Sektor

NIS2 Bilaga I

AI Act för finansmarknadsinfrastruktur

NIS2-bilaga: I
Rekommenderad Sprint: Enterprise
Högrisk-andel: 50 procent
Deadline Art. 26: 2 aug 2026

Översikt

Vad AI-förordningen innebär för sektorn

Finansmarknadsinfrastruktur skiljer sig från bank på tre punkter: AI-systemen hanterar flöden snarare än enskilda kundrelationer vilket gör att Art. 26-skyldigheten informera berörda personer tolkas annorlunda. Systemrisk är högre än i vanlig bank, ett AI-fel i clearing kan skapa flash-crash eller avvecklingsstopp.

Överlappet med MAR gör att samma AI-system som övervakar market abuse också kan omfattas av EBA- och ESMA-guidelines.

Klassificering

Bilaga III-punkter som gäller sektorn

Punkt	Tillämpning i finansmarknadsinfrastruktur
III.5b	Kreditrelaterade beslut i motpartsbedömning, marginaladministration
III.4	HR-beslut i stora operatörer
III.1	Biometri i access control till handelsrum (sällsynt i Sverige)

AI-system

Typiska AI-system i svenska organisationer

Användningsområde	Typiska leverantörer	Risknivå
Market surveillance och MAR-detektion	Nasdaq SMARTS, Aquis, OneMarketData	Hög vid direkta beslut mot deltagare
Clearing-algoritmer och marginalberäkning	OCC systems, LCH.Clearnet, Euroclear	Hög vid autonom marginal-ändring
Motpartsriskbedömning	Bloomberg, Refinitiv, S&P Global Ratings AI	Hög (III.5b)
Settlement-optimering	SIX Swiss, Murex, FIS Protegent	Begränsad till hög
Likviditetsprognoser	OpenGamma, Calypso, Interna modeller	Begränsad
CCP-riskbedömning	Proprietära modeller, Bowtie Analytics	Hög
Realtidsövervakning av marknadskaos	Nasdaq Risk Platform, TradeGate	Begränsad till hög
LLM för regulatorisk dokumentation	Microsoft Copilot Financial Services	Minimal

Tillsyn

Myndigheter som har tillsyn

Finansinspektionen: primär sektorstillsyn
Riksbanken: tillsyn över värdepappersavveckling och systemviktig infrastruktur
ESMA: pan-europeiskt tillsynsmandat för CCP:er och handelsplatser
IMY: primär marknadskontroll för AI Act
MCF och CERT-SE: NIS2-aspekter

Regelverk

NIS2-överlapp och Cybersäkerhetslagen

Finansmarknadsinfrastruktur har kanske den tätaste regulatoriska stacken av alla svenska sektorer: NIS2/Cybersäkerhetslagen (väsentlig entitet), DORA (systemviktig finansiell entitet), MiFID II och MAR (marknadsbeteende), EMIR (CCP-reglering), AI Act och GDPR. Redundant dokumentation är den största operativa risken. En större AI-incident i CCP-verksamhet kan trigga rapporter till Finansinspektionen, Riksbanken, ESMA, CERT-SE och IMY parallellt.

Risk

Unika risker för AI i sektorn

Systemrisk vid AI-fel, exempelvis flash-crash från felaktig dispatch av handelsordrar
Förklaringsbarhet vid manuell tillsyn när ESMA eller Finansinspektionen begär motivering
Regelarbitrage om olika jurisdiktioner tolkar Art. 6.3 olika för samma CCP-tjänst
Modellriskhantering enligt SR 11-7-liknande principer behöver integreras med AI Act-dokumentation
Backtest-kvalitet när ML-modeller inte har tillräcklig historisk data för stress-scenarier

Så hjälper CyberKlar

Plattformen för finansmarknadsinfrastruktur

Plattformen kombinerar NIS2, DORA och AI Act i samma styrningsmodell: AI-systemregister med kategorier för CCP-kritikalitet, MAR-relevans och AI Act-risknivå. Modellriskhantering integrerad med Art. 26-dokumentation. Incidentroutning till Finansinspektionen, Riksbanken, ESMA, CERT-SE och IMY. FRIA-underlag där tillämpligt.

Boka Enterprise Sprint Se demo

Vanliga frågor

Frågor vi oftast får från finansmarknadsinfrastruktur

Omfattas CCP:er och clearingorganisationer av AI Act?

Ja. AI-system som används för motpartsbedömning, marginalberäkning och risk management omfattas om de fattar eller stöder beslut som påverkar fysiska personer eller reglerade entiteter. Motpartsbedömning med finansiell effekt klassas som III.5b kreditrelaterade beslut.

Räcker DORA-ramverket för AI Act-efterlevnad?

Nej. DORA täcker ICT-riskhantering, operativ motståndskraft och leverantörsbedömning. AI Act lägger till krav på datakvalitet (Art. 10), human oversight (Art. 14), transparens (Art. 13) och klassificering enligt Bilaga III. Dokumentationen kan delvis överlappa, men båda regelverken måste efterlevas.

Hur hanterar vi rapportering vid en AI-incident i clearing?

Primär rapportering enligt DORA Major ICT-incident till Finansinspektionen. Till Riksbanken om systemviktig aspekt. Till ESMA vid direkt tillsyn. Till CERT-SE enligt Cybersäkerhetslagen. Till IMY enligt AI Act Art. 73 om grundläggande rättighetsbrott skett. Informera berörda medlemmar enligt avtal.

Gäller Art. 26 för market surveillance-AI?

Market surveillance är inte automatiskt högrisk enligt Bilaga III om systemet bara flaggar för mänsklig granskning. Om AI:n automatiskt suspenderar eller utesluter medlem är det högrisk enligt III.5a åtkomst till tjänster.

Vad krävs för explainability i AI-modeller för motpartsrisk?

Art. 13 kräver transparens från provider. Deployer behöver ha tillräckligt förståelse för att kunna motivera beslut. För motpartsbedömning rekommenderas modellkort, feature importance och ability att producera individuell förklaring per motpart. Detta kompletterar SR 11-7-liknande modellriskramverk.

Hur ofta ska AI-modellerna omvaldiras?

Regelverksmässigt minst årligen per Art. 26 plus DORA. Praktiskt ofta kvartalsvis för high-impact-modeller. Vid marknadsregimeskifte (stress-perioder) bör omvaldering ske oftare.

Relaterat

Fortsätt med nästa steg

AI Act

Jämförelser och sektorer

Alla 18 sektor-sidor

Läser in

AI Act för finansmarknadsinfrastruktur

NIS2-bilaga: I
Rekommenderad Sprint: Enterprise
Högrisk-andel: 50 procent
Deadline Art. 26: 2 aug 2026

Vad AI-förordningen innebär för sektorn

Överlappet med MAR gör att samma AI-system som övervakar market abuse också kan omfattas av EBA- och ESMA-guidelines.

Punkt

Tillämpning i finansmarknadsinfrastruktur

III.5b

Kreditrelaterade beslut i motpartsbedömning, marginaladministration

III.4

HR-beslut i stora operatörer

III.1

Biometri i access control till handelsrum (sällsynt i Sverige)

Typiska AI-system i svenska organisationer

Användningsområde	Typiska leverantörer	Risknivå
Market surveillance och MAR-detektion	Nasdaq SMARTS, Aquis, OneMarketData	Hög vid direkta beslut mot deltagare
Clearing-algoritmer och marginalberäkning	OCC systems, LCH.Clearnet, Euroclear	Hög vid autonom marginal-ändring
Motpartsriskbedömning	Bloomberg, Refinitiv, S&P Global Ratings AI	Hög (III.5b)
Settlement-optimering	SIX Swiss, Murex, FIS Protegent	Begränsad till hög
Likviditetsprognoser	OpenGamma, Calypso, Interna modeller	Begränsad
CCP-riskbedömning	Proprietära modeller, Bowtie Analytics	Hög
Realtidsövervakning av marknadskaos	Nasdaq Risk Platform, TradeGate	Begränsad till hög
LLM för regulatorisk dokumentation	Microsoft Copilot Financial Services	Minimal

NIS2-överlapp och Cybersäkerhetslagen

Unika risker för AI i sektorn

Systemrisk vid AI-fel, exempelvis flash-crash från felaktig dispatch av handelsordrar
Förklaringsbarhet vid manuell tillsyn när ESMA eller Finansinspektionen begär motivering
Regelarbitrage om olika jurisdiktioner tolkar Art. 6.3 olika för samma CCP-tjänst
Modellriskhantering enligt SR 11-7-liknande principer behöver integreras med AI Act-dokumentation
Backtest-kvalitet när ML-modeller inte har tillräcklig historisk data för stress-scenarier

Plattformen för finansmarknadsinfrastruktur

Frågor vi oftast får från finansmarknadsinfrastruktur

Omfattas CCP:er och clearingorganisationer av AI Act?

Räcker DORA-ramverket för AI Act-efterlevnad?

Hur hanterar vi rapportering vid en AI-incident i clearing?

Gäller Art. 26 för market surveillance-AI?

Vad krävs för explainability i AI-modeller för motpartsrisk?

Hur ofta ska AI-modellerna omvaldiras?

Regelverksmässigt minst årligen per Art. 26 plus DORA. Praktiskt ofta kvartalsvis för high-impact-modeller. Vid marknadsregimeskifte (stress-perioder) bör omvaldering ske oftare.