Organisaation on varmistettava, että kaikilla henkilöstön jäsenillä ja asiaankuuluvilla kolmansilla osapuolilla, jotka kehittävät, ottavat käyttöön, käyttävät tekoälyjärjestelmiä tai ovat vuorovaikutuksessa niiden kanssa, on tarvittavat tiedot, taidot ja tietoisuus, jotta he voivat toimia turvallisesti, eettisesti ja sovellettavien lakien ja standardien mukaisesti.

Koulutuksessa olisi keskityttävä kunkin roolin kannalta olennaisimpiin aloihin. Tekoälyn käytöstä olisi järjestettävä erillistä koulutusta yleiselle ja tekniselle henkilöstölle. Koulutuksen laajuus ja koulutusmenettely olisi dokumentoitava.

The organization must formally conduct AI risk assessments according to the process established during its initial planning (as per ISO 42001 section 6.1.2).

These risk assessments must be performed at two key intervals:

• At planned, predetermined times (e.g., annually or on another regular schedule).
• Whenever significant internal or external changes occur or are proposed (e.g., changes to the AI system, its intended use, new legal requirements, or emerging risks).

Following every assessment, the organization must create and maintain documented information recording the outcomes, analysis, and conclusions of the risk assessment process.

The organization must formally conduct AI system impact assessments according to the process established during its initial planning (as per ISO 42001 section 6.1.4).

These impact assessments, which evaluate the system's effect on individuals and society, must be performed at two key intervals:

• At planned, scheduled times (e.g., annually or on another regular cycle).
• Whenever significant changes occur or are proposed to the AI system, its intended use, or its operational environment.

Following every assessment, the organization must create and maintain documented information recording the findings, analysis, and conclusions of the impact assessment process.

The organization's top management should demonstrate leadership and commitment to the AI management system (AIMS) by:

• Ensuring that the AI policy and AI objectives are established and are compatible with the strategic direction of the organization.
• Ensuring the integration of the AIMS requirements into the organization's business processes.
• Ensuring that the resources needed for the AIMS are available.
• Communicating the importance of effective AI management and of conforming to the AIMS requirements.
• Ensuring that the AIMS achieves its intended outcomes.
• Directing and supporting persons to contribute to the effectiveness of the AIMS.
• Promoting continual improvement.
• Supporting other relevant management roles to demonstrate their leadership as it applies to their areas of responsibility.

The organisation should define and document the characteristics, capabilities, and limitations of performance for each high-risk AI system. This documentation should clearly state the intended purpose of the AI system and be included in the instructions for use provided to deployers.

The organization must implement the controls and actions outlined in its AI risk treatment plan (as defined in ISO 42001 Clause 6.1.3).

This process must be a continuous cycle that includes:

• Executing the planned risk treatments.
• Verifying the effectiveness of the implemented treatments to ensure they are reducing risk as intended.
• Reassessing and updating the plan if a treatment proves to be ineffective.
• Applying the same treatment process to any new risks that are identified during ongoing risk assessments.

The organization must maintain documented information (records) of the results of all risk treatment activities, including which controls were implemented and evidence of their effectiveness.

The organization should establish a process for assessing the potential impacts of AI systems on individuals, groups, and society throughout their entire lifecycle. This process should define how impacts are identified, analyzed, evaluated, and mitigated, and how these assessments are reviewed and updated regularly.

The organisation should ensure the designated purpose of AI systems it creates, offers, or uses, should be relevant to its purpose and strategic direction. Specific roles in relation to these AI systems should be defined as part of this contextual understanding.

The organization should establish AI objectives for relevant functions and levels, ensuring they align with the AI policy and consider applicable requirements. These objectives should be quantifiable where feasible. The organization should also define and document the methods for monitoring, communicating, and updating these AI objectives. Furthermore, for each AI objective, a plan should be developed, outlining the necessary tasks, required resources, responsible individuals, expected completion timelines, and methods for evaluating the achievement of the objective.

The organization should implement specific, measurable controls within its AI system development processes to ensure adherence to established responsible AI engineering principles. Regular verification activities should be conducted to confirm that these foundational objectives are consistently achieved throughout the AI system's lifecycle, from initial design through to deployment and maintenance.

The organization should systematically identify all internal and external interested parties that are relevant to its AI management system. For each identified interested party, their specific needs and expectations related to the AI management system should be determined. The organization then needs to evaluate these determined needs and expectations and decide which ones will be addressed and integrated into the AI management system.

The organization should conduct a comprehensive review of its entire policy portfolio to identify internal regulations influenced by or pertinent to its strategic objectives for artificial intelligence. Following this identification, the organization should harmonize these policies to ensure consistency and alignment across its governing principles and approach to AI systems. This includes updating, integrating, or developing new policies as required to achieve a cohesive AI governance structure.

The organization should establish and document the roles, responsibilities, and authorities for its AI management system. This process includes clearly defining the responsibilities and authorities for key personnel involved in the AI management system. These defined roles and responsibilities should be effectively communicated to all relevant parties within the organization. Furthermore, top management should delegate the overall responsibility and authority for ensuring the AI management system consistently meets its specified requirements and for reporting its performance to top management for review.

The organization should establish and document procedures for the verification and validation of AI systems. These procedures should include:

• The specific verification and validation measures to be applied to AI systems (e.g., testing, auditing, expert review).
• The criteria that determine when and how these measures should be implemented (e.g., at specific development stages, after significant changes, based on risk assessment, or for certain types of AI systems).
• Roles and responsibilities for carrying out verification and validation activities.
• Methods for recording and reviewing the results of these activities.

The organization's top management should establish an AI policy that is appropriate for the organization's purpose and the nature of its AI systems. This policy should provide a framework for setting AI objectives and include commitments to fulfill applicable AI-related requirements (e.g., legal, regulatory, ethical) and to continually improve the AI management system. The policy should be documented, maintained, and made available to all relevant personnel within the organization. Where appropriate, it should also be accessible to other interested parties and refer to other relevant organizational policies.

The organization must establish a comprehensive framework to plan, implement, and control all processes within its AI Management System (AIMS). This ensures that the actions identified during the planning and risk assessment phase are effectively carried out.

This operational framework must include:

• Defining clear criteria for each process (e.g., for AI system development, usage, and monitoring) to ensure consistent execution.
• Implementing the specific controls identified in the organization's risk treatment plan. The controls listed in Annex A of the standard should be used as a reference.
• Continuously monitoring the performance of these controls to ensure they are effective and considering corrective actions if they are not achieving the desired outcomes.
• A formal process for managing planned changes and for reviewing and mitigating the adverse effects of any unplanned changes.
• A method for controlling any relevant externally provided processes, products, or services (e.g., third-party AI models, data providers, cloud services).

Throughout this entire process, the organization must maintain sufficient documented information (records) to provide evidence that its operational processes have been carried out as planned.

The organization should establish, implement, maintain, and continually improve an AI management system. This system should define the processes necessary for managing AI-related risks and opportunities, ensuring the responsible development and deployment of AI, and achieving AI governance objectives. The organization should also ensure that these processes interact effectively and are documented appropriately.

The organization should apply a formal change management methodology for all alterations to its AI management system. This methodology should ensure that changes are carefully controlled, facilitating a seamless transition and actively mitigating the risk of adverse or unforeseen consequences to system operations. This includes assessing the impact of changes, planning for their implementation, and verifying their successful deployment.

The organisation should establish and document a formal process for the design and development of its AI systems. This lifecycle process should ensure that security and ethical principles are integrated at every stage, from data collection and model training to system testing. This ensures all AI engineering is conducted in a responsible and accountable manner.

The organization has defined procedures for assessing and treating risks to fundamental rights. The definition includes at least:

• The assessment process
• Methods for fundamental rights analysis
• Criteria for risk evaluation (impact and likelihood)
• Mitigation controls and plans
• Risk acceptance criteria
• Process implementation cycle, resourcing and responsibilities
• The results should be included into the organization risk management process
• The task owner regularly checks that the procedure is clear and produces consistent results

Organisaation ylimmän johdon ja riskienhallintajärjestelmästä vastaavien henkilöiden on osallistuttava asianmukaiseen tietoturvakoulutukseen. Koulutuksella varmistetaan, että heidän taitonsa ja tietonsa riittävät riskien määrittämiseen, kyberturvallisuuden hallintakäytäntöjen arviointiin sekä prosessin yleiseen hallintaan ja johtamiseen.

Johdon olisi osallistuttava koulutukseen vähintään kahden vuoden välein, jotta heidän tietonsa ja taitonsa pysyvät ajan tasalla ja ajan tasalla. Koulutuksen olisi vastattava organisaation tarpeita ja oltava organisaation kyberturvallisuuspolitiikkojen mukaista.

Organisaation henkilöstölle järjestämistä tekoälyn koulutustilaisuuksista pidetään kirjaa. Lokia voidaan käyttää osoittamaan, millaisia erityisiä investointeja organisaatio on tehnyt henkilöstön asiantuntemuksen lisäämiseksi tekoälyjärjestelmien käytössä ja kehittämisessä.

Kunkin koulutuksen osalta dokumentaation tulisi sisältää:

• Aika
• Koulutuksen aiheet ja kesto
• koulutusmenetelmä ja kouluttaja
• Koulutukseen osallistunut henkilöstö

Organisaation olisi nimettävä henkilöstö seuraamaan tekoälyjärjestelmien luokitusten mahdollisia muutoksia. Näin varmistetaan, että luokitusmuutokset voidaan tehdä viipymättä.

Organisaation on varmistettava, että sen suuren riskin tekoälyjärjestelmiin sovelletaan vaadittua vaatimustenmukaisuuden arviointimenettelyä ennen niiden saattamista markkinoille. Tähän prosessiin kuuluu EU:n vaatimustenmukaisuusvakuutuksen laatiminen ja järjestelmän rekisteröinti EU:n julkiseen tietokantaan. Nämä vaiheet ovat välttämättömiä, jotta asetuksen noudattaminen voidaan osoittaa virallisesti.

Organisaation olisi laadittava ja ylläpidettävä ajantasaista teknistä dokumentaatiota suuren riskin tekoälyjärjestelmistään. Asiakirjojen on oltava riittävän yksityiskohtaisia, jotta viranomaiset voivat arvioida, onko järjestelmä asetuksen mukainen. Siinä olisi kuvattava järjestelmän yleiset ominaisuudet, tarkoitus, kehitysprosessi ja se, miten riskinhallintaa on sovellettu.

Organisaation olisi otettava käyttöön markkinoille saattamisen jälkeinen seurantajärjestelmä suuren riskin tekoälyjärjestelmille. Käytössä on oltava prosessi tarvittavien korjaavien toimien toteuttamiseksi, jos järjestelmän todetaan olevan vaatimustenvastainen. Tähän kuuluu jakelijoille, maahantuojille, käyttäjille ja asianomaisille viranomaisille tiedottaminen vaatimustenvastaisuudesta ja toteutetuista korjaavista toimenpiteistä.

Jos organisaatio on rahoituslaitos, johon sovelletaan EU:n rahoituspalvelulainsäädännön mukaisia sisäisiä hallintovaatimuksia, näiden hallintovaatimusten noudattaminen täyttää 17 artiklan mukaisen velvoitteen ottaa käyttöön laadunhallintajärjestelmä, lukuun ottamatta g, h ja i alakohtaa.

Organisaation olisi yksilöitävä ja dokumentoitava sisäiset hallintojärjestelyt, prosessit ja valvontatoimet, jotka vastaavat sovellettavia laadunhallintajärjestelmän vaatimuksia. Näiden hallintoa koskevien vaatimusten ja 17 artiklan mukaisten velvoitteiden välillä olisi säilytettävä selkeä yhteys.

Edellä 17 artiklan 1 kohdan g, h ja i alakohdassa tarkoitettuja näkökohtia olisi tarvittaessa käsiteltävä erikseen.

Myös kaikki 40 artiklassa tarkoitetut asiaa koskevat yhdenmukaistetut standardit olisi otettava huomioon. Se, miten tällaiset standardit on otettu huomioon, olisi dokumentoitava, jotta voidaan osoittaa, että sisäinen hallinto- ja ohjausjärjestelmä täyttää sovellettavat vaatimukset.

Organisaation on laadittava dokumentoitu prosessi, jolla se täyttää velvollisuutensa suuren riskin tekoälyjärjestelmien jakelijana. Prosessin olisi katettava jakelijan vastuulla olevan järjestelmän koko elinkaari.

Prosessin tulisi sisältää menettelyt, jotka koskevat

• Varmistetaan, että järjestelmissä on vaadittu CE-merkintä, EU-vaatimustenmukaisuusvakuutus ja käyttöohjeet ennen kuin ne asetetaan saataville markkinoilla.
• vaatimustenvastaisten järjestelmien käsittely, mukaan lukien jakelun keskeyttäminen ja ilmoitus toimittajalle tai maahantuojalle.
• Korjaavien toimien, kuten markkinoilta poistamisen tai takaisinvedon, toteuttaminen jo markkinoilla olevien vaatimustenvastaisten järjestelmien osalta.
• Yhteistyö toimivaltaisten viranomaisten kanssa ja vastaaminen tietopyyntöihin.

Organisaation olisi määriteltävä ja otettava käyttöön prosessi käyttöönotettujen suuren riskin tekoälyjärjestelmien käyttöä varten. Prosessilla on varmistettava, että järjestelmää käytetään toimittajan ohjeiden mukaisesti. Siinä olisi myös määriteltävä inhimillisen valvonnan suorittamiseen nimettyjen henkilöiden roolit, pätevyydet ja valtuudet. Jos organisaatio valvoo syöttötietoja, prosessiin on sisällyttävä toimenpiteitä, joilla varmistetaan, että tiedot ovat merkityksellisiä ja edustavia järjestelmän aiotun tarkoituksen kannalta.

Organisaation olisi laadittava ja dokumentoitava prosessi, jolla seurataan kaikkien käytössä olevien suuren riskin tekoälyjärjestelmien toimintaa palveluntarjoajan käyttöohjeiden perusteella. Prosessissa olisi määriteltävä vaiheet mahdollisten riskien tai vakavien vaaratilanteiden tunnistamiseksi ja niihin reagoimiseksi. Menettelyn olisi sisällettävä toimet, joilla järjestelmän käyttö keskeytetään ja joilla asiasta ilmoitetaan palveluntarjoajalle, jakelijalle ja asiaankuuluville viranomaisille ilman aiheetonta viivytystä.

Käyttöön otettujen suurenriskin tekoälyjärjestelmien jatkuvaa seurantaa varten olisi määriteltävä selkeät vastuualueet. Nimetyt henkilöt tai roolit on saatettava tietoisiksi velvollisuuksistaan, joihin kuuluu palveluntarjoajan käyttöohjeiden noudattaminen ja sisäisten menettelyjen noudattaminen riskien ja vaaratilanteiden ilmoittamiseksi.

Arkaluonteiset operatiiviset tiedot tapauksissa, joissa organisaatio on lainvalvontaviranomainen, eivät kuulu näiden velvoitteiden piiriin.

Organisaation olisi pidettävä kirjaa valvontatoimista kunkin käyttöönotetun suuren riskin tekoälyjärjestelmän osalta. Lokiin olisi kirjattava säännölliset toiminnalliset tarkastukset, havaitut riskit tai vaaratilanteet sekä kaikki toteutetut vastatoimet, mukaan lukien järjestelmän keskeyttäminen ja ilmoitukset asianomaisille osapuolille. Nämä kirjaukset toimivat todisteena valvontavelvoitteiden noudattamisesta.

Suuren riskin tekoälyjärjestelmien käyttöönottajien olisi määriteltävä ja dokumentoitava käytäntö, joka koskee suuren riskin tekoälyjärjestelmien automaattisesti tuottamien lokien säilytysaikoja. Säilytysajan on oltava sopiva järjestelmän käyttötarkoitukseen nähden, ja sen on kestettävä vähintään kuusi kuukautta, ellei muissa sovellettavissa laeissa vaadita muuta aikaa. Tällä käytännöllä varmistetaan, että lokit ovat tarvittaessa käytettävissä tarkastusta ja vaaratilanteiden tutkintaa varten.

Politiikassa olisi määriteltävä ja dokumentoitava prosessi, jolla hallinnoidaan näiden järjestelmien lokien säilyttämistä, jotta voidaan varmistaa, että lokit säilytetään teknisesti määritellyn säilyttämiskäytännön mukaisesti vähintään kuusi kuukautta tai muiden säädösten edellyttämällä tavalla. Prosessin olisi katettava, miten lokit kerätään, säilytetään turvallisesti ja hävitetään säilytysajan jälkeen.

Organisaation on arvioitava virallisesti tekoälyjärjestelmiensä vaikutukset yksilöihin, ryhmiin ja yhteiskuntaan ennen käyttöönottoa. Tämä on erityisen tärkeää julkisille elimille, julkisten palvelujen tarjoajille ja tekoälyjärjestelmien käyttöönottajille työllisyyden ja luoton arvioinnissa.

Arvioinnin olisi sisällettävä seuraavat seikat:

• Kuvaus prosesseista, joissa tekoälyjärjestelmää tullaan käyttämään.
• aiottu käyttöaika ja -tiheys.
• ihmisryhmät, joihin järjestelmä todennäköisesti vaikuttaa.
• Vaikutukset alaikäisiin ja muihin haavoittuviin ryhmiin.
• Näihin ryhmiin kohdistuvat erityiset haittariskit ja toimenpiteet niiden lieventämiseksi.
• Kuvaus suunnitelluista ihmisten valvontatoimenpiteistä.

Arviointia olisi päivitettävä, jos järjestelmän keskeiset osat muuttuvat käytön aikana. Sen olisi tarvittaessa täydennettävä olemassa olevia tietosuojaa koskevia vaikutustenarviointeja (DPIA).

Organisaatio on määritellyt menettelyt tietoturvariskien arvioimiseksi ja käsittelemiseksi. Menettelyihin sisältyy ainakin:

• Riskien tunnistamismenetelmät
• Riskianalyysimenetelmät
• Riskien arviointiperusteet (vaikutus ja todennäköisyys).
• Riskien priorisointi, käsittelyvaihtoehdot ja valvontatehtävien määrittely.
• riskien hyväksymiskriteerit
• Prosessin toteuttamissykli, resursointi ja vastuut
• Tulokset olisi sisällytettävä organisaation riskinhallintaprosessiin.

Tehtävän omistaja tarkistaa säännöllisesti, että menettely on selkeä ja tuottaa johdonmukaisia tuloksia.

Toteuttaessaan tekoälyjärjestelmien riskinhallintatoimenpiteitä organisaation on tunnistettava riskit, jotka vaativat hoitoa, ja määriteltävä niille hoitosuunnitelmat. Organisaatio on määritellyt, miten säännöllisesti tekoälyriskien hallintaan kokonaisuutena määriteltyjä hoitosuunnitelmia arvioidaan sekä niiden suhteellisuutta riskinarviointiin (riskin vakavuus ja todennäköisyys).

Tässä prosessissa olisi otettava huomioon erilaiset kontrollit ja vaatimustenmukaisuusvaatimukset, kuten tietojen laatu, avoimuus ja inhimillinen valvonta, jotka ovat vuorovaikutuksessa keskenään. Yhdistetyillä toimenpiteillä olisi varmistettava, että riskit minimoidaan ja tasapainotetaan tehokkaasti.

Organisaation on otettava käyttöön prosessi, jolla määritetään, onko suuren riskin tekoälyjärjestelmän kokonaisjäännösriski hyväksyttävä. Tässä yhteydessä tarkastellaan kaikkien kuhunkin vaaraan liittyvien yksittäisten jäännösriskien yhteisvaikutusta. Lopullinen arvio riskin hyväksyttävyydestä on dokumentoitava virallisesti ennen järjestelmän markkinoille saattamista tai käyttöönottoa.

Organisaation olisi laadittava ja dokumentoitava prosessi riskien poistamiseksi tai vähentämiseksi suuren riskin tekoälyjärjestelmien suunnittelun ja kehittämisen avulla. Prosessin avulla olisi varmistettava, että riskit otetaan huomioon siinä määrin kuin se on teknisesti mahdollista. Tekoälyriskien vähentämiseen tähtäävissä suunnitteluvalinnoissa on otettava huomioon järjestelmän käyttöönottajan odotettavissa oleva tekninen tietämys, kokemus ja järjestelmän aiottu käyttöyhteys.

Jos tunnistettuja riskejä ei voida poistaa suuririskisen tekoälyjärjestelmän suunnittelun ja kehittämisen avulla, olisi toteutettava asianmukaisia lieventämis- ja valvontatoimenpiteitä. Näiden valvontatoimien valinta ja toteuttaminen on dokumentoitava osana riskinhallintakansiota.

Organisaation olisi otettava käyttöön ja ylläpidettävä testausprosessia suuren riskin tekoälyjärjestelmille. Prosessilla varmistetaan, että testausta suoritetaan asianmukaisin väliajoin koko kehittämisen elinkaaren ajan ja että se saatetaan päätökseen ennen järjestelmän markkinoille saattamista tai käyttöönottoa. Kaikki testaustoimet ja niiden tulokset on dokumentoitava, jotta voidaan osoittaa vaatimustenmukaisuus ja järjestelmän suorituskyky suhteessa määriteltyihin mittareihin.

Organisaation olisi ylläpidettävä kattavaa dokumentaatiota tekoälyjärjestelmiensä suunnittelu- ja kehitysprosesseista. Tässä dokumentaatiossa olisi esitettävä selkeästi tekoälyjärjestelmän tukemat strategiset tavoitteet, asetetut vaatimukset (sekä toiminnalliset että muut kuin toiminnalliset), suunnitteluvalinnat ja suunnittelussa käytetyt erityiskriteerit. Asiakirjoista olisi myös käytävä ilmi, miten tekoälyjärjestelmän suunnittelu ja kehittäminen vastaavat näitä määriteltyjä tavoitteita, vaatimuksia ja kriteerejä.

Organisaation on varmistettava, että sen suuren riskin tekoälyjärjestelmät on suunniteltu tallentamaan tapahtumia (lokit) automaattisesti koko niiden käyttöiän ajan. Nämä lokit ovat ratkaisevan tärkeitä jäljitettävyyden, seurannan ja mahdollisten riskien tai merkittävien muutostarpeiden tunnistamisen kannalta.

Lokitiedostoihin olisi kirjattava tapahtumia, jotka helpottavat markkinoille saattamisen jälkeistä seurantaa ja varmistavat, että järjestelmä toimii tarkoitetulla tavalla. Tietyissä järjestelmissä, kuten biometriseen tunnistamiseen tarkoitetuissa järjestelmissä, lokitiedostoihin on kirjattava myös yksityiskohtia, kuten käyttöjakso, käytetty viitetietokanta, syötetyt tiedot, jotka aiheuttivat vastaavuuden, ja tulokset tarkistaneen henkilön henkilöllisyys.

Organisaation olisi määriteltävä ja dokumentoitava vaadittava pätevyys, koulutus, valtuudet ja tuki henkilöille, jotka on nimetty tekoälyjärjestelmien inhimilliseen valvontaan. Tähän sisältyy prosessien luominen seuraaviin tarkoituksiin:

• Arvioida ja varmistaa henkilöstön tarvittava pätevyys.
• Tarjotaan riittävää ja jatkuvaa koulutusta tekoälyjärjestelmien toiminnallisuuksista, riskeistä ja valvontamenettelyistä.
• Annetaan tarvittavat valtuudet puuttua asiaan, valvoa sitä ja tehdä tietoon perustuvia päätöksiä.
• Tarjotaan riittävästi tukea, resursseja ja välineitä (esim. selkeitä ohjeita, teknistä tukea, aikaa) tehokkaan valvonnan mahdollistamiseksi.

Näiden toimenpiteiden jatkuvan tehokkuuden varmistamiseksi olisi suoritettava säännöllisiä tarkistuksia.

Organisaation olisi laadittava ja pantava täytäntöön teknisiä toimenpiteitä, joilla varmistetaan, että sen suuren riskin tekoälyjärjestelmät ovat vastustuskykyisiä manipulointiyrityksiä vastaan. Toimenpiteiden olisi oltava asianmukaisia tunnistettujen riskien kannalta, ja niiden olisi kohdistuttava tekoälyyn liittyviin haavoittuvuuksiin.

Näihin kuuluvat toimenpiteet, joilla estetään, havaitaan ja vastataan hyökkäyksiin, joita ovat mm:

• Koulutusdatan tai valmiiksi koulutettujen komponenttien manipulointi (data- ja mallimyrkytys).
• Syötteet, jotka on tarkoituksellisesti suunniteltu siten, että malli tekee virheen (adversarial examples).
• Luottamuksellisuushyökkäykset, joiden tarkoituksena on tietojen poimiminen tai mallin käänteinen suunnittelu.

Organisaation on laadittava ja ylläpidettävä suunnitelma, jonka avulla se voi reagoida ja ratkaista suuren riskin tekoälyjärjestelmiinsä kohdistuvat havaitut kyberturvallisuushyökkäykset. Suunnitelmassa olisi määriteltävä menettelyt hyökkäyksen rajoittamiseksi, sen vaikutusten hallitsemiseksi ja sen taustalla olevan haavoittuvuuden poistamiseksi. Se voisi esimerkiksi sisältää vaiheet, joilla vaarantunut järjestelmä eristetään, palataan aiempaan turvalliseen malliversioon ja käynnistetään prosessi mallin kouluttamiseksi uudelleen puhtailla tiedoilla.

Organisaation olisi laadittava ja noudatettava todentamisprosessia kaikkien maahantuomiensa suuren riskin tekoälyjärjestelmien osalta ennen niiden markkinoille saattamista. Tällä prosessilla varmistetaan, että järjestelmän toimittaja on täyttänyt velvollisuutensa. Todentamisessa olisi vahvistettava, että

• Tarjoaja on suorittanut vaaditun vaatimustenmukaisuuden arvioinnin.
• Tarjoaja on laatinut tarvittavat tekniset asiakirjat.
• Järjestelmässä on CE-merkintä, EU-vaatimustenmukaisuusvakuutus ja käyttöohjeet.
• Palveluntarjoaja on nimennyt valtuutetun edustajan EU:ssa.

Organisaation olisi myös lisättävä omat yhteystietonsa järjestelmään, sen pakkaukseen tai asiakirjoihin.

Organisaation on määriteltävä prosessi, jolla käsitellään maahantuotuja suuren riskin tekoälyjärjestelmiä, joiden epäillään olevan vaatimustenvastaisia tai joissa on väärennettyjä asiakirjoja. Prosessin on estettävä järjestelmän markkinoille saattaminen, kunnes se on saatettu vaatimusten mukaiseksi. Jos järjestelmä aiheuttaa riskin, menettelyyn olisi sisällyttävä vaiheet, joiden mukaisesti asiasta ilmoitetaan toimittajalle, tämän edustajalle ja markkinavalvontaviranomaisille. Organisaation on myös varmistettava, että varastointi- ja kuljetusolosuhteet eivät vaaranna järjestelmän vaatimustenmukaisuutta.

Sisäistä valvontamenettelyä käytettäessä organisaation olisi tarkistettava, että sen laadunhallintajärjestelmä on vaatimustenmukainen ja että tekoälyjärjestelmän teknisestä dokumentaatiosta käy ilmi, että se on kaikkien vaatimusten mukainen. Tämän jälkeen organisaation olisi laadittava kirjallinen EU-vaatimustenmukaisuusvakuutus ja kiinnitettävä järjestelmään CE-merkintä.

Suuren riskin tekoälyjärjestelmien tarjoajien on laadittava ja dokumentoitava sisäinen valvontamenettely, jolla arvioidaan suuren riskin tekoälyjärjestelmien vaatimustenmukaisuutta. Menettelyllä varmistetaan, että tekoälyjärjestelmä täyttää sääntelyvaatimukset ennen sen markkinoille saattamista. Arvioinnin olisi katettava kaikki asiaankuuluvat velvoitteet, kuten riskinhallintajärjestelmä, tiedonhallinta, tekninen dokumentaatio ja avoimuustoimenpiteet seuraavilla aloilla:

• tekoälyjärjestelmät, joita on tarkoitus käyttää turvallisuuskomponentteina kriittisen digitaalisen infrastruktuurin hallinnassa ja toiminnassa, tieliikenteessä tai vesi-, kaasu-, lämmitys- tai sähköhuollossa.
• koulutus ja ammatillinen koulutus
• Työllisyys, työntekijöiden hallinta ja pääsy itsenäiseen ammatinharjoittamiseen.
• Keskeisten yksityisten palvelujen ja keskeisten julkisten palvelujen ja etuuksien saatavuus ja käyttömahdollisuudet.
• Lainvalvonta siltä osin kuin niiden käyttö on sallittua asiaa koskevan EU:n tai kansallisen lainsäädännön nojalla.
• Maahanmuutto, turvapaikka-asiat ja rajavalvonta siltä osin kuin niiden käyttö on sallittua asiaa koskevan EU:n tai kansallisen lainsäädännön nojalla.
• Oikeushallinto ja demokraattiset prosessit

Organisaation olisi laadittava dokumentoitu prosessi, jolla arvioidaan suuririskisen tekoälyjärjestelmän alkuperäisen vaatimustenmukaisuuden arvioinnin jälkeen tehtyjä muutoksia. Prosessissa olisi erotettava toisistaan merkittävät muutokset, jotka edellyttävät uutta arviointia, ja muutokset, jotka oli ennalta määritelty ja dokumentoitu alkuperäisen arvioinnin aikana. Olennaisen muutoksen tunnistamiskriteerit olisi määriteltävä selkeästi.

Organisaation olisi laadittava toimintatapa, jossa selvitetään vastuualueet, jotka liittyvät CE-merkinnän soveltamiseen suuren riskin tekoälyjärjestelmiin. Toimintaperiaatteessa olisi todettava, että merkin kiinnittäminen merkitsee, että palveluntarjoaja antaa vaatimustenmukaisuusvakuutuksen ja ottaa vastuun. Politiikassa olisi myös kiellettävä sellaisten muiden merkintöjen käyttö, jotka voivat peittää CE-merkinnän tai jotka voidaan sekoittaa siihen.

Toimintaperiaatteissa olisi vahvistettava ja dokumentoitava menettely, jolla koordinoidaan vaatimustenmukaisuuden arvioinnista vastaavan ilmoitetun laitoksen kanssa. Prosessin avulla olisi varmistettava, että ilmoitetun laitoksen tunnusnumero kiinnitetään suurenriskin tekoälyjärjestelmään, sen pakkaukseen tai asiakirjoihin joko laitoksen itsensä toimesta tai täsmällisesti sen ohjeiden mukaisesti.

Organisaation olisi laadittava prosessi sellaisten vakavien vaaratilanteiden käsittelyä varten, joita esiintyy suuririskisten tekoälyjärjestelmien reaalimaailman testauksen aikana. Prosessissa olisi määriteltävä vaiheet raportointia, lieventämistä ja mahdollista takaisinvetoa varten.

• Vakavan vaaratilanteen tunnistaminen ja dokumentointi.
• Välitön raportointi asianomaiselle kansalliselle markkinavalvontaviranomaiselle.
• Välittömät lieventämistoimet tai testauksen keskeyttäminen/lopettaminen, jos lieventäminen ei ole mahdollista.
• Menettely tekoälyjärjestelmän nopeaa takaisinottoa varten, jos testaus lopetetaan.

Organisaation olisi luotava prosessi, jolla varmistetaan, että kaikki tekoälyjärjestelmät rekisteröidään vaaditulla tavalla ennen niiden markkinoille saattamista tai käyttöönottoa. Prosessissa on määriteltävä oikea rekisteröintielin, joko EU:n laajuinen tietokanta tai kansallinen viranomainen, sen mukaan, mikä on järjestelmän erityinen luokitus tekoälysäädöksen nojalla.

Organisaation on käytettävä, ylläpidettävä ja jatkuvasti kehitettävä laadunhallintajärjestelmää. Hallintajärjestelmän rajaukset ja soveltamisala, sisältö, rooli, täytäntöönpanotiedot ja muut tarvittavat hallintajärjestelmään liittyvät tiedot on dokumentoitava selkeästi.

Organisaation on luotava prosessi tekoälyriskien arvioimiseksi ja ylläpidettävä sitä. Prosessia on ohjattava organisaation tekoälypolitiikalla ja tekoälytavoitteilla, jotta varmistetaan, että myöhemmät arvioinnit tuottavat johdonmukaisia, päteviä ja vertailukelpoisia tuloksia.

Prosessissa olisi tunnistettava riskit, jotka voivat joko edistää tai estää organisaation tekoälytavoitteiden saavuttamista. Riskianalyysiin olisi sisällyttävä organisaatioon, ihmisiin ja yhteiskuntaan kohdistuvien mahdollisten seurausten arviointi, näiden riskien todennäköisyyden arviointi mahdollisuuksien mukaan ja näiden riskien tasojen määrittäminen.

Prosessiin olisi myös sisällyttävä tekoälyriskejä koskeva arviointi vertaamalla analyysin tuloksia määriteltyihin riskikriteereihin ja asettamalla tunnistetut riskit tärkeysjärjestykseen myöhempää käsittelyä varten. Tekoälyriskien arviointiprosessista ja sen tuloksista olisi säilytettävä dokumentoitua tietoa.

Organisaation on osoitettava, että se noudattaa tekoälylain yleiskäyttöisiä tekoälymalleja koskevia vaatimuksia. Yksi tapa tehdä tämä on noudattaa hyväksyttyjä käytännesääntöjä, kunnes yhdenmukaistetut standardit ovat saatavilla. Organisaation olisi tunnistettava asianmukainen käytännesääntö, pantava sen vaatimukset täytäntöön ja dokumentoitava noudattamisprosessi vaatimustenmukaisuuden varmistamiseksi ja osoittamiseksi. Käytännesääntöjen yleisiä teemoja voivat olla esimerkiksi seuraavat:

• Hallinto ja vastuuvelvollisuus
• tekninen dokumentointi
• Avoimuus
• riskinhallinta ja haittojen vähentäminen
• tietojen hallinta ja laatu
• Tiedottaminen toimittajille ja jatkokäyttäjille
• Testaus, arviointi ja luotettavuus
• Markkinoille tulon jälkeinen seuranta ja vaaratilanteiden raportointi
• Sääntely-yhteistyö ja jatkuva parantaminen

EU:n ulkopuolelle sijoittautuneiden palveluntarjoajien olisi nimettävä unionissa toimiva valtuutettu edustaja kirjallisella toimeksiannolla. Valtuutuksen on annettava edustajalle valtuudet toimia palveluntarjoajan puolesta ja varmistaa, että tekoälysäädöstä noudatetaan.

GPAI-mallien tarjoajien ja niiden organisaatioiden olisi varmistettava, että niiden valtuutetun edustajan kirjallisessa toimeksiannossa annetaan nimenomaisesti valtuudet, joiden nojalla tekoälyvirasto tai toimivaltaiset viranomaiset voivat kääntyä heidän puoleensa kaikissa sääntöjen noudattamista koskevissa asioissa. Valtuutuksen olisi myös annettava edustajalle tehtäväksi toimittaa pyynnöstä jäljennös valtuutuksesta tekoälyvirastolle.

Toimeksiannossa olisi täsmennettävä, että edustaja on vastuussa seuraavista asioista:

• Sen tarkistaminen, että vaaditut tekniset asiakirjat ovat täydelliset ja että velvoitteet on täytetty.
• pitää tekniset asiakirjat viranomaisten saatavilla 10 vuoden ajan.
• tietojen ja asiakirjojen toimittaminen tekoälyvirastolle pyynnöstä.
• tehdä yhteistyötä viranomaisten kanssa kaikissa toimissa, joita nämä toteuttavat tekoälymallin osalta.

Organisaation olisi laadittava prosessi, jolla hallitaan sen yleiskäyttöisiin tekoälymalleihin liittyviä systeemisiä riskejä. Tähän prosessiin olisi sisällyttävä:

• Mallien arviointien suorittaminen, mukaan luettuna vastakohtainen testaus, haavoittuvuuksien ja riskien tunnistamiseksi.
• Mallin kehittämisestä tai käytöstä mahdollisesti aiheutuvien järjestelmäriskien arviointi ja lieventäminen.
• testauksen, riskinarviointien ja toteutettujen lieventämistoimenpiteiden dokumentointi.

Organisaation olisi laadittava ja dokumentoitava virallinen prosessi komission ja kansallisten toimivaltaisten viranomaisten pyyntöjen käsittelyä varten. Näin varmistetaan oikea-aikainen ja asianmukainen yhteistyö säädösten edellyttämällä tavalla.

Prosessin olisi sisällettävä seuraavat seikat:

• Vastuuhenkilön tai -ryhmän nimeäminen toimimaan yhteyspisteenä viranomaisille.
• Menettely virallisten pyyntöjen vastaanottamiseksi, todentamiseksi ja kirjaamiseksi.
• vaiheet sisäisen vastauksen koordinoimiseksi ja tarvittavien tietojen keräämiseksi.
• Ohjeet vastauksen tarkistamista ja hyväksymistä varten ennen sen toimittamista.

Yleiskäyttöisten tekoälymallien (GPAI) tarjoajien olisi luotava ja dokumentoitava prosessit, joilla varmistetaan, että valtuutetulla edustajalla on tarvittavat tiedot, pääsy ja resurssit, jotta hän voi täyttää valtuutuksen mukaiset tehtävänsä. Tähän kuuluu teknisten asiakirjojen oikea-aikainen saatavuus ja yhteistyö edustajan tietopyyntöjen kanssa, jotka koskevat tekoälysäädöksen noudattamisen osoittamiseksi tarvittavia tietoja.

The organization should establish and document procedures for the continuous operation and monitoring of its AI systems. These procedures should address key operational aspects such as:

• Performance and system monitoring: Defining metrics for AI system performance, monitoring its behavior, and tracking the health of underlying systems.
• Maintenance and repairs: Outlining routine maintenance activities, procedures for addressing system failures, and repair processes.
• Updates and upgrades: Managing the deployment of updates, patches, and version upgrades for the AI system and its supporting infrastructure.
• Support and issue resolution: Establishing channels for user support, defining roles and responsibilities for issue resolution, and documenting the process for handling operational incidents.

The documentation should clearly define responsibilities, required resources, and the frequency of these operational activities.

The organization should establish and implement processes to identify and integrate customer expectations and needs into the design, development, and usage of AI systems. This includes considering customer values, potential concerns, and preferences related to the AI system's functionality, fairness, transparency, and overall responsible operation. The organization should strive to align its AI practices with these identified customer expectations to build trust and ensure the AI systems deliver value responsibly.

The organization should ensure that its AI system impact assessments are thoroughly grounded in the specific technical, societal, and legal environment in which the AI system operates. This involves analyzing relevant technical constraints, prevailing societal norms and values, and applicable legal and regulatory frameworks to accurately evaluate potential impacts.

The organization should establish and document clear objectives for the responsible development and use of AI systems. These objectives should be aligned with the organization's AI governance framework and overall strategy. When defining the objectives, the organization should consider ethical principles, potential societal impacts, and the expectations of relevant stakeholders. The objectives should also guide the entire AI system lifecycle to ensure AI systems are used in a safe, fair, and transparent manner. Where practicable, the objectives should be measurable.

The organization should implement appropriate security measures to ensure that all documented conclusions from AI system impact assessments are securely stored. This includes protecting these records from unauthorized access, disclosure, alteration, or destruction throughout their defined retention period, thereby supporting ongoing governance and audit activities.

The organization should define and document a comprehensive policy for the responsible development, deployment, and management of AI systems. This policy should outline the organization's commitment to ethical AI, risk management principles, data governance for AI, and compliance with applicable laws and standards. The policy should be regularly reviewed and updated to reflect changes in AI technologies, business needs, and regulatory landscapes. It should also be communicated to all relevant personnel and stakeholders.

The organization should establish a process for managing the competence of personnel involved in the development, deployment, and operation of AI systems. This includes:

• Identifying the necessary competence for roles impacting AI performance.
• Assessing the current competence of individuals against these requirements.
• Providing training or other development opportunities to address any identified competence gaps.
• Evaluating the effectiveness of the training or development activities.
• Maintaining documented evidence of competence, such as training records, qualifications, or experience summaries.

The organization should establish and maintain a procedure for managing suppliers that provide services, products, or materials related to the development or use of AI systems. This procedure should ensure that the supplier's offerings and processes align with the organization's principles for responsible AI. The procedure should address relevant aspects such as supplier selection, risk assessment, contractual agreements, monitoring, and review, specifically considering AI-related factors like data quality, transparency, fairness, and accountability.

The organization should identify and document all necessary resources for the successful design, development, deployment, and monitoring of AI systems across their entire lifecycle, including the retirement phase.

This includes human resources (e.g., personnel with specific AI expertise), AI system components, data resources (i.e. data used at any stage in the AI system life cycle), tooling resources (e.g. AI algorithms, models or tools), system and computing resources (e.g. hardware to develop and run AI models, storage for data and tooling resources), and data assets. Furthermore, resources needed for any other AI-related organizational activities, such as AI governance, risk management, or ethical reviews, should also be clearly documented.

The organization should establish and maintain a comprehensive process for identifying, assessing, and treating risks and opportunities related to its AI management system and the AI systems it develops or uses. This process should take into account the organization's context, the needs and expectations of relevant interested parties, and the specific domain, application environment, and intended use of AI systems.

The organization should define clear criteria for evaluating AI risks, including acceptable and unacceptable levels, and use these criteria to guide AI risk assessments and treatment decisions. Actions planned to address these identified risks and opportunities should be integrated into the organization's AI management system processes, and their effectiveness should be regularly assessed.

All measures undertaken to identify, assess, and manage AI-related risks and opportunities should be properly documented.

To ensure proper resource management for AI systems, the organization should keep records of all personnel involved in the various phases of the AI system lifecycle. These records should include information about their assigned roles, responsibilities, and relevant skills or competencies needed for their tasks related to AI system development, deployment, operation, modification, maintenance, transfer, retirement, verification, and integration. This documentation supports effective resource allocation and competency management.

The organization should develop and document a deployment plan for AI systems, outlining the necessary steps, resources, and conditions for successful rollout. Before deploying any AI system, the organization should verify that all predefined conditions and requirements are met to ensure a controlled and secure implementation.

The organization should establish a process for periodic review and validation of its AI policy. This review should assess the policy's ongoing relevance, adequacy, and effectiveness in managing AI-related risks and supporting ethical AI practices. Reviews should also be triggered by significant changes in the organization's AI systems, operational context, or relevant regulations to ensure the policy remains up-to-date and appropriate. The review process should include clear criteria for assessing the policy's suitability and documented outcomes.

The organization should establish a clear process for defining and documenting all relevant requirements for newly developed AI systems or significant upgrades to existing ones. This includes functional, non-functional, technical, security, and ethical requirements.

The process should involve relevant stakeholders and incorporate considerations such as the intended purpose, potential risks, and impacts of the AI system. Documented requirements should serve as a foundational basis for the design, development, testing, and deployment phases of the AI system's lifecycle.

When conducting a fundamental rights impact assessment for a high-risk AI system, the organization shall identify specific risks of harm that the use of the system may pose to natural persons or groups of persons. This identification should be based on the categories of persons already identified as potentially impacted by the AI system.

The assessment of specific risks shall also consider relevant information provided by the AI system provider, including data on potential risks and any proposed mitigation measures. The identified specific risks and their potential impact should be thoroughly documented as a key part of the fundamental rights impact assessment.

The organization should periodically review the sufficiency of resources allocated to the AI management system. This review should assess whether the current human resources, infrastructure, data, and tooling are adequate to support the system's ongoing operation, maintenance, and continual improvement, ensuring it consistently achieves its objectives and maintains effectiveness.

The organization should define and implement a process for treating identified AI risks. This process involves selecting appropriate risk treatment options and identifying the necessary controls to manage these risks. The controls should be carefully considered against those listed in Annex A of ISO 42001:2024, and any additional controls required beyond Annex A should also be identified.

A Statement of Applicability (SoA) should be created, documenting all selected controls and providing justification for their inclusion or exclusion. Reasons for exclusion could include the risk assessment determining they are not necessary or external requirements allowing for exceptions.

Based on the chosen treatment options and identified controls, an AI risk treatment plan should be formulated. This plan, along with the acceptance of any remaining AI risks, must be approved by the responsible management.

The organization should maintain documented information of its AI risk treatment process, the Statement of Applicability, and the AI risk treatment plan. These documents should be shared within the organization and made accessible to relevant interested parties as appropriate. The selected controls should align with the AI management system's objectives.

The organization should determine and provide the resources necessary for establishing, implementing, maintaining, and continually improving its AI management system. This includes identifying and securing competent personnel, appropriate infrastructure (hardware, software, networks), suitable environments for AI system operation, and the necessary monitoring and measurement resources. The organization should also ensure access to and maintenance of the organizational knowledge required for effective AI management.

The organization should establish and maintain a comprehensive inventory of all tools utilized in the development, deployment, and operation of AI systems. This inventory should include key details such as the tool's name, version, purpose, licensing information, and any specific configurations relevant to its use within AI systems. The inventory should be regularly reviewed and updated as part of the organization's AI system resource management processes to ensure accuracy and completeness.

The organization should systematically assess and document the potential societal impacts, both positive and negative, of its AI systems throughout their entire life cycle, from design and development to deployment and decommissioning. This assessment should consider various stakeholders and broader societal implications.

The organization should systematically identify and evaluate potential foreseeable abuses of its artificial intelligence systems throughout their lifecycle. This assessment should consider how the system could be intentionally or unintentionally misused, exploited, or lead to unintended harmful outcomes, and integrate these findings into the overall impact assessment.

The organization should establish and maintain a process for documenting the results of AI system impact assessments. This documentation should include the assessment methodology, identified impacts, risk treatment plans, and the reasoning for decisions made. Additionally, the organization should define and adhere to a retention period for these records.

The organization should establish and implement processes to verify that AI systems are consistently used for their intended purposes, as defined and documented during the development or procurement phase. This includes reviewing usage patterns and comparing them against the documented scope and objectives of the AI system.

The organization must formally define and document its internal processes that govern the responsible use of AI systems by its personnel.

The purpose of these documented processes is to provide clear, actionable rules and guidance to ensure that all use of AI within the organization is ethical, safe, and aligned with legal requirements and organizational policies.

These processes should specify, for example:

• How to ensure the AI system is only used for its intended purpose as described in the user documentation.
• Rules for handling input and output data, especially personal or sensitive information.
• The procedures for human oversight, intervention, and decision verification that operators must follow.
• Steps for identifying and reporting unexpected behavior, incidents, or potential misuse of the system.

The organization should establish and maintain a formal mechanism for reporting any concerns related to AI systems throughout their entire lifecycle. This mechanism should allow for the reporting of issues linked to the organization's responsibilities regarding AI. The organization should communicate the availability of this reporting mechanism to relevant internal and external stakeholders and ensure that reported concerns are systematically reviewed and addressed.

The organization should define and document the responsibilities for managing the AI system lifecycle. This includes clarifying the roles and responsibilities for different phases such as design, development, deployment, operation, maintenance, and decommissioning. These responsibilities should be clearly assigned not only within the organization but also to external partners, suppliers, customers, and any other third parties involved in the AI system's lifecycle.

The organization should assess how the objectives for AI systems intersect with, or may be influenced by, other existing policies (e.g., quality, security, privacy, environmental policies). This assessment helps to ensure consistency and avoid conflicts between AI system development/deployment and the organization's broader strategic goals and commitments.

The organization should systematically assess and document the potential impacts of its AI systems on individuals and groups of individuals throughout the entire AI system lifecycle, from design and development to deployment and monitoring. This assessment should consider various types of impacts, transparency and explainability, security and privacy, fairness, accessibility, accountability, safety and health and human rights, to ensure responsible and human-centric AI development and use.

The organization should define and openly communicate its responsible AI objectives to ensure they are visible to all relevant stakeholders. Objectives should relate to fairness, accountability, explainability, safety, privacy, and accessibility.

The organization should document how it meets these objectives in order for decision-making to be clearly recorded and auditable. This should the rationale for choosing third-party or internal AI solutions. The organization can demonstrate transparency by embedding meaningful human oversight of its AI systems in the following ways:

• Giving human reviewers the authority to review and override AI decisions where necessary
• Disclosing compliance requirements in deployment documentation
• Monitoring system performance for the purposes of demonstrating ongoing accountability
• Maintaining clear reporting channels for concerns about AI outputs and promptly communicating changes in performance to stakeholders
• Ensuring automated decisions documented and subject to human review

Organisaation on varmistettava, että suuren riskin tekoälyjärjestelmiä valvovat luonnolliset henkilöt ovat tietoisia mahdollisesta automatisointivinoumasta eli taipumuksesta luottaa liikaa tekoälyn tuottamiin tuloksiin. Tähän kuuluu myös erityiskoulutuksen ja ohjeistuksen antaminen siitä, miten tekoälyjärjestelmistä saatuja tietoja ja suosituksia voidaan arvioida kriittisesti, erityisesti jos niitä käytetään ihmisten päätöksentekoon. Olisi otettava käyttöön toimenpiteitä, jotka auttavat ihmisvalvojia havaitsemaan ja lieventämään tätä ennakkoluuloa.

Tekoälyn lukutaitoa koskevat ohjeet on määritelty työntekijän tehtävän yhteydessä. Organisaatio on tunnistanut erillisiä ohjeita vaativat yksiköt ja roolit ja laatii niille omat yksityiskohtaiset ohjeensa.

Esimerkkejä yksiköistä, jotka voivat vaatia omia ohjeita, ovat esimerkiksi asiakaspalvelu, IT ja HR. Esimerkkejä työrooleista, jotka vaativat omat ohjeistuksensa, ovat järjestelmänvalvojat ja etätyöntekijät.

Organisaation on laadittava ja ylläpidettävä dokumentoitua arviointimenettelyä sen määrittämiseksi, voidaanko se luokitella suuren riskin tekoälyjärjestelmän tarjoajaksi tekoälysäädöksen 25 §:n mukaisesti. Arviointi olisi suoritettava aina, kun organisaatio antaa nimensä tai tavaramerkkinsä toisen yhteisön kehittämälle suuren riskin tekoälyjärjestelmälle, tekee huomattavia muutoksia olemassa olevaan korkean riskin tekoälyjärjestelmään, joka on edelleen 6 artiklan mukaisesti korkean riskin järjestelmä, tai muuttaa tekoälyjärjestelmän käyttötarkoitusta siten, että se luokitellaan suuren riskin tekoälyjärjestelmäksi.

Menettelyn olisi katettava myös tapaukset, joissa organisaatio valmistaa tuotteen, johon sisältyy suuririskinen tekoälyjärjestelmä, joka on liitteessä I olevassa A jaksossa luetellun EU:n yhdenmukaistamislainsäädännön mukainen turvakomponentti.

Tällaisissa tapauksissa tuotteen valmistajaa olisi kohdeltava palveluntarjoajana, jos:

Jos palveluntarjoajan asema toteutuu, organisaation olisi pantava täytäntöön kaikki 16 artiklan mukaiset palveluntarjoajan velvoitteet, mukaan lukien vaatimustenmukaisuuden arviointi, tekniset asiakirjat, riskinhallinta ja markkinoille saattamisen jälkeinen seuranta. Vastuunjako ja vastuun siirto olisi dokumentoitava virallisesti aina, kun tällainen muutos tapahtuu.

Jos organisaatiosta tulee aiemmin markkinoille saatetun suuren riskin tekoälyjärjestelmän tarjoaja, sen olisi luotava yhteistyöjärjestelyt alkuperäisen tarjoajan kanssa, jotta se saa kaikki tarvittavat tekniset asiakirjat, teknisen käyttöoikeuden ja muun kohtuullisesti vaadittavan avun asetuksen noudattamisen varmistamiseksi. Olisi tarkistettava, onko alkuperäinen tarjoaja nimenomaisesti rajoittanut tekoälyjärjestelmän muuttamista riskialttiiksi järjestelmäksi. Kaikki määritykset, sopimusjärjestelyt ja niitä tukevat todisteet olisi säilytettävä.

Tekoälyjärjestelmien tarjoajien ja käyttöönottajien tai heidän organisaatioiden olisi määriteltävä ja dokumentoitava tekoälyjärjestelmiensä kehittämistä ja käyttöönottoa koskevat käytännesäännöt. Säännöstö voidaan laatia sisäisesti tai hyväksyä olemassa oleva alan säännöstö. Käytännesäännöissä olisi esitettävä organisaation sitoutuminen tekoälyn vastuulliseen käyttöön. Asiaan liittyviä teemoja voivat olla esimerkiksi

• Järjestelmän tarkoitus ja vastuullisuus
• riskien tunnistaminen ja lieventäminen
• tiedonhallinta ja tekniset rajoitukset
• perusoikeudet
• inhimillinen valvonta
• Tekninen kestävyys ja toiminnan häiriönsietokyky
• Jatkuva parantaminen
• Tietojen säilyttäminen

Ulkopuolisten sidosryhmien, kuten kansalaisyhteiskunnan organisaatioiden ja korkeakoulujen, kuuleminen on mahdollisuuksien mukaan sisällytettävä käytännesääntöjen laatimisprosessiin.

Organisaation olisi määriteltävä prosessi niitä tilanteita varten, joissa se toimii suurriskisen tekoälyjärjestelmän palveluntarjoajan roolissa. Tämä koskee esimerkiksi tapauksia, joissa organisaatio nimeää olemassa olevan järjestelmän uudelleen omalla nimellään, muuttaa olennaisesti suuririskistä järjestelmää tai muuttaa järjestelmää siten, että siitä tulee suurenriskin järjestelmä. Prosessissa on varmistettava, että organisaatio täyttää tällöin kaikki palveluntarjoajalta vaadittavat oikeudelliset velvoitteet.

Organisaation olisi varmistettava, että se säilyttää suuririskisten tekoälyjärjestelmiensä automaattisesti tuottamat lokitiedot. Näitä lokitietoja on säilytettävä järjestelmän käyttötarkoitusta vastaavan ajan, jotta toimintaa voidaan seurata ja jotta onnettomuuden jälkeinen tutkinta on mahdollista.

Organisaation on määriteltävä prosessi, jolla vastataan kansallisten toimivaltaisten viranomaisten pyyntöihin. Prosessissa olisi määriteltävä vastuualueet ja vaiheet, joiden avulla voidaan osoittaa, että sen suuren riskin tekoälyjärjestelmät ovat vaatimustenmukaisia. Tähän kuuluu teknisten asiakirjojen, lokien, laadunhallintajärjestelmän tietojen ja muiden vaatimustenmukaisuutta osoittavien todisteiden kerääminen ja antaminen käyttöön perustellusta pyynnöstä.

Organisaation olisi varmistettava, että sen valtuutetun edustajan kanssa annettuun kirjalliseen toimeksiantoon sisältyy irtisanomislauseke. Lausekkeessa olisi mainittava, että edustajan on irtisanottava toimeksianto ja ilmoitettava siitä välittömästi asianomaiselle markkinavalvontaviranomaiselle, jos sillä on syytä katsoa, että palveluntarjoaja toimii vastoin tekoälysäädöksen mukaisia velvoitteitaan.

Jos organisaatio on sijoittautunut Euroopan unionin ulkopuolelle, sen olisi nimettävä unionissa sijaitseva valtuutettu edustaja. Tämä nimeäminen on virallistettava kirjallisella valtuutuksella ennen kuin suuren riskin tekoälyjärjestelmä asetetaan saataville EU:n markkinoilla.

Suuren riskin tekoälyjärjestelmien tarjoajan organisaation olisi määriteltävä valtuutetun edustajan vastuualueet, kun edustaja nimitetään. Valtuutetun edustajan olisi toimittava näiden velvollisuuksien puitteissa ja pystyttävä toimittamaan jäljennös näistä velvollisuuksista markkinavalvontaviranomaisille pyynnöstä jollakin toimivaltaisen viranomaisen ilmoittamalla EU:n virallisella kielellä.

Valtuutetulla edustajalla olisi oltava valtuudet:

• tarkistaa, että EU-vaatimustenmukaisuusvakuutus ja vaaditut tekniset asiakirjat on laadittu ja että tarjoaja on suorittanut asianmukaisen vaatimustenmukaisuuden arviointimenettelyn
• säilyttää 10 vuoden ajan sen jälkeen, kun suurenriskin tekoälyjärjestelmä on saatettu markkinoille tai otettu käyttöön, palveluntarjoajan yhteystiedot, EU-vaatimustenmukaisuusvakuutus, tekniset asiakirjat ja mahdollinen ilmoitetun laitoksen todistus sekä antaa ne pyynnöstä toimivaltaisten viranomaisten käyttöön.
• annettava toimivaltaisille viranomaisille perustellusta pyynnöstä tiedot ja asiakirjat, jotka ovat tarpeen vaatimustenmukaisuuden osoittamiseksi, mukaan lukien pääsy automaattisesti tuotettuihin lokitietoihin, jos kyseiset lokitiedot ovat palveluntarjoajan valvonnassa.
• tehtävä yhteistyötä toimivaltaisten viranomaisten kanssa toimissa, joita toteutetaan korkean riskin tekoälyjärjestelmään liittyvien riskien käsittelemiseksi tai lieventämiseksi.
• noudatettava sovellettavia rekisteröintivelvoitteita tai varmistettava rekisteröintitietojen oikeellisuus, jos palveluntarjoaja huolehtii rekisteröinnistä.

Toimivaltaisten viranomaisten olisi voitava kääntyä suuren riskin tekoälyjärjestelmän tarjoajan lisäksi tai sijasta valtuutetun edustajan puoleen asioissa, jotka liittyvät tekoälylain noudattamiseen.

Organisaation olisi ylläpidettävä dokumentoitua näyttöä, joka kattaa näiden vastuualueiden koko kirjon.

Organisaation olisi varmistettava, että kun suuren riskin tekoälyjärjestelmä on sen vastuulla, sen varastointi- ja kuljetusolosuhteet eivät vaaranna sen vaatimustenmukaisuutta. Tähän sisältyy asianmukaisten fyysisten ja digitaalisten turvatoimien määrittely ja toteuttaminen järjestelmän eheyden suojaamiseksi esimerkiksi varastoinnin tai digitaalisen siirron aikana.

Organisaation olisi laadittava selkeä menettely tilanteita varten, joissa sen jakaman suuren riskin tekoälyjärjestelmän todetaan olevan vaatimustenvastainen ja aiheuttavan merkittävän riskin. Menettelyllä olisi varmistettava, että järjestelmän toimittajalle tai maahantuojalle sekä asianomaisille toimivaltaisille viranomaisille ilmoitetaan asiasta välittömästi. Ilmoitukseen on sisällyttävä yksityiskohtaiset tiedot vaatimustenvastaisuudesta ja toteutettavista korjaavista toimista.

Organisaation on otettava käyttöön menettely, jolla raportoidaan suuren riskin tekoälyjärjestelmien seurannassa havaituista ongelmista. Menettelyssä on määriteltävä raportointiketju ja aikataulu ongelman vakavuuden mukaan. Menettelyssä olisi määriteltävä yksityiskohtaisesti, miten palveluntarjoajalle, jakelijalle ja asiaankuuluville viranomaisille ilmoitetaan sekä yleisistä riskeistä että vakavista vaaratilanteista, mukaan luettuna menettelytapa, jota noudatetaan silloin, kun palveluntarjoajaa ei tavoiteta.

Niiden organisaatioiden osalta, jotka ovat EU:n rahoituspalvelulainsäädännön mukaisia finanssilaitoksia, olisi arvioitava sisäistä hallintotapaa ja teknisiä toimenpiteitä sen määrittämiseksi, miten tekoälysäädöksen mukaiset valvontavelvoitteet on otettu huomioon.

Organisaation olisi yksilöitävä, dokumentoitava ja tarkistettava olemassa olevat hallintorakenteet, prosessit ja mekanismit sen tarkistamiseksi, täyttävätkö ne 26 artiklan mukaiset suuren riskin tekoälyjärjestelmiin sovellettavat velvoitteet. Olemassa oleviin kirjaamisjärjestelmiin liittyvät tekniset toimenpiteet olisi arvioitava vastaavalla perusteella.

Jos vastaavuus on todettu, organisaation olisi säilytettävä dokumentoitua näyttöä siitä, miten nykyiset sisäiset hallintojärjestelyt ja tekniset toteutukset täyttävät tekoälysäädöksen asiaankuuluvat seurantavaatimukset.