DORA та ШІ у фінансах: вимоги до хмари і третіх сторін

DORA та ШІ у фінансах: вимоги до хмари і третіх сторін — нижче практичний погляд для українського бізнесу.

Що вимагає DORA

DORA (Регламент (ЄС) 2022/2554 про цифрову операційну стійкість фінансового сектору) встановлює вимоги до управління ІКТ-ризиками, звітування про інциденти, тестування стійкості і, головне, до ризиків постачальників ІКТ-послуг (хмари) — обов’язкові умови договорів, аудит, стратегія виходу та локація даних. Україна гармонізує ці правила в межах вступу до ЄС (Постанова Правління НБУ № 143 від 9 грудня 2025).

Що це означає для ШІ

Без контролю над даними й постачальником впровадження ШІ у фінансах ускладнюється. DORA — сильний аргумент на користь self-host і локального інференсу замість API-моделей, що хостяться поза вашим контролем.

Архітектура

Оскільки osFoundry можна розгорнути у власній інфраструктурі та підключити європейські або open-weight моделі, платформа може працювати у вашому власному акаунті в регіоні ЄС, на українському ґрунті або локально — це шлях до резидентності та суверенітету даних, а не «коробка» з-за кордону. (Чесно: osFoundry має керований регіон ЄС, але НЕ має керованого українського регіону; для даних на території України під українською юрисдикцією шлях — self-host у власній інфраструктурі чи в українського провайдера, або local-first.) Під українською юрисдикцією працюють вітчизняні провайдери — De Novo та GigaCloud (обидва зі статусом VMware Sovereign Cloud) разом із дата-центром «Парковий» заснували Альянс цифрового суверенітету (2025); власну хмару на серверах HPE запустив і Kyivstar. Повний суверенітет дає й self-host у власній інфраструктурі.

Стійкість і суверенітет даних

Після 2022 року Україна законодавчо дозволила розміщувати державні та критичні дані у хмарі за кордоном задля стійкості (Закон «Про хмарні послуги» № 2075-IX та постанови Кабміну № 263 і № 1500) — понад 100 державних реєстрів перенесли до хмари AWS, при цьому державну таємницю та службову інформацію виключили. Це «перевернута» логіка суверенітету: дані виносять із-під ризику обстрілів, але водночас вони потрапляють під чужу юрисдикцію. В Україні фізично немає регіону жодного з гіперскейлерів (AWS, Azure, Google Cloud); найближчі — у Франкфурті, Варшаві та Стокгольмі. Тобто питання суверенітету — не про відстань чи затримку, а про юрисдикцію. Американські закони CLOUD Act (2018) і FISA Section 702 дозволяють вимагати від провайдерів, що контролюються зі США (AWS, Microsoft, Google), видати дані, збережені будь-де у світі, зокрема в регіонах ЄС, — юрисдикція визначається власністю компанії, а не розташуванням сервера. Регіон «у ЄС» забезпечує резидентність даних і відповідність GDPR, але не означає «поза американською юрисдикцією». Де зберігати дані для ШІ — регіон ЄС (власний акаунт), українські провайдери, on-premise або локальний інференс.

Оскільки osFoundry можна розгорнути у власній інфраструктурі та підключити європейські або open-weight моделі, платформа може працювати у вашому власному акаунті в регіоні ЄС, на українському ґрунті або локально — це шлях до резидентності та суверенітету даних, а не «коробка» з-за кордону. (Чесно: osFoundry має керований регіон ЄС, але НЕ має керованого українського регіону; для даних на території України під українською юрисдикцією шлях — self-host у власній інфраструктурі чи в українського провайдера, або local-first.)

Незалежність і чесність

dgm — незалежний інтеграційний партнер (не пов’язаний з osFoundry / OS LLC) і не є юридичним чи податковим радником. dgm поки що не має завершених клієнтських інтеграцій, тому наведені нижче сценарії описані як типові або можливі, а не як реалізовані проєкти.

Це не юридична чи податкова консультація: правила, ставки та терміни часто змінюються — перед рішенням перевірте їх в офіційних джерелах (Уповноважений ВР з прав людини, Мінцифра, НБУ, Держлікслужба, Дія).

Підсумок

Зверніться до dgm, щоб обговорити ваш сценарій і запропоновану архітектуру.