EU AI Act · Art. 9

Riskienhallintajärjestelmä

Korkean riskin tekoälylle on oltava jatkuva, dokumentoitu prosessi, jolla tunnistat ja pienennät riskit koko elinkaaren ajan.

Sisältö tarkistettu2 min lukuaikaVoimaan 2.12.2027 (Digital Omnibus; 2.8.2026 voimassa kunnes julkaistu EU:n virallisessa lehdessä)Asetus (EU) 2024/1689Tarkistettu 30.5.2026

Mistä tässä on kyse

Kun valvoja tai iso asiakas avaa dokumenttipakettisi, riskienhallintasuunnitelma on se, josta luetaan ensimmäisenä, koska siitä näkee heti, onko vaatimustenmukaisuus tehty oikeasti vai paperilla. Yleisin virhe on tehdä riskiarvio kerran ja arkistoida se: Art. 9 vaatii elävän prosessin, joka päivittyy, kun seuranta tuottaa uutta tietoa. Hyvin tehtynä se ei ole iso urakka, puolen päivän työpaja ja puolenkymmentä rehellisesti arvioitua riskiä vie pitkälle.

Korkean riskin tekoälyltä vaaditaan riskienhallintajärjestelmä, joka ei ole kertaluontoinen raportti vaan jatkuva, dokumentoitu prosessi koko järjestelmän elinkaaren ajan. Sinun on tunnistettava terveyteen, turvallisuuteen ja perusoikeuksiin kohdistuvat tunnetut ja kohtuudella ennakoitavat riskit, arvioitava ne, tehtävä toimet niiden pienentämiseksi ja testattava, että toimet toimivat.

Laki edellyttää erikseen, että otat huomioon myös kohtuudella ennakoitavat väärinkäytökset. Et vain sitä, miten järjestelmää on tarkoitus käyttää, vaan myös miten sitä voidaan käyttää väärin. Jäännösriski on hyväksyttävä nimenomaisesti, ja alaikäisiin ja muihin haavoittuviin ryhmiin on kiinnitettävä erityistä huomiota. Kaikki tämä kootaan riskienhallintasuunnitelmaksi, joka päivittyy markkinoille saattamisen jälkeisen seurannan tuottaessa uutta tietoa.

Yleisin virhe on tehdä riskiarvio kerran ja arkistoida se.
Jatkuva riskienhallintakehä
01Tunnista riskitTerveys, turvallisuus, perusoikeudet
02ArvioiMyös ennakoitava väärinkäyttö
03Lievennä ja testaaToimet ja niiden toimivuus
04PäivitäJälkiseurannan datasta

Mitä laki vaatii, kohta kohdalta

Tunnista riskit, arvioi ne, tee toimet niiden pienentämiseksi ja testaa. Tämä kootaan riskienhallintasuunnitelmaan.

  1. §1Vaadittu korkean riskin järjestelmille – jatkuva, iteratiivinen prosessi koko elinkaaren ajan
  2. §4Vaatimusten yhdistetty soveltaminen – asianmukainen tasapaino riskien minimoinnissa (ei jäännösriskin hyväksyminen; se on 5 kohta)
  3. §5Jäännösriskin hyväksyminen – kunkin vaaran jäännösriski ja kokonaisjäännösriski on arvioitava hyväksyttäväksi; (a) poistaminen/vähentäminen suunnittelulla, (b) lieventämis- ja valvontatoimet, (c) tiedottaminen Art. 13 mukaisesti. Explicit before→after kontrolli.
  4. §9Erityishuomio alle 18-vuotiaisiin ja muihin haavoittuviin ryhmiin
  5. §2.aTunnetut ja kohtuudella ennakoitavat riskit terveydelle, turvallisuudelle ja perusoikeuksille käyttötarkoituksen mukaisessa käytössä
  6. §2.bKohtuudella ennakoitavien väärinkäytösten huomioiminen
  7. §2.cMarkkinoille saattamisen jälkeisen seurannan tuottamien uusien riskien arviointi
  8. §2.dRiskien lieventämistoimenpiteet – tasapaino suorituskyvyn ja käytettävyyden välillä
Velvoitteita sovelletaan 2.12.2027 (Digital Omnibus; 2.8.2026 voimassa kunnes julkaistu EU:n virallisessa lehdessä).

Usein kysytyt kysymykset

Riittääkö kertaluonteinen riskiarvio?
Ei. Art. 9 edellyttää jatkuvaa, iteratiivista prosessia koko elinkaaren ajan: arvio päivitetään, kun markkinoille saattamisen jälkeinen seuranta (Art. 72) tuottaa uutta tietoa tai järjestelmä muuttuu olennaisesti.
Kuinka monta riskiä pitää tunnistaa?
Laki ei anna lukumäärää, kattavuus ratkaisee. Käytännössä uskottava PK-yrityksen riskimatriisi sisältää tyypillisesti puolenkymmentä olennaista riskiä (syrjintä, datan vinouma, väärinkäyttö, suorituskyvyn heikkeneminen) arvioituna ja vastuutettuna, ei viittäkymmentä rivin täytettä.
Mikä on jäännösriski ja kuka sen hyväksyy?
Jäännösriski on se osa riskiä, joka jää jäljelle lievennystoimien jälkeen. Se on arvioitava ja hyväksyttävä nimenomaisesti (Art. 9(5)), käytännössä johdon allekirjoituksella, ei hiljaisesti.
Tarvitsetko nämä asiakirjat valmiina?

pkai tuottaa tämän artiklan vaatimat asiakirjat (Tekninen dokumentaatio (Annex IV), Riskienhallintasuunnitelma, Vaatimustenmukaisuuden tarkistuslista) yrityksesi tiedoilla, noin 20 minuutissa.

Katso miten pkai auttaa →
Eemil Vanhanenpkai:n perustaja. Kirjoittaa nämä oppaat ja päivittää ne lain muuttuessa, tarkistussykli 3 kuukautta.
Lähde & tarkistus. Artiklan sisältö ja sanamuoto on käyty erikseen läpi EU:n virallista tekstiä vasten. Selitys on tiedoksi eikä korvaa oikeudellista arviota. Lue virallinen teksti EUR-Lexissä →
Näytä artiklan tarkka rakenneteksti

Korkean riskin tekoälyjärjestelmälle on perustettava, toteutettava, dokumentoitava ja ylläpidettävä riskinhallintajärjestelmä jatkuvana, iteratiivisena prosessina koko elinkaaren ajan; se edellyttää säännöllistä järjestelmällistä tarkastelua ja päivitystä. Prosessiin kuuluu (2 kohta): (a) terveyteen, turvallisuuteen ja perusoikeuksiin kohdistuvien tunnettujen ja kohtuudella ennakoitavien riskien tunnistaminen ja analysointi käyttötarkoituksen mukaisessa käytössä; (b) riskien arviointi myös kohtuudella ennakoitavissa väärinkäytöksissä; (c) markkinoille saattamisen jälkeisestä seurannasta saadun datan perusteella ilmenevien riskien arviointi; (d) asianmukaisten ja kohdennettujen riskinhallintatoimenpiteiden toteuttaminen. Kunkin vaaran jäännösriskin ja kokonaisjäännösriskin on oltava arvioitavissa hyväksyttäväksi (5 kohta): (a) poistaminen/vähentäminen suunnittelulla, (b) lieventämis- ja valvontatoimet, (c) tiedottaminen Art. 13 mukaisesti. 4 kohta koskee vaatimusten yhdistettyä soveltamista ja asianmukaista tasapainoa.

Lue myös

Art. 10
Data ja datanhallinta

Mallin koulutus- ja testidatan on oltava relevanttia ja edustavaa ja vinoumat on tunnistet…

Art. 11
Tekninen dokumentaatio

Korkean riskin järjestelmästä on laadittava tekninen dokumentaatio, joka todistaa että se…

Art. 72
Markkinoille saattamisen jälkeinen seuranta

Työ ei lopu käyttöönottoon: korkean riskin tekoälyn toimintaa on seurattava järjestelmälli…

Art. 17
Laadunhallintajärjestelmä

Korkean riskin tekoälyn tarjoajalla on oltava kirjallinen laadunhallintajärjestelmä. Dokum…

← Kaikki oppaat