Přeskočit na obsah
TECHNOMATON | Docs SAI certifikovaní trenéři
Otestujte připravenost → Konzultace →

Překryvy a synergie regulací

EU regulace se záměrně doplňují. Řešit je jednotlivě je dražší a pomalejší než je adresovat společně. Kdo pochopí překryvy, ušetří 30–40 % úsilí.

Kde se regulace překrývají

OblastAI ActNIS2GDPRData ActDORA
Risk managementxxx
Incident managementxxxx
Data governancexxx
Dokumentace a transparentnostxxx
Školení a gramotnostxxx
Třetí strany / supply chainxxx
Testování a validacexx
Audit a monitoringxxxx

Klíčové překryvy v detailu

Risk management: AI Act + NIS2 + DORA

Všechny tři regulace vyžadují systematický risk assessment. AI Act se zaměřuje na rizika AI systémů, NIS2 na kybernetická rizika, DORA na ICT provozní odolnost. Jednotný ERM (Enterprise Risk Management) framework pokryje všechny tři.

Incident management: AI Act + NIS2 + DORA + GDPR

GDPR vyžaduje hlášení data breach do 72 hodin. NIS2 požaduje early warning do 24 hodin a plný report do 72 hodin. DORA má vlastní klasifikaci a reporting incidentů. AI Act přidává post-market monitoring a serious incident reporting. Integrovaný incident management systém s rozdílnými triggery pokryje všechny požadavky.

Data governance: GDPR + Data Act + AI Act

GDPR je základní rámec pro ochranu osobních údajů. Data Act rozšiřuje pravidla na neosobní data a data sharing. AI Act vyžaduje GDPR compliance pro trénování AI na osobních datech a kvalitu trénovacích dat. Privacy-by-design přístup slouží jako základ pro všechny tři.

Dokumentace a transparentnost: AI Act + GDPR + DORA

GDPR vyžaduje ROPA (záznamy o zpracování). AI Act vyžaduje technickou dokumentaci AI systémů. DORA vyžaduje ICT asset inventory a dokumentaci. Jednotná dokumentační platforma s tagováním compliance oblastí eliminuje duplikaci.

Školení a gramotnost: AI Act čl. 4 + NIS2 + GDPR

AI Act článek 4 vyžaduje AI literacy pro všechny, kdo pracují s AI. NIS2 vyžaduje cyber hygiene školení. GDPR vyžaduje awareness školení o ochraně údajů. Holistický training program pokrývající všechny oblasti je efektivnější než tři samostatné programy.

Třetí strany / supply chain: AI Act + NIS2 + DORA

AI Act definuje odpovědnosti v supply chain (providers, importers, distributors). NIS2 vyžaduje posouzení dodavatelského řetězce. DORA umožňuje ESAs přímý dohled nad kritickými ICT providery. Centralizovaný vendor management se specifickými požadavky pro každou regulaci šetří čas.

Testování a validace: AI Act + DORA

AI Act vyžaduje conformity assessment pro high-risk AI systémy. DORA vyžaduje TLPT (Threat-Led Penetration Testing) každé 3 roky pro velké instituce. Kombinovaný plán testování pokrývající bezpečnost, AI a data je efektivnější.

Audit a monitoring: AI Act + NIS2 + DORA + GDPR

GDPR vyžaduje DPIA pro vysokorizikové zpracování. NIS2 vyžaduje penetrační testy a vulnerability scanning. DORA vyžaduje TLPT. AI Act vyžaduje conformity assessment. Integrovaný audit framework s multi-compliance kontrolami pokrývá všechny požadavky.

Srovnání regulací

AspektGDPRNIS2DORAAI Act
TypNařízeníSměrniceNařízeníNařízení
ScopeOsobní údaje EU občanů18 sektorů kritické infrastrukturyFinanční sektor EUAI systémy v EU
Sankce (max.)20 mil. EUR / 4 % obratu10 mil. EUR / 2 % obratu10 mil. EUR / 1 % obratu35 mil. EUR / 7 % obratu
Reporting72 hodin (data breach)24h early warning + 72h reportDle závažnostiPost-market monitoring
OdpovědnostSprávce/zpracovatelManagement osobněBoard plně odpovědnýProvider/deployer

Synergický přístup: proč řešit regulace společně

Firmy, které adresují regulace jednotlivě, typicky:

  • Duplikují práci — risk assessment pro AI Act, pak znovu pro NIS2, pak znovu pro DORA
  • Vytvářejí silos — právní oddělení řeší GDPR, IT řeší NIS2, nikdo neřeší AI Act
  • Platí víc — tři samostatné projekty stojí 2–3x víc než jeden integrovaný

Synergický přístup ušetří 30–40 % úsilí, protože:

  1. Jeden risk assessment pokryje požadavky všech regulací
  2. Jeden incident management systém slouží GDPR, NIS2, DORA i AI Act
  3. Jedna dokumentační platforma pokryje ROPA, AI inventuru i ICT asset inventory
  4. Jeden training program splní AI literacy, cyber hygiene i GDPR awareness