EU AI Act · Yleiskatsaus

EU AI Act pähkinänkuoressa

Mitä jokaisen suomalaisen yrityksen on tiedettävä tekoälyasetuksesta: riskiluokat, oma roolisi, takarajat ja viisi ensimmäistä askelta. Yhdellä sivulla, ilman juristislangia.

8 min lukuaikaAsetus (EU) 2024/1689Lakisisältö tarkistettu 9.6.2026

Mikä EU AI Act on

EU AI Act eli EU:n tekoälyasetus (EU) 2024/1689 on maailman ensimmäinen kattava tekoälylaki. Se tuli voimaan elokuussa 2024 ja sen velvoitteet astuvat sovellettaviksi vaiheittain. Olennaisin asia ensin: laki ei sääntele teknologiaa vaan käyttöä. Sama malli voi olla yhdessä käytössä vapaa, toisessa raskaasti dokumentoitava ja kolmannessa kokonaan kielletty.

Useimmille suomalaisille yrityksille laki tarkoittaa vähemmän kuin otsikoista voisi päätellä: tavallinen tekoälyn toimistokäyttö tuo lähinnä henkilöstön lukutaitovelvoitteen ja velvollisuuden varmistaa, ettei mikään käyttötapa osu kiellettyjen käytäntöjen listalle. Raskas dokumentaatiotaakka koskee vain korkean riskin järjestelmiä, ja siihen luokkaan päädytään käyttötarkoituksen, ei tekniikan, perusteella.

Toinen olennainen asia: velvoitteesi riippuvat roolistasi. Tekoälyn kehittäjällä (tarjoajalla) on eri tehtävälista kuin valmiin järjestelmän käyttöönottajalla, maahantuojalla tai jälleenmyyjällä. Siksi ensimmäinen kysymys ei ole ”mitä kaikkea laki vaatii” vaan ”mikä on meidän roolimme ja riskiluokkamme”. Loppu seuraa siitä.

Neljä riskiluokkaa

Asetus jakaa tekoälyn käytön neljään luokkaan riskin mukaan. Luokka ratkaisee kaiken: kielletystä käytöstä on luovuttava, korkea riski tuo dokumentaatiovelvoitteet, läpinäkyvyysluokka vaatii merkinnät ja loppu on käytännössä vapaata.

Riskipyramidi
Kielletyt käytännöt8 käyttötapaa, joista on luovuttava (Art. 5)
Korkea riskiLiite III -käyttötarkoitukset: täysi dokumentaatio (Art. 6)
LäpinäkyvyysvelvoitteetChatbotit ja tekoälysisältö merkitään (Art. 50)
Vähäinen riskiEi velvoitteita; vapaaehtoiset sitoumukset (Art. 95)

Korkean riskin alueet listaa liite III: biometria, kriittinen infrastruktuuri, koulutus, työllisyys ja työvoiman hallinta, elintärkeät yksityiset ja julkiset palvelut (mm. luotonanto ja vakuutus), lainvalvonta, maahanmuutto sekä oikeudenhoito. PK-yritykset osuvat listalle useimmiten rekrytoinnissa, luotonannossa ja vakuutuksissa. Tee liite III -testi, se vie vartin ja ratkaisee koko dokumentaatiotaakkasi. Jos olet rajalla, lue myös 6(3)-poikkeuksen tarkistuksesta.

Kuka vastaa mistäkin: roolit

Sama järjestelmä kulkee usein monen yrityksen kautta, ja jokaisella on omat velvoitteensa. Tarjoaja (kehittäjä tai omalla brändillä myyjä) kantaa raskaimman listan. Käyttöönottaja vastaa siitä, miten järjestelmää käytetään: ohjeiden mukainen käyttö, ihmisvalvonta, lokit ja henkilöstön informointi. Maahantuoja ja jakelija tarkistavat paperit ennen myyntiä.

Arvoketju ja vastuut
TarjoajaKehittää tai myy omalla nimellä
MaahantuojaTuo EU:n ulkopuolelta
JakelijaVälittää EU:ssa
KäyttöönottajaKäyttää liiketoiminnassa

Yksi raja kannattaa tuntea erityisen tarkasti: jos rakennat tuotteesi valmiin tekoälyn päälle ja myyt sitä omalla nimelläsi, muutat sen käyttötarkoitusta tai muokkaat sitä olennaisesti, sinusta tulee lain silmissä tarjoaja kaikkine velvoitteineen. Tämä on arvoketjun kallein yllätys, ja se koskee yhä useampaa suomalaista ohjelmistotaloa.

Aikataulu: mikä on jo voimassa

EU AI Act: soveltamisaikataulu
8/2024
Asetus voimaan
2/2025
Kielletyt käytännöt + AI-lukutaito
8/2025
GPAI-mallien velvoitteet
12/2027
Korkean riskin vaatimukset (Digital Omnibus)
8/2028
Tuoteturvasidotut järjestelmät (Digital Omnibus)
8/2024
Asetus voimaan
2/2025
Kielletyt käytännöt + AI-lukutaito
8/2025
GPAI-mallien velvoitteet
12/2027
Korkean riskin vaatimukset (Digital Omnibus)
8/2028
Tuoteturvasidotut järjestelmät (Digital Omnibus)

Kaksi asiaa on siis jo voimassa: kielletyt käytännöt ja lukutaitovelvoite ovat koskeneet jokaista yritystä helmikuusta 2025 asti. Useimmille tärkein tuleva takaraja on 2.12.2027, jolloin korkean riskin vaatimuksia aletaan soveltaa — Digital Omnibus -muutoksen mukaisesti (muutos on parlamentin hyväksymä 16.6.2026, mutta neuvoston vahvistus ja OJ-julkaisu vielä kesken). Muutos sitoo vasta kun se on julkaistu EU:n virallisessa lehdessä, joten siihen asti nykytekstin 2.8.2026 on muodollisesti voimassa, eikä siirto koske jo voimassa olevia velvoitteita. Koko aikataulu roolikohtaisine takarajoineen on aikatauluoppaassa, ja sakkokehys sanktio-oppaassa: maksimit ovat kovat (jopa 35 M€ tai 7 % liikevaihdosta kielletyistä käytännöistä), mutta PK-yritykselle sovelletaan pienempää lukua.

Viisi ensimmäistä askelta

Näin pääset liikkeelle
01Tarkista kielletytArt. 5: osuuko mikään käyttö listalle
02LuokitteleArt. 6: liite III -testi, vartti
03Tunnista roolisiTarjoaja vai käyttöönottaja
04Hoida perusteetLukutaito (4) + merkinnät (50)
05DokumentoiKorkea riski: Art. 9–17 paketti

Järjestys ei ole makuasia: kiellettyä käyttöä ei voi dokumentoida lailliseksi, ja luokitus ratkaisee, kuinka pitkä loppumatka on. Jos luokitus osoittaa korkean riskin, dokumentaatiopolku alkaa riskienhallinnasta ja jatkuu tekniseen dokumentaatioon, ihmisvalvontaan ja vaatimustenmukaisuuden arviointiin. Käyttöönottajan vastinparit ovat Art. 26 ja tarvittaessa FRIA. Nopein tapa löytää juuri sinun artiklasi on kahden minuutin suunnistus oppaiden etusivulla.

Usein kysytyt kysymykset

Koskeeko EU AI Act myös pientä yritystä?
Kyllä, laissa ei ole kokorajaa. Velvoitteiden määrä riippuu siitä, mitä tekoälyllä tehdään: tavallinen toimistokäyttö tuo lähinnä lukutaitovelvoitteen, korkean riskin käyttö (esim. rekrytointi tai luotonanto) tuo dokumentaatiovelvoitteet. Sakot suhteutetaan PK-yrityksille.
Mitä minun pitää tehdä, jos käytämme vain ChatGPT:tä tai vastaavaa?
Vähintään kaksi asiaa: huolehdi henkilöstön tekoälyn lukutaidosta (Art. 4, voimassa 2.2.2025 alkaen) ja varmista, ettei mikään käyttötapa osu kiellettyjen listalle (Art. 5). Jos tuotatte tekoälyllä asiakkaille näkyvää sisältöä tai teillä on chatbot, myös läpinäkyvyysvelvoitteet (Art. 50) koskevat teitä.
Mistä tiedän, onko järjestelmämme korkean riskin?
Ratkaiseva on käyttötarkoitus, ei teknologia: jos järjestelmä tekee tai tukee päätöksiä liitteen III alueilla (mm. rekrytointi, luotonanto, vakuutus, koulutus), olet lähtökohtaisesti korkean riskin polulla. Tarkista Art. 6 -oppaasta liitteen III lista, testi vie vartin.
Milloin velvoitteet tulevat voimaan?
Vaiheittain: kielletyt käytännöt ja lukutaito ovat olleet voimassa 2.2.2025 alkaen, GPAI-mallien velvoitteet 2.8.2025 alkaen. Korkean riskin vaatimuksia sovelletaan 2.12.2027 alkaen Digital Omnibus -muutoksen mukaisesti (muutos on parlamentin hyväksymä 16.6.2026, mutta neuvoston vahvistus ja OJ-julkaisu vielä kesken); nykytekstin 2.8.2026 on voimassa kunnes muutos julkaistaan EU:n virallisessa lehdessä.
Kun tiedät luokkasi, pkai tuottaa paperit.

Sama tietopohja, joka tuottaa nämä oppaat, tunnistaa lomakkeesta velvoitteesi ja koostaa yrityksesi dokumenttipaketin, noin 20 minuutissa.

Katso miten pkai auttaa →
Eemil Vanhanenpkai:n perustaja. Kirjoittaa nämä oppaat ja päivittää ne lain muuttuessa, tarkistussykli 3 kuukautta.
Lähde & tarkistus. Tämä yleiskatsaus tiivistää artiklakohtaiset oppaat, joiden rakenne ja sanamuoto on tarkistettu EU:n virallista tekstiä (2024/1689) vasten. Sivu on tiedoksi eikä korvaa lakimiehen oikeudellista arviota. Lue virallinen teksti EUR-Lexissä →

Jatka näistä

Art. 5
Kielletyt tekoälykäytännöt

Tietyt tekoälyn käytöt ovat EU:ssa kokonaan kiellettyjä, eikä niitä pelasta mikään dokumen…

Art. 6
Korkean riskin tekoälyjärjestelmien luokittelusäännöt

Tämä ratkaisee, onko järjestelmäsi ”korkean riskin” ja sitä myötä koko dokumentaatiotaakka…

Art. 26
Käyttöönottajien velvoitteet

Et tehnyt tekoälyä itse mutta otat sen käyttöön? Sinullakin on omat lakisääteiset velvoitt…

Art. 113
Soveltamisaikataulu

EU AI Act tulee voimaan vaiheittain: kielletyt käytännöt 2.2.2025, GPAI-mallit 2.8.2025 ja…

← Kaikki 42 opasta