EU:n tekoälylaki on jo voimassa, seuraamukset ovat jo aktiivisia, eivätkä useimmat yritykset voi luokitella omia tekoälyjärjestelmiään. Hallintoaukko ei ole enää teoreettinen, vaan se on taseessa oleva velvoite.
Viimeisten kolmen vuoden ajan hallitukset ovat innokkaasti ottaneet tekoälyä käyttöön rekrytoinnissa, luottopäätöksissä, asiakaspalvelussa, operatiivisessa toiminnassa ja strategiassa. Useimmat ovat tehneet niin rakentamatta hallintoarkkitehtuuria sen hallitsemiseksi. Nyt sääntelykehys on saapunut, ja se on tullut voimalla.
Osia EU:n tekoälylaista on jo voimassa. Hyväksymättömiä tekoälykäytäntöjä koskevat kiellot tulivat voimaan helmikuussa 2025. Yleiskäyttöisten tekoälymallien tarjoajille määrätyt rangaistukset otettiin käyttöön elokuussa 2025. Korkean riskin tekoälyjärjestelmiä koskevien säännösten täysimääräinen täytäntöönpano tulee nyt voimaan vaiheittain elokuun ja joulukuun 2027 välisenä aikana. Aikaikkuna tähän ja siihen asti ei ole hengähdystauko. Kyse on koko kiitoradasta.
Silti valmiuskuilu on silmiinpistävä. Sovelletun tekoälyn tutkimuksessa, joka käsitti 106 yritysten tekoälyjärjestelmää, havaittiin, että 40 % niistä ei pystynyt selkeästi määrittämään omaa riskiluokitustaan lain nojalla. Perusvaihe vaatimustenmukaisuusprosessissa on edelleen kesken suuressa osassa yritysten käyttöönottoja. Suurin osa johtotason johtajista nimeää nyt sääntelyn noudattamatta jättämisen ensisijaiseksi tekoälyyn liittyväksi huolenaiheekseen. Jäljelle jäävä tekijä on operatiivinen reagointi.
Tämä on ongelman ydin. Tekoälyinvestoinnit ovat todellisia. Kilpailupaine niiden käyttöönotosta on todellista. Sääntelyvelvoite on nyt todellinen. Se, mikä ei ole pysynyt vauhdissa, on hallinto.
Kuilu, josta kukaan ei puhu
Useimmat yritysten tekoälykeskustelut keskittyvät edelleen kyvykkyyksiin ja investointeihin. Keskustelu hallinnosta on jäänyt jälkeen, ja seuraukset tuntuvat jo.
IO:n tietoturvaraportin tiedot osoittavat, että 79 % organisaatioista on ottanut käyttöön tekoälyn tai koneoppimisen viimeisen 12 kuukauden aikana, ja lisäksi 19 % suunnittelee tekevänsä niin. Tämä tekee tekoälyn käyttöönotosta lähes yleismaailmallista. Tästä johtuva hallintokuilu on entistäkin akuutimpi: 37 % organisaatioista raportoi työntekijöidensä käyttävän generatiivista tekoälyä ilman lupaa.
IBM:n lisätutkimukset osoittavat, että varjotekoälyyn liittyvät tapaukset muodostivat 20 % viimeisen vuoden aikana tapahtuneista tietomurroista, ja 11 % tietomurron kohteena olleista organisaatioista ei ollut varma, oliko heillä ollut varjotekoälytapaus. Tällä on suora vaikutus tekoälylain noudattamiseen: kun työntekijät ottavat tekoälyä käyttöön ilman organisaation tietämystä, organisaatio saattaa käyttää korkean riskin tekoälyjärjestelmiä, joita se ei voi luokitella, valvoa eikä todistaa hallinnointia. Lain mukaan tämä on käyttöönottajan vastuulla.
Et voi hallita sitä, mitä et näe. Ja useimmat organisaatiot eivät vielä näe kaikkea tekoälyään.
Tämä ongelma ei ole vain yhdessä liiketoiminnan osassa. EU:n tekoälylaki luo samanaikaisia velvoitteita tietoturvan, tietosuojan ja tekoälyn hallinnan aloilla. Kaikki henkilötietoja käsittelevät tekoälyjärjestelmät kuuluvat sekä lain että GDPR:n piiriin. Kaikki rekrytointiin, luottoihin tai asiakaspäätöksiin upotetut järjestelmät sisältävät käyttöönottajan velvoitteita riippumatta siitä, onko se rakennettu itse vai hankittu toimittajalta. Toimittajasopimuksissa on nyt jaettava tekoälyn vaatimustenmukaisuuteen liittyvät vastuut. Tekoälyn hallinnan toimitusketju on organisaation vastuulla.
Useimmissa organisaatioissa nämä toiminnot pidetään erillisissä huoneissa, joissa käydään erillisiä keskusteluja. Juuri tämä pirstaloituminen on rakenteellinen haavoittuvuus, jonka laki paljastaa.
Asetus ulottuu pidemmälle kuin useimmat lautakunnat tällä hetkellä ymmärtävät
Rangaistusrakenne on merkittävä: vakavimmista rikkomuksista sakot ovat jopa 35 miljoonaa euroa tai 7 prosenttia maailmanlaajuisesta vuotuisesta liikevaihdosta, mikä ylittää jopa GDPR:n.
Laissa säädetään ylimmän johdon henkilökohtaisesta vastuusta. Ja sen soveltamisala on ekstraterritoriaalinen. Kaikki organisaatiot, joiden tekoälyjärjestelmät vaikuttavat käyttäjiin tai markkinoihin EU:ssa, kuuluvat sen soveltamisalaan pääkonttorista riippumatta. Lontoo, New York, Singapore: jos tekoälysi koskee EU:ta, sinulla on velvollisuus. Yhdistyneen kuningaskunnan yrityksille, jotka toimivat olettaen, että Brexitin jälkeinen sääntelyyn perustuva etäisyys tarjoaa minkäänlaista suojaa, se ei tarjoa sitä.
Velvollisuus seuraa järjestelmää, ei lippua.
Aikajana on sekvenssi, ei yksi tuleva päivämäärä. Kiellot ovat jo voimassa. Yleiskäyttöiset tekoälyrangaistukset ovat jo aktiivisia. Joulukuu 2027 ei ole kaukainen määräaika. Integroidun hallintoinfrastruktuurin rakentaminen eri toimintoihin, jotka tällä hetkellä toimivat itsenäisesti, eri sykleissä ja eri työkaluilla, vie enemmän aikaa kuin useimmilla reaktiivisia vaatimustenmukaisuusohjelmia toteuttavilla organisaatioilla on jäljellä.
Miksi valintaruutumalli ei toimi
Perinteinen vaatimustenmukaisuuteen reagointitapa; riskinarviointiasiakirjan laatiminen, käytäntövastaavan nimeäminen ja vuosittaisen tarkastuksen aikatauluttaminen, ei toimi. Lain vaatimukset ovat teknisiä ja toiminnallisia. Tekoälyjärjestelmiä on jatkuvasti seurattava, kirjattava ja testattava nykyistä suorituskykyä vasten. Mallit ajautuvat. Koulutusdata vanhenee. Käyttöönottokontekstit muuttuvat. Säännöllisten tarkistusten ympärille suunniteltu hallintomalli ei pysy vauhdissa mukana.
IO-tiedot osoittavat tämän laajuuden selvästi. 54 % vastaajista sanoo ottaneet tekoälyteknologian käyttöön liian nopeasti ja kohtaavat nyt haasteita sen käytön vähentämisessä tai vastuullisemmassa käyttöönotossa. Vain 21 % mainitsee tekoälyn vastuullisen käytön käytäntöjen laatimisen prioriteettina tulevalle vuodelle. Kontrasti on silmiinpistävä: lähes universaali käyttöönotto, minimaalinen hallintoprioriteetti.
Pohjimmiltaan mikään yksittäinen toiminto ei omista koko lain tarkastelemaa vaatimustenmukaisuuspinta-alaa. Lakitiimi, joka käsittelee vain yksityisyyden suojaa uhkaa, jättää tietoturva- ja tekoälyriskit paljaiksi. Tietoturvajohtaja, joka käsittelee vain tietoturvaa, jättää luokittelun ja tiedonhallintaa paljastamatta. Tuotetiimi, joka käsittelee vain tekoälyriskiä, ei näe omistamiensa järjestelmien yksityisyyden tai tietoturvan tilannetta. Erilaiset vastaukset toimintojen välisiin määräyksiin eivät johda osittaiseen vaatimustenmukaisuuteen. Ne luovat illuusion vaatimustenmukaisuudesta, ja juuri tätä illuusiota sääntelyviranomaiset haluavat testata.
Resilienssisilmukka
Tämä on seikka, joka erottaa aitoa resilienssiä rakentavat organisaatiot erillisiä velvoitteita hallinnoivista organisaatioista: tekoälyn hallintaa ei voida käsitellä erillään tietoturvasta ja tietosuojasta, koska käytännössä nämä riskit ovat erottamattomia.
Resilienssisilmukka eli tietoturvan, tietosuojan ja tekoälyn hallinnan jatkuva ja yhtenäinen hallinta yhtenä integroituna järjestelmänä on arkkitehtoninen vastaus tähän todellisuuteen. Sellainen, joka luo selkeän yleiskuvan riskeistä ja niiden lieventämiskeinoista, mukautuu uusiin sääntelyvaatimuksiin ja tarjoaa osoitettavissa olevan ja auditoitavan resilienssin, jota sääntelyviranomaiset, sijoittajat ja yritysasiakkaat yhä enemmän vaativat.
Kolme aluetta, jotka EU:n tekoälylaki aktivoi samanaikaisesti, ovat juuri ne kolme aluetta, jotka resilienssisilmukka yhdistää. Tällä tavalla jo toimivan organisaation ei tarvitse jälkiasentaa tekoälylain noudattamista olemassa oleviin ohjelmiinsa. Infrastruktuuri on jo olemassa ja se kattaa koko sääntelyn tarkasteleman toimintojen välisen alueen.
Organisaatiot, jotka eivät ole vielä tehneet tätä muutosta, eivät kohtaa dokumentaatioaukkoa. Ne kohtaavat arkkitehtuuriaukon.
Kilpailutapaus
Säännellyt sektorit, kuten rahoituspalvelut, terveydenhuolto ja kriittinen infrastruktuuri, kiihdyttävät tekoälyn hallintavaatimuksia toimittajille ja kumppaneille. Yritysten hankintoihin sisältyy yhä enemmän tekoälyn hallinnan arviointeja. Institutionaaliset sijoittajat alkavat käsitellä tekoälyn valvonnan kypsyyttä osana riskinarviointiaan.
IO-tiedot viittaavat siihen, mitä jo tapahtuu. Vastaajat raportoivat, että suurimmat vaatimustenmukaisuuden tuoton kasvut tulivat parantuneesta liiketoiminnan päätöksenteosta, asiakaspysyvyydestä ja uusista myyntimahdollisuuksista, ja nämä parannukset ovat vahvistuneet huomattavasti vuosi vuodelta. Kaava on johdonmukainen: organisaatiot, jotka siirtyvät integroituun hallintaan aikaisin, vetäytyvät pois niistä, jotka vielä hallinnoivat vaatimustenmukaisuutta reaktiivisesti, ei siksi, että hallinta itsessään olisi kilpailuetu, vaan koska sen rakentama infrastruktuuri mahdollistaa olemassa olevien ominaisuuksien nopeamman ja varmemman käyttöönoton.
Tekoälylaki ei ole katto sille, mitä hallinto vaatii. Se on pohja.
Ikkuna on lyhyempi kuin useimmat taulut tällä hetkellä ymmärtävät
Joulukuu 2027 on rajapyykki korkean riskin tekoälyjärjestelmille. Integroidun hallintoinfrastruktuurin rakentaminen kyseisen määräajan saavuttamiseksi ei ole projekti, joka alkaa vuoden 2026 kolmannella neljänneksellä. Se alkaa nyt.
Tässä ajassa toimivat organisaatiot siirtyvät valvontavalmiuteen vahvuusasemasta. Odottavat joutuvat tekemään jälkiasennuksia paineen alla, ja määräaika on jo näkyvissä jokaisen sääntelyviranomaisen näköpiirissä.
Kysymys, joka jokaisen hallituksen tulisi kysyä, ei ole, pitäisikö toimia. Kysymys on, onko vielä aikaa. Ja vastaus on toistaiseksi kyllä.
Laajenna tietosi
Webseminaari: ISO 42001 käytännössä: Oppitunteja yhdestä maailman ensimmäisistä ISO 42001 -sertifioinneista
