Posted: 27 Aug. 2024 2 min Lukuaika

Tekoälysäädös tuli, oletko valmis?

Odotus on päättynyt, ja syksyn voi käynnistää tehokkaasti uunituoreen tekoälysäädöksen asettamien vaatimusten parissa.

EU:n tekoälysäädös astui voimaan elokuun alussa ja samalla alkoi tekoälyä hyödyntävien, kehittävien ja myyvien organisaatioiden kello tikittämään. Asetusta aletaan soveltaa täysimääräisesti kahden vuoden kuluttua, mutta vaatimuksia on tulossa jo ennen sitä. Aikataulu asettaa paineta, sillä säännösten noudattamatta jättäminen voi johtaa sakkoihin, joiden suuruus voi olla jopa 35 miljoonaa euroa tai 7 prosenttia yrityksen vuotuisesta liikevaihdosta — maineriskiä unohtamatta. Asetus luokittelee tekoälyjärjestelmät eri riskiluokkiin. Sovellettavat säännöt määräytyvät riskiluokan perusteella.

Mitä toimenpiteitä organisaatioiden tulee tehdä ja mihin mennessä? Olemme koonneet tähän blogiin keskeisimmät päivämäärät ja tärkeimmät askelmerkit organisaatioille.

2.2.2025: Organisaatioiden tulee luopua kielletyistä tekoälysovelluksista ja varmistaa henkilöstön riittävä tekoälykoulutus ja -lukutaito. | 2.8.2025: Yleiskäyttöisiä tekoälymalleja koskevia velvoitteita aletaan soveltaa ja niitä koskevat seuraamukset astuvat voimaan. | 2.8.2026: Kaikki asetuksen vaatimukset tulevat sovellettaviksi, mukaan lukien korkeariskisiä tekoälyjärjestelmiä koskevat velvoitteet.
Helmikuu 2025

Helmikuun 2. päivään mennessä kiellot kohtuuttoman riskin tekoälyn käytöstä astuvat voimaan. Tähän kuuluu muun muassa tekoälyjärjestelmät, joilla manipuloidaan ihmisen käyttäytymistä. Huomattavaa on, että tekoälyjärjestelmien tarjoajien ja käyttöönottajien on toteutettava toimenpiteitä varmistaakseen henkilöstölleen riittävän tekoälylukutaidon, toisin sanoen kouluttaa tekoälyä käyttävät työntekijänsä.

  • Organisaatioiden tulee ymmärtää asetuksen vaikutukset omaan liiketoimintaansa. Asetuksesta nousevat vaatimukset riippuvat organisaation roolista: onko organisaatio tekoälyjärjestelmän palveluntarjoaja vai käyttöönottaja? Kokonaiskuvaa voi hahmottaa tekemällä esimerkiksi nykytila-arvioinnin tai tekoälyn kypsyysarvioinnin.
  • Organisaatioiden on varmistettava, että niiden henkilöstöä on ohjeistettu tekoälyn käytöstä.
  • Kukin tekoälyjärjestelmän riskiluokka sisältää omia erityisvelvoitteita. On tärkeää, että organisaatiot aloittavat viimeistään nyt ajantasaisen luettelon ylläpidon kaikista käyttämistään tekoälyjärjestelmistä. 

Elokuu 2025

Yleiskäyttöisiä tekoälymalleja koskevia velvoitteita ja hallintosääntöjä aletaan soveltaa 2. elokuuta 2025. Tällöin viranomaisten on mahdollista määrätä sakkoja ja sanktiota organisaatioille tekoälyasetukseen nojaten.

Tässä vaiheessa organisaatioilla tulee olla:

  • ensimmäinen versio tekoälyn hallintamallista, jolla varmistetaan asetuksen vaatimustenmukaisuus yleiskäyttöisten tekoälymallien osalta,
  • prosessit ja kyvykkyydet tekoälyn luokittelemiseksi,
  • riittävä tekninen dokumentaatio, jossa kuvataan mm. järjestelmäarkkitehtuuri ja käyttöön otetut kyberturvallisuustoimenpiteet, sekä
  • vastuut ja menettelyt määriteltynä viranomaisille tehtäviä ilmoituksia varten.

Elokuu 2026

Elokuun 2. päivään mennessä tekoälysäädöksen velvoitteet tulevat pääosin sovellettaviksi, jolloin myös korkean riskin aiheuttavien järjestelmien velvoitteisiin tulee pystyä vastaamaan.

  • Organisaatioilla tulee olla tekoälyn hallintamalli, johon on sisäänrakennettu korkean riskin tekoälyjärjestelmiä vastaavat vaatimukset.


Vuosi 2025 ja asetuksen vaatimukset pilkottavat jo kulman takana ja valmistautuminen kannattaa aloittaa pikimmiten. Suunnittelutyössä ja tekoälysäädöksen implementaatiossa kannattaa hyödyntää organisaation tietosuoja-ammattilaisia. He ovat vuosien saatossa tottuneet arvioimaan tiedonkäsittelyyn liittyviä riskejä ja vaatimustenmukaisuutta. 

Ota yhteyttä asiantuntijoihimme

Hannu Kasanen

Hannu Kasanen

Partner, Cyber Risk

Hannu Kasanen toimii partnerina Risk Advisory -yksikössä, missä hän johtaa Deloitten kyberpalveluita julkisen sektorin asiakkaille Suomessa. Hannulla on yli kahdenkymmenen vuoden kokemus IT- ja tietoturvakonsultoinnista. Hän on onnistuneesti johtanut Suomen merkittävimpien yritysten ja julkisen sektorin organisaatioiden kehityshankkeita. Hannu on erikoistunut identiteetinhallintaan ja tietosuojaan, mutta hän auttaa asiakkaitaan laajalla skaalalla kyberturvallisuusaiheissa. Briefly in English: Hannu leads Deloitte’s Cyber Risk service offering for Government and Public Services industry in Finland. He has more than twenty years of IT and security consulting experience with a proven track record of delivering substantial results. Hannu has successfully led complex projects with some of the most iconic brands and the biggest public-sector organizations in Finland. Hannu specializes in digital identity and data privacy but advises his clients on a broad spectrum of cybersecurity topics.

Oona Matinpalo

Oona Matinpalo

Tietosuojapalvelut, Cyber Risk

Oona työskentelee Deloitten riskienhallintayksikössä ja on vastuussa tietosuojapalveluiden tarjonnasta Suomessa. Hänellä on kokemusta niin julkisen kuin yksityisen sektorin tietosuojan kehittämiseen ja arviointiin liittyvistä toimeksiannoista yli 20 organisaatiossa. Konsultoinnin lisäksi Oona on toiminut kaksi vuotta in-house tietosuojapäällikkönä, ja vastasi työntekijöiden ja työnhakijoiden tietosuojasta metsäalan yrityksessä. Hän vastasi tietosuojahallinnon kehittämisestä yhtiön globaalissa HR:ssä, johti DPIA- ja PIA-prosesseja sekä osallistui uuden tietosuojanhallintatyökalun käyttöönottoon. Briefly in English: Oona is part of the Deloitte Risk Advisory's Cyber Risk team in Finland. At Deloitte Oona is responsible for the data privacy service offering in the Finnish market and advises clients on diverse privacy matters. During her time at Deloitte, Oona has worked in projects ranging from Data Protection Impact Assessments (DPIAs), GDPR internal audits, data inventory and was a team member in a cyber culture change and awareness program. In addition to consulting, Oona has experience in data privacy in an in-house role from the forest industry where she worked for 2 years. She was responsible for developing data privacy governance within the company’s global HR, lead DPIA and PIA processes and took part in implementation of a new data privacy management tool.