Osa ISO 27001 -kokoelmaa
Osa NIS2-kokoelmaa

EU:n tekoälylaki: mitä se sisältää ja miten voit soveltaa sitä

ISO 27001
EU:n tekoälylaki: mitä se sisältää ja miten voit soveltaa sitä
NIS2
EU:n tekoälylaki: mitä se sisältää ja miten voit soveltaa sitä
Artikkelit
EU:n tekoälylaki: mitä se sisältää ja miten voit soveltaa sitä

Tekoälylaki on EU:n ensimmäinen tekoälyä koskeva monialainen laki, jossa säädetään, miten tekoälyä voidaan kehittää, saattaa markkinoille ja käyttää. Se kattaa palvelujen tarjoajat, maahantuojat, jakelijat ja käyttöönottajat riippumatta siitä, toimivatko niiden tekoälyjärjestelmät EU:n alueella vai tuottavatko ne vain tuloksia, jotka vaikuttavat ihmisiin siellä. Tavoitteena on vähentää terveyteen, turvallisuuteen ja perusoikeuksiin kohdistuvia riskejä ja samalla pitää ovet avoimina luotettavalle innovoinnille.

Yksi tärkeä ero useimpiin vaatimustenmukaisuutta koskeviin vaatimuskehikkoihin verrattuna on se, että tekoälylaki ei ensisijaisesti koske organisaatiolle aiheutuvia riskejä. Sillä säännellään riskejä, joita tekoälyjärjestelmät tuottavat yksilöille, ryhmille ja koko yhteiskunnalle. Syrjivä rekrytointityökalu, epäoikeudenmukaisesti poissulkeva luottomalli, harhaanjohtava chatbot: nämä ovat lain kohteena olevia haittoja. Tämä ulospäin suuntautuva riskinäkökulma muokkaa kaikkea luokittelusta täytäntöönpanoon.

Laki perustuu riskiperusteiseen lähestymistapaan: mitä suurempi haittojen mahdollisuus on, sitä tiukemmat hallintakeinot. Tietyt tekoälykäytännöt on kielletty kokonaan, kun taas korkean riskin järjestelmät sallitaan vain tiukkojen hallinnollisten ja teknisten vaatimusten mukaisesti. Vähemmän riskialttiiden käyttötarkoitusten osalta velvoitteet pysyvät kevyinä ja edellyttävät pikemminkin perustason avoimuusvelvoitteita kuin täydellisiä vaatimustenmukaisuusjärjestelmiä.

Eri riskitasot

Korkean riskin järjestelmiin kuuluvat järjestelmät, joita käytetään arkaluonteisilla aloilla, kuten lainvalvonnassa, työllisyyden alalla ja kriittisissä infrastruktuureissa. Näiden järjestelmien on täytettävä laajat vaatimukset, jotka kattavat riskienhallinnan, ihmisen suorittaman valvonnan, tiedonhallinnan ja teknisen kestävyyden.

Rajoitetun riskin järjestelmiin kuuluvat chatbotit, kuva- tai tekstigeneraattorit tai yksinkertaiset suositusjärjestelmät. Näihin sovelletaan ainoastaan avoimuusvaatimuksia, jotka edellyttävät lähinnä sen ilmoittamista, että käyttäjät ovat vuorovaikutuksessa tekoälyn kanssa.

Vähäisen riskin järjestelmiä, kuten roskapostisuodattimia, ei säännellä lain nojalla lainkaan, vaikka vapaaehtoisia toimintasääntöjä kannustetaankin.

Koska laki perustuu voimassa olevaan EU-lainsäädäntöön eikä korvaa sitä, GDPR:n, tuoteturvallisuussääntöjen tai kuluttajansuojaa koskevien vaatimuskehikkojen kanssa jo työskentelevillä organisaatioilla on etumatka. Suuri osa vaatimuksista hallinnoinnissa voidaan kerrostaa jo olemassa oleviin järjestelmiin, mutta dokumentoinnin ja vastuuvelvollisuuden rima nousee koko tekoälyn elinkaaren ajan.

Ilmainen vaatimustenmukaisuuden arviointi: Arvioi  EU AI Act vaatimustenmukaisuustasosi

Mitä tekoälylaki vaatii

Laki rakentuu riskitasoista, roolipohjaisista velvoitteista ja elinkaarien hallintakeinoista. Lisäksi se sisältää erityissääntöjä yleisesti käytettäville tekoälymalleille ja kohdennettuja avoimuusvaatimuksia jokapäiväistä tekoälyä koskeville vuorovaikutustapahtumille. Nämä tavoitteet konkretisoituvat konkreettisiksi välineiksi: kiellot ja korkean riskin hallintakeinot suojaavat perusoikeuksia, CE-merkintä ja yhdenmukaistetut standardit tarjoavat oikeusvarmuutta, ja sääntelyn ”hiekkalaatikot” sekä menettelysäännöt tukevat innovointia.

On syytä huomata, että säädöksen tekoälyjärjestelmän määritelmä on tarkoituksellisesti teknologianeutraali. Se kattaa kaikki ohjelmistot, jotka päättelevät syötteistä ja tuottavat tuotoksia, kuten ennusteita, suosituksia tai päätöksiä, riippumatta siitä, perustuvatko ne koneoppimiseen, logiikkaan perustuviin menetelmiin vai tilastollisiin lähestymistapoihin. Monet työkalut, joita tiimit eivät tällä hetkellä luokittele tekoälyksi, voivat silti täyttää vaatimukset, joten perusteellinen kartoitus on olennainen ensimmäinen askel.

Tarjoajat, käyttöönottajat ja arvoketju

Tekoälylaki asettaa velvoitteita sen mukaan, mihin kohtaan arvoketjua sijoittuu. Tärkein ero tehdään korkean riskin tekoälyjärjestelmien tarjoajien ja korkean riskin tekoälyjärjestelmien käyttöönottajien välillä. Tarjoajat ovat organisaatioita, jotka kehittävät tekoälyjärjestelmän tai saattavat sen markkinoille omalla nimellään. Ne kantavat raskaimman sääntelytaakan: tekninen dokumentaatio, riskienhallinta, laadunhallinta, vaatimustenmukaisuuden arviointi, CE-merkintä ja markkinoille saattamisen jälkeinen seuranta kuuluvat kaikki tarjoajalle.

Käyttöönottajat ovat organisaatioita, jotka käyttävät tekoälyjärjestelmää omassa toiminnassaan. Niiden velvoitteet ovat kevyempiä mutta silti merkittäviä, erityisesti kun on kyse korkean riskin järjestelmistä. Korkean riskin tekoälyn käyttöönottajien on varmistettava ihmisen suorittama valvonta, käytettävä järjestelmää palveluntarjoajan ohjeiden mukaisesti ja seurattava riskejä omassa kontekstissaan. Niiden on myös täytettävä vaatimus ennen riskialttiin järjestelmän käyttöönottoa perusoikeusvaikutusten arvioinnista, jossa määritellään tekoälyjärjestelmän mahdolliset vaikutukset yksilöihin, ryhmiin ja yhteiskuntaan. Maahantuojilla ja jakelijoilla on omat todentamiseen ja jäljitettävyyteen liittyvät velvoitteensa, mutta useimmille lukijoille tärkeintä on toimittajan ja käyttöönottajan välinen ero.

Vaatimustenmukaisuuden lähtökohtana on ymmärtää, mikä rooli sinulla on kunkin tekoälyjärjestelmän osalta. Organisaatio voi olla yhden järjestelmän tarjoaja ja toisen järjestelmän käyttöönottaja, ja velvoitteet vaihtelevat huomattavasti.

Riskiperusteiset tasot ja kielletyt käytännöt

Laissa määritellään neljä riskiluokkaa: kielletyt käytännöt, korkean riskin järjestelmät, rajoitetun riskin (läpinäkyvyys) käyttötarkoitukset ja minimaalisen riskin käyttötarkoitukset. Sääntelytaakka skaalautuu suoraan riskiluokituksen mukaan.

Korkean riskin järjestelmät edellyttävät huomattavaa, koko elinkaaren kattavaa vaatimustenmukaisuusohjelmaa.

Rajoitetun riskin järjestelmät edellyttävät ainoastaan julkistamis- ja avoimuustoimenpiteitä.

Vähäisen riskin järjestelmiin ei kohdistu erityisiä velvoitteita, vaikka vapaaehtoisia käytännesääntöjä kannustetaankin.

Tämä tarkoittaa, että kunkin järjestelmän riskitason määrittäminen on yhtä tärkeää kuin oman roolin määrittäminen, koska nämä kaksi yhdessä määrittävät, kuinka paljon työtä vaatimustenmukaisuus vaatii.

Kielletyt käytännöt ovat suppeat mutta tiukat. Niitä ovat mm:

  • tekoäly, joka manipuloi käyttäytymistä tavoilla, jotka todennäköisesti aiheuttavat merkittävää haittaa.
  • Viranomaisten tekemä sosiaalinen pisteytys, joka johtaa epäoikeudenmukaiseen tai haitalliseen kohteluun.
  • reaaliaikainen biometrinen etätunnistus julkisissa tiloissa, joka on rajoitettu tiukasti määriteltyihin lainvalvontaviranomaisten poikkeuksiin.
  • useat biometriset luokittelukäytännöt, joista voidaan päätellä arkaluonteisia ominaisuuksia.

Korkean riskin luokittelu ja velvoitteet

Lain operatiivinen ydin keskittyy korkean riskin tekoälyjärjestelmien sääntelyyn, ja laki listaa nämä käyttötarkoitukset kahteen ryhmään. Ensimmäinen kattaa tekoälyn, jota käytetään turvakomponenttina EU:n sääntelemissä tuotteissa, kuten lääkinnällisissä laitteissa, koneissa ja ajoneuvoissa. Toinen kattaa itsenäisen tekoälyn, jota käytetään arkaluonteisissa päätöksissä, kuten koulutukseen pääsyssä, rekrytoinnissa ja työntekijöiden hallinnassa, luottotietojen arvioinnissa, keskeisissä palveluissa, lainvalvonnassa, maahanmuutossa ja oikeudessa.

Vaatimustenmukaisuudesta aiheutuva työmäärä riskialttiiden järjestelmien osalta on huomattava. Palveluntarjoajien on:

  • käytettävä riskinhallintajärjestelmää
  • otettava käyttöön laadunhallintajärjestelmä
  • otettava käyttöön tiedonhallinta koulutus-, validointi- ja testausaineistoja varten.
  • ylläpitää dokumentointia, kirjaamista, oikeellisuutta, luotettavuutta, kyberturvallisuutta ja inhimillistä valvontaa.
  • Käytettävä markkinoille saattamisen jälkeistä seurantajärjestelmää ja raportoitava häiriöistä.

Korkean riskin järjestelmien käyttöönottajilla on vähemmän mutta silti merkittäviä velvoitteita. Niiden on käytettävä järjestelmää palveluntarjoajan ohjeiden mukaisesti, varmistettava inhimillinen valvonta, seurattava kontekstikohtaisia riskejä ja tehtävä perusoikeusvaikutusten arviointi ennen käyttöönottoa.

Avoimuus jokapäiväisessä tekoälyvuorovaikutuksessa

Jopa tekoälyn käyttö, joka ei kuulu korkean riskin luokkaan, voi vaatia suojatoimia. Laki velvoittaa ilmoittamaan selkeästi, kun ihminen on vuorovaikutuksessa tekoälyn, kuten chat-robottien, kanssa, ja vaatii merkintöjä synteettiselle tai manipuloidulle medialle, jota voidaan erehtyä pitämään aitona. Yhdessä nämä toimenpiteet vähentävät harhaanjohtamisriskiä ja auttavat käyttäjiä kalibroimaan luottamustaan.

Käytännössä palveluntarjoajien ja käyttöönottajien on mukautettava käyttöliittymiä, sisältöä koskevia menettelyjä ja käyttäjäilmoituksia vastaavasti. Henkilöstön on ymmärrettävä, milloin tekoälyä koskevat vuorovaikutusilmoitukset ja synteettisen sisällön merkinnät ovat sovellettavissa, erityisesti silloin, kun nämä velvollisuudet risteävät alustan käytäntöjen, markkinoinnin työnkulkujen ja julkisen viestinnän kanssa.

Tekoälyn yleismallit ja systeeminen riski

Yleiskäyttöisillä tekoälymalleilla on toimialarajat ylittäviä ominaisuuksia, mikä tarkoittaa, että niiden tarjoajien on ylläpidettävä teknistä dokumentaatiota, julkaistava tietoja ominaisuuksista ja rajoituksista ja annettava jatkokäyttäjille heidän tarvitsemansa riskin kannalta merkitykselliset tiedot. Tekijänoikeussuojat ja harjoitustietojen yhteenvedot ovat osa tätä avoimuusvelvoitetta.

Vaikutukseltaan merkittäviksi luokiteltuihin malleihin kohdistuu niiden järjestelmäriskipotentiaalin vuoksi tiukempia velvoitteita, joihin kuuluvat mallien arviointi, vastakkaistestaus, kyberturvallisuuden hallintakeinot, häiriöiden raportointi ja resurssien avoimuus, joka kattaa laskenta- ja energiankäytön. Näiden mallien tarjoajien on tehtävä yhteistyötä sääntelyviranomaisten kanssa ja tuettava yhdenmukaistettujen standardien ja käytännesääntöjen kehittämistä.

Välikäsien, jotka hienosäätävät tai paketoivat yleiskäyttöisiä malleja uudelleen, on perittävä alkuperäiseltä toimittajalta dokumentointivelvoitteet, kun taas jatkokäyttäjien on itsenäisesti arvioitava omat käyttötapauksensa ja täytettävä ne korkean riskin tai avoimuuden velvoitteet, joita asiayhteydessä sovelletaan.

Vaatimustenmukaisuuden arviointi ja CE-merkintä

Ennen kuin riskialtis järjestelmä voidaan saattaa markkinoille tai ottaa käyttöön, sille on tehtävä vaatimustenmukaisuuden arviointi. Jotkin arvioinnit perustuvat teknisten asiakirjojen tukemaan sisäiseen hallintakeinoon, kun taas toiset vaativat ilmoitetun laitoksen suorittamaa tarkastusta. Kun järjestelmä on todettu vaatimustenmukaiseksi, tarjoaja soveltaa CE-merkintää ja rekisteröi sen EU:n AI-tietokantaan.

Säädöksen nojalla voidaan myös laatia yhdenmukaistettuja standardeja ja yhteisiä eritelmiä, jotka tarjoavat käytännön keinoja vaatimustenmukaisuusolettaman osoittamiseen. Palveluntarjoajien on ylläpidettävä kattavia teknisiä tiedostoja ja pidettävä ne ajan tasalla eri versioiden ja uudelleenkoulutussyklien välillä.

Hallinto, täytäntöönpano ja seuraamukset

Kukin jäsenvaltio nimittää kansallisen valvontaviranomaisen, ja ilmoitetut laitokset sekä markkinavalvontaviranomaiset valvovat tuotesääntöihin sidottuja korkean riskin järjestelmiä. EU:n tasolla koordinointirakenne ohjaa standardien kehittämistä, antaa ohjeita ja käsittelee rajatylittäviä tapauksia.

Vaatimustenmukaisuuden noudattamatta jättämisestä määrättävät seuraamukset ovat huomattavat. Kiellettyjen käytäntöjen käyttäminen tai keskeisten vaatimusten rikkominen voi johtaa sakkoihin, joiden suuruus on joko kiinteä määrä tai prosenttiosuus maailmanlaajuisesta vuotuisesta liikevaihdosta. Säädöksessä nämä enimmäismäärät porrastetaan organisaation koon ja rikkomuksen vakavuuden mukaan. Tarkan kirjanpidon ylläpitäminen ja häiriöiden nopea ilmoittaminen voivat vähentää täytäntöönpanoriskiä merkittävästi.

Kuinka panna tekoälylaki täytäntöön organisaatiossasi

Käytännön toteutus onnistuu parhaiten, kun se sidotaan olemassa oleviin hallinnollisiin rakenteisiin, ja pienet tiimit voivat vaiheistaa työnsä vastaamaan vaiheittaisia soveltamisen aikatauluja sen sijaan, että kaikki tehtäisiin kerralla.

Kaksi kysymystä, jotka määrittävät kaiken muun, ovat seuraavat: mikä on roolisi kunkin tekoälyjärjestelmän osalta (toimittaja tai käyttöönottaja) ja mikä on järjestelmän riskiluokitus? Aloita kartoittamalla tekoälyjärjestelmät ja -ominaisuudet organisaatiossasi ja määrittele sitten kullekin niistä rooli ja riskiluokka. Käyttöönottajalla, joka käyttää rajoitetun riskin chatbotteja, on ilmoitusvelvollisuuksia. Korkean riskin rekrytointityökalua käyttävä käyttöönottaja tarvitsee ihmisten valvontajärjestelyjä ja perusoikeuksiin kohdistuvien vaikutusten arvioinnin. Saman työkalun tarjoajalla on edessään koko vaatimustenmukaisuusohjelma. Kun tämä kartoitus saadaan tehtyä oikein varhaisessa vaiheessa, vältetään sekä liiallinen suunnittelu että vaaralliset puutteet.

Tämän jälkeen on suoritettava strukturoituja riskiarviointeja korkean riskin kohteista, jotka kattavat turvallisuuden, puolueellisuuden, luotettavuuden, tietojen alkuperän ja vaikutuksen oikeuksiin. Ota käyttöön laadunhallintajärjestelmä, päivitä hankintasopimukset niin, että niihin sisällytetään tekoälylain velvoitteet, ja sovita olemassa olevat DPIA:t tai tietoturvatestaukset yhteen tekoälyriskinarviointien kanssa päällekkäisen työn välttämiseksi. Vaatimustenmukaisuus ei lopu markkinoille tuloon: mallit muuttuvat ja asiayhteydet muuttuvat, joten markkinoille tulon jälkeisen seurannan ja säännöllisen uudelleenarvioinnin on oltava osa toimintarytmiä.

Tietoturvaryhmille suuri osa tästä tuntuu tutulta. Uhkamallinnus voidaan laajentaa koskemaan ML-vastarinnan aiheuttamia riskejä, turvallinen kehitys voi sisältää tietojen alkuperän ja arviointikäytännöt, ja häiriöihin reagoiminen voi laajentua kattamaan tekoälyyn liittyvät tapahtumat ja sääntelyviranomaisten ilmoitukset. Vaatimustenmukaisuudesta vastaaville johtajille yhdenmukaistamismahdollisuus on todellinen: GDPR:n mukainen tiedonhallinta vastaa luonnollisesti tekoälytietokokonaisuuksien hallintakeinoja, ja yksittäinen hyvin suunniteltu hallintakeino voi tuottaa näyttöä useita vaatimuskehikkoja varten.

Digiturvamalli voi auttaa keskittämään tekoälyinventaarion, kartoittamaan hallintakeinot tekoälylain mukaisesti ja yhdenmukaistamaan ne ISO 27001-, NIS2- ja GDPR-vaatimusten kanssa. Työpöytät visualisoivat valvonnan kattavuuden eri vaatimuskehikkojen välillä, seuraavat toimittajien tilaa ja häiriöitä ja tarjoavat auditointivalmiita vientitietoja, jotta voit keskittää ponnistelut sinne, missä riski on suurin.

Aloita Digiturvamallin kanssa

Digiturvamalli auttaa tiimejä ottamaan tekoälylain käyttöön ISO 27001:n, NIS2:n ja GDPR:n rinnalla. Voit ylläpitää AI-assettien inventaariota, kartoittaa velvoitteet hallintakeinoihin ja kerätä todisteet kerralla useita vaatimuskehikkoja varten. Digiturvamalli seuraa vaatimustenmukaisuutta, toimittajan tilaa ja häiriöitä, joten voit keskittää toimempiteet sinne, missä riski on suurin.

Kirjoittanut
Tuomas Pitkänen
10.4.2026
@
LinkedIn

Sisältö

Muita kokoelman artikkeleita

Koko ISO 27001 -kokoelma
Katso koko NIS2-kokoelma

Muita liittyviä artikkeleita

Jaa artikkeli

Muuta samanlaista sisältöä Akatemiassa

Blogikirjoitukset

EU:n tekoälylaki: mitä se sisältää ja miten voit soveltaa sitä

EU:n tekoälylain (AI Act) vaatimustenmukaisuus: roolien määrittely, riskien ja johtamisen hallinta, korkean riskin tekoälyn luokittelu sekä läpinäkyvyys- ja CE-merkintävelvoitteiden täyttäminen.
10.4.2026

AI & ihminen: Mitkä ovat yhteistyön eri tasot?

Tietoturva on aina ollut monimutkainen ja vaativa ala, mutta nyt AI on alkanut muuttaa paitsi työnteon tapoja myös sitä, kuka mitäkin tekee. Mihin ihmisten tulisi keskittyä, kun tekoäly ottaa yhä enemmän vastuuta?
1.4.2026

Mitä AI voi tehdä vaatimustenmukaisuussa (ja miksi se ei voi tehdä kaikkea yksin)

AI muuttaa vaatimustenmukaisuuden käytäntöjä, mutta se ei voi korvata ihmisen harkintaa, vastuullisuutta tai valvontaa. Tutustu siihen, mihin AI pystyy ja mihin se ei pysty vaatimustenmukaisuuden kannalta ja miten sitä voidaan käyttää tehokkaasti.
19.3.2026

Aloita jo tänään

Aloita ilmaiseksi tutussa Microsoft Teams -ympäristössä.
Jos sinulla on kysymyksiä, varaa palaveri sinulle sopivaan ajankohtaan.

Ilmainen 14 päivän kokeilu
Varaa palaveri
EtusivuHinnastoAsiakkaatTiimiTietoturvaVaraa demoVaraa palaveriKirjauduKokeile
Kuinka se toimii?
YhteenvetoTietoturvatehtävät ja toteutusDokumennoin työkalutHenkilöstön digiturvaohjeetAutomatisoitu raportointi
Käyttötavat
Kehikon mukaanKaikki vaatimuskehikotISO 27001TiedonhallintalakiNIS2-direktiiviNIST CSFCSA CCMISO 27701GDPR, Tietosuoja-asetusISO 27017ISO 27018
Teeman mukaanTietoturvariskien hallintaHenkilöstön tietoisuusCompliance-raportointiHallintakeinojen toteutusSuojattavan omaisuuden hallintaDynaamiset politiikkadokumentitTietosuojan hallinta
Resurssit
AkatemiaWebinaaritTilaa uutiskirjeOhjekeskusBlogiTrust centerVideokurssitViikon digiturvauutisetKäyttöehdotTietosuojaselosteetSisältöpankki: ISO 27001Sisältöpankki: GDPRSisältöpankki: KatakriSisältöpankki: TiedonhallintalakiLabs
Ota yhteyttä
+358 10 231 6010
tiimi@digiturvamalli.fi
Labs
Tarjolla kielillä:
Digiturvamalli tunnetaan kansainvälisesti nimellä Cyberday
© Cyberday Oy, Kalevantie 2 33100 Tampere, Suomi
Digiturvamalli.fi - Moderni alusta tietoturvan hallintaan ja sertifiointiin