EU:n tekoälyasetus: Mitä oikeastaan muuttuu 2. elokuuta 2026?
2. elokuuta 2026 Euroopan unionin tekoälyasetus siirtyy uuteen vaiheeseen, tosin ei siihen, johon monet organisaatiot ovat valmistautuneet. 50 artiklan mukaiset läpinäkyvyysvelvoitteet tulevat voimaan, ja tekoälyvirasto sekä kansalliset viranomaiset saavat täyden toimivallan valvoa säännösten noudattamista ja määrätä seuraamuksia rikkomuksista, myös yleiskäyttöisten tekoälymallien (GPAI) osalta. Elokuussa ei kuitenkaan toteudu alun perin suunniteltua korkean riskin tekoälyvelvoitteiden laajamittaista käyttöönottoa, johtuen tämän kesän lainsäädäntömuutoksista.
Useimmille organisaatioille kyse ei ole ensisijaisesti OpenAI:sta, Microsoftista tai Googlesta. Kyse on siitä, miten oma yrityksesi hyödyntää tekoälyä ja siitä, pystytkö osoittamaan, että teet sen vastuullisesti.
Mitä muutoksia tapahtuu elokuussa
On syytä täsmentää, mitä 2. elokuuta 2026 tapahtuu ja mitä ei, sillä päivämäärän merkitys on muuttunut sen jälkeen, kun laki julkaistiin ensimmäisen kerran:
- GPAI-asetuksen täytäntöönpano on alkanut, yleiskäyttöisten tekoälymallien tarjoajia koskevat aineelliset velvoitteet (51–55 artikla) ovat olleet voimassa 2. elokuuta 2025 lähtien. Uutta on se, että tekoälyvirasto voi nyt käyttää täytäntöönpano- ja seuraamusvaltuuksiaan kyseisten tarjoajien suhteen, mukaan lukien tutkimukset ja hallinnolliset sakot.
- 50 artiklan mukaiset läpinäkyvyysvelvoitteet tulevat voimaan. Ne kattavat muutakin kuin generatiivisen sisällön: ilmoitusvelvollisuudet tilanteissa, joissa ihmiset ovat suorassa vuorovaikutuksessa tekoälyjärjestelmän kanssa (kuten chatbottien kanssa), tekoälyn tuottaman tai manipuloidun sisällön (mukaan lukien deepfake-sisältö) merkitseminen sekä ilmoitusvelvollisuudet, jotka liittyvät tunnetunnistukseen ja biometrisiin luokittelujärjestelmiin. Yksi poikkeus: erityisvaatimus, jonka mukaan jo ennen tätä päivämäärää markkinoilla olleiden järjestelmien tuottamaan tekoälyllä luotuun sisältöön on lisättävä koneellisesti luettavissa oleva vesileima, siirretään voimaan 2. joulukuuta 2026.
- Erityisesti korkean riskin tekoälyjärjestelmät (liite III) eivät enää kuulu tämän määräajan piiriin. EU:n ”Digital Omnibus” -paketti, jolla muutetaan tekoälylakia, sai neuvoston lopullisen hyväksynnän 29. kesäkuuta 2026. Se siirtää itsenäisten korkean riskin järjestelmien, jotka kattavat muun muassa rekrytoinnin, luottokelpoisuuden arvioinnin, koulutuksen ja välttämättömät palvelut, vaatimustenmukaisuuden määräaikaa 2. elokuuta 2026:sta 2. joulukuuta 2027:ään. Säänneltyihin tuotteisiin (liite I), kuten lääkinnällisiin laitteisiin tai koneisiin, sisällytettyjen korkean riskin tekoälyjärjestelmien määräaika siirtyy 2. elokuuta 2028.
- Uusi kielto, joka koskee tekoälyjärjestelmien tuottamia ilman suostumusta otettuja intiimejä kuvia tai lasten seksuaalista hyväksikäyttöä esittäviä aineistoja (CSAM), tulee voimaan 2. joulukuuta 2026 riippumatta siitä, onko organisaatio luokiteltu korkean riskin kohteeksi.
Käytännön seuraus: liitteen III määräaika on todellakin siirtynyt, vaatimukset itsessään eivät ole muuttuneet ja se on syy hyödyntää tämä ylimääräinen aika hyvin, ei syy lopettaa valmistautumista. Luokittelutyö (mitkä järjestelmät luokitellaan korkean riskin järjestelmiksi, mihin tietoihin ne käsittelevät) ei helpotu odottelemalla, ja GPAI:n täytäntöönpano, läpinäkyvyysvelvoitteet sekä uusi sisällön turvallisuutta koskeva kielto ovat kaikki edelleen voimassa vuonna 2026.
Mitä tämä tarkoittaa, jos et kehitä tekoälymalleja
Suurin osa organisaatioista ei ole GPAI-palveluntarjoajia. Ne ovat käyttäjiä, jotka hyödyntävät tekoälyä jokapäiväisissä työkaluissa, kuten Microsoft Copilotissa, ChatGPT:ssä, Google Geminessä tai olemassa oleviin liiketoimintasovelluksiin integroiduissa tekoälyominaisuuksissa. Tekoälylaki koskee silti myös teitä, mutta velvoitteet ovat erilaiset: tiedonantovelvollisuus, valvonta ja dokumentointi koskevat tekoälyn käyttöä sen sijaan, että ne koskisivat sen rakentamista.
Kun tekoäly integroituu osaksi tavallisia työnkulkuja, käytännön haaste siirtyy kysymyksestä ”pitäisikö meidän käyttää tekoälyä” kysymykseen ”tiedämmekö oikeasti, miten sitä käytämme”. Tämä tarkoittaa, että meillä on oltava konkreettisia vastauksia seuraaviin kysymyksiin:
- Mitä tekoälypalveluita organisaatiossa käytetään
- Mitä yritystietoja kyseiset palvelut käsittelevät?
- Jaetaanko tekoälymalleille arkaluonteisia tai säänneltyjä tietoja
- Miten tekoälyn tuottamaa sisältöä tarkistetaan ennen kuin sen perusteella ryhdytään toimenpiteisiin
- Täyttävätkö tekoälytoimittajasi omat sääntelyvelvoitteensa – ja miten tämä vaikuttaa organisaatiosi omaan riskiprofiiliin
Yksi vaatimus on jo voimassa tästä päivämäärästä riippumatta: tekoälylain mukaan organisaatioiden on varmistettava, että tekoälyjärjestelmiä kehittävällä tai käyttävällä henkilöstöllä on riittävät tekoälytaidot. Tämä vaatimus on ollut voimassa helmikuusta 2025 lähtien, ja monille organisaatioille se on ensimmäinen konkreettinen vaatimustenmukaisuustoimi, joka on vielä toteuttamatta.
Monissa organisaatioissa tekoälyn käyttöönotto on edennyt nopeammin kuin sen hallinnointi. 2. elokuuta oleva määräaika ei niinkään ole yllättävä uusi taakka vaan pikemminkin kannustin, syy korjata puute, joka todennäköisesti jo on olemassa.
Turvallisuusnäkökulma
Tekoälylain noudattaminen ja tekoälyn tietoturva eivät ole erillisiä työalueita, vaan ne limittyvät vahvasti toisiinsa. Samat näkyvyysongelmat, jotka aiheuttavat sääntöjen noudattamiseen liittyviä riskejä, aiheuttavat myös tietoturvariskejä:
- Shadow AI: työkalut, joita työntekijät ottavat käyttöön IT-osaston tietämättä ja joilla käsitellään usein arkaluonteisia tietoja ilman minkäänlaista hallintakehystä
- Tunnistus- ja pääsynhallinta: kuka voi yhdistää mitä tietoja mihin tekoälypalveluun ja millä ehdoilla
- Kolmansien osapuolten ja toimitusketjun riskit: tekoälytoimittajienne sääntöjen noudattaminen vaikuttaa suoraan omaan riskialttiuteenne
- Herkän tiedon suojaus: sen estäminen, että luottamuksellisia tai säänneltyjä tietoja päätyy mallin koulutus- tai tulostusprosessiin
Nykyisiä tietoturvatoimenpiteitä ei tarvitse keksiä uudelleen, mutta niitä on laajennettava kattamaan nimenomaisesti tekoälyä hyödyntävät palvelut, sillä suurinta osaa niistä ei ole suunniteltu tekoälyn käyttöä silmällä pitäen.
Miten NetNordic voi auttaa
Autamme organisaatioita luomaan tekoälyn hallintamallin, joka on oikeassa suhteessa todellisiin riskeihin eikä pelkästään paperilla toteutettavaa sääntöjen noudattamista:
- Tekoälyn käyttövalmiuden ja kypsyystason arvioinnit
- Tekoälyn hallinto ja politiikan kehittäminen
- Tekoälyn riskinarvioinnit
- Turvallisuusarkkitehtuurin arvioinnit
- Microsoft Copilotin ja Azure AI:n tietoturva-arvioinnit
- Tunnistus- ja pääsynhallinta
- Turvallisuuden seuranta- ja neuvontapalvelut
Organisaatiot, jotka ottavat hallintotavan käyttöön jo nyt, ennen kuin määräaika pakottaa asiaan, ovat vahvemmassa asemassa ottamaan tekoälyn käyttöön luottavaisin mielin, täyttämään sääntelyvaatimukset ja säilyttämään asiakkaiden ja sidosryhmien luottamuksen.
Useimmat organisaatiot tietävät jo, että ne käyttävät tekoälyä. Harvemmilla on kuitenkin käsitystä siitä, missä sitä käytetään, mitä tietoja käsitellään tai miten tämä voitaisiin dokumentoida. Juuri tämän aukon tekoälyn hallinnoinnin on tarkoitus täyttää.
Haluatko tietää, missä vaiheessa organisaatiosi on?
Ota yhteyttä tiimiimme, jotta voimme keskustella tekoälyn aiheuttamista riskeistäsi ennen elokuun määräaikaa.
Lähteet
- Euroopan komissio — Tekoälylain sääntelykehys
- Euroopan komissio — Eurooppalainen lähestymistapa tekoälyyn
- AI Office — Yleiskäyttöisen tekoälyn käytännesäännöt
- EUR-Lex — Asetus (EU) 2024/1689 (EU:n tekoälylaki)
- ENISA — ENISAn näkemys kyberturvallisuudesta tekoälyn uusien mahdollisuuksien aikakaudella
Sisällysluettelo
Aihealueet
Sisältötyypit
Aiheeseen liittyvää sisältöä
Assumed Breach
Tietoturvavalvonta 24/h on vasta puolet työstä
Purduesta nykyaikaiseen OT-tietoturvaan: miksi perinteinen malli ei enää riitä
SOC-integraatio: mitä yrityksen liittäminen SOC-järjestelmään todella vaatii
NIS2-direktiivi: Kyberturvallisuus siirtyy IT-osastolta johtoryhmän pöydälle