DORA Compliance Finanční sektor

DORA compliance pro AI systémy v bankách: Kompletní průvodce 2025

Jak splnit požadavky Digital Operational Resilience Act při nasazení AI v českých bankách a finančních institucích. Praktický návod s konkrétními kroky.

Rostislav Sikora
12 min čtení

📋 Executive Summary

DORA (Digital Operational Resilience Act) vstoupila v plnou platnost 17. ledna 2025. Pro české banky a finanční instituce nasazující AI systémy to znamená nové požadavky na ICT risk management, incident reporting a testování digitální odolnosti.

  • ✅ ICT risk framework musí zahrnovat AI-specifická rizika
  • ✅ Incident reporting do 24 hodin pro závažné AI incidenty
  • ✅ Audit logs s retencí minimálně 5 let
  • ✅ Third-party risk management pro AI dodavatele (OpenAI, Azure, AWS)

Co je DORA a proč je důležitá pro AI?

DORA (nařízení EU č. 2022/2554) je regulatorní rámec pro digitální provozní odolnost finančního sektoru. Na rozdíl od směrnic NIS2 nebo GDPR, DORA je nařízení — platí přímo bez nutnosti transpozice do národního práva.

Pro AI systémy v bankách DORA přináší specifické požadavky, které musíte adresovat již ve fázi návrhu architektury. Nejde jen o IT bezpečnost — jde o provozní odolnost celého řetězce od vstupních dat přes AI model až po finální rozhodnutí.

🏛️ Na koho se DORA vztahuje?

Přímo regulované entity:

  • • Banky a úvěrové instituce
  • • Investiční společnosti
  • • Pojišťovny a zajišťovny
  • • Platební instituce
  • • Správci aktiv
  • • Penzijní fondy

Kritičtí ICT dodavatelé:

  • • Cloud poskytovatelé (Azure, AWS, GCP)
  • • AI platformy (OpenAI, Anthropic)
  • • Core banking systémy
  • • Datová centra
  • • Outsourcovaní IT dodavatelé

Klíčové požadavky DORA pro AI systémy

1. ICT Risk Management Framework (Články 5-16)

Váš ICT risk framework musí explicitně adresovat AI-specifická rizika:

Riziko Popis Mitigace
Model Drift Degradace přesnosti AI modelu v čase Continuous monitoring, automatické retraining triggery
Hallucinations Generování nepravdivých informací Grounding, RAG architektura, fact-checking guardrails
Adversarial Attacks Manipulace vstupů pro ovlivnění výstupů Input validation, anomaly detection, red teaming
Bias & Fairness Diskriminační rozhodování AI Bias audity, fairness metrics, diverse training data
Data Poisoning Kontaminace trénovacích dat Data provenance tracking, integrity checks

Pro praktickou implementaci doporučujeme využít náš blueprint GDPR-ready AI architektury, který pokrývá většinu DORA požadavků na dokumentaci a audit.

2. Incident Reporting (Články 17-23)

DORA zavádí jednotný framework pro hlášení ICT incidentů. Pro AI systémy to znamená:

⏰ Časové limity pro reporting

4h

Initial notification

Prvotní oznámení závažného incidentu ČNB

24h

Intermediate report

Podrobnější report s root cause analysis

1M

Final report

Kompletní post-incident analýza a lessons learned

Co je „závažný incident" u AI systému? Podle článku 18 DORA:

  • • AI model produkující systematicky chybná rozhodnutí (např. 100+ nesprávných credit scoringů)
  • • Únik citlivých dat přes AI chatbot nebo asistenta
  • • Nedostupnost kritického AI systému déle než 2 hodiny
  • • Detekce adversarial attack nebo model poisoning
  • • Bias incident s dopadem na více než 1000 zákazníků

3. Testování digitální odolnosti (Články 24-27)

DORA vyžaduje pravidelné testování ICT systémů včetně AI. Pro významné finanční instituce (banky s aktivy nad €5B) je povinný TLPT (Threat-Led Penetration Testing) každé 3 roky.

🔬 Testovací scénáře pro AI systémy

Funkční testy:
  • • Accuracy degradation tests
  • • Edge case handling
  • • Failover a recovery testy
  • • Load testing AI inference
Bezpečnostní testy:
  • • Prompt injection attacks
  • • Model extraction attempts
  • • Data exfiltration scenarios
  • • Adversarial input testing

4. Third-Party Risk Management (Články 28-44)

Pokud využíváte externí AI služby (OpenAI API, Azure OpenAI, AWS Bedrock), musíte splnit požadavky na řízení rizik třetích stran:

  • Due diligence před uzavřením smlouvy
  • Contractual requirements — SLA, audit práva, exit strategie
  • Ongoing monitoring — pravidelné hodnocení dodavatele
  • Concentration risk — diverzifikace kritických služeb
  • Exit strategy — plán pro ukončení spolupráce

💡 Tip: Azure OpenAI vs. OpenAI API

Pro DORA compliance doporučujeme Azure OpenAI Service místo přímého OpenAI API. Azure nabízí EU data residency, enterprise SLA, a compliance certifikace (SOC 2, ISO 27001) požadované většinou českých bank. Více o naší architektuře v průvodci Azure AI Foundry.

Praktická implementace: 6 kroků

1

Gap analýza a risk assessment

Zmapujte všechny AI systémy a jejich integraci s kritickými procesy. Identifikujte gaps vůči DORA požadavkům.

Deliverables:

  • • AI systems inventory
  • • ICT risk register (AI-specific)
  • • Gap analysis report
  • • Remediation roadmap

⏱️ Typická doba: 2-4 týdny | 💰 Náklady: €4.900-15.000

2

Audit logging infrastruktura

Implementujte immutable audit logs pro všechna AI rozhodnutí. DORA vyžaduje retenci minimálně 5 let.

Technologie:

  • • Azure Monitor + Log Analytics (5+ let retention)
  • • Append-only storage (Azure Immutable Blob)
  • • Structured logging s correlation IDs
  • • Real-time alerting pro anomálie
3

Incident management framework

Vytvořte procesy pro detekci, klasifikaci a eskalaci AI-related incidentů. Integrace s ČNB reporting.

Klíčové komponenty:

  • • Incident classification matrix (AI-specific)
  • • Escalation procedures a contact list
  • • ČNB reporting templates
  • • Post-incident review process
4

Model governance a explainability

Pro AI v retail bankingu (credit scoring, AML) implementujte explainability framework.

Nástroje:

  • • SHAP values pro feature importance
  • • LIME pro lokální vysvětlení
  • • Model cards s dokumentací
  • • Fairness metrics dashboard
5

Third-party due diligence

Proveďte due diligence všech AI dodavatelů. Aktualizujte smlouvy o DORA klauzule.

Checklist:

  • • Security certifikace (SOC 2, ISO 27001)
  • • EU data residency potvrzení
  • • Audit práva ve smlouvě
  • • Exit strategy a data portability
  • • Subcontractor management
6

Testování a dokumentace

Implementujte continuous testing a připravte dokumentaci pro ČNB audit.

Dokumenty:

  • • ICT Risk Management Policy
  • • AI Systems Inventory
  • • Business Continuity Plan (AI-specific)
  • • Third-Party Register
  • • Testing Reports (roční)

Časový rámec a náklady

Fáze Doba Náklady Deliverables
Discovery & Gap Analysis 2-4 týdny €4.900-15.000 Risk register, gap report, roadmap
Framework Implementation 6-10 týdnů €15.000-40.000 Audit logs, incident management, docs
Testing & Validation 2-4 týdny €5.000-15.000 Test reports, remediation
Ongoing Compliance Průběžně od €3.000/měsíc Monitoring, updates, annual testing

💰 ROI kalkulace

Typická banka ušetří DORA compliance automatizací:

  • 60-70% redukce manuálních compliance kontrol
  • 80% rychlejší incident response time
  • Eliminace regulatorních pokut (až 10M EUR nebo 5% obratu)
  • ROI 6-12 měsíců u většiny implementací

Často kladené dotazy

Co je DORA a kdy vstupuje v platnost?

DORA (Digital Operational Resilience Act) je nařízení EU č. 2022/2554 o digitální provozní odolnosti finančního sektoru. Vstoupilo v platnost 16. ledna 2023 a plně se uplatňuje od 17. ledna 2025. Vztahuje se na banky, pojišťovny, investiční společnosti, platební instituce a jejich kritické ICT dodavatele.

Jaké požadavky DORA klade na AI systémy?

DORA vyžaduje pro AI systémy: 1) ICT risk management framework zahrnující AI-specifická rizika (model drift, bias, hallucinations), 2) Incident reporting do 24 hodin pro závažné AI-related incidenty, 3) Testování digitální odolnosti včetně AI modelů, 4) Third-party risk management pro dodavatele AI služeb, 5) Immutable audit logs s minimální retencí 5 let.

Jak ČNB kontroluje DORA compliance?

ČNB jako národní regulátor provádí dohled prostřednictvím: pravidelných on-site inspekcí, vyžadování ICT risk reportů, hodnocení incident management procesů, kontroly třetích stran (cloud a AI poskytovatelů), a testování business continuity plánů. Nedodržení může vést k sankcím až do výše 10 milionů EUR nebo 5% ročního obratu.

Musí být AI modely explainable pro DORA compliance?

Ano, DORA v kombinaci s AI Act vyžaduje explainability pro high-risk AI systémy ve finančním sektoru. Pro credit scoring, AML/KYC a fraud detection musíte být schopni vysvětlit rozhodnutí AI modelu regulátorovi i zákazníkovi. Doporučujeme implementovat SHAP values, LIME nebo attention visualization.

Jaké jsou typické náklady na DORA-compliant AI implementaci?

Discovery a gap analýza: €4.900-15.000. MVP s compliance frameworkem: €15.000-40.000. Enterprise řešení s plnou DORA dokumentací: €40.000-80.000. Ongoing compliance monitoring: od €3.000/měsíc. ROI typicky 6-12 měsíců díky automatizaci compliance procesů.

Potřebujete pomoc s DORA compliance?

Nabízíme discovery sprint pro gap analýzu vašich AI systémů vůči DORA požadavkům. Výstupem je konkrétní roadmap s prioritami a odhadem nákladů.

Naplánovat konzultaci Více o AI pro banky

Související články

Architektura

GDPR-ready architektura pro enterprise AI

Blueprint pro compliance-first AI deployment s auditními logy a guardrails.

 Guardrails

Compliance guardrails pro multimodální asistenty

Jak implementovat bezpečnostní guardrails pro AI chatboty ve finančním sektoru.

 ROI

Měření ROI AI agentů v retail bance

Jak měřit návratnost investic do AI v bankovnictví.

 Case Study

AI orchestrace pro fintech onboarding

Jak jsme zkrátili onboarding z 10 na 3 minuty s AI orchestrací.