Trusq

feitelijke duiding · herleidbaar naar primaire bronnen

Onderwerpen Kansen Doe de check Samenwerken LinkedIn NL·EN
Skyline van een financieel district bij nacht
Analyse

Samenloop van AI Act en DORA: één AI-systeem, twee toezichtkaders

Vastgesteld 2026-06-11 · ≈ 2 min lezen · Dirk Baaijen

Financiële instellingen die AI inzetten vallen tegelijk onder DORA (sinds januari 2025) en de AI Act. Deze analyse beschrijft waar de kaders elkaar raken, waar de AI Act expliciet naar het financiëledienstenrecht verwijst, en waar dubbel werk dreigt.

Sinds 17 januari 2025 is DORA (Verordening (EU) 2022/2554) van toepassing op banken, verzekeraars, beleggingsondernemingen, betaalinstellingen en hun kritieke ICT-dienstverleners. De AI-verordening legt daar voor dezelfde instellingen een tweede laag overheen. De twee kaders hebben verschillende doelen — DORA beschermt de operationele continuïteit van het financiële stelsel, de AI Act beschermt veiligheid en grondrechten van personen — maar grijpen in de praktijk op dezelfde systemen, dezelfde leveranciers en dezelfde interne processen aan.

DORA — sinds 17-01-2025 ICT-risicobeheer Derde ICT-aanbieders Weerbaarheidstesten Incidentmelding (ICT)AI Act — hoogrisicolaag Hoogrisico bijlage III Datakwaliteit + bias Menselijke controle Incidentmelding (art. 73)art. 17(4)art. 26(5)art. 26(6)schakelbepalingen
Twee kaders, drie wettelijke bruggen: de schakelbepalingen laten AI Act-plichten meeliften op DORA-governance.

Waar de AI Act de financiële sector rechtstreeks raakt

Bijlage III van de AI-verordening merkt twee typisch financiële toepassingen aan als hoogrisico: AI-systemen voor de beoordeling van kredietwaardigheid of de vaststelling van een kredietscore van natuurlijke personen (punt 5b, met een uitzondering voor systemen voor het opsporen van financiële fraude), en AI-systemen voor risicobeoordeling en prijsstelling bij levens- en ziektekostenverzekeringen (punt 5c). Een bank die kredietacceptatie met AI ondersteunt of een verzekeraar die premies met AI differentieert, is dus gebruiksverantwoordelijke — en soms aanbieder — van een hoogrisicosysteem.

De schakelbepalingen: de AI Act leunt bewust op het financiëledienstenrecht

De wetgever heeft dubbele governance willen voorkomen met drie expliciete schakelbepalingen:

  • Artikel 17, lid 4: aanbieders die financiële instellingen zijn en onder

interne-governance-eisen van het Uniefinanciëledienstenrecht vallen, worden geacht aan de meeste eisen van het kwaliteitsbeheersysteem te voldoen door naleving van die bestaande governance-regels; enkele onderdelen van artikel 17 lid 1 blijven daarvan uitgezonderd.

  • Artikel 26, lid 5: voor gebruiksverantwoordelijken die financiële

instellingen zijn geldt de monitoringplicht als vervuld door naleving van de interne-governance-regels uit het financiëledienstenrecht.

  • Artikel 26, lid 6: diezelfde instellingen bewaren de logs van

hoogrisicosystemen als onderdeel van de documentatie die zij op grond van het financiëledienstenrecht al bijhouden.

Voor instellingen die hun DORA- en governance-huis op orde hebben is dit goed nieuws: het AI Act-kwaliteitsbeheer hoeft geen parallelle structuur te worden, maar kan worden ingebed in het bestaande raamwerk.

Waar DORA het AI-vraagstuk al regelt

DORA behandelt extern betrokken AI — een model-API, een SaaS-scoringsdienst, een cloudgebaseerd fraudedetectiesysteem — als ICT-dienst van een derde aanbieder. Daarmee gelden de DORA-eisen onverkort: contractuele minimumbepalingen, opname in het informatieregister, concentratierisico-analyse en exitstrategieën. Het ICT-risicobeheerraamwerk van DORA (identificeren, beschermen, detecteren, herstellen, leren) omvat AI-systemen die in de bedrijfsvoering zijn opgenomen net zo goed als klassieke ICT.

Waar het schuurt

Drie punten vragen om bewuste inrichting. Ten eerste de incidentmeldingen: DORA kent een eigen meldplicht voor ernstige ICT-incidenten aan de financiële toezichthouder, de AI-verordening (artikel 73) een meldplicht voor ernstige incidenten met hoogrisicosystemen aan de markttoezichthouder. Eén storing in een AI-systeem kan beide meldplichten tegelijk activeren, met verschillende termijnen en loketten. Ten tweede de testverplichtingen: DORA-weerbaarheidstesten toetsen op continuïteit en beveiliging, niet op de datakwaliteits- en biasvereisten van de AI Act; het een vervangt het ander niet. Ten derde de timing: DORA geldt nu, terwijl de hoogrisicoverplichtingen van de AI Act volgens het Digital Omnibus-akkoord van 7 mei 2026 naar verwachting pas op 2 december 2027 van toepassing worden. Het DORA-raamwerk is daarmee de natuurlijke plek om de AI Act-voorbereiding alvast in onder te brengen — de schakelbepalingen van de artikelen 17 en 26 zijn daar uitdrukkelijk voor bedoeld.

Bronnen

  1. https://eur-lex.europa.eu/eli/reg/2022/2554/oj
    Verordening (EU) 2022/2554 (DORA), authentieke tekst; van toepassing sinds 17 januari 2025.
  2. https://eur-lex.europa.eu/eli/reg/2024/1689/oj
    Verordening (EU) 2024/1689 (AI-verordening); zie bijlage III punt 5 en de artikelen 17, 26 en 73.
  3. https://artificialintelligenceact.eu/article/17/
    Artikel 17 AI-verordening met lid 4 over kwaliteitsbeheer bij financiële instellingen (niet-officiële weergave).
  4. https://artificialintelligenceact.eu/article/26/
    Artikel 26 AI-verordening met leden 5 en 6 over monitoring en logbewaring bij financiële instellingen (niet-officiële weergave).
  5. https://www.dnb.nl/dora
    DNB-themapagina over DORA en het toezicht daarop in Nederland.

Deel op LinkedIn

Lees ook

W

DORA-wegwijzer: valt mijn instelling eronder en wat moet ik regelen?

DORA (Verordening (EU) 2022/2554) geldt sinds 17 januari 2025 voor financiële entiteiten en hun kritieke ICT-dienstverleners. Vijf pijlers: ICT-risicobeheer, incidentmelding, weerbaarheidstesten, derden-ICT-risico en informatiedeling. Deze wegwijzer wijst per pijler de weg.

U

Valt mijn instelling onder DORA?

DORA geldt voor een limitatief opgesomde lijst van financiële entiteiten — van banken en verzekeraars tot betaalinstellingen, crypto-aanbieders en hun kritieke ICT-dienstverleners. Kleine, niet-verweven entiteiten mogen een vereenvoudigd kader voeren. Deze uitleg helpt je bepalen of je eronder valt.

U

Nationale toezichthouders: AP, RDI en de verdeling van het AI-toezicht

De AI Act wordt grotendeels nationaal gehandhaafd. In Nederland geeft een concept-Uitvoeringswet (consultatie 20 april–1 juni 2026) de AP en RDI een coördinerende rol over tien bestaande markttoezichthouders; de AFM en DNB houden toezicht op de financiële sector.

Dirk Baaijen

Over deze kennisbank

Samengesteld en onderhouden door YRproject — programma- en projectregie op het snijvlak van digitale transformatie, AI en regelgeving. Elke feitelijke claim is herleidbaar naar de primaire bron. Achter YRproject staat Dirk Baaijen Over & methode →

Een project of programma? Werk met YRproject →

De maandelijkse briefing

AI-regulering in vijf minuten: wat er veranderde, wat eraan komt en wat het betekent. Geen spam, uitschrijven kan altijd.

Je adres wordt alleen hiervoor gebruikt en op eigen servers bewaard.