Sebastien Rousseau

DORA 2026

DORA, EU AI Act, మరియు డేటా సార్వభౌమత్వం: బ్యాంకుల కోసం 2026 కంప్లయన్స్ స్టాక్

2026 కంప్లయన్స్ స్టాక్ ఒక పాలసీ బైండర్ కాదు. ఇది ఒత్తిడి కింద నియంత్రణను రుజువు చేయగల డేటా, క్లౌడ్, AI, మరియు కార్యాచరణ-స్థితిస్థాపకత ఆర్కిటెక్చర్.

14 నిమిషాల చదువు
Banner for: DORA, EU AI Act, మరియు డేటా సార్వభౌమత్వం: బ్యాంకుల కోసం 2026 కంప్లయన్స్ స్టాక్

DORA, EU AI Act, మరియు డేటా సార్వభౌమత్వం: బ్యాంకుల కోసం 2026 కంప్లయన్స్ స్టాక్

2026 EU కంప్లయన్స్ స్టాక్ ఇక ముందు-చూపు అంశం కాదు. DORA 17 జనవరి 2025 నుండి క్రియాశీల అమలులో ఉంది. EU AI Act యొక్క అధిక-ప్రమాద బాధ్యతలు 2 ఆగస్టు 2026న పూర్తి బలం సంతరించుకుంటాయి — ఈ వ్యాసం ప్రచురణ తేదీ నుండి ఎనిమిది వారాలు. Schrems II మరియు EU-US Data Privacy Framework అనేది సరిహద్దు-దాటే డేటా బదిలీల కార్యాచరణ వాస్తవం, భవిష్యత్ ఆందోళన కాదు. క్లౌడ్ కేంద్రీకరణ ప్రమాదం EBA/GL/2019/02 ⧉ మరియు DORA కీలక మూడవ-పక్ష ప్రొవైడర్ (CTPP) హోదా వ్యవస్థ ద్వారా EBA యొక్క ఔట్‌సోర్సింగ్ పరిధిలో ఉంది. దీనిని ఇప్పటికీ "సిద్ధత" ఎజెండాగా చిత్రించే సంస్థలు ఇప్పటికే రెండు నియంత్రణ చక్రాలను కోల్పోయాయి.


కార్యనిర్వాహక సారాంశం / ముఖ్య అంశాలు

  • DORA ఆడిట్ దశలో ఉంది. Regulation (EU) 2022/2554 ⧉ ఆర్టికల్స్ 6 (ICT ప్రమాద-నిర్వహణ ఫ్రేమ్‌వర్క్), 8 (సమాచార రిజిస్టర్), 18 (సంఘటన నివేదన), 26 (ముప్పు-ఆధారిత చొరబాటు పరీక్ష) మరియు ఆర్టికల్స్ 28-44 కింద CTPP వ్యవస్థ 16 నెలలుగా అమలులో ఉన్నాయి. పర్యవేక్షక అంచనాలు ఇప్పుడు అధికారిక పరీక్ష ఫలితాలు, సలహా వ్యాఖ్యానం కాదు.
  • EU AI Act అధిక-ప్రమాద గడువు 2 ఆగస్టు 2026. Annex III పాయింట్ 5(b) క్రెడిట్ స్కోరింగ్‌ను కవర్ చేస్తుంది; పాయింట్ 1 కస్టమర్ ఆన్‌బోర్డింగ్ వద్ద బయోమెట్రిక్ గుర్తింపును కవర్ చేస్తుంది; పాయింట్ 7 జీవిత మరియు ఆరోగ్య బీమా ప్రమాద అంచనాను కవర్ చేస్తుంది. ఆర్టికల్స్ 16-29 బాధ్యతలు — ప్రమాద నిర్వహణ, డేటా గవర్నెన్స్, సాంకేతిక డాక్యుమెంటేషన్, రికార్డ్-కీపింగ్, పారదర్శకత, మానవ పర్యవేక్షణ, ఖచ్చితత్వం మరియు సైబర్‌సెక్యూరిటీ — ఆ తేదీ నుండి వర్తిస్తాయి.
  • సరిహద్దు-దాటే డేటా బదిలీలు SCCs + TIA, అస్పష్టమైన "డేటా సార్వభౌమత్వం" కాదు. ప్రామాణిక ఒప్పంద నిబంధనలు, బదిలీ ప్రభావ అంచనాలు, TIA అవసరమని చూపిన చోట అనుబంధ చర్యలు. DPF కేవలం DPF-ధృవీకరించబడిన US గ్రహీతలను మాత్రమే కవర్ చేస్తుంది; మిగతా అన్నిటికీ ఇప్పటికీ SCCs + TIA అవసరం. ఐరిష్ Data Protection Commission, CNIL, మరియు Garante అన్నీ 2025లో అమలు నిర్ణయాలను జారీ చేశాయి.
  • క్లౌడ్ కేంద్రీకరణ ఇంజనీర్ చేయబడుతుంది, ప్రకటించబడదు. కీలక సేవలకు మల్టీ-రీజియన్ యాక్టివ్-యాక్టివ్; పరీక్షించిన అమలు సాక్ష్యంతో డాక్యుమెంట్ చేయబడిన నిష్క్రమణ ప్రణాళిక; సేవా స్థాయి వారీగా ప్రత్యామ్నాయత అంచనాలు; క్లౌడ్ ప్రొవైడర్ యొక్క సొంత సేవా జాబితాకు సరిపోలే మూడవ-పక్ష ICT రిజిస్టర్. EBA/GL/2019/02 పేరా 81 అనేది ఆడిటర్లు తనిఖీ చేసేది.
  • 2026 భేదకారి అంటే రన్‌టైమ్‌లోకి అనుసంధానించబడిన పాలసీ-యాజ్-కోడ్. DORA-ఉత్పన్న నిబంధనలకు వ్యతిరేకంగా ఉత్పత్తి విస్తరణలను గేటింగ్ చేసే Open Policy Agent; ఆర్టికల్ 8 రిజిస్టర్ సాక్ష్యానికి ఆహారంగా ఉండే మార్పులేని ఆడిట్ లాగ్‌లు; CI/CD పైప్‌లైన్‌లో బహిర్గతమయ్యే Annex III వర్గీకరణతో AI-వ్యవస్థ జాబితా. వర్క్‌ఫ్లో వేగంతో సాక్ష్యం, పరీక్షకు ముందు వారంలో సమీకరించిన PDFలలో కాదు.

2026 ఆడిట్-దశ సంవత్సరం ఎందుకు

మూడు నియంత్రణ వ్యవస్థలు ఏకకాలంలో కార్యాచరణ వాస్తవంపైకి తాకుతున్నాయి.

DORA అమలు (17 జనవరి 2025 నుండి). యూరోపియన్ పర్యవేక్షక అధికారులు (EBA, EIOPA, ESMA) 2024 అంతటా చివరి RTS మరియు ITS ప్రచురించారు, CTPP హోదా వ్యవస్థ 2025 ప్రారంభంలో ప్రారంభమైంది, మరియు టైర్-1 బ్యాంకులు 2025 అంతటా 4-గంటల ప్రారంభ-నోటిఫికేషన్ నియమం కింద ఆర్టికల్ 18 సంఘటన నివేదికలను దాఖలు చేస్తూ ఉన్నాయి. ESAల ఉమ్మడి TLPT ఫ్రేమ్‌వర్క్ — అధికారికంగా DORA ఆర్టికల్ 26కి సర్దుబాటు చేయబడిన TIBER-EU framework ⧉ — నేడు చాలా G-SIBలు నడిపే ముప్పు-ఆధారిత చొరబాటు పరీక్ష కార్యక్రమాలకు ఆధారం. మొదటి పర్యవేక్షక పరీక్షల నుండి ఫలితాలు 2025 Q4లో రావడం ప్రారంభమైంది.

EU AI Act దశలవారీ అనువర్తనం. ఈ చట్టం 1 ఆగస్టు 2024న అమలులోకి వచ్చింది. నిషేధిత-ఆచరణల నిబంధనలు 2 ఫిబ్రవరి 2025 నుండి వర్తించాయి; సాధారణ-ప్రయోజన AI బాధ్యతలు 2 ఆగస్టు 2025 నుండి వర్తిస్తాయి; అధిక-ప్రమాద వ్యవస్థ బాధ్యతలు 2 ఆగస్టు 2026 నుండి వర్తిస్తాయి. బ్యాంకుల కోసం ముఖ్యమైన గడువు అదే. చాలా టైర్-1 సంస్థలకు ఉత్పత్తిలో కనీసం ఒక Annex III వ్యవస్థ ఉంది — క్రెడిట్ స్కోరింగ్ (పాయింట్ 5b), కస్టమర్-ముఖ బయోమెట్రిక్ గుర్తింపు (పాయింట్ 1), లేదా జీవిత/ఆరోగ్య బీమా ప్రమాద అంచనా (పాయింట్ 7). ఆర్టికల్స్ 16-29 కింద బాధ్యతలు — ప్రమాద నిర్వహణ, డేటా గవర్నెన్స్, సాంకేతిక డాక్యుమెంటేషన్, రికార్డ్-కీపింగ్, పారదర్శకత, మానవ పర్యవేక్షణ, ఖచ్చితత్వం, పటిష్ఠత, మరియు సైబర్‌సెక్యూరిటీ — ఎటువంటి మృదు పరివర్తన కాలం లేకుండా ఆ ఒక్క తేదీ నుండి వర్తిస్తాయి.

Schrems II కార్యాచరణ పరిష్కారం. CJEU యొక్క Schrems II తీర్పు (జూలై 2020) Privacy Shieldను చెల్లనిదిగా చేసింది మరియు రక్షణ సరిపోదని TIA చూపిన చోట అనుబంధ చర్యలకు లోబడి SCCలు చెల్లుబాటు అవుతాయని పేర్కొంది. యూరోపియన్ కమిషన్ జూలై 2023లో EU-US Data Privacy Framework (DPF)ను ఆమోదించింది — కేవలం DPF-ధృవీకరించబడిన US గ్రహీతలకు మాత్రమే బదిలీ యంత్రాంగాన్ని అందిస్తూ. మిగతా అన్నిటికీ ఇప్పటికీ SCCలు మరియు డాక్యుమెంట్ చేయబడిన TIA అవసరం. ఫ్రెంచ్ ప్రజా పరిపాలనలలో Microsoft 365 విస్తరణలపై CNIL యొక్క అమలు నిర్ణయాలు, మే 2023లో Meta పై ఐరిష్ DPC యొక్క 1.2 బిలియన్ యూరో జరిమానా, మరియు 2024లో OpenAI పై Garante యొక్క చర్యలు పర్యవేక్షక నమూనాను స్థాపించాయి: TIAలు తనిఖీ చేయబడతాయి, అనుబంధ చర్యలు పరిశీలించబడతాయి, మరియు "మేము SCCలను ఉపయోగిస్తాము" అనే వాదన మాత్రమే ఉత్తీర్ణం కాదు.

2026 కోసం సంస్థాగత ప్రశ్న ప్రతి వ్యవస్థ వర్తిస్తుందా అనేది కాదు. పరీక్ష పరిశీలన కింద సంస్థ ఉత్పత్తి చేసే కంప్లయన్స్ సాక్ష్యం సంబంధంగా నిలబడుతుందా అనేదే.

DORA ఆడిట్ దశలో — ఆర్టికల్-నిర్దిష్ట యంత్రాంగం

2026లో పర్యవేక్షక ఫలితాలను ఉత్పత్తి చేసే ఆర్టికల్స్:

ఆర్టికల్ 6 — ICT ప్రమాద-నిర్వహణ ఫ్రేమ్‌వర్క్

ఫ్రేమ్‌వర్క్ డాక్యుమెంట్ చేయబడాలి, నిర్వహణ సంస్థ ఆమోదించాలి, కనీసం వార్షికంగా సమీక్షించబడాలి, మరియు సంస్థ యొక్క మొత్తం ప్రమాద-నిర్వహణ ఫ్రేమ్‌వర్క్‌తో అనుసంధానం కావాలి. పర్యవేక్షకులు వీటిని పరీక్షిస్తారు: ICT ప్రమాద వర్గం వారీగా స్పష్టమైన ప్రమాద సహన ప్రకటనలు; డాక్యుమెంట్ చేయబడిన సమాచార-భద్రతా పాలసీ; రెండవ-లైన్ మరియు మూడవ-లైన్ రక్షణ వద్ద నిర్వచించిన పాత్రలు మరియు బాధ్యతలు; సంస్థ యొక్క ప్రమాద ఆకలిని నడిపే పరిమాణాత్మక వార్షిక ICT ప్రమాద అంచనా. 2026 ప్రారంభ ఫలితాలలో నమూనా: ICT ప్రమాద వర్గీకరణ ఆర్టికల్ 18 కింద వాటి సంఘటన-నివేదన వర్గీకరణకు సరిపోలని సంస్థలు.

ఆర్టికల్ 8 — సమాచార రిజిస్టర్ (మూడవ-పక్ష ICT)

రిజిస్టర్‌లో ICT సేవల వినియోగంపై ప్రతి ఒప్పంద ఏర్పాటు ఉండాలి. ITS on the register of information ⧉ ప్రకారం తప్పనిసరి ఫీల్డ్‌లలో మద్దతు ఇచ్చే ఫంక్షన్, కీలకత వర్గీకరణ, డేటా ప్రాసెసింగ్ మరియు నిల్వ స్థానం, ఉప-ఔట్‌సోర్సింగ్ గొలుసు, మరియు నిష్క్రమణ-వ్యూహ అంచనా ఉంటాయి. ఆర్టికల్ 31 కింద CTPP హోదా వ్యవస్థ EU అంతటా రిజిస్టర్‌లను చదివి ఏ మూడవ పక్షాలు దైహిక పరిమితిని దాటుతున్నాయో గుర్తిస్తుంది. అసంపూర్ణ లేదా అస్థిర ఆర్టికల్ 8 రిజిస్టర్ ఇప్పుడు వ్యక్తిగత ఫలితం మరియు CTPP-పరిధి సమగ్రత ప్రమాదం రెండూ.

ఆర్టికల్ 18 — ICT-సంబంధిత సంఘటన నివేదన

ప్రధాన ICT-సంబంధిత సంఘటనలకు 4-గంటల ప్రారంభ-నోటిఫికేషన్ విండో అనేది సంస్థలను ఇబ్బంది పెట్టేది. "ప్రధాన" కోసం వర్గీకరణ ప్రమాణాలు ఆర్టికల్ 18(3) మరియు సాంకేతిక RTSను అనుసరిస్తాయి — ప్రభావితమైన క్లయింట్‌ల సంఖ్య, భౌగోళిక విస్తృతి, డేటా నష్టాలు, ఆర్థిక ప్రభావం, ప్రతిష్ఠా ప్రభావం, ప్రభావితమైన సేవల కీలకత, వ్యవధి. పరిణతమైన సంఘటన ప్రక్రియలను నడిపే బ్యాంకులు కూడా మొదటి-గంట వర్గీకరణ నిర్ణయంతో ఇబ్బంది పడతాయి. ఇంజనీరింగ్ డెలివరబుల్: ట్రయాజ్ సమావేశం తర్వాత కాకుండా మొదటి ప్రతిస్పందన చక్రంలోనే ఆర్టికల్ 18 నిర్ణయ హేతువును ఉత్పత్తి చేసే సంఘటన-నిర్వహణ ప్లాట్‌ఫారమ్‌లోకి అనుసంధానించబడిన స్వయంచాలక తీవ్రత-వర్గీకరణ సహాయకుడు.

ఆర్టికల్ 26 — ముప్పు-ఆధారిత చొరబాటు పరీక్ష

TLPT అనేది సమర్థ అధికారం ద్వారా నియమించబడిన ఆర్థిక సంస్థలకు వర్తిస్తుంది, సంస్థ యొక్క కీలక లేదా ముఖ్యమైన ఫంక్షన్ల వారీగా స్కోప్ చేయబడుతుంది. పరీక్ష TIBER-EU పద్ధతిని (లేదా సమానమైన జాతీయ ఫ్రేమ్‌వర్క్‌ను) అనుసరించాలి, దాడి దృశ్యాలను నిర్మించడానికి ముప్పు నిఘాను ఉపయోగించాలి, మరియు కనీసం ప్రతి మూడు సంవత్సరాలకు నడవాలి. ప్రొవైడర్ల నిమగ్నత ఆర్టికల్ 27 (ప్రొవైడర్ ఎంపిక) మరియు ఆర్టికల్ 28 (పరీక్ష అమలు) కింద నియంత్రించబడుతుంది. 2026 పర్యవేక్షక ప్రశ్న: సంస్థ యొక్క TLPT స్కోప్‌లో దాని పబ్లిక్-క్లౌడ్-హోస్ట్ చేసిన కీలక ఫంక్షన్లు ఉన్నాయా, మరియు ప్రొవైడర్ నిమగ్నత నమూనా క్లౌడ్-ప్రొవైడర్ యొక్క సొంత భద్రతా సరిహద్దులను శుభ్రంగా నిర్వహిస్తుందా?

ఆర్టికల్స్ 28-44 — కీలక మూడవ-పక్ష ప్రొవైడర్లు

CTPP వ్యవస్థ అనేది క్లౌడ్ వ్యూహాన్ని అత్యంత ప్రత్యక్షంగా ప్రభావితం చేసే పర్యవేక్షక ఆవిష్కరణ. AWS, Microsoft (Azure), Google (GCP), Salesforce, Workday, మరియు మరికొన్ని వ్యూహాత్మక ప్రొవైడర్లు హోదా పరిధిలో లేదా దాని సమీపంలో ఉన్నాయి. హోదా ESAల ద్వారా ప్రత్యక్ష పర్యవేక్షణను ప్రేరేపిస్తుంది, సమాచార అభ్యర్థనలు, ఆన్-సైట్ తనిఖీలు, మరియు పర్యవేక్షక సిఫారసుల హక్కుతో సహా. టైర్-1 బ్యాంకులకు అర్థం: క్లౌడ్-ప్రొవైడర్ కేంద్రీకరణ ఇప్పుడు కేవలం అంతర్గత ప్రమాద-నిర్వహణ ఆందోళన మాత్రమే కాదు, నియంత్రిత పర్యవేక్షక కొలమానం.

అధిక-ప్రమాద బ్యాంకింగ్ వ్యవస్థల కోసం EU AI Act ఆర్కిటెక్చర్

దశలవారీ అనువర్తన కాలరేఖ:

తేదీ నిబంధనలు బ్యాంకింగ్ ప్రభావం
1 ఆగస్టు 2024 అమలులోకి రావడం లెక్కింపు గడియారం ప్రారంభం
2 ఫిబ్రవరి 2025 నిషేధిత ఆచరణలు (ఆర్టికల్ 5) సామాజిక-స్కోరింగ్-తరహా వ్యవస్థలు నిషేధించబడ్డాయి
2 ఆగస్టు 2025 సాధారణ-ప్రయోజన AI బాధ్యతలు (అధ్యాయం V) GPAI మోడల్ ప్రొవైడర్లు డాక్యుమెంటేషన్ మరియు కాపీరైట్ బాధ్యతలకు లోబడి ఉంటారు
2 ఆగస్టు 2026 అధిక-ప్రమాద వ్యవస్థ బాధ్యతలు (ఆర్టికల్స్ 16-29) Annex III వ్యవస్థలు పూర్తి కంప్లయన్స్ ఫ్రేమ్‌వర్క్‌ను చేరుకోవాలి
2 ఆగస్టు 2027 ఇతర నియంత్రిత ఉత్పత్తులతో అనుసంధానించబడిన అధిక-ప్రమాద వ్యవస్థలు Annex I ఉత్పత్తి భద్రతా వ్యవస్థలతో అనుసంధానించబడిన బ్యాంకింగ్ వ్యవస్థలు

బ్యాంకులను అత్యధికంగా తాకే Annex III నిబంధనలు:

ఆర్టికల్స్ 16-29 బాధ్యతల సారాంశం:

ఆగస్టు 2026 కోసం పర్యవేక్షక ప్రశ్న: ఉత్పత్తిలోని ప్రతి Annex III వ్యవస్థ కోసం బ్యాంక్ Annex VI కింద అనుగుణ్యతా అంచనాను ఉత్పత్తి చేయగలదా? SR 11-7 / SS1/23కి సర్దుబాటు చేయబడిన మోడల్-ప్రమాద-నిర్వహణ ఫ్రేమ్‌వర్క్‌లను నిర్మించిన సంస్థలకు ఇప్పటికే చాలా ఇన్‌పుట్‌లు ఉన్నాయి; పని అనేది ఇప్పటికే ఉన్న నియంత్రణలను AI Act ఆర్టికల్ 9-15 సాక్ష్య వర్గాలకు మ్యాప్ చేయడం.

ఇంజనీరింగ్ క్రమశిక్షణగా డేటా సార్వభౌమత్వం

2026లో కార్యాచరణ డేటా-సార్వభౌమత్వ నమూనా:

ప్రామాణిక ఒప్పంద నిబంధనలు (వర్తించే విధంగా మాడ్యూల్ 2 లేదా 3). Commission Decision (EU) 2021/914 ద్వారా ఆమోదించబడిన నవీకరించిన SCCలు ఆధారరేఖ. 2021-పూర్వ SCCలకు గ్రేస్-పీరియడ్ ఇవ్వబడింది; 2026లో వాటిని ఉపయోగించడం ఒక ఫలితం.

బదిలీ ప్రభావ అంచనా. తగిన-కాని మూడవ దేశానికి ప్రతి బదిలీ కోసం, వీటిని డాక్యుమెంట్ చేయండి: గ్రహీత దేశంలో డేటా రక్షణకు సంబంధించిన చట్టాలు మరియు ఆచరణలు; ఆ చట్టాలు ప్రజాస్వామ్య సమాజంలో అవసరమైన మరియు అనుపాతమైన దానిని మించి ప్రజా అధికారుల ప్రవేశాన్ని అనుమతిస్తాయా; బదిలీ చేయబడుతున్న నిర్దిష్ట డేటా; వర్తింపజేయబడిన సాంకేతిక మరియు సంస్థాగత అనుబంధ చర్యలు. EDPB యొక్క Recommendations 01/2020 ⧉ ఫ్రేమ్‌వర్క్‌ను అందిస్తాయి.

EU-US Data Privacy Framework ధృవీకరణ తనిఖీ. DPF-ధృవీకరించబడిన US గ్రహీతలు SCCs + TIA లేకుండా తగినత నిర్ణయం కింద బదిలీని అనుమతిస్తారు. ధృవీకరణ: గ్రహీత యొక్క DPF certification page ⧉ మరియు ధృవీకరణ తేదీ యొక్క అంతర్గత రికార్డు. DPF 2024లో దాని మొదటి వార్షిక సమీక్షను తట్టుకుంది; దాని దీర్ఘకాలిక మన్నిక ఒక ప్రత్యక్ష ప్రశ్నగా మిగిలింది.

TIA అవసరమని చూపిన చోట అనుబంధ చర్యలు. బదిలీకి ముందు నకిలీపేరీకరణ, EUలో కీలు ఉంచబడిన ఎన్‌క్రిప్షన్, విభజిత ప్రాసెసింగ్, లేదా సమీకరణ-తర్వాత-బదిలీ. 2025 అమలు నమూనా: ఫ్రెంచ్ పరిపాలనలలో Microsoft 365 పై CNIL యొక్క ఫలితాలు Connected Experiencesను నిలిపివేయడం మరియు EU Data Boundary టెనెంట్ ప్లేస్‌మెంట్‌ను కాన్ఫిగర్ చేయడం సరిపోయే అనుబంధ చర్యలుగా ఉన్నాయా అనే దానిపై కేంద్రీకృతమయ్యాయి.

క్లౌడ్-ప్రొవైడర్ EU Data Boundary యంత్రాంగాలు. AWS European Sovereign Cloud, Microsoft EU Data Boundary, Google Cloud EU sovereignty package, మరియు సార్వభౌమ-క్లౌడ్ భాగస్వామ్యాలు (Bleu / Capgemini-Orange, Delos Cloud, Oracle EU Sovereign Cloud) అన్నీ ప్లాట్‌ఫారమ్ స్థాయిలో డేటా-సార్వభౌమత్వ హామీలను ఇంజనీర్ చేయడానికి ప్రయత్నిస్తాయి. వాటిలో ఏదీ SCC + TIA అవసరాన్ని తొలగించదు; అవి TIA యొక్క అవశేష-ప్రమాద ఉపరితలాన్ని తగ్గిస్తాయి.

DORA మరియు EBA ఔట్‌సోర్సింగ్ మార్గదర్శకాల కింద క్లౌడ్ కేంద్రీకరణ

DORA CTPP వ్యవస్థ మరియు EBA ఔట్‌సోర్సింగ్ మార్గదర్శకాలు ఒకదాని పైన ఒకటి పొరలుగా ఉంటాయి:

EBA/GL/2019/02 ⧉ పేరా 64 ప్రకారం, కీలక లేదా ముఖ్యమైన ఔట్‌సోర్సింగ్ ఏర్పాట్లు సంస్థ యొక్క EUలో గణనీయమైన ఉనికిని, నిర్వహణ ద్వారా పర్యవేక్షణను, లేదా ఔట్‌సోర్స్ చేసిన ఫంక్షన్‌పై నిర్ణయాలు తీసుకునే సామర్థ్యాన్ని దెబ్బతీయకుండా సంస్థలు నిర్ధారించాలి. పేరా 81 ప్రత్యామ్నాయత అంచనాలను కోరుతుంది. పేరాలు 113-117 పర్యవేక్షకులు వాస్తవంగా పరీక్షించే నిష్క్రమణ-వ్యూహ డాక్యుమెంటేషన్‌ను కవర్ చేస్తాయి.

DORA ఆర్టికల్ 28 కీలక లేదా ముఖ్యమైన ఫంక్షన్లకు మద్దతు ఇచ్చే ICT మూడవ-పక్ష ఏర్పాట్ల కోసం ఒప్పంద కంటెంట్ అవసరాలను జోడిస్తుంది: డేటా అందుబాటు, డేటా భద్రత, డేటా నివాసం, ఆడిట్ హక్కులు, నిష్క్రమణ వ్యూహాలు, మరియు నిరంతరత నిబంధనలు.

CTPP వ్యవస్థ అప్పుడు రెండింటి పైన కూర్చుంటుంది: ఒక మూడవ పక్షం హోదా పరిమితిని దాటితే, ESAలు ప్రత్యక్ష పర్యవేక్షణ అధికారాన్ని పొందుతాయి. ఇంజనీరింగ్ చిక్కులు భౌగోళిక మరియు నిర్మాణాత్మక డిజైన్ ఎంపికల గురించి: కీలక సేవలకు మల్టీ-రీజియన్ యాక్టివ్-యాక్టివ్; ఆవర్తన అమలు పరీక్షలతో డాక్యుమెంట్ చేయబడిన నిష్క్రమణ ప్రణాళికలు (కేవలం టేబుల్‌టాప్ వ్యాయామాలు కాదు); క్లౌడ్ ప్రొవైడర్ యొక్క సొంత సేవా జాబితాకు సరిపోలే మూడవ-పక్ష ICT రిజిస్టర్‌లు.

బ్యాంక్ రకం వారీగా దీని అర్థం

ప్రపంచ దైహికంగా ముఖ్యమైన బ్యాంకులు

కంప్లయన్స్ పరిధి ఇప్పుడు ఆర్కిటెక్చర్ సమస్య. పెట్టుబడి మరో పాలసీ రిఫ్రెష్ కాదు — ఇది DORA-ఉత్పన్న నిబంధనలను CI/CD పైప్‌లైన్‌లోకి అనుసంధానించే పాలసీ-యాజ్-కోడ్ ప్లాట్‌ఫారమ్, విస్తరణ సమయంలో Annex III వర్గీకరణను బహిర్గతం చేసే AI-వ్యవస్థ జాబితా, ప్రొక్యూర్‌మెంట్ మరియు క్లౌడ్-బిల్-ఆఫ్-మెటీరియల్స్ వ్యవస్థలకు స్వయంచాలకంగా సరిపోలే మూడవ-పక్ష ICT రిజిస్టర్, మరియు పర్యవేక్షక అభ్యర్థనపై ఆర్టికల్ 8 రిజిస్టర్ సాక్ష్యాన్ని ఉత్పత్తి చేసే మార్పులేని ఆడిట్ లాగ్. ప్లాట్‌ఫారమ్‌ను నిర్మించండి; AI Act అధిక-ప్రమాదాన్ని అనుసరించే నియంత్రణ చక్రం (బహుశా General-Purpose AI Code of Practice కింద విస్తరణ) మౌలిక సదుపాయాలను వారసత్వంగా పొందుతుంది.

సార్వత్రిక మరియు మధ్య-పరిమాణ బ్యాంకులు

ఆచరణాత్మక స్థితి కఠినమైన Annex III జాబితా. చాలా సార్వత్రిక బ్యాంకులకు స్పష్టంగా పరిధిలో ఉన్న ఒకటి లేదా రెండు వ్యవస్థలు (క్రెడిట్ స్కోరింగ్, తనఖా ప్రారంభం, కస్టమర్-ముఖ బయోమెట్రిక్స్) మరియు సరిహద్దు కేసుల పొడవైన తోక ఉంటాయి. 2026 H1లో మూడు నెలలు ఖర్చు చేసి ఉత్పత్తిలోని ప్రతి AI వ్యవస్థకు — బాహ్య సమీక్షను తట్టుకునే రాతపూర్వక హేతువుతో — రక్షించదగిన Annex III వర్గీకరణను ఉత్పత్తి చేయడం మరో నియంత్రణ ఫ్రేమ్‌వర్క్ రిఫ్రెష్ కంటే అధిక-విలువైనది. వర్గీకరణ పని AI-భరిత వ్యవస్థల కోసం DORA ఆర్టికల్ 6 ICT ప్రమాద-నిర్వహణ సాక్ష్యంగా రెట్టింపు పనిచేస్తుంది.

చిన్న బ్యాంకులు మరియు బిల్డింగ్ సొసైటీలు

వ్యూహాత్మక సమాధానం అంతర్గత నిర్మాణం కంటే విక్రేత శ్రద్ధ. Annex III అనుగుణ్యతా అంచనా డాక్యుమెంటేషన్‌ను ప్రచురించే, తమ ఒప్పందాలలో ఆర్టికల్స్ 9-15 సాక్ష్య మద్దతుకు కట్టుబడి ఉండే, మరియు తమ మూడవ-పక్ష భద్రతా గుర్తింపులు DORA ఆర్టికల్ 28 అవసరాలకు సర్దుబాటు అయ్యే AI విక్రేతలను ఎంచుకోండి. మీ MRM ప్రక్రియ ద్వారా విక్రేతల వాదనలను ధ్రువీకరించండి. అంతర్గత పరిధి అనుసంధానం, కాన్ఫిగరేషన్, మరియు కార్యాచరణ పర్యవేక్షణ — ఫ్రేమ్‌వర్క్ నిర్మాణం కాదు.

బీమాదారులు మరియు బ్యాంకాష్యూరెన్స్ విభాగాలు

జీవిత మరియు ఆరోగ్య బీమా ప్రమాద అంచనాపై Annex III పాయింట్ 5(c) మాతృ బ్యాంక్ యొక్క బహిర్గతంతో సంబంధం లేకుండా బీమా విభాగాలను అధిక-ప్రమాద పరిధిలో ఉంచుతుంది. ఆగస్టు 2026 గడువు వర్తిస్తుంది. మాతృ బ్యాంక్ యొక్క AI Act కంప్లయన్స్ ఫంక్షన్‌తో సమన్వయం చేయండి — అంతర్లీన జాబితా మరియు సాక్ష్య పనిలో చాలా వరకు భాగస్వామ్యమైనది, మరియు నియంత్రణ బహిర్గతం ఒకే-వ్యాపార-లైన్ నిర్దిష్టం.

ఫిన్‌టెక్‌లు, PSPలు, మరియు రెగ్‌టెక్‌లు

2026లో EU బ్యాంకులకు అమ్మే విక్రేతల కోసం ఉత్పత్తి ప్రశ్న ఇక "మీ ప్లాట్‌ఫారమ్ DORA / AI Actకి అనుగుణంగా ఉందా" కాదు. అది "టైర్-1 బ్యాంక్ యొక్క కంప్లయన్స్ ఫంక్షన్ దాని సొంత అనుగుణ్యతను రుజువు చేయడానికి అవసరమైన డాక్యుమెంటేషన్‌ను మీ ప్లాట్‌ఫారమ్ ఉత్పత్తి చేస్తుందా." DORA ఆర్టికల్ 8 రిజిస్టర్ ఇన్‌పుట్‌లు, AI Act ఆర్టికల్ 11 సాంకేతిక డాక్యుమెంటేషన్ టెంప్లేట్‌లు, ఏదైనా డేటా-బదిలీ ఏర్పాటు కోసం SCC + TIA బాయిలర్‌ప్లేట్. ఉపయోగపడే టెంప్లేట్‌లతో సమాధానమిచ్చే విక్రేతలు ఎంటర్‌ప్రైజ్ డీల్‌లను ముగిస్తారు; PDFలతో సమాధానమిచ్చే విక్రేతలు అలా చేయని పోటీదారులకు ఓడిపోతారు.

కార్యాచరణ నమూనాను ఇంజనీర్ చేయడం

2026 భేదకారి అంటే రన్‌టైమ్‌లోకి అనుసంధానించబడిన పాలసీ-యాజ్-కోడ్.

విస్తరణ గేట్ వద్ద Open Policy Agent. ప్రతి ఉత్పత్తి విస్తరణ DORA-ఉత్పన్న పాలసీకి వ్యతిరేకంగా OPA మూల్యాంకనం గుండా వెళుతుంది. ఉదాహరణలు: కస్టమర్ డేటాను తాకే ఏ సేవకైనా డాక్యుమెంట్ చేయబడిన ఆర్టికల్ 8 రిజిస్టర్ ఎంట్రీ ఉండాలి; ఏ Annex III AI వ్యవస్థకైనా విస్తరణ మానిఫెస్ట్ నుండి లింక్ చేయబడిన అనుగుణ్యతా అంచనా సాక్ష్యం ఉండాలి; ఏ మూడవ-పక్ష ICT సేవకైనా చెల్లుబాటులో ఉన్న ప్రత్యామ్నాయత అంచనా ఉండాలి. పాలసీ రిజిస్ట్రీ Git-వెర్షన్డ్; తిరస్కరించబడిన విస్తరణలు సమీక్షించదగిన హేతువులను ఉత్పత్తి చేస్తాయి.

ఆర్టికల్ 8 సాక్ష్యానికి ఆహారంగా మార్పులేని ఆడిట్ లాగింగ్. మూడవ-పక్ష ICT రిజిస్టర్‌కు తిరిగి సరిపోలే WORM-నిల్వ చేయబడిన విస్తరణ, కాన్ఫిగరేషన్, మరియు ప్రవేశ ఈవెంట్‌లు. "X తేదీ Y వద్ద X సేవకు నియంత్రణలను నాకు చూపించండి" అని అడిగే పర్యవేక్షకులు డాక్యుమెంట్ సమీకరణ ప్రాజెక్ట్ కాదు, ఒక క్వెరీ ఫలితాన్ని పొందుతారు.

CI/CDలో బహిర్గతమయ్యే Annex III వర్గీకరణతో AI-వ్యవస్థ జాబితా. సంస్థ జాబితాలోని ప్రతి AI వ్యవస్థ Annex III వర్గీకరణను (పాయింట్ 1, 5(a), 5(b), 5(c), 6, 7 లేదా ఏదీ కాదు) కలిగి ఉంటుంది. వ్యవస్థ మారినప్పుడు వర్గీకరణ సమీక్షించబడుతుంది; ఉత్పత్తికి విస్తరణ వర్గీకరణ ప్రస్తుతమైనదని తనిఖీ చేస్తుంది. ఆర్టికల్స్ 9-15 సాక్ష్య వర్గాలు జాబితా ఫీల్డ్‌లకు మ్యాప్ అవుతాయి మరియు CI/CD పైప్‌లైన్ ప్రతి విడుదలలో భాగంగా సాక్ష్య కళాఖండాలను వ్రాస్తుంది.

SDLCలోకి అనుసంధానించబడిన ముప్పు-ఆధారిత చొరబాటు పరీక్ష. TLPT స్కోప్‌లు సంస్థ యొక్క కీలక మరియు ముఖ్యమైన ఫంక్షన్ల జాబితా నుండి ఉత్పన్నమవుతాయి; పరీక్ష కార్యక్రమం ప్రతి మూడు సంవత్సరాలకు ఒక వివిక్త ఈవెంట్‌గా కాకుండా నిరంతరం నడుస్తుంది. ఫలితాలు OPA పాలసీ రిజిస్ట్రీలోకి తిరిగి ఆహారంగా ఇస్తాయి; ముగిసిన ఫలితాలు పర్యవేక్షక-సిద్ధ సాక్ష్య ప్యాకెట్‌లను ఉత్పత్తి చేస్తాయి.

వర్క్‌ఫ్లో వేగంతో సాక్ష్యాన్ని ఉత్పత్తి చేసే సంస్థలు పరీక్షలలో ఉత్తీర్ణులవుతాయి. డేటా అభ్యర్థనలకు ప్రతిస్పందనగా డాక్యుమెంటేషన్ ప్యాకెట్‌లను ఉత్పత్తి చేసే సంస్థలు ఉత్తీర్ణులు కావు.

తరచుగా అడిగే ప్రశ్నలు

DORA ఇప్పటికీ 2026లో "సిద్ధత" దశలో ఉందా?

లేదు. DORA 17 జనవరి 2025 నుండి క్రియాశీల అమలులో ఉంది. ఆర్టికల్స్ 6, 8, 18 మరియు 26 అన్నీ అమలులో ఉన్నాయి; CTPP హోదా వ్యవస్థ 2025 మరియు 2026 అంతటా తెరవబడుతోంది; మొదటి పరీక్ష తరంగం నుండి పర్యవేక్షక ఫలితాలు 2025 Q4లో వచ్చాయి. "సిద్ధత" చట్రం రెండు నియంత్రణ చక్రాలు వెనుకబడి ఉంది.

బ్యాంకుల కోసం ముఖ్యమైన EU AI Act గడువు ఏమిటి?

2 ఆగస్టు 2026 — ఆర్టికల్స్ 16-29 బాధ్యతలు Annex III అధిక-ప్రమాద వ్యవస్థలకు వర్తించే తేదీ. క్రెడిట్ యోగ్యత అంచనాపై Annex III పాయింట్ 5(b), ఆన్‌బోర్డింగ్ వద్ద బయోమెట్రిక్ గుర్తింపుపై పాయింట్ 1, మరియు జీవిత మరియు ఆరోగ్య బీమా ప్రమాద అంచనాపై పాయింట్ 5(c) బ్యాంక్-సంబంధిత వర్గాలు. చాలా టైర్-1 బ్యాంకులకు ఉత్పత్తిలో కనీసం ఒక Annex III వ్యవస్థ ఉంది.

Data Privacy Framework SCCల అవసరాన్ని తొలగిస్తుందా?

కేవలం DPF-ధృవీకరించబడిన US గ్రహీతలకు మాత్రమే. బదిలీ క్షణంలో ధృవీకరణ ధ్రువీకరణ అవసరం, మరియు అంతర్గత రికార్డు కూడా. మిగతా అన్నిటికీ ఇప్పటికీ SCCలు మరియు డాక్యుమెంట్ చేయబడిన బదిలీ ప్రభావ అంచనా అవసరం.

పరీక్షలో DORA అనుగుణ్యతను ప్రదర్శించే ఇంజనీరింగ్ డెలివరబుల్ ఏమిటి?

DORA-ఉత్పన్న నిబంధనలకు వ్యతిరేకంగా ఉత్పత్తి విస్తరణలను గేటింగ్ చేసే పాలసీ-యాజ్-కోడ్, ఆర్టికల్ 8 రిజిస్టర్ సాక్ష్యానికి ఆహారంగా ఉండే మార్పులేని ఆడిట్ లాగ్‌లు, విస్తరణ సమయంలో బహిర్గతమయ్యే Annex III వర్గీకరణతో AI-వ్యవస్థ జాబితా, మరియు కీలక మరియు ముఖ్యమైన ఫంక్షన్ల జాబితాకు వ్యతిరేకంగా స్కోప్ చేయబడిన TLPT కార్యక్రమం. వర్క్‌ఫ్లో వేగంతో సాక్ష్యం.

క్లౌడ్ ప్రొవైడర్లు DORA కింద నియంత్రించబడతారా?

అవును — ఆర్టికల్స్ 28-44 కింద. CTPP హోదా వ్యవస్థ యూరోపియన్ పర్యవేక్షక అధికారులకు నియమించబడిన కీలక మూడవ-పక్ష ప్రొవైడర్లపై ప్రత్యక్ష పర్యవేక్షణను ఇస్తుంది. AWS, Microsoft (Azure), Google (GCP), మరియు Salesforce అన్నీ హోదా పరిధిలో లేదా దాని సమీపంలో ఉన్నాయి.

సూచనలు

చివరిగా సమీక్షించబడింది .

ఈ వ్యాసాన్ని క్రాస్-పోస్ట్ చేయండి

Medium కోసం ఫార్మాట్ చేసి కాపీ చేయండి

# DORA, EU AI Act, మరియు డేటా సార్వభౌమత్వం: బ్యాంకుల కోసం 2026 కంప్లయన్స్ స్టాక్ — Sebastien Rousseau

> Originally published at [https://sebastienrousseau.com/te/2026-05-28-dora-ai-act-data-sovereignty-banking-compliance-stack-2026/](https://sebastienrousseau.com/te/2026-05-28-dora-ai-act-data-sovereignty-banking-compliance-stack-2026/)

DORA, EU AI Act, GDPR, క్లౌడ్ కేంద్రీకరణ ప్రమాదం, మరియు డేటా సార్వభౌమత్వం బ్యాంకుల కోసం ఒకే 2026 కంప్లయన్స్ స్టాక్‌గా కలిసిపోతున్నాయి.

Read the full article on sebastienrousseau.com: https://sebastienrousseau.com/te/2026-05-28-dora-ai-act-data-sovereignty-banking-compliance-stack-2026/

Mastodon కోసం ఫార్మాట్ చేసి కాపీ చేయండి

DORA, EU AI Act, మరియు డేటా సార్వభౌమత్వం: బ్యాంకుల కోసం 2026 కంప్లయన్స్ స్టాక్ — Sebastien Rousseau

DORA, EU AI Act, GDPR, క్లౌడ్ కేంద్రీకరణ ప్రమాదం, మరియు డేటా సార్వభౌమత్వం బ్యాంకుల కోసం ఒకే 2026 కంప్లయన్స్ స్టాక్‌గా కలిసిపోతున్నాయి.

https://sebastienrousseau.com/te/2026-05-28-dora-ai-act-data-sovereignty-banking-compliance-stack-2026/

LinkedIn కోసం ఫార్మాట్ చేసి కాపీ చేయండి

DORA, EU AI Act, మరియు డేటా సార్వభౌమత్వం: బ్యాంకుల కోసం 2026 కంప్లయన్స్ స్టాక్ — Sebastien Rousseau

DORA, EU AI Act, GDPR, క్లౌడ్ కేంద్రీకరణ ప్రమాదం, మరియు డేటా సార్వభౌమత్వం బ్యాంకుల కోసం ఒకే 2026 కంప్లయన్స్ స్టాక్‌గా కలిసిపోతున్నాయి.

ముఖ్యమైన వ్యూహాత్మక అంశాలు ఇవి:

- DORA, EU AI Act, మరియు డేటా సార్వభౌమత్వం: బ్యాంకుల కోసం 2026 కంప్లయన్స్ స్టాక్. 2026 EU కంప్లయన్స్ స్టాక్ ఇక ముందు-చూపు అంశం కాదు.
- 2026 ఆడిట్-దశ సంవత్సరం ఎందుకు. మూడు నియంత్రణ వ్యవస్థలు ఏకకాలంలో కార్యాచరణ వాస్తవంపైకి తాకుతున్నాయి.
- DORA ఆడిట్ దశలో — ఆర్టికల్-నిర్దిష్ట యంత్రాంగం. 2026లో పర్యవేక్షక ఫలితాలను ఉత్పత్తి చేసే ఆర్టికల్స్:.
- అధిక-ప్రమాద బ్యాంకింగ్ వ్యవస్థల కోసం EU AI Act ఆర్కిటెక్చర్. దశలవారీ అనువర్తన కాలరేఖ:.

ఈ వ్యాసంలో వివరించిన సవాళ్లకు మీ సంస్థ దృక్పథం ఏమిటి?

→ https://sebastienrousseau.com/te/2026-05-28-dora-ai-act-data-sovereignty-banking-compliance-stack-2026/

#Dora2026 #EuAiAct2026 #డేటాసార్వభౌమత్వంబ్యాంకులు #కార్యాచరణస్థితిస్థాపకత #క్లౌడ్కేంద్రీకరణప్రమాదం

Sebastien Rousseau | CC-BY-4.0
ఈ వ్యాసాన్ని ఉదహరించండి

DORA, EU AI Act, మరియు డేటా సార్వభౌమత్వం: బ్యాంకుల కోసం 2026 కంప్లయన్స్ స్టాక్ — Sebastien Rousseau

DORA, EU AI Act, GDPR, క్లౌడ్ కేంద్రీకరణ ప్రమాదం, మరియు డేటా సార్వభౌమత్వం బ్యాంకుల కోసం ఒకే 2026 కంప్లయన్స్ స్టాక్‌గా కలిసిపోతున్నాయి.

BibTeX

@online{rousseau2026dora,
  author  = {Rousseau, Sebastien},
  title   = {{DORA, EU AI Act, మరియు డేటా సార్వభౌమత్వం: బ్యాంకుల కోసం 2026 కంప్లయన్స్ స్టాక్ — Sebastien Rousseau}},
  year    = {2026},
  url     = {https://sebastienrousseau.com/te/2026-05-28-dora-ai-act-data-sovereignty-banking-compliance-stack-2026/},
  urldate = {2026}
}

RIS

TY  - GEN
AU  - Rousseau, Sebastien
TI  - DORA, EU AI Act, మరియు డేటా సార్వభౌమత్వం: బ్యాంకుల కోసం 2026 కంప్లయన్స్ స్టాక్ — Sebastien Rousseau
PY  - 2026
UR  - https://sebastienrousseau.com/te/2026-05-28-dora-ai-act-data-sovereignty-banking-compliance-stack-2026/
ER  -

Vancouver

Rousseau S. DORA, EU AI Act, మరియు డేటా సార్వభౌమత్వం: బ్యాంకుల కోసం 2026 కంప్లయన్స్ స్టాక్ — Sebastien Rousseau. sebastienrousseau.com. 2026 May 28. Available from: https://sebastienrousseau.com/te/2026-05-28-dora-ai-act-data-sovereignty-banking-compliance-stack-2026/

Chicago

Rousseau, Sebastien. "DORA, EU AI Act, మరియు డేటా సార్వభౌమత్వం: బ్యాంకుల కోసం 2026 కంప్లయన్స్ స్టాక్ — Sebastien Rousseau." sebastienrousseau.com. May 28, 2026. https://sebastienrousseau.com/te/2026-05-28-dora-ai-act-data-sovereignty-banking-compliance-stack-2026/.

APA

Rousseau, S. (2026, May 28). DORA, EU AI Act, మరియు డేటా సార్వభౌమత్వం: బ్యాంకుల కోసం 2026 కంప్లయన్స్ స్టాక్ — Sebastien Rousseau. sebastienrousseau.com. https://sebastienrousseau.com/te/2026-05-28-dora-ai-act-data-sovereignty-banking-compliance-stack-2026/

ఈ వ్యాసాన్ని పునఃప్రచురించండి

DORA, EU AI Act, మరియు డేటా సార్వభౌమత్వం: బ్యాంకుల కోసం 2026 కంప్లయన్స్ స్టాక్ — Sebastien Rousseau

DORA, EU AI Act, GDPR, క్లౌడ్ కేంద్రీకరణ ప్రమాదం, మరియు డేటా సార్వభౌమత్వం బ్యాంకుల కోసం ఒకే 2026 కంప్లయన్స్ స్టాక్‌గా కలిసిపోతున్నాయి.

ఈ వ్యాసం కింది లైసెన్స్ కింద ఉంది Creative Commons Attribution 4.0 International. పునఃప్రచురణకు కానానికల్ URLకు ఆపాదన అవసరం.

DORA, EU AI Act, మరియు డేటా సార్వభౌమత్వం: బ్యాంకుల కోసం 2026 కంప్లయన్స్ స్టాక్ — Sebastien Rousseau

DORA, EU AI Act, GDPR, క్లౌడ్ కేంద్రీకరణ ప్రమాదం, మరియు డేటా సార్వభౌమత్వం బ్యాంకుల కోసం ఒకే 2026 కంప్లయన్స్ స్టాక్‌గా కలిసిపోతున్నాయి.

Originally published at https://sebastienrousseau.com/te/2026-05-28-dora-ai-act-data-sovereignty-banking-compliance-stack-2026/ by Sebastien Rousseau.
Licensed under CC-BY-4.0.