DORA, Akta AI EU, dan Kedaulatan Data: Tindanan Pematuhan 2026 untuk Bank
Tindanan pematuhan EU 2026 bukan lagi topik yang menghala ke masa hadapan. DORA telah dikuatkuasakan secara aktif sejak 17 Januari 2025. Kewajipan berisiko tinggi Akta AI EU berkuat kuasa penuh pada 2 Ogos 2026, iaitu lapan minggu dari tarikh penerbitan artikel ini. Schrems II ditambah Rangka Kerja Privasi Data EU-AS ialah realiti operasi pemindahan data rentas sempadan, bukan kebimbangan masa hadapan. Risiko penumpuan awan berada dalam perimeter penyumberluaran EBA menerusi EBA/GL/2019/02 ⧉ dan rejim penetapan penyedia pihak ketiga kritikal (CTPP) DORA. Institusi yang masih membingkai perkara ini sebagai agenda "persediaan" telah pun kehilangan dua kitaran kawal selia.
Ringkasan Eksekutif / Intipati Utama
- DORA berada dalam fasa audit. Regulation (EU) 2022/2554 ⧉ Perkara 6 (rangka kerja pengurusan risiko ICT), 8 (daftar maklumat), 18 (pelaporan insiden), 26 (ujian penembusan dipacu ancaman) dan rejim CTPP di bawah Perkara 28-44 telah berkuat kuasa selama 16 bulan. Jangkaan penyeliaan kini ialah penemuan peperiksaan rasmi, bukan ulasan nasihat.
- Tarikh akhir berisiko tinggi Akta AI EU ialah 2 Ogos 2026. Lampiran III Perkara 5(b) meliputi pemarkahan kredit; Perkara 1 meliputi pengenalpastian biometrik semasa pendaftaran pelanggan; Perkara 7 meliputi penilaian risiko insurans hayat dan kesihatan. Kewajipan Perkara 16-29, iaitu pengurusan risiko, tadbir urus data, dokumentasi teknikal, penyimpanan rekod, ketelusan, pengawasan manusia, ketepatan dan keselamatan siber, terpakai dari tarikh tersebut.
- Pemindahan data rentas sempadan ialah SCC + TIA, bukan "kedaulatan data" yang kabur. Klausa Kontrak Standard, penilaian kesan pemindahan, langkah tambahan apabila TIA menunjukkan ia diperlukan. DPF hanya meliputi penerima AS yang diperakui DPF; segala-galanya yang lain masih memerlukan SCC + TIA. Suruhanjaya Perlindungan Data Ireland, CNIL, dan Garante kesemuanya telah mengeluarkan keputusan penguatkuasaan pada 2025.
- Penumpuan awan direka bentuk, bukan diisytiharkan. Berbilang wilayah aktif-aktif untuk perkhidmatan kritikal; pelan keluar terdokumen dengan bukti pelaksanaan teruji; penilaian kebolehgantian mengikut peringkat perkhidmatan; daftar ICT pihak ketiga yang berpadanan dengan inventori perkhidmatan penyedia awan itu sendiri. Perenggan 81 EBA/GL/2019/02 ialah perkara yang disemak oleh juruaudit.
- Pembeza 2026 ialah dasar-sebagai-kod yang berpaut ke masa jalan. Open Policy Agent yang menggerbang pengagihan pengeluaran terhadap peraturan berasaskan DORA; log audit tak boleh ubah yang menyuap bukti daftar Perkara 8; inventori sistem AI dengan pengelasan Lampiran III yang dipaparkan dalam saluran paip CI/CD. Bukti pada kelajuan aliran kerja, bukan dalam PDF yang dihimpun seminggu sebelum peperiksaan.
Mengapa 2026 Ialah Tahun Fasa Audit
Tiga rejim kawal selia menepati realiti operasi secara serentak.
Penguatkuasaan DORA (mulai 17 Januari 2025). Pihak Berkuasa Penyeliaan Eropah (EBA, EIOPA, ESMA) menerbitkan RTS dan ITS muktamad sepanjang 2024, rejim penetapan CTPP dibuka pada awal 2025, dan bank peringkat pertama telah memfailkan laporan insiden Perkara 18 di bawah peraturan pemberitahuan awal 4 jam sepanjang 2025. Rangka kerja TLPT bersama ESA, iaitu secara rasmi rangka kerja TIBER-EU ⧉ yang diselaraskan dengan Perkara 26 DORA, ialah asas bagi program ujian penembusan dipacu ancaman yang dijalankan oleh kebanyakan G-SIB hari ini. Penemuan daripada gelombang pertama peperiksaan penyeliaan mula mendarat pada S4 2025.
Penerapan berperingkat Akta AI EU. Akta ini berkuat kuasa pada 1 Ogos 2024. Peruntukan amalan larangan terpakai mulai 2 Februari 2025; kewajipan AI tujuan umum terpakai mulai 2 Ogos 2025; kewajipan sistem berisiko tinggi terpakai mulai 2 Ogos 2026. Itulah tarikh akhir yang penting bagi bank. Kebanyakan institusi peringkat pertama mempunyai sekurang-kurangnya satu sistem Lampiran III dalam pengeluaran, iaitu pemarkahan kredit (Perkara 5b), pengenalpastian biometrik berhadapan pelanggan (Perkara 1), atau penilaian risiko insurans hayat/kesihatan (Perkara 7). Kewajipan di bawah Perkara 16-29, iaitu pengurusan risiko, tadbir urus data, dokumentasi teknikal, penyimpanan rekod, ketelusan, pengawasan manusia, ketepatan, keteguhan, dan keselamatan siber, terpakai dari satu tarikh itu tanpa tempoh peralihan lembut.
Penyelesaian operasi Schrems II. Keputusan Schrems II CJEU (Julai 2020) membatalkan Privacy Shield dan memutuskan SCC sah tertakluk kepada langkah tambahan apabila TIA menunjukkan perlindungan tidak mencukupi. Suruhanjaya Eropah menerima pakai Rangka Kerja Privasi Data EU-AS (DPF) pada Julai 2023, iaitu menyediakan mekanisme pemindahan hanya untuk penerima AS yang diperakui DPF. Segala-galanya yang lain masih memerlukan SCC ditambah TIA terdokumen. Keputusan penguatkuasaan CNIL terhadap pengagihan Microsoft 365 dalam pentadbiran awam Perancis, denda 1.2 bilion euro DPC Ireland terhadap Meta pada Mei 2023, dan tindakan Garante terhadap OpenAI pada 2024 menetapkan corak penyeliaan: TIA diperiksa, langkah tambahan diteliti, dan dakwaan "kami menggunakan SCC" semata-mata tidak lulus.
Persoalan institusi bagi 2026 bukanlah sama ada setiap rejim terpakai. Persoalannya ialah sama ada bukti pematuhan yang dihasilkan oleh institusi di bawah penelitian peperiksaan bertahan secara keseluruhan.
DORA dalam Fasa Audit — Mekanik Khusus Perkara
Perkara yang menghasilkan penemuan penyeliaan pada 2026:
Perkara 6 — Rangka Kerja Pengurusan Risiko ICT
Rangka kerja mesti didokumenkan, diluluskan oleh badan pengurusan, disemak sekurang-kurangnya setahun sekali, dan bersepadu dengan rangka kerja pengurusan risiko keseluruhan institusi. Penyelia menguji: pernyataan toleransi risiko eksplisit bagi setiap kategori risiko ICT; dasar keselamatan maklumat terdokumen; peranan dan tanggungjawab tertakrif pada barisan pertahanan kedua dan ketiga; penilaian risiko ICT tahunan terkuantiti yang memacu selera risiko institusi. Corak dalam penemuan awal 2026: institusi yang taksonomi risiko ICT-nya tidak berpadanan dengan taksonomi pelaporan insiden di bawah Perkara 18.
Perkara 8 — Daftar Maklumat (ICT Pihak Ketiga)
Daftar mesti mengandungi setiap perkiraan kontraktual mengenai penggunaan perkhidmatan ICT. Medan wajib menurut ITS mengenai daftar maklumat ⧉ termasuk fungsi yang disokong, pengelasan kekritikalan, lokasi pemprosesan dan penyimpanan data, rantaian sub-penyumberluaran, dan penilaian strategi keluar. Rejim penetapan CTPP di bawah Perkara 31 membaca daftar-daftar di seluruh EU untuk mengenal pasti pihak ketiga yang melepasi ambang sistemik. Daftar Perkara 8 yang tidak lengkap atau tidak konsisten kini merupakan kedua-dua penemuan individu dan risiko integriti perimeter CTPP.
Perkara 18 — Pelaporan Insiden Berkaitan ICT
Tempoh pemberitahuan awal 4 jam bagi insiden ICT utama ialah perkara yang menjerat institusi. Kriteria pengelasan "utama" mengikut Perkara 18(3) dan RTS teknikal, iaitu bilangan pelanggan terjejas, jangkauan geografi, kehilangan data, kesan ekonomi, kesan reputasi, kekritikalan perkhidmatan terjejas, tempoh. Bank yang menjalankan proses insiden matang pun masih bergelut dengan keputusan pengelasan jam pertama. Penghasilan kejuruteraan: pembantu pengelasan keterukan terautomasi yang berpaut ke platform pengurusan insiden yang menghasilkan rasional keputusan Perkara 18 dalam kitaran tindak balas pertama, bukan selepas mesyuarat triaj.
Perkara 26 — Ujian Penembusan Dipacu Ancaman
TLPT terpakai kepada entiti kewangan yang ditetapkan oleh pihak berkuasa berwibawa, dengan skop mengikut fungsi kritikal atau penting institusi. Ujian mesti mengikut metodologi TIBER-EU (atau rangka kerja kebangsaan setara), menggunakan risikan ancaman untuk membina senario serangan, dan dijalankan sekurang-kurangnya setiap tiga tahun. Penglibatan penyedia dikawal selia di bawah Perkara 27 (pemilihan penyedia) dan Perkara 28 (pelaksanaan ujian). Persoalan penyeliaan 2026: adakah skop TLPT institusi merangkumi fungsi kritikalnya yang dihoskan pada awan awam, dan adakah model penglibatan penyedia mengendalikan sempadan keselamatan penyedia awan itu sendiri dengan kemas?
Perkara 28-44 — Penyedia Pihak Ketiga Kritikal
Rejim CTPP ialah inovasi penyeliaan yang paling langsung menjejaskan strategi awan. AWS, Microsoft (Azure), Google (GCP), Salesforce, Workday, dan segelintir penyedia strategik lain berada di dalam atau berhampiran perimeter penetapan. Penetapan mencetuskan pengawasan langsung oleh ESA, termasuk hak untuk permintaan maklumat, pemeriksaan di tapak, dan syor penyeliaan. Implikasi bagi bank peringkat pertama: penumpuan penyedia awan kini merupakan metrik penyeliaan terkawal selia, bukan sekadar kebimbangan pengurusan risiko dalaman.
Seni Bina Akta AI EU untuk Sistem Perbankan Berisiko Tinggi
Garis masa penerapan berperingkat:
| Tarikh | Peruntukan | Implikasi perbankan |
|---|---|---|
| 1 Ogos 2024 | Berkuat kuasa | Jam kiraan bermula |
| 2 Februari 2025 | Amalan larangan (Perkara 5) | Sistem bergaya pemarkahan sosial dilarang |
| 2 Ogos 2025 | Kewajipan AI tujuan umum (Bab V) | Penyedia model GPAI tertakluk kepada kewajipan dokumentasi dan hak cipta |
| 2 Ogos 2026 | Kewajipan sistem berisiko tinggi (Perkara 16-29) | Sistem Lampiran III mesti memenuhi rangka kerja pematuhan penuh |
| 2 Ogos 2027 | Sistem berisiko tinggi bersepadu dengan produk terkawal selia lain | Sistem perbankan bersepadu dengan rejim keselamatan produk Lampiran I |
Peruntukan Lampiran III yang paling kuat menjejaskan bank:
- Lampiran III Perkara 1 — Pengenalpastian dan pengkategorian biometrik. Padanan biometrik semasa pendaftaran pelanggan (contohnya, pengesanan hayat ditambah padanan foto dokumen) tergolong dalam risiko tinggi jika digunakan untuk pengenalpastian dan bukan pengesahan seorang individu terhadap suatu dakwaan. Pembezaan ini bermakna dari segi operasi: padanan terhadap satu identiti yang diisytiharkan ialah pengesahan; padanan terhadap pangkalan data ialah pengenalpastian.
- Lampiran III Perkara 5(b) — Penilaian kelayakan kredit. Sebarang sistem yang digunakan untuk menilai kelayakan kredit orang perseorangan atau menetapkan skor kredit mereka termasuk dalam skop. Ini meliputi pemarkahan kad kredit runcit, pemarkahan permulaan gadai janji, penjaminan BNPL, dan pembuatan keputusan kredit PKS apabila orang perseorangan menjadi subjek. Tidak termasuk sistem yang mengesan penipuan kewangan (Resital 58).
- Lampiran III Perkara 5(c) — Penilaian risiko dan penetapan harga dalam insurans hayat dan kesihatan. Cabang bancassurance yang menjalankan model penjaminan pada produk hayat atau kesihatan berada dalam perkara ini walaupun operasi kredit runcit bank induk juga berada dalam skop di bawah Perkara 5(b).
- Lampiran III Perkara 7 — Pentadbiran keadilan dan proses demokratik. Biasanya tidak relevan dengan perbankan tetapi wajar disahkan bagi institusi yang menyediakan perkhidmatan pembayaran mahkamah atau akaun kehakiman.
Ringkasan kewajipan Perkara 16-29:
- Sistem pengurusan risiko (Perkara 9). Proses berulang berterusan sepanjang kitaran hayat sistem, didokumenkan secara bertulis.
- Data dan tadbir urus data (Perkara 10). Data latihan, pengesahan dan ujian tertakluk kepada amalan tadbir urus dan pengurusan data termasuk kaitan, keterwakilan, kelengkapan, dan penilaian berat sebelah.
- Dokumentasi teknikal (Perkara 11) dan penyimpanan rekod (Perkara 12). Pengelogan peristiwa automatik daripada sistem itu sendiri, disimpan untuk tempoh yang sesuai dengan tujuan sistem.
- Ketelusan kepada penggerak (Perkara 13). Arahan penggunaan yang membolehkan penggerak mentafsir output sistem.
- Pengawasan manusia (Perkara 14). Langkah reka bentuk yang membolehkan orang perseorangan mengawasi, termasuk keupayaan untuk membatalkan atau menghentikan sistem.
- Ketepatan, keteguhan, keselamatan siber (Perkara 15). Metrik prestasi diterbitkan dalam arahan penggunaan; ketahanan terhadap input musuh; pembetulan berat sebelah semasa operasi.
Persoalan penyeliaan bagi Ogos 2026: bolehkah bank menghasilkan Penilaian Pematuhan di bawah Lampiran VI bagi setiap sistem Lampiran III dalam pengeluaran? Institusi yang membina rangka kerja pengurusan risiko model yang diselaraskan dengan SR 11-7 / SS1/23 sudah memiliki kebanyakan input; kerjanya ialah memetakan kawalan sedia ada kepada kategori bukti Perkara 9-15 Akta AI.
Kedaulatan Data sebagai Disiplin Kejuruteraan
Model kedaulatan data operasi pada 2026:
Klausa Kontrak Standard (Modul 2 atau 3 mengikut kesesuaian). SCC dikemas kini yang diterima pakai oleh Keputusan Suruhanjaya (EU) 2021/914 ialah garis dasar. SCC pra-2021 diberi tempoh tangguh; menggunakannya pada 2026 ialah suatu penemuan.
Penilaian Kesan Pemindahan. Bagi setiap pemindahan ke negara ketiga yang tidak mencukupi, dokumenkan: undang-undang dan amalan di negara penerima yang berkaitan dengan perlindungan data; sama ada undang-undang tersebut membenarkan akses oleh pihak berkuasa awam yang melebihi apa yang perlu dan berkadar dalam masyarakat demokratik; data khusus yang dipindahkan; langkah tambahan teknikal dan organisasi yang diterapkan. Recommendations 01/2020 ⧉ EDPB menyediakan rangka kerja tersebut.
Semakan pensijilan Rangka Kerja Privasi Data EU-AS. Penerima AS yang diperakui DPF membenarkan pemindahan di bawah keputusan kecukupan tanpa SCC + TIA. Pengesahan: halaman pensijilan DPF ⧉ penerima ditambah rekod dalaman tarikh pengesahan. DPF bertahan menerusi semakan tahunan pertamanya pada 2024; ketahanan jangka panjangnya kekal sebagai persoalan yang belum selesai.
Langkah tambahan apabila TIA menunjukkan ia diperlukan. Penyamaran nama sebelum pemindahan, penyulitan dengan kunci disimpan di EU, pemprosesan terbahagi, atau pemindahan-selepas-pengagregatan. Corak penguatkuasaan 2025: penemuan CNIL mengenai Microsoft 365 dalam pentadbiran Perancis tertumpu pada sama ada melumpuhkan Connected Experiences dan mengkonfigurasi penempatan penyewa EU Data Boundary merupakan langkah tambahan yang mencukupi.
Mekanisme EU Data Boundary penyedia awan. AWS European Sovereign Cloud, Microsoft EU Data Boundary, pakej kedaulatan Google Cloud EU, ditambah perkongsian awan berdaulat (Bleu / Capgemini-Orange, Delos Cloud, Oracle EU Sovereign Cloud) kesemuanya cuba mereka bentuk jaminan kedaulatan data pada peringkat platform. Tiada satu pun daripadanya menghapuskan keperluan SCC + TIA; ia mengurangkan permukaan risiko baki TIA.
Penumpuan Awan Di Bawah DORA dan Garis Panduan Penyumberluaran EBA
Rejim CTPP DORA dan garis panduan penyumberluaran EBA berlapis di atas satu sama lain:
Perenggan 64 EBA/GL/2019/02 ⧉ menghendaki institusi memastikan bahawa perkiraan penyumberluaran kritikal atau penting tidak menjejaskan kehadiran substantif institusi di EU, pengawasan oleh pengurusan, atau keupayaan untuk membuat keputusan mengenai fungsi yang disumberluar. Perenggan 81 menghendaki penilaian kebolehgantian. Perenggan 113-117 meliputi dokumentasi strategi keluar yang benar-benar diuji oleh penyelia.
Perkara 28 DORA menambah keperluan kandungan kontraktual bagi perkiraan pihak ketiga ICT yang menyokong fungsi kritikal atau penting: kebolehcapaian data, keselamatan data, pemastautinan data, hak audit, strategi keluar, dan peruntukan kesinambungan.
Rejim CTPP kemudiannya berada di atas kedua-duanya: jika pihak ketiga melepasi ambang penetapan, ESA memperoleh kuasa pengawasan langsung. Implikasi kejuruteraan berkisar tentang pilihan reka bentuk geografi dan seni bina: berbilang wilayah aktif-aktif untuk perkhidmatan kritikal; pelan keluar terdokumen dengan ujian pelaksanaan berkala (bukan sekadar latihan atas meja); daftar ICT pihak ketiga yang berpadanan dengan inventori perkhidmatan penyedia awan itu sendiri.
Apa Makna Ini Mengikut Jenis Bank
Bank Kepentingan Sistemik Global
Perimeter pematuhan kini merupakan masalah seni bina. Pelaburan bukanlah satu lagi penyegaran dasar, tetapi platform dasar-sebagai-kod yang memaut peraturan berasaskan DORA ke dalam saluran paip CI/CD, inventori sistem AI yang memaparkan pengelasan Lampiran III pada masa pengagihan, daftar ICT pihak ketiga yang berpadanan secara automatik dengan sistem perolehan dan bil bahan awan, serta log audit tak boleh ubah yang menghasilkan bukti daftar Perkara 8 atas permintaan penyelia. Bina platform tersebut; kitaran kawal selia yang menyusul selepas risiko tinggi Akta AI (berkemungkinan pengembangan di bawah Tataamalan AI Tujuan Umum) mewarisi infrastruktur itu.
Bank Universal dan Bersaiz Sederhana
Pendirian pragmatik ialah inventori Lampiran III yang teliti. Kebanyakan bank universal mempunyai satu atau dua sistem yang jelas dalam skop (pemarkahan kredit, permulaan gadai janji, biometrik berhadapan pelanggan) dan ekor panjang kes sempadan. Menghabiskan tiga bulan pada H1 2026 untuk menghasilkan pengelasan Lampiran III yang boleh dipertahankan bagi setiap sistem AI dalam pengeluaran, dengan rasional bertulis yang bertahan menerusi semakan luaran, adalah lebih bernilai daripada satu lagi penyegaran rangka kerja kawalan. Kerja pengelasan ini turut berfungsi sebagai bukti pengurusan risiko ICT Perkara 6 DORA bagi sistem yang mengandungi AI.
Bank Lebih Kecil dan Persatuan Bangunan
Jawapan strategiknya ialah usaha wajar vendor berbanding binaan dalaman. Pilih vendor AI yang menerbitkan dokumentasi penilaian pematuhan Lampiran III, yang komited kepada sokongan bukti Perkara 9-15 dalam kontrak mereka, dan yang akreditasi keselamatan pihak ketiganya sejajar dengan keperluan Perkara 28 DORA. Sahkan dakwaan vendor menerusi proses MRM anda. Skop dalaman ialah integrasi, konfigurasi, dan pengawasan operasi, bukan pembinaan rangka kerja.
Penginsurans dan Cabang Bancassurance
Lampiran III Perkara 5(c) mengenai penilaian risiko insurans hayat dan kesihatan meletakkan cabang insurans dalam perimeter berisiko tinggi tanpa mengira pendedahan bank induk. Tarikh akhir Ogos 2026 terpakai. Selaras dengan fungsi pematuhan Akta AI bank induk, kerana kebanyakan kerja inventori dan bukti asas dikongsi, dan pendedahan kawal selia adalah khusus kepada satu barisan perniagaan.
Fintech, PSP, dan Regtech
Persoalan produk bagi vendor yang menjual kepada bank EU pada 2026 bukan lagi "adakah platform anda mematuhi DORA / Akta AI". Persoalannya ialah "adakah platform anda menghasilkan dokumentasi yang diperlukan oleh fungsi pematuhan bank peringkat pertama untuk membuktikan pematuhannya sendiri". Input daftar Perkara 8 DORA, templat dokumentasi teknikal Perkara 11 Akta AI, teks lalai SCC + TIA bagi sebarang perkiraan pemindahan data. Vendor yang menjawab dengan templat boleh guna akan memenangi urus niaga perusahaan; vendor yang menjawab dengan PDF akan tewas kepada pesaing yang tidak berbuat demikian.
Mereka Bentuk Model Operasi
Pembeza 2026 ialah dasar-sebagai-kod yang berpaut ke masa jalan.
Open Policy Agent pada gerbang pengagihan. Setiap pengagihan pengeluaran melalui penilaian OPA terhadap dasar berasaskan DORA. Contoh: sebarang perkhidmatan yang menyentuh data pelanggan mesti mempunyai entri daftar Perkara 8 terdokumen; sebarang sistem AI Lampiran III mesti mempunyai bukti Penilaian Pematuhan yang dipautkan daripada manifes pengagihan; sebarang perkhidmatan ICT pihak ketiga mesti mempunyai penilaian kebolehgantian dalam tempoh sah. Daftar dasar berversi Git; pengagihan yang ditolak menghasilkan rasional yang boleh disemak.
Pengelogan audit tak boleh ubah yang menyuap bukti Perkara 8. Peristiwa pengagihan, konfigurasi, dan akses yang disimpan secara WORM yang berpadanan semula dengan daftar ICT pihak ketiga. Penyelia yang bertanya "tunjukkan saya kawalan bagi perkhidmatan X pada tarikh Y" mendapat hasil pertanyaan, bukan projek himpunan dokumen.
Inventori sistem AI dengan pengelasan Lampiran III yang dipaparkan dalam CI/CD. Setiap sistem AI dalam inventori institusi membawa pengelasan Lampiran III (Perkara 1, 5(a), 5(b), 5(c), 6, 7 atau tiada). Pengelasan disemak apabila sistem berubah; pengagihan ke pengeluaran menyemak pengelasan itu terkini. Kategori bukti Perkara 9-15 dipetakan kepada medan inventori dan saluran paip CI/CD menulis artefak bukti sebagai sebahagian daripada setiap keluaran.
Ujian penembusan dipacu ancaman yang berpaut ke SDLC. Skop TLPT diperoleh daripada inventori fungsi kritikal dan penting institusi; program ujian berjalan berterusan dan bukan sebagai peristiwa berasingan setiap tiga tahun. Penemuan disuap semula ke dalam daftar dasar OPA; penemuan yang ditutup menghasilkan pakej bukti yang bersedia untuk penyeliaan.
Institusi yang menghasilkan bukti pada kelajuan aliran kerja akan lulus peperiksaan. Institusi yang menghasilkan pakej dokumentasi sebagai respons kepada permintaan data tidak lulus.
Soalan Lazim
Adakah DORA masih dalam fasa "persediaan" pada 2026?
Tidak. DORA telah dikuatkuasakan secara aktif sejak 17 Januari 2025. Perkara 6, 8, 18 dan 26 kesemuanya berkuat kuasa; rejim penetapan CTPP telah dibuka sepanjang 2025 dan 2026; penemuan penyeliaan daripada gelombang peperiksaan pertama mendarat pada S4 2025. Bingkai "persediaan" sudah ketinggalan dua kitaran kawal selia.
Apakah tarikh akhir Akta AI EU yang penting bagi bank?
2 Ogos 2026, iaitu tarikh kewajipan Perkara 16-29 terpakai kepada sistem berisiko tinggi Lampiran III. Lampiran III Perkara 5(b) mengenai penilaian kelayakan kredit, Perkara 1 mengenai pengenalpastian biometrik semasa pendaftaran, dan Perkara 5(c) mengenai penilaian risiko insurans hayat dan kesihatan ialah kategori yang relevan dengan bank. Kebanyakan bank peringkat pertama mempunyai sekurang-kurangnya satu sistem Lampiran III dalam pengeluaran.
Adakah Rangka Kerja Privasi Data menghapuskan keperluan untuk SCC?
Hanya bagi penerima AS yang diperakui DPF. Pengesahan pensijilan pada saat pemindahan diperlukan, ditambah rekod dalaman. Segala-galanya yang lain masih memerlukan SCC ditambah Penilaian Kesan Pemindahan terdokumen.
Apakah penghasilan kejuruteraan yang membuktikan pematuhan DORA dalam peperiksaan?
Dasar-sebagai-kod yang menggerbang pengagihan pengeluaran terhadap peraturan berasaskan DORA, log audit tak boleh ubah yang menyuap bukti daftar Perkara 8, inventori sistem AI dengan pengelasan Lampiran III yang dipaparkan pada masa pengagihan, dan program TLPT yang berskop terhadap inventori fungsi kritikal dan penting. Bukti pada kelajuan aliran kerja.
Adakah penyedia awan dikawal selia di bawah DORA?
Ya, di bawah Perkara 28-44. Rejim penetapan CTPP memberi Pihak Berkuasa Penyeliaan Eropah pengawasan langsung terhadap penyedia pihak ketiga kritikal yang ditetapkan. AWS, Microsoft (Azure), Google (GCP), dan Salesforce kesemuanya berada di dalam atau berhampiran perimeter penetapan.
Rujukan
- European Union, (2022). Regulation (EU) 2022/2554 — Digital Operational Resilience Act (DORA) ⧉.
- European Union, (2024). Regulation (EU) 2024/1689 — Artificial Intelligence Act ⧉.
- European Banking Authority, (2019). EBA/GL/2019/02 — Guidelines on outsourcing arrangements ⧉.
- European Supervisory Authorities, (2024). Final Report on the ITS on the Register of Information under DORA ⧉.
- European Central Bank, (2024). TIBER-EU framework ⧉.
- European Data Protection Board, (2020). Recommendations 01/2020 on supplementary measures ⧉.
- US Department of Commerce, (2023). EU-US Data Privacy Framework ⧉.
- European Commission, (2021). Commission Implementing Decision (EU) 2021/914 — Standard Contractual Clauses ⧉.
Semakan terakhir .
Terbit silang artikel ini
Salin format untuk Medium
# DORA, Akta AI EU, dan Kedaulatan Data: Tindanan Pematuhan 2026 untuk Bank — Sebastien Rousseau > Originally published at [https://sebastienrousseau.com/ms/2026-05-28-dora-ai-act-data-sovereignty-banking-compliance-stack-2026/](https://sebastienrousseau.com/ms/2026-05-28-dora-ai-act-data-sovereignty-banking-compliance-stack-2026/) DORA, Akta AI EU, GDPR, risiko penumpuan awan, dan kedaulatan data sedang menyatu menjadi satu tindanan pematuhan 2026 untuk bank. Read the full article on sebastienrousseau.com: https://sebastienrousseau.com/ms/2026-05-28-dora-ai-act-data-sovereignty-banking-compliance-stack-2026/
Salin format untuk Mastodon
DORA, Akta AI EU, dan Kedaulatan Data: Tindanan Pematuhan 2026 untuk Bank — Sebastien Rousseau DORA, Akta AI EU, GDPR, risiko penumpuan awan, dan kedaulatan data sedang menyatu menjadi satu tindanan pematuhan 2026 untuk bank. https://sebastienrousseau.com/ms/2026-05-28-dora-ai-act-data-sovereignty-banking-compliance-stack-2026/
Salin format untuk LinkedIn
DORA, Akta AI EU, dan Kedaulatan Data: Tindanan Pematuhan 2026 untuk Bank — Sebastien Rousseau DORA, Akta AI EU, GDPR, risiko penumpuan awan, dan kedaulatan data sedang menyatu menjadi satu tindanan pematuhan 2026 untuk bank. Berikut ialah intipati strategik utama: - DORA, Akta AI EU, dan Kedaulatan Data: Tindanan Pematuhan 2026 untuk Bank. Tindanan pematuhan EU 2026 bukan lagi topik yang menghala ke masa hadapan. - Mengapa 2026 Ialah Tahun Fasa Audit. Tiga rejim kawal selia menepati realiti operasi secara serentak. - DORA dalam Fasa Audit — Mekanik Khusus Perkara. Perkara yang menghasilkan penemuan penyeliaan pada 2026:. - Seni Bina Akta AI EU untuk Sistem Perbankan Berisiko Tinggi. Garis masa penerapan berperingkat:. Apakah pendekatan organisasi anda terhadap cabaran yang dihuraikan dalam artikel ini? → https://sebastienrousseau.com/ms/2026-05-28-dora-ai-act-data-sovereignty-banking-compliance-stack-2026/ #Dora2026 #AktaAiEu2026 #KedaulatanDataBank #DayaTahanOperasi #RisikoPenumpuanAwan Sebastien Rousseau | CC-BY-4.0
Petik artikel ini
DORA, Akta AI EU, dan Kedaulatan Data: Tindanan Pematuhan 2026 untuk Bank — Sebastien Rousseau
DORA, Akta AI EU, GDPR, risiko penumpuan awan, dan kedaulatan data sedang menyatu menjadi satu tindanan pematuhan 2026 untuk bank.
BibTeX
@online{rousseau2026dora,
author = {Rousseau, Sebastien},
title = {{DORA, Akta AI EU, dan Kedaulatan Data: Tindanan Pematuhan 2026 untuk Bank — Sebastien Rousseau}},
year = {2026},
url = {https://sebastienrousseau.com/ms/2026-05-28-dora-ai-act-data-sovereignty-banking-compliance-stack-2026/},
urldate = {2026}
}RIS
TY - GEN AU - Rousseau, Sebastien TI - DORA, Akta AI EU, dan Kedaulatan Data: Tindanan Pematuhan 2026 untuk Bank — Sebastien Rousseau PY - 2026 UR - https://sebastienrousseau.com/ms/2026-05-28-dora-ai-act-data-sovereignty-banking-compliance-stack-2026/ ER -
Vancouver
Rousseau S. DORA, Akta AI EU, dan Kedaulatan Data: Tindanan Pematuhan 2026 untuk Bank — Sebastien Rousseau. sebastienrousseau.com. 2026 May 28. Available from: https://sebastienrousseau.com/ms/2026-05-28-dora-ai-act-data-sovereignty-banking-compliance-stack-2026/
Chicago
Rousseau, Sebastien. "DORA, Akta AI EU, dan Kedaulatan Data: Tindanan Pematuhan 2026 untuk Bank — Sebastien Rousseau." sebastienrousseau.com. May 28, 2026. https://sebastienrousseau.com/ms/2026-05-28-dora-ai-act-data-sovereignty-banking-compliance-stack-2026/.
APA
Rousseau, S. (2026, May 28). DORA, Akta AI EU, dan Kedaulatan Data: Tindanan Pematuhan 2026 untuk Bank — Sebastien Rousseau. sebastienrousseau.com. https://sebastienrousseau.com/ms/2026-05-28-dora-ai-act-data-sovereignty-banking-compliance-stack-2026/
Terbit semula artikel ini
DORA, Akta AI EU, dan Kedaulatan Data: Tindanan Pematuhan 2026 untuk Bank — Sebastien Rousseau
DORA, Akta AI EU, GDPR, risiko penumpuan awan, dan kedaulatan data sedang menyatu menjadi satu tindanan pematuhan 2026 untuk bank.
Artikel ini dilesenkan di bawah Creative Commons Attribution 4.0 International. Penerbitan semula memerlukan atribusi kepada URL kanonik.
DORA, Akta AI EU, dan Kedaulatan Data: Tindanan Pematuhan 2026 untuk Bank — Sebastien Rousseau DORA, Akta AI EU, GDPR, risiko penumpuan awan, dan kedaulatan data sedang menyatu menjadi satu tindanan pematuhan 2026 untuk bank. Originally published at https://sebastienrousseau.com/ms/2026-05-28-dora-ai-act-data-sovereignty-banking-compliance-stack-2026/ by Sebastien Rousseau. Licensed under CC-BY-4.0.
