Insight · Regulatory Framework

DORA en AI Act: twee verordeningen, één governance-probleem

Waarom gescheiden compliance-trajecten leiden tot structurele blinde vlekken.

Het misverstand

Bij veel financiële instellingen worden DORA en de AI Act behandeld als twee separate trajecten. DORA bij IT-risicobeheer. De AI Act bij compliance of juridisch. Logisch vanuit de organisatiestructuur. Fout vanuit de regelgeving.

DORA reguleert ICT-risicobeheer — inclusief AI als ICT-dienst. De AI Act reguleert AI-systemen specifiek. Bij AI-systemen in de financiële sector zijn beide verordeningen tegelijk van toepassing.

Dat betekent: één AI-systeem, twee sets vereisten, en als u die gescheiden behandelt — twee teams die elk de helft zien.

Waar de overlap zit

De raakvlakken zijn niet abstract. Ze zijn concreet en operationeel.

Derde-partij risicobeheer

DORA

DORA vereist beheer van ICT-afhankelijkheden bij externe leveranciers, inclusief exit-strategieën en contractuele waarborgen.

AI Act

De AI Act vereist dat deployers verantwoordelijk blijven voor compliance — ook bij extern afgenomen AI-systemen.

Incidentmelding

DORA

DORA verplicht ICT-incidentmelding aan toezichthouders binnen gedefinieerde termijnen.

AI Act

De AI Act vereist melding van ernstige incidenten bij hoog-risico AI-systemen.

Risicobeoordeling

DORA

DORA vereist een continu ICT-risicobeheerframework met identificatie, bescherming, detectie, respons en herstel.

AI Act

De AI Act vereist een risicobeheersysteem per hoog-risico AI-systeem met continue monitoring.

Documentatie en bewijs

DORA

DORA vereist documentatie van ICT-risicobeheer, inclusief contracten en testresultaten.

AI Act

De AI Act vereist technische documentatie, logbestanden en conformiteitsbeoordelingen.

Menselijk toezicht

DORA

DORA vereist dat ICT-risicobeheer onder bestuursverantwoordelijkheid valt.

AI Act

De AI Act vereist effectief menselijk toezicht op hoog-risico AI-systemen.

Waarom gescheiden trajecten falen

Het probleem is niet dat instellingen DORA of de AI Act negeren. Het probleem is dat ze beiden serieus nemen — maar apart.

Het ICT-risicoteam bouwt een DORA-framework. Het compliance-team bouwt een AI Act-framework. Beide teams documenteren, classificeren en monitoren — maar ze zien niet wat de ander doet.

Het resultaat:

  • Dubbel werk bij inventarisatie en classificatie
  • Tegenstrijdige risico-inschattingen van hetzelfde systeem
  • Blinde vlekken op de raakvlakken — het systeem voldoet aan AI Act maar niet aan DORA's derde-partij vereisten
  • Gescheiden bewijslijnen die bij een inspectie niet aansluiten
  • Hogere kosten, langere doorlooptijd, meer frictie

Eén framework, twee verordeningen

De oplossing is geen compromis. Het is een structuur die beide verordeningen dekt vanuit dezelfde governance-staat.

Dat betekent:

  • Eén register dat zowel ICT-risico's als AI-classificatie bevat
  • Eén classificatieproces dat DORA-risicoclassificatie en AI Act hoog-risico criteria combineert
  • Eén set controls die zowel DORA's ICT-vereisten als de AI Act's governance-eisen afdekt
  • Eén bewijslijn die reproduceerbaar is voor beide toezichtregimes

Dit is precies wat een Regulation Control Plane doet: het registreert systemen, classificeert verplichtingen onder meerdere regelgevingen tegelijk, past controls toe en genereert bewijs — geïntegreerd.

Wat Wwft hieraan toevoegt

De complexiteit stopt niet bij twee verordeningen. Financiële instellingen die AI inzetten voor transactiemonitoring of cliëntonderzoek hebben ook te maken met de Wwft.

De Wwft legt de verantwoordelijkheid voor verdachte-transactiemeldingen bij de instelling. Als een AI-systeem die meldingen genereert, is de instelling verantwoordelijk voor de kwaliteit én de verklaarbaarheid van die output.

Drie regelgevingen, één AI-systeem, drie sets verantwoordelijkheden. Dat is niet beheersbaar met drie aparte trajecten.

Veelgestelde vragen

Zijn DORA en de AI Act overlappend? +
Ja. DORA reguleert ICT-risicobeheer, inclusief AI als ICT-dienst. De AI Act reguleert AI-systemen specifiek. Bij AI-systemen in de financiële sector zijn beide tegelijk van toepassing.
Moet ik twee aparte governance-trajecten opzetten? +
Nee. Een geïntegreerd framework dat zowel DORA- als AI Act-vereisten dekt is efficiënter en voorkomt blinde vlekken op de raakvlakken.
Wat is het grootste risico bij gescheiden trajecten? +
Blinde vlekken. Een AI-systeem dat voldoet aan AI Act-vereisten maar niet aan DORA's derde-partijrisicobeheer is niet compliant — en omgekeerd.
Hoe verhoudt de Wwft zich tot DORA en de AI Act? +
De Wwft legt verantwoordelijkheid voor verdachte-transactiemeldingen bij de instelling. Als AI die meldingen genereert, zijn DORA (ICT-risico), AI Act (systeemclassificatie) en Wwft (meldingsverantwoordelijkheid) alle drie van toepassing.

Geïntegreerde governance begint hier

Een Executive Session biedt een gestructureerde analyse van hoe DORA, AI Act en Wwft samenkomen bij uw specifieke AI-systemen.

Executive Session aanvragen Download Whitepaper