गंभीर सेवांसाठी multi-region active-active; नियतकालिक अंमलबजावणी-चाचण्यांसह (केवळ टेबलटॉप सराव नव्हे) दस्तऐवजीकृत निर्गमन योजना; क्लाउड पुरवठादाराच्या स्वतःच्या सेवा-सूचीशी जुळणाऱ्या तृतीय-पक्ष ICT नोंदवह्या.

बँक-प्रकारानुसार याचा अर्थ काय

जागतिकदृष्ट्या प्रणालीगत-महत्त्वाच्या बँका

अनुपालन-परिघ आता एक स्थापत्य-समस्या आहे. गुंतवणूक म्हणजे आणखी एक धोरण-नूतनीकरण नव्हे — ती म्हणजे DORA-व्युत्पन्न नियम CI/CD पाइपलाइनमध्ये जोडणारे policy-as-code प्लॅटफॉर्म, तैनातीच्या वेळी Annex III वर्गीकरण पुढे आणणारी AI-प्रणाली सूची, खरेदी आणि क्लाउड-बिल-ऑफ-मटेरियल्स प्रणालींशी स्वयंचलितपणे जुळणारी तृतीय-पक्ष ICT नोंदवही, आणि पर्यवेक्षकाच्या विनंतीवर कलम 8 नोंदवही-पुरावा तयार करणारी अपरिवर्तनीय ऑडिट नोंद. प्लॅटफॉर्म उभारा; AI Act उच्च-जोखीमनंतर येणारे नियामक चक्र (बहुधा General-Purpose AI Code of Practice अंतर्गत विस्तार) याच पायाभूत रचनेचा वारसा घेते.

सार्वत्रिक आणि मध्यम-आकाराच्या बँका

व्यावहारिक भूमिका म्हणजे कठोर Annex III सूची. बहुतांश सार्वत्रिक बँकांकडे एक किंवा दोन प्रणाली स्पष्टपणे व्याप्तीत असतात (पत-श्रेणीकरण, गृहकर्ज-उत्पत्ती, ग्राहकाभिमुख जैवमापन) आणि सीमारेषेवरील प्रकरणांची लांब शेपटी असते. 2026 च्या पहिल्या सहामाहीत तीन महिने खर्चून उत्पादनातील प्रत्येक AI प्रणालीसाठी बाह्य पुनरावलोकन टिकवणाऱ्या लेखी आधारासह बचाव-योग्य Annex III वर्गीकरण तयार करणे हे आणखी एका नियंत्रण-आराखडा नूतनीकरणापेक्षा अधिक मूल्याचे आहे. हे वर्गीकरण-काम AI-धारक प्रणालींसाठी DORA कलम 6 ICT जोखीम-व्यवस्थापन पुरावा म्हणूनही दुहेरी उपयोगाचे ठरते.

लहान बँका आणि बिल्डिंग सोसायट्या

धोरणात्मक उत्तर म्हणजे अंतर्गत बांधणीपेक्षा पुरवठादार-सजगता. असे AI पुरवठादार निवडा जे Annex III conformity assessment दस्तऐवजीकरण प्रकाशित करतात, जे आपल्या करारांमध्ये कलमे 9-15 पुरावा-समर्थनाची बांधिलकी घेतात, आणि ज्यांची तृतीय-पक्ष सुरक्षा-मान्यता DORA कलम 28 आवश्यकतांशी संरेखित आहेत. आपल्या MRM प्रक्रियेद्वारे पुरवठादारांच्या दाव्यांची पडताळणी करा. अंतर्गत व्याप्ती म्हणजे एकात्मीकरण, संरचना आणि परिचालन देखरेख — आराखडा-बांधणी नव्हे.

विमाकर्ते आणि बँकाश्युरन्स विभाग

जीवन व आरोग्य विम्यातील जोखीम-मूल्यांकनावरील Annex III मुद्दा 5(c) मूळ बँकेच्या जोखीम-प्रदर्शनाची पर्वा न करता विमा-विभागांना उच्च-जोखीम परिघाच्या आत आणतो. ऑगस्ट 2026 ची अंतिम मुदत लागू आहे. मूळ बँकेच्या AI Act अनुपालन-कार्याशी समन्वय साधा — बहुतांश अंतर्निहित सूची व पुरावा-काम सामायिक असते, आणि नियामक-प्रदर्शन एकल-व्यवसायरेषा-विशिष्ट असते.

फिनटेक, PSP आणि रेगटेक

2026 मध्ये EU बँकांना विकणाऱ्या पुरवठादारांसाठीचा उत्पादन-प्रश्न आता "तुमचे प्लॅटफॉर्म DORA / AI Act चे अनुपालन करते का" हा नाही. तो हा आहे की "तुमचे प्लॅटफॉर्म एका टियर-1 बँकेच्या अनुपालन-कार्याला स्वतःचे अनुपालन सिद्ध करण्यासाठी लागणारे दस्तऐवजीकरण तयार करते का." DORA कलम 8 नोंदवही-निविष्ठे, AI Act कलम 11 तांत्रिक-दस्तऐवजीकरण साचे, कोणत्याही डेटा-हस्तांतरण व्यवस्थेसाठी SCC + TIA नमुना-मजकूर. जे पुरवठादार वापरण्यायोग्य साच्यांनी उत्तर देतात ते एंटरप्राइज करार जिंकतात; जे PDF ने उत्तर देतात ते तसे न करणाऱ्या स्पर्धकांकडे हरतात.

परिचालन-प्रारूपाची अभियांत्रिकी

2026 चा वेगळेपणा म्हणजे रनटाइममध्ये जोडलेले policy-as-code.

तैनाती-गेटवर Open Policy Agent. प्रत्येक उत्पादन तैनाती DORA-व्युत्पन्न धोरणाविरुद्ध OPA मूल्यांकनातून जाते. उदाहरणे: ग्राहक-डेटाला स्पर्श करणाऱ्या कोणत्याही सेवेकडे दस्तऐवजीकृत कलम 8 नोंदवही-नोंद असणे आवश्यक; कोणत्याही Annex III AI प्रणालीकडे तैनाती-मॅनिफेस्टपासून जोडलेला Conformity Assessment पुरावा असणे आवश्यक; कोणत्याही तृतीय-पक्ष ICT सेवेकडे वैधतेच्या आत बदली-योग्यता मूल्यांकन असणे आवश्यक. धोरण-नोंदणी Git-आवृत्तीबद्ध असते; नाकारलेल्या तैनाती पुनरावलोकन-योग्य आधार तयार करतात.

कलम 8 पुराव्याला खाद्य देणारी अपरिवर्तनीय ऑडिट नोंदणी. WORM-साठवलेल्या तैनाती, संरचना आणि प्रवेश-घटना ज्या तृतीय-पक्ष ICT नोंदवहीशी परत जुळतात. "Y तारखेला X सेवेसाठीची नियंत्रणे दाखवा" असे विचारणाऱ्या पर्यवेक्षकांना दस्तऐवज-जुळणीचा प्रकल्प नव्हे तर एक क्वेरी-निकाल मिळतो.

CI/CD मध्ये पुढे आणलेल्या Annex III वर्गीकरणासह AI-प्रणाली सूची. संस्थेच्या सूचीतील प्रत्येक AI प्रणाली एक Annex III वर्गीकरण (मुद्दा 1, 5(a), 5(b), 5(c), 6, 7 किंवा काहीही नाही) धारण करते. प्रणाली बदलल्यावर वर्गीकरणाचे पुनरावलोकन होते; उत्पादनात तैनाती वर्गीकरण अद्ययावत असल्याची तपासणी करते. कलमे 9-15 पुरावा-श्रेणी सूची-क्षेत्रांशी जुळतात आणि CI/CD पाइपलाइन प्रत्येक प्रकाशनाचा भाग म्हणून पुरावा-कलाकृती लिहिते.

SDLC मध्ये जोडलेली धमकी-आधारित प्रवेश-चाचणी. TLPT व्याप्ती संस्थेच्या गंभीर व महत्त्वाच्या कार्यांच्या सूचीतून व्युत्पन्न होते; चाचणी-कार्यक्रम दर तीन वर्षांच्या स्वतंत्र घटनेऐवजी सातत्याने चालतो. निष्कर्ष OPA धोरण-नोंदणीत परत जातात; बंद केलेले निष्कर्ष पर्यवेक्षक-सज्ज पुरावा-संच तयार करतात.

जी संस्था कार्यप्रवाहाच्या वेगाने पुरावा तयार करतात त्या परीक्षा उत्तीर्ण होतात. जी संस्था डेटा-विनंत्यांना प्रतिसाद म्हणून कागदपत्रांचे संच तयार करतात त्या उत्तीर्ण होत नाहीत.

वारंवार विचारले जाणारे प्रश्न

2026 मध्येही DORA अजून "तयारी" टप्प्यात आहे का?

नाही. DORA 17 जानेवारी 2025 पासून सक्रिय अंमलबजावणीत आहे. कलमे 6, 8, 18 आणि 26 ही सर्व लागू आहेत; CTPP पदनाम व्यवस्था 2025 आणि 2026 भर उघडत आली आहे; पहिल्या परीक्षा-लाटेतील पर्यवेक्षकीय निष्कर्ष 2025 च्या चौथ्या तिमाहीत आले. "तयारी" ही मांडणी दोन नियामक चक्रे मागे पडलेली आहे.

बँकांसाठी महत्त्वाची EU AI Act ची अंतिम मुदत कोणती?

2 ऑगस्ट 2026 — ती तारीख जेव्हा कलमे 16-29 ची बंधने Annex III उच्च-जोखीम प्रणालींना लागू होतात. पतयोग्यता मूल्यांकनावरील Annex III मुद्दा 5(b), नोंदणीच्या वेळी जैवमापन ओळखीवरील मुद्दा 1, आणि जीवन व आरोग्य विमा जोखीम-मूल्यांकनावरील मुद्दा 5(c) या बँकेशी संबंधित श्रेणी आहेत. बहुतांश टियर-1 बँकांकडे उत्पादनात किमान एक Annex III प्रणाली आहे.

Data Privacy Framework SCCs ची गरज नाहीशी करते का?

केवळ DPF-प्रमाणित US प्राप्तकर्त्यांसाठी. हस्तांतरणाच्या क्षणी प्रमाणनाची पडताळणी आवश्यक आहे, तसेच अंतर्गत नोंद. बाकी सर्वांना अजूनही SCCs आणि दस्तऐवजीकृत Transfer Impact Assessment आवश्यक आहे.

परीक्षेत DORA अनुपालन दाखवणारे अभियांत्रिकी वितरण कोणते?

DORA-व्युत्पन्न नियमांविरुद्ध उत्पादन तैनाती गेट करणारे policy-as-code, कलम 8 नोंदवही-पुराव्याला खाद्य देणाऱ्या अपरिवर्तनीय ऑडिट नोंदी, तैनातीच्या वेळी पुढे आणलेल्या Annex III वर्गीकरणासह AI-प्रणाली सूची, आणि गंभीर व महत्त्वाच्या कार्यांच्या सूचीविरुद्ध व्याप्ती-निर्धारित TLPT कार्यक्रम. कार्यप्रवाहाच्या वेगाने पुरावा.

क्लाउड पुरवठादार DORA अंतर्गत नियमित आहेत का?

होय — कलमे 28-44 अंतर्गत. CTPP पदनाम व्यवस्था European Supervisory Authorities ना नियुक्त गंभीर तृतीय-पक्ष पुरवठादारांवर थेट देखरेख देते. AWS, Microsoft (Azure), Google (GCP), आणि Salesforce हे सर्व पदनाम-परिघाच्या आत किंवा जवळ बसतात.

संदर्भ

शेवटचे पुनरावलोकन .

हा लेख क्रॉस-पोस्ट करा

Medium साठी स्वरूपित कॉपी करा

# DORA, EU AI Act आणि डेटा सार्वभौमत्व: बँकांसाठी 2026 चा अनुपालन-स्तर — Sebastien Rousseau

> Originally published at [https://sebastienrousseau.com/mr/2026-05-28-dora-ai-act-data-sovereignty-banking-compliance-stack-2026/](https://sebastienrousseau.com/mr/2026-05-28-dora-ai-act-data-sovereignty-banking-compliance-stack-2026/)

DORA, EU AI Act, GDPR, क्लाउड एकाग्रता जोखीम आणि डेटा सार्वभौमत्व हे बँकांसाठी एकाच 2026 अनुपालन-स्तरात एकत्र येत आहेत.

Read the full article on sebastienrousseau.com: https://sebastienrousseau.com/mr/2026-05-28-dora-ai-act-data-sovereignty-banking-compliance-stack-2026/

Mastodon साठी स्वरूपित कॉपी करा

DORA, EU AI Act आणि डेटा सार्वभौमत्व: बँकांसाठी 2026 चा अनुपालन-स्तर — Sebastien Rousseau

DORA, EU AI Act, GDPR, क्लाउड एकाग्रता जोखीम आणि डेटा सार्वभौमत्व हे बँकांसाठी एकाच 2026 अनुपालन-स्तरात एकत्र येत आहेत.

https://sebastienrousseau.com/mr/2026-05-28-dora-ai-act-data-sovereignty-banking-compliance-stack-2026/

LinkedIn साठी स्वरूपित कॉपी करा

DORA, EU AI Act आणि डेटा सार्वभौमत्व: बँकांसाठी 2026 चा अनुपालन-स्तर — Sebastien Rousseau

DORA, EU AI Act, GDPR, क्लाउड एकाग्रता जोखीम आणि डेटा सार्वभौमत्व हे बँकांसाठी एकाच 2026 अनुपालन-स्तरात एकत्र येत आहेत.

येथे मुख्य धोरणात्मक मुद्दे आहेत:

- DORA, EU AI Act आणि डेटा सार्वभौमत्व: बँकांसाठी 2026 चा अनुपालन-स्तर. 2026 चा EU अनुपालन-स्तर आता भविष्याकडे पाहणारा विषय राहिलेला नाही.
- 2026 हे ऑडिट-टप्प्याचे वर्ष का आहे. तीन नियामक व्यवस्था एकाच वेळी परिचालनातील वस्तुस्थितीत उतरतात.
- ऑडिट टप्प्यातील DORA — कलम-विशिष्ट यंत्रणा. 2026 मध्ये पर्यवेक्षकीय निष्कर्ष निर्माण करणारी कलमे:.
- उच्च-जोखीम बँकिंग प्रणालींसाठी EU AI Act चे स्थापत्य. टप्प्याटप्प्याने-लागू होण्याचा कालपट:.

या लेखात मांडलेल्या आव्हानांसाठी तुमच्या संस्थेचा दृष्टिकोन काय आहे?

→ https://sebastienrousseau.com/mr/2026-05-28-dora-ai-act-data-sovereignty-banking-compliance-stack-2026/

#Dora2026 #EuAiAct2026 #बँकांसाठीडेटासार्वभौमत्व #परिचालनलवचिकता #क्लाउडएकाग्रताजोखीम

Sebastien Rousseau | CC-BY-4.0
हा लेख उद्धृत करा

DORA, EU AI Act आणि डेटा सार्वभौमत्व: बँकांसाठी 2026 चा अनुपालन-स्तर — Sebastien Rousseau

DORA, EU AI Act, GDPR, क्लाउड एकाग्रता जोखीम आणि डेटा सार्वभौमत्व हे बँकांसाठी एकाच 2026 अनुपालन-स्तरात एकत्र येत आहेत.

BibTeX

@online{rousseau2026dora,
  author  = {Rousseau, Sebastien},
  title   = {{DORA, EU AI Act आणि डेटा सार्वभौमत्व: बँकांसाठी 2026 चा अनुपालन-स्तर — Sebastien Rousseau}},
  year    = {2026},
  url     = {https://sebastienrousseau.com/mr/2026-05-28-dora-ai-act-data-sovereignty-banking-compliance-stack-2026/},
  urldate = {2026}
}

RIS

TY  - GEN
AU  - Rousseau, Sebastien
TI  - DORA, EU AI Act आणि डेटा सार्वभौमत्व: बँकांसाठी 2026 चा अनुपालन-स्तर — Sebastien Rousseau
PY  - 2026
UR  - https://sebastienrousseau.com/mr/2026-05-28-dora-ai-act-data-sovereignty-banking-compliance-stack-2026/
ER  -

Vancouver

Rousseau S. DORA, EU AI Act आणि डेटा सार्वभौमत्व: बँकांसाठी 2026 चा अनुपालन-स्तर — Sebastien Rousseau. sebastienrousseau.com. 2026 May 28. Available from: https://sebastienrousseau.com/mr/2026-05-28-dora-ai-act-data-sovereignty-banking-compliance-stack-2026/

Chicago

Rousseau, Sebastien. "DORA, EU AI Act आणि डेटा सार्वभौमत्व: बँकांसाठी 2026 चा अनुपालन-स्तर — Sebastien Rousseau." sebastienrousseau.com. May 28, 2026. https://sebastienrousseau.com/mr/2026-05-28-dora-ai-act-data-sovereignty-banking-compliance-stack-2026/.

APA

Rousseau, S. (2026, May 28). DORA, EU AI Act आणि डेटा सार्वभौमत्व: बँकांसाठी 2026 चा अनुपालन-स्तर — Sebastien Rousseau. sebastienrousseau.com. https://sebastienrousseau.com/mr/2026-05-28-dora-ai-act-data-sovereignty-banking-compliance-stack-2026/

हा लेख पुनःप्रकाशित करा

DORA, EU AI Act आणि डेटा सार्वभौमत्व: बँकांसाठी 2026 चा अनुपालन-स्तर — Sebastien Rousseau

DORA, EU AI Act, GDPR, क्लाउड एकाग्रता जोखीम आणि डेटा सार्वभौमत्व हे बँकांसाठी एकाच 2026 अनुपालन-स्तरात एकत्र येत आहेत.

हा लेख यानुसार परवानाकृत आहे Creative Commons Attribution 4.0 International. पुनःप्रकाशनासाठी कॅनॉनिकल URL ला श्रेय देणे आवश्यक आहे.

DORA, EU AI Act आणि डेटा सार्वभौमत्व: बँकांसाठी 2026 चा अनुपालन-स्तर — Sebastien Rousseau

DORA, EU AI Act, GDPR, क्लाउड एकाग्रता जोखीम आणि डेटा सार्वभौमत्व हे बँकांसाठी एकाच 2026 अनुपालन-स्तरात एकत्र येत आहेत.

Originally published at https://sebastienrousseau.com/mr/2026-05-28-dora-ai-act-data-sovereignty-banking-compliance-stack-2026/ by Sebastien Rousseau.
Licensed under CC-BY-4.0.