AI Act 2025 — mitä yrityksesi pitää tehdä nyt?

EU:n tekoälyasetus (AI Act) astui voimaan 1. elokuuta 2024, ja sen velvoitteet tulevat voimaan vaiheittain vuosina 2025–2027. Helmikuusta 2025 lähtien osa vaatimuksista on jo sitovia. Tässä artikkelissa käymme läpi, mitä AI Act tarkoittaa suomalaisille yrityksille käytännössä ja mitä toimenpiteitä tarvitaan nyt.

Mikä AI Act on?

EU:n tekoälyasetus (Regulation EU 2024/1689, AI Act) on maailman ensimmäinen kattava oikeudellinen kehys tekoälylle. Se astui voimaan 1. elokuuta 2024 ja on suoraan sovellettava EU-asetus — se ei edellytä erillistä kansallista lakia, vaan velvoittaa sellaisenaan kaikissa jäsenmaissa Suomi mukaan lukien.

Asetus perustuu riskiperusteiseen lähestymistapaan: mitä suuremmat riskit tekoälyjärjestelmä voi aiheuttaa ihmisille tai yhteiskunnalle, sitä tiukemmin sitä säännellään.

AI Actin aikataulu — mikä on voimassa nyt?

AI Act ei tullut voimaan kerralla. Velvoitteet aktivoituvat vaiheittain:

1. elokuuta 2024 — Asetus tuli voimaan

2. helmikuuta 2025 — Ensimmäiset velvoitteet sitovia:

Kielletyt tekoälyjärjestelmät poistettu käytöstä
Tekoälylukutaitovaatimus voimaan: organisaatioiden on varmistettava, että tekoälyä työssään käyttävällä henkilöstöllä on riittävä osaaminen

2. elokuuta 2025 — GPAI-mallien (General Purpose AI, kuten suuret kielimallit) velvoitteet voimaan

2. elokuuta 2026 — Suurin osa asetuksen vaatimuksista tulee pakollisiksi, mukaan lukien korkean riskin järjestelmien pääsääntöiset velvoitteet ja läpinäkyvyysvaatimukset

2. elokuuta 2027 — Korkean riskin tekoälyjärjestelmien velvoitteet, jotka on sisällytetty muihin reguloituihin tuotteisiin

Neljä riskiluokkaa — mihin yrityksesi tekoäly kuuluu?

AI Act jakaa tekoälyjärjestelmät neljään luokkaan:

Kielletty riski — kokonaan kielletty

Tekoälyjärjestelmät, jotka ovat liian vaarallisia käytettäväksi. Kielto astui voimaan 2. helmikuuta 2025. Esimerkkejä kielletyistä käyttötavoista:

Sosiaalinen pisteytys (social scoring) viranomaisten toimesta
Biometrinen reaaliaikainen kasvontunnistus julkisilla paikoilla (tietyillä poikkeuksilla)
Alitajuiset manipulointitekniikat
Käyttäjien tunteiden tunnistaminen työpaikoilla tai oppilaitoksissa (tietyillä poikkeuksilla)
Korkea riski — sallittu, mutta tiukasti säännelty

Tekoälyjärjestelmät kriittisillä aloilla tai kriittisissä käyttötarkoituksissa. Esimerkkejä:

HR-järjestelmät, jotka vaikuttavat rekrytointipäätöksiin tai työn arviointiin
Luottopäätöksiin vaikuttavat järjestelmät
Koulutukseen liittyvät arviointijärjestelmät
Terveydenhuollon diagnostiikkatyökalut

Korkean riskin järjestelmille vaaditaan muun muassa riskienhallintajärjestelmä, tekninen dokumentaatio, lokikirjanpito, läpinäkyvyys käyttäjille ja ihmisen suorittama valvonta.

Rajoitettu riski — sallittu läpinäkyvyysvelvoittein

Esimerkiksi chatbotit ja deepfake-sisältö edellyttävät, että käyttäjille kerrotaan heidän olevan vuorovaikutuksessa tekoälyn kanssa.

Vähäinen riski — vapaa käyttö

Suurin osa arkisista tekoälysovelluksista, kuten suositusjärjestelmät tai roskapostisuodattimet, kuuluu tähän luokkaan. Erityisiä velvoitteita ei ole.

Mitä AI Act tarkoittaa käytännössä tavalliselle yritykselle?

Suurin osa suomalaisista pk-yrityksistä ei kehitä tekoälyä — ne käyttävät sitä. Tämä on tärkeä ero, sillä velvoitteet vaihtelevat merkittävästi kehittäjän ja käyttäjän välillä.

Jos käytät kaupallisia tekoälytyökaluja (esim. Microsoft Copilot, ChatGPT, AI-toimintoja ohjelmistoissa):

Tekoälylukutaitovaatimus koskee sinua jo nyt. Helmikuusta 2025 lähtien organisaatioiden on varmistettava, että tekoälyä käyttävä henkilöstö ymmärtää:

mitä tekoäly tekee ja miten se toimii kyseisessä kontekstissa
sen hyödyt ja riskit
milloin tekoälyn tuotosta pitää arvioida kriittisesti

Käytännössä tämä tarkoittaa henkilöstön kouluttamista — ei syvällistä teknistä koulutusta, vaan soveltuvaa osaamista käyttötarkoituksen mukaan.

Tarkista, onko käyttämäsi tekoälyjärjestelmä korkean riskin luokassa. Esimerkiksi HR-ohjelmisto, joka hyödyntää tekoälyä rekrytointipäätöksiin, voi olla korkean riskin järjestelmä. Toimittajalta on tällöin vaadittava asianmukaista dokumentaatiota.

Jos kehität tai integroit tekoälyratkaisuja asiakkaille:

Velvoitteet ovat laajemmat. Korkean riskin järjestelmistä on laadittava tekninen dokumentaatio, järjestettävä jatkuva seuranta ja rekisteröidyttävä EU:n tietokantaan.

Mitä toimenpiteitä nyt?

Välittömästi (velvoite jo voimassa):

Kartoita, mitä tekoälyjärjestelmiä organisaatiossasi käytetään — myös ne, jotka on integroitu muihin ohjelmistoihin
Järjestä henkilöstökoulutus tekoälyn vastuullisesta käytöstä — tekoälylukutaitovaatimus on voimassa
Varmista, ettei organisaatiossasi käytetä kiellettyjä tekoälyjärjestelmiä

Ennen elokuuta 2026:

Arvioi, ovatko käyttämäsi tekoälyratkaisut korkean riskin luokassa — pyydä toimittajilta dokumentaatio ja vaatimustenmukaisuusvakuutus
Päivitä tietosuojadokumentaatio AI Actin läpinäkyvyysvaatimusten mukaisesti
Laadi sisäinen tekoälypolitiikka, joka ohjaa tekoälyn käyttöä organisaatiossa
AI Act ja tietoturva — yhteys on suora

AI Act ei ole erillinen saareke muusta sääntelystä. Se liittyy suoraan myös GDPR:ään ja NIS2:een:

Monet korkean riskin tekoälyjärjestelmät käsittelevät henkilötietoja → GDPR-velvoitteet
Tekoälyjärjestelmät ovat osa yrityksen digitaalista infrastruktuuria → NIS2-riskienhallinta
AI Actin korkean riskin järjestelmiltä vaaditaan lokikirjanpitoa ja kyberturvallisuustoimia

Kokonaisvaltainen tietoturvakartoitus, joka huomioi AI Act -vaatimukset, on tehokkain tapa saada selkeä kuva siitä, mitä toimenpiteitä yrityksesi tarvitsee.

Ajankohtaista: Digital Omnibus -yksinkertaistuspaketti

Euroopan komissio julkaisi marraskuussa 2025 niin sanotun Digital Omnibus -paketin, jossa ehdotetaan muutoksia AI Actin toimeenpanoon. Yksi ehdotus koskee tekoälylukutaitovelvoitteen (artikla 4) lieventämistä — velvoite muuttuisi yleisestä kaikki tekoälyä käyttävät työntekijät kattavasta vaatimuksesta kohdennetummaksi, käytännön tarpeeseen perustuvaksi.

Tärkeää huomata: Kyseessä on toistaiseksi ehdotus, ei voimassa oleva laki. Tekoälylukutaitovelvoite on voimassa nykymuodossaan, kunnes mahdollinen muutos hyväksytään EU-prosessin kautta. Tilannetta kannattaa seurata, mutta henkilöstön kouluttaminen vastuulliseen tekoälyn käyttöön on perusteltua riippumatta siitä, mikä lakivelvoitteen lopullinen muoto on.