EU:n tekoälylaki on saavuttamassa viimeisen vaiheen mutkikkaalla matkallaan lainsäädäntöehdotuksesta täytäntöönpanokelpoiseksi laiksi. Sitä on odotettu kauan. Laki tuli voimaan 1. elokuuta 2024, ja sen porrastettu täytäntöönpano johti lukuisiin määräaikoihin seuraavien kuukausien ja vuosien aikana. Ellei paljon julkisuutta saanutta Digitaalinen omnibus-ehdotus Euroopan parlamentti hyväksyy pian lain, mutta tärkeä määräaika on 2. elokuuta 2026.
Alueella korkean riskin järjestelmiä kehittävien tai käyttävien brittiläisten yritysten on siihen asti saatava tekoälyn hallintonsa järjestykseen. Sääntelyviranomaiset haluavat nähdä todisteita valvonnasta, eivätkä vain väitteitä vaatimustenmukaisuudesta. Joiltakin organisaatioilta tämä saattaa vaatia merkittävää kulttuurista muutosta. Mutta käytännönläheiset parhaiden käytäntöjen standardit, kuten ISO 42001, voivat auttaa heitä tässä.
Tarina niin kauas
Lain voimaantulon jälkeen useita sen osia on tullut voimaan. Merkittävimpiä ovat helmikuussa 2025 voimaan tulleet uudet henkilöstön lukutaitovaatimukset, hallintorakenteiden, kuten tekoälytoimiston ja tekoälylautakunnan, perustaminen sekä sellaisten tekoälyjärjestelmien kieltäminen, jotka aiheuttavat "hyväksymättömiä riskejä". Lain riskiperusteisen lähestymistavan mukaan tämä on kuitenkin helpoin osuus. Kun järjestelmät, jotka aiheuttavat hyväksymättömiä riskejä, on kielletty, eikä uusia sääntöjä ole asetettu niille, joiden katsotaan aiheuttavan minimaalista tai ei lainkaan riskiä (esim. roskapostisuodattimet), huomio keskittyy "rajoitettuihin" ja "korkean riskin" järjestelmiin.
Niiden, joiden riskiä pidetään vähäisenä (kuten chatbotit ja jotkut deepfake-generaattorit), on "varmistettava, että ihmiset saavat tarvittaessa tietoa luottamuksen säilyttämiseksi", Euroopan komissioMutta suurimmat vaatimustenmukaisuuteen liittyvät haasteet ovat juuri korkean riskin järjestelmissä.
Yhteensopivuusmikroskoopin alla
Kuten olemme aiemmin selitettyKorkean riskin järjestelmiä käytetään esimerkiksi biometrisessä tunnistamisessa, kriittisillä aloilla, kuten terveydenhuollossa, koulutuksessa ja työllisyydessä (joissa tekoälypäätökset voivat vaikuttaa ihmisten elämään) sekä olennaisessa infrastruktuurissa (esim. energiaverkot ja liikennejärjestelmät). Komissio mainitsee käyttötapauksina muun muassa kokeiden pisteytyksen, robottiavusteisen kirurgian, ansioluetteloiden lajittelun, luottoluokitusten laskennan sekä ohjelmistot, joita käytetään viisumipäätösten tekemiseen ja oikeuden päätösten valmisteluun.
Näihin sovelletaan tiukkoja velvoitteita ennen kuin ne voidaan saattaa markkinoille, nimittäin:
- Jatkuva riskienarviointi ja lieventäminen
- Korkealaatuiset datajoukot tekoälyn kouluttamiseen ja testaamiseen
- Yksityiskohtainen toiminnan ja dokumentaation kirjaaminen
- Selkeät tiedot, jotka on annettava käyttöönottajalle (malleja käyttäville organisaatioille)
- Asianmukainen ihmisen valvonta
- Korkeatasoinen "lujuus, turvallisuus ja tarkkuus"
Näitä velvoitteita monimutkaistavat jonkin verran palveluntarjoajille (mallikehittäjille), käyttöönottajille (käyttäjille), maahantuojille ja jakelijoille asetetut erilaiset vaatimukset. Nämä kuulostavat paperilla selkeiltä. Mutta käyttöönottaja luokitellaan palveluntarjoajaksi, jos hän olennaisesti muuttaa järjestelmän käyttötarkoitusta. Asiaa mutkistaa entisestään se, että organisaatioilla voi olla samanaikaisesti useampi kuin yksi rooli. Ajattele SaaS-yritystä, joka ottaa kolmannen osapuolen perusmallin, hienosäätää sitä ja sitten ottaa sen käyttöön asiakkaille useissa eri lainkäyttöalueissa.
Aloitetaan näkyvyydestä
Kaikki tämä tekee tekoälyn hallinnasta ehdottoman tärkeää. Mutta mitä parhaiden käytäntöjen strategian tulisi sisältää näillä nopeasti kehittyvillä markkinoilla? PSE Consultingin toimitusjohtaja Chris Jonesin mielestä näkyvyyden tulisi olla ensisijainen prioriteetti.
”Monet yritykset käyttävät tekoälyä jo pienimuotoisesti, hajautetusti eri toimintojen välillä, mutta hyvin harvoilla on selkeä käsitys siitä, missä se sijaitsee, mihin päätöksiin se vaikuttaa ja kuuluuko se korkean riskin luokkaan”, hän kertoo IO:lle (entinen ISMS.online). ”Lähtökohtana tulisi olla tekoälyn käyttötapausten jäsennelty tarkastelu, niihin liittyvien riskien vastuullisuus ja se, miten nämä riskit liittyvät takaisin olemassa oleviin velvoitteisiin GDPR:n ja NIS2:n kaltaisten kehysten nojalla.”
Tässä kohtaa vaatimustenmukaisuus voi mutkistua päällekkäisten velvoitteiden vuoksi, sanoo Bizzdesignin strategiajohtaja Nick Reed.
”Esimerkiksi tekoälyjärjestelmä, joka käsittelee henkilötietoja kriittisen infrastruktuurin yhteydessä, voi samanaikaisesti käynnistää GDPR-, NIS2- ja tekoälylain velvoitteet. Kun organisaatiot käsittelevät näitä erillisinä vaatimustenmukaisuuspolkuina, ne tekevät päällekkäistä työtä ja saattavat unohtaa yhteiset piirteet, jotka mahdollistavat paljon suuremman tehokkuuden vaatimustenmukaisuuden hallinnassa”, hän kertoo IO:lle.
”Tämän ratkaiseminen edellyttää rakenteellista näkyvyyttä koko yrityksessä. Organisaatiot tarvitsevat yhtenäisen näkemyksen siitä, miten tekoäly, liiketoiminta, data ja kriittiset järjestelmät kohtaavat; ei vain yksittäisten sääntelykontekstien sisällä, vaan kaikissa niissä. Yritysarkkitehtuuri tarjoaa jaetun koko yrityksen laajuisen semanttisen mallin, joka yhdistää tekoälyjärjestelmät niiden koskettamiin ominaisuuksiin, prosesseihin, dataan, kolmansiin osapuoliin ja velvoitteisiin tavalla, joka mahdollistaa koordinoidun hallinnon sen sijaan, että toteutettaisiin pirstaloituneet ja päällekkäiset aloitteet.”
Seuraava askel vaatimustenmukaisten organisaatioiden on ymmärtää asemansa tekoälyn toimitusketjussa.
”Monet organisaatiot olettavat olevansa vain tekoälyn käyttäjiä, mutta käytännössä ne saattavat toimia integraattoreina tai jakelijoina, kun ne mukauttavat tai upottavat malleja omiin palveluihinsa”, sanoo PSE Consultingin Jones. ”Tämä muuttaa heidän velvoitteitaan ja riskialtistustaan, joten näiden roolien kartoittaminen varhain on olennaista.”
Bizzdesignin Reed on samaa mieltä ja väittää, että näkyvyydestä tulee jälleen kerran elintärkeää.
”Roolin määrittämiseksi ja riskialtistuksen arvioimiseksi organisaatioiden on nähtävä, miten tekoälyjärjestelmät kytkeytyvät laajempaan yritykseen: mitä liiketoimintaominaisuuksia ne tukevat, mitä prosesseja ne mahdollistavat, mitä tietoja ne käyttävät ja mitkä toimittajat niitä toimittavat”, hän sanoo.
”Ilman tätä yhdistettyä näkökulmaa roolien luokittelu on vaarassa perustua mielipiteisiin eikä faktoihin. Testi tulee vastaan, kun jokin muuttuu. Jos toimittajan työkalu luokitellaan uudelleen riskialttiiksi tai vedetään pois markkinoilta, voitko vastata välittömästi kysymykseen, mitkä prosessit ovat siitä riippuvaisia, mitä tietoja se koskee, onko vaihtoehtoja olemassa ja kuinka nopeasti voisit toimia?”
Kypsä lähestymistapa ISO 42001 -standardin avulla
Reed jatkaa, että organisaatioiden on omaksuttava jäsennelty ja johdonmukainen lähestymistapa hallintoon voidakseen rakentaa ketteryyttä, jota ne tarvitsevat pysyäkseen vaatimustenmukaisina sääntelymuutosten, toimittajien uudelleenluokittelun ja strategisten muutosten keskellä. Tässä ISO 42001 -standardi voi auttaa.
”Se virallistaa odotukset riskienhallinnasta, dokumentoinnista, valvonnasta ja jatkuvasta parantamisesta koko tekoälyn elinkaaren ajan”, hän sanoo. ”Organisaatioille, jotka navigoivat EU:n tekoälylain sekä GDPR:n ja NIS2:n kanssa, viitekehykset, kuten ISO 42001, auttavat muuttamaan sääntelyvaatimukset toistettaviksi prosesseiksi, joita vaatimustenmukaisuus- ja riskitiimit voivat ottaa käyttöön luottavaisin mielin.”
Nik Kairinos, RAIDS AI:n toimitusjohtaja ja yksi perustajista, jakaa käytännöllisempiä syitä, miksi ISO 42001 voi auttaa.
”EU on kehittänyt luonnoksen eurooppalaiseksi standardiksi, joka käsittelee erityisesti lain 17 artiklan vaatimuksia, jotka edellyttävät laadunhallintajärjestelmiä (QMS) korkean riskin tekoälyn tarjoajilta:” prEN 18286 (Tekoäly – Laadunhallintajärjestelmä EU:n tekoälylain sääntelytarkoituksiin)”, hän kertoo IO:lle.
”Organisaatioilla, joilla on voimassa oleva ISO 42001 -sertifiointi, on merkittävä etumatka EU:n tekoälylain noudattamisessa, sillä se tarjoaa prEN 18286 -standardin operatiivisen perustan. Vaatimustenmukaisuusolettaman perusteella prEN 18286 -standardia käyttöön ottavat organisaatiot voivat olettaa täyttävänsä artiklan 17 mukaiset velvoitteet – joten yritysten on keskityttävä juuri tähän.”
Tavoitteena ei pitäisi olla aloittaa tyhjästä, vaan pikemminkin laajentaa olemassa olevia asiaankuuluvia valvonta- ja varmistusmalleja tekoälyalueelle, sanoo PSE Consultingin Jones.
”Organisaatiot, jotka sopeutuvat parhaiten, ovat ne, jotka kohtelevat luotettavaa tekoälyä operatiivisena kurinalaisuuden periaatteena pikemminkin kuin vaatimustenmukaisuuden harjoituksena”, hän päättelee. ”Jos tiedät, missä tekoälysi on, kuka sen omistaa ja miten se käyttäytyy, kun asiat menevät pieleen, olet jo päässyt pitkälle kohti asetuksen tarkoituksen täyttämistä.”
Koska mahdolliset rikkomussakot voivat nousta 15 miljoonaan euroon (13 miljoonaan puntaan) tai 3 prosenttiin maailmanlaajuisesta vuotuisesta liikevaihdosta, ei ole aikaa odottaa.
