norppa.io
Oppaat

Tekoälyasetus-opas · 11 min

EU:n tekoälyasetus: riskiluokat, aikataulu ja mitä käyttöönottajan on tehtävä (artikla 26)

EU:n tekoälyasetus on maailman ensimmäinen kattava tekoälyä koskeva laki. Se luokittelee tekoälyjärjestelmät riskin mukaan ja asettaa suurimman osan raskaista velvoitteista korkean riskin järjestelmille, mutta se asettaa konkreettisia velvollisuuksia myös organisaatioille, jotka käyttävät tekoälyä, eivät vain niille, jotka rakentavat sitä. Se on jo voimassa ja sitä sovelletaan vaiheittain vuoteen 2027 asti. Tämä opas selittää riskiluokat, merkitykselliset päivämäärät, käyttöönottajan velvollisuudet artiklan 26 mukaan ja mitä se tarkoittaa, kun hankit tai otat käyttöön tekoälyä toimitusketjussasi.

Keskeiset huomiot

  • Tekoälyasetus (asetus (EU) 2024/1689) luokittelee tekoälyn riskin mukaan: kielletty, korkea riski, rajoitettu (läpinäkyvyys) ja vähäinen.
  • Vaiheittaiset päivämäärät: voimassa 1.8.2024; kielletyt käytännöt 2.2.2025 alkaen; yleiskäyttöinen tekoäly 2.8.2025 alkaen; korkea riski ja suurin osa velvoitteista 2.8.2026 alkaen.
  • Jos käytät korkean riskin tekoälyjärjestelmää, olet “käyttöönottaja”, jolla on omat velvollisuutensa artiklan 26 mukaan (ihmisen suorittama valvonta, seuranta, lokit ja muuta) vaikka tarjoaja kantaa suurimman osan rakennuspuolen velvoitteista.

Mikä tekoälyasetus on

Tekoälyasetus (asetus (EU) 2024/1689) on riskiperusteinen, tuotetyyppinen asetus tekoälyjärjestelmille, jotka saatetaan EU:n markkinoille tai joiden tuotosta käytetään EU:ssa. Koska se on asetus, sitä sovelletaan suoraan kaikissa jäsenvaltioissa. Se jakaa velvollisuudet arvoketjun varrelle: pääasiassa tarjoajille (jotka kehittävät tekoälyä) ja käyttöönottajille (jotka käyttävät sitä omassa määräysvallassaan), kevyemmillä rooleilla maahantuojille ja jakelijoille.

Sen sijaan, että se sääntelisi “tekoälyä” yhdenmukaisesti, se lajittelee järjestelmät riskiluokkiin ja suhteuttaa velvoitteet niiden mukaan: kourallinen käytäntöjä on kokonaan kielletty, määritelty joukko korkean riskin käyttötapoja sisältää raskaat vaatimukset, jotkin järjestelmät tarvitsevat vain läpinäkyvyyttä, ja valtaosa (vähäisen riskin tekoäly) ei sisällä käytännössä mitään velvoitteita.

Missä velvollisuudet ovat

Kielletyt käytännöt (kielletty), korkean riskin järjestelmät (raskaat velvoitteet: esim. tekoäly työsuhteissa, luotonannossa, kriittisessä infrastruktuurissa tai biometriikassa) ja rajoitetun riskin järjestelmät, jotka edellyttävät läpinäkyvyyttä (esim. käyttäjille kerrotaan, että he ovat vuorovaikutuksessa tekoälyn kanssa tai että sisältö on tekoälyn tuottamaa).

Vähäinen riski (suurin osa tekoälystä)

Valtaosa tekoälyjärjestelmistä (roskapostisuodattimet, suosittelumoottorit, useimmat tuottavuustyökalut) kuuluu vähäiseen riskiin eikä sisällä erityisiä velvoitteita asetuksen nojalla, vapaaehtoisia käytännesääntöjä ja yleistä tekoälyosaamisen odotusta lukuun ottamatta.

Aikataulu

Asetusta sovelletaan vaiheittain. Suunnittelua ohjaavat päivämäärät:

1.8.2024

Tuli voimaan. Kello käynnistyi; velvoitteet tulevat voimaan vaiheittain tästä eteenpäin.

2.2.2025

Kielletyt käytännöt soveltuvat: “ei-hyväksyttävän riskin” tekoäly (esim. yhteiskunnallinen pisteytys, tietyt manipuloivat tai biometriseen luokitteluun liittyvät käytöt) on kielletty. Myös tekoälyosaamisvelvoitteet alkavat.

2.8.2025

Yleiskäyttöisten tekoälymallien (GPAI) velvoitteet alkavat, samoin hallintorakenteet ja kansalliset toimivaltaiset viranomaiset.

2.8.2026

Päätapahtuma: korkean riskin järjestelmien velvoitteet (mukaan lukien käyttöönottajan velvollisuudet artiklan 26 mukaan) soveltuvat.

2.8.2027

Pidennetty määräaika korkean riskin tekoälylle, joka on muun EU-lainsäädännön (liite I) jo sääntelemän tuotteen turvakomponentti.

Mitä käyttöönottajan on tehtävä (artikla 26)

Jos käytät korkean riskin tekoälyjärjestelmää omassa määräysvallassasi, artikla 26 asettaa sinulle operatiivisia velvollisuuksia. Tiivistäen käyttöönottajan on:

  • Käytettävä järjestelmää tarjoajan käyttöohjeiden mukaisesti.
  • Osoitettava ihmisen suorittama valvonta päteville, koulutetuille ja riittävästi resursoiduille henkilöille, jotka voivat puuttua sen toimintaan tai ohittaa sen.
  • Seurattava järjestelmän toimintaa sekä keskeytettävä käyttö ja ilmoitettava tarjoajalle ja viranomaisille, jos se aiheuttaa riskin tai tapahtuu vakava vaaratilanne.
  • Säilytettävä automaattisesti tuotetut lokit asianmukaisen ajan: vähintään kuusi kuukautta, ellei muu laki edellytä pidempää.
  • Varmistettava, että syöttötiedot ovat merkityksellisiä ja riittävän edustavia käyttötarkoitukseen nähden siltä osin kuin hallitset niitä.
  • Ilmoitettava työntekijöille ja heidän edustajilleen ennen korkean riskin järjestelmän käyttöönottoa työpaikalla sekä ilmoitettava henkilöille, joita sen päätökset koskevat.
  • Tehtävä perusoikeuksia koskeva vaikutustenarviointi silloin kun se vaaditaan (art. 27), ja toimittava yhteistyössä toimivaltaisten viranomaisten kanssa.

Miten se nivoutuu NIS2:een ja GDPR:ään

Tekoälyasetus ei korvaa muita velvoitteitasi. Se kasautuu niiden päälle. Henkilötietoja käsittelevää tekoälyjärjestelmää sääntelee edelleen GDPR (ja se voi tarvita tietosuojaa koskevan vaikutustenarvioinnin tekoälyasetuksen perusoikeusarvioinnin rinnalle). Keskeisten palvelujesi toimintaan kuuluva tekoälyjärjestelmä kuuluu edelleen NIS2:n turvallisuus- ja poikkeamailmoitusvelvollisuuksiin. Nämä kolme menevät päällekkäin, eivät syrjäytä toisiaan.

Hankinnan kannalta tämä yhtymäkohta on olennainen. Kun tuot tekoälyjärjestelmän toimitusketjuusi, perit käyttöönottajan velvollisuudet (art. 26) ja sinun on tunnettava tarjoajan vaatimustenmukaisuustila: vaatimustenmukaisuus, käyttöohjeet, lokitus, järjestelmän riskiluokka. Se on sama toimittajien due diligence -lihaksisto, jonka NIS2 jo pyytää sinua rakentamaan, kohdistettuna tekoälyyn.

Tekoälyjärjestelmien luokittelu (erityisesti korkean riskin raja ja GPAI-säännöt) on yksityiskohtaista ja tapauskohtaista, ja täytäntöönpanosäädöksiä ja standardeja tulee yhä. Vahvista tietyn järjestelmän luokka ja oma roolisi asiantuntija-avulla ja virallisesta tekstistä.

Mitä se tarkoittaa sinulle

Velvollisuutesi riippuvat roolistasi järjestelmän suhteen:

Tarjoaja (kehität tai muokkaat olennaisesti tekoälyjärjestelmää)

Kannat rakennuspuolen velvoitteet: riskienhallinta, datan hallinta, tekninen dokumentaatio, vaatimustenmukaisuuden arviointi ja CE-merkintä korkean riskin järjestelmille. Pääosin 2.8.2026 alkaen.

Käyttöönottaja (käytät tekoälyä omassa määräysvallassasi)

Artikla 26 soveltuu korkean riskin järjestelmiin: ihmisen suorittama valvonta, seuranta, lokit, työntekijöiden informointi ja perusoikeusarviointi tarvittaessa. Rakenna tämä nyt 2.8.2026 määräaikaa varten.

Maahantuoja tai jakelija

Saat asettaa saataville vain vaatimustenmukaisia korkean riskin järjestelmiä, sinun on todennettava tarjoajan vaatimustenmukaisuus ja CE-merkintä, ja sinun on toimittava, kun saat tietää järjestelmän olevan vaatimustenvastainen.

Tekoälyä toimitusketjuusi hankkiva ostaja

Olet tyypillisesti käyttöönottaja. Vaadi tarjoajan käyttöohjeet, riskiluokka, vaatimustenmukaisuustila ja lokituskyky, ja käsittele tekoälytoimittajia osana NIS2-toimittajien due diligenceä.

Lähteet: Asetus (EU) 2024/1689 (tekoälyasetus) sekä Euroopan komission tekoälyasetusta koskevat sivut. Päivämäärät, luokat ja roolit perustuvat julkaistuun asetukseen; vahvista tietyn järjestelmän luokittelu asiantuntija-avulla.

Miten norppa.io auttaa

norppa.io ei tee tekoälyjärjestelmästä tekoälyasetuksen mukaista (se on tarjoajan ja käyttöönottajan tehtävä) mutta se antaa näkyvyyttä toimitusketjusi tekoälyaltistukseen, josta käyttöönottajan due diligence alkaa. Sen skannaus nostaa esiin tekoälypalvelujen päätepisteitä, altistuneita malli- ja inferenssirajapintoja sekä tekoälyyn liittyviä rajapintoja (mukaan lukien Model Context Protocol -päätepisteet) toimittajiesi hyökkäyspinta-alalla.

Itsearviointikyselyt tallentavat sen, mitä mikään ulkoinen skannaus ei näe (mitä tekoälyjärjestelmiä toimittaja ottaa käyttöön, niiden riskiluokan, vaatimustenmukaisuustilan ja ihmisen valvonnan järjestelyt) ja jokainen vastaus asetetaan reaaliaikaisen teknisen profiilin rinnalle, valmiina toimittajatiedostoosi. Se on sama jatkuva, näyttöön perustuva lähestymistapa, jota NIS2 odottaa, laajennettuna toimittajiesi käyttämään tekoälyyn.

Näe toimittajiesi tekoälyaltistus

Katso esimerkkiraportti toimittajasta (löydökset, näyttö ja artiklakartoitus) noin kahdessa minuutissa.

Katso esimerkkiraportti
Katso esimerkki-dashboard

Aiheeseen liittyvät oppaat

Miten täyttää NIS2-vaatimukset: vaiheittainen etenemissuunnitelma

NIS2-vaatimustenmukaisuuden vaiheet järjestyksessä: vahvista soveltamisala, rekisteröidy, johdon vastuu (art. 20), artiklan 21(2) toimenpiteet, toimitusketjun turvallisuus, poikkeamailmoitus (art. 23) ja jatkuva, todennettu varmistus.

Ketä NIS2 koskee? Keskeiset ja tärkeät toimijat, toimialat ja kokorajat

Selvitä, koskeeko NIS2 sinua: kaksi luokkaa, liitteen I/II toimialat, kokorajat, koosta riippumattomat poikkeukset ja miten toimitusketju vetää sinut mukaan, vaikka sinua ei olisi nimetty.

NIS2-laki ja toimitusketjuvaatimus: mitä se tarkoittaa käytännössä

NIS2-direktiivi velvoittaa merkittävät ja tärkeät toimijat arvioimaan toimitusketjunsa kyberriskit. Toimittajatieraus, 4. osapuoli -riski, Art. 23 -ilmoitusvelvollisuus ja mitä tilintarkastaja katsoo.

Toimittajan kyberriskiarvio: mitä automaattinen NIS2-seuranta tarkistaa

Kaikki tarkistuskategoriat selitettynä: ransomware, dark web -vuodot, TLS/DNSSEC, evästeet, CVE/EPSS, pakotteet, MX-mustataulut ja SAQ. Löydösten elinkaari ja NIS2-kartoitus.

NIS2 Art. 21(2): tarkistuslista toimittajille

Tarkistuslista hankinta- ja tietoturvatiimeille: mitä kysyä, mitä dokumentteja pyytää ja miten reagoida, kun toimittaja ei täytä vaatimuksia. Sisältää todentamisasiakirjaehdotukset.

NIS2-toimittajakysely (SAQ): mitä kysyä, miten pisteyttää ja valmis malli

Mitä kysyä toimittajilta 21(2)(d) mukaan, miten pisteyttää vastaukset ja reagoida puutteisiin, miksi itsearviointi vaatii todentamista, ja ilmainen valmis kyselymalli.

NIS2-poikkeamailmoitus: 24 ja 72 tunnin määräajat selitettynä

Mikä on merkittävä poikkeama, artiklan 23 aikataulu (24 t ennakkovaroitus, 72 t ilmoitus, kuukauden loppuraportti) ja milloin toimittajan poikkeamasta tulee sinun velvollisuutesi.

NIS2 ja johdon vastuu: mitä hallituksen ja johdon on tiedettävä

Mitä NIS2 odottaa johdolta: hyväksyntä- ja valvontavelvollisuus, henkilökohtainen vastuu (art. 20), koulutus, hallitusraportoinnin mittarit ja art. 34 -seuraamukset.

ISO 27001 ja NIS2: mitä ISMS jo kattaa, ja mitä se ei kata

Jos sinulla on ISO 27001, mikä siirtyy NIS2:een ja mikä ei: lakisääteinen poikkeamailmoitus, johdon vastuu, rekisteröinti ja jatkuva toimitusketjun varmistus, ja miten aukko suljetaan.

NIS2 vs DORA: miten ne eroavat, missä menevät päällekkäin ja kumpi koskee sinua

Miten kaksi EU-säädöstä eroavat ja menevät päällekkäin, miksi DORA on lex specialis finanssitoimijoille, kumpi koskee sinua, ja mitä molemmat tarkoittavat kolmannen osapuolen riskille.

GDPR vs NIS2: missä ne menevät päällekkäin, miten eroavat ja milloin yksi poikkeama laukaisee molemmat

Miten GDPR ja NIS2 eroavat ja menevät päällekkäin, milloin yksi poikkeama laukaisee molemmat (GDPR art. 33 72 t tietosuojaviranomaiselle vs NIS2 art. 23 24 t/72 t/kuukausi CSIRT-toimijalle), art. 35 yhteistyö ja kaksoissakkojen kielto, ja mitä molemmat tarkoittavat toimittajien due diligencelle.

EU:n kyberkestävyyssäädös (CRA): soveltamisala, aikataulu ja mitä se tarkoittaa toimitusketjullesi

Mitä CRA vaatii, sen vaiheittaiset päivämäärät (voimassa 2024, ilmoitukset 9/2026, täysi vaatimustenmukaisuus 12/2027), ketä se koskee ja miksei pelkkää SaaS:ää, miten se täydentää NIS2:ta ja mitä se tarkoittaa hankinnalle ja toimittajien due diligencelle.