EU:n tekoälylain määräaikaa korkean riskin tekoälyn pakolliselle noudattamiselle, 2. elokuuta 2026, on lykätty. Äskettäin hyväksytyn lain toimenpiteet EU:n digitaalinen omnibus-paketti tekoälyä koskevat vaatimukset lykkäävät tiettyjä vaatimuksia 2. joulukuuta 2027 asti ja toisia 2. elokuuta 2028 asti.
Euroopan komissio ilmoitti, että korkean riskin järjestelmiä koskevien sääntöjen uusi täytäntöönpanoaikataulu "helpottaa tekoälylain täytäntöönpanoa eurooppalaisille yrityksille ja varmistaa samalla hyödyt eurooppalaiselle yhteiskunnalle, turvallisuudelle ja perusoikeuksille".
Mitkä velvoitteet ovat muuttuneet digitaalisen omnibusin myötä, mitkä ovat pysyneet samoina, ja miten organisaatiot voivat varmistaa vaatimustenmukaisuuden ennen uusia määräaikoja?
Mitä digitaalinen omnibus muuttaa?
Digitaalinen kokonaispaketti sisältää EU:n tekoälylain kohdennettuja yksinkertaistamistoimenpiteitä, mukaan lukien:
- Pk-yrityksille myönnettyjen sääntelyn yksinkertaistusten laajentaminen koskemaan myös pk-yrityksiä, mukaan lukien yksinkertaistettu tekninen dokumentaatio ja erityishuomio seuraamusten soveltamisessa
- Yhdenmukaistetun markkinoille saattamisen jälkeisen seurantasuunnitelman määräämisen poistaminen
- Rekisteröintitaakan keventäminen sellaisten tekoälyjärjestelmien tarjoajille, joita käytetään riskialttiilla alueilla, mutta joiden osalta tarjoaja on todennut, että ne eivät ole riskialttiita, koska niitä käytetään vain kapeisiin tai prosessuaalisiin tehtäviin
- Tekoälypalveluntarjoajien ja -käyttöönottajien salliminen käsitellä erityisiä henkilötietoluokkia algoritmisen vinouman havaitsemiseksi ja korjaamiseksi
- Tekoälyn sääntelytestausympäristöjen ja reaalimaailman testauksen laajempi käyttö sekä EU-tason tekoälyn sääntelytestausympäristön helpottaminen, jonka tekoälytoimisto perustaa vuonna 2028
- Kohdennetut muutokset, joilla selvennetään EU:n tekoälylain ja muun EU-lainsäädännön välistä vuorovaikutusta ja mukautetaan lain menettelyjä sen yleisen täytäntöönpanon ja toiminnan parantamiseksi.
Komissio valmistelee myös lisäohjeita EU:n tekoälylain noudattamisen helpottamiseksi. Ohjeissa keskitytään tarjoamaan selkeät ja käytännölliset ohjeet tekoälylain soveltamiseksi rinnakkain muun EU-lainsäädännön kanssa. Uudet soveltamispäivät kytkevät velvoitteiden määräajat tämän ohjeistuksen saatavuuteen.
EU:n tekoälylain avoimuusvelvoitteiden noudattaminen
Äskettäin julkaistu Käytännesäännöt tekoälyn tuottaman sisällön läpinäkyvyydestä käsitellään keskeisiä näkökohtia tekoälyjärjestelmien tarjoajille ja käyttöönottajille, jotka tuottavat lain 50 artiklan, tiettyjen tekoälyjärjestelmien tarjoajien ja käyttöönottajien avoimuusvelvoitteet, soveltamisalaan kuuluvaa sisältöä. Säännön tarkoituksena on tukea organisaatioita osoittamaan vaatimustenmukaisuus, mutta se ei sinänsä ole ratkaiseva näyttö velvoitteiden noudattamisesta.
Tulevien vaatimusten mukaisesti tekoälyjärjestelmien tarjoajien, joiden tarkoituksena on olla suoraan vuorovaikutuksessa yksilöiden kanssa, on suunniteltava nämä järjestelmät siten, että ne ilmoittavat käyttäjille, että he ovat vuorovaikutuksessa tekoälyjärjestelmän kanssa. Esimerkiksi asiakastuen chatbotin tulisi olla suunniteltu ilmoittamaan käyttäjille, että se on chatbot.
Lisäksi tekoälyn tuottaman sisällön läpinäkyvyyttä koskevissa käytännesäännöissä määritellään erityisvaatimukset tekoälyjärjestelmille, jotka tuottavat synteettistä tekstiä, kuvia, videota, ääntä tai näiden muotojen yhdistelmää. Näiden järjestelmien tarjoajien ja käyttöönottajien on käytettävä koneellisesti luettavia muotoja merkitäkseen tuotokset tekoälyn tuottamiksi tai manipuloiduiksi. Tekoälyn tuottamien tai manipuloitujen syväväärennösten ja yleistä etua koskevissa asioissa julkaistujen tekstien merkitsemiseen on olemassa erityisiä sääntöjä.
Korkean riskin tekoälyjärjestelmien nykyiset vaatimukset
Tekoälyjärjestelmiä pidetään EU:n tekoälylain mukaan riskialttiina, jos ne aiheuttavat merkittävän uhan terveydelle, turvallisuudelle tai perusoikeuksille tai jos niitä käytetään esimerkiksi biometriikassa, koulutuksessa, työllisyydessä tai kriittisessä infrastruktuurissa.
Korkean riskin luokiteltujen järjestelmien on täytettävä tietyt vaatimukset:
Riskienhallinta: Tekoälyn valvomiseksi koko sen elinkaaren ajan on otettava käyttöön jatkuva riskienhallintajärjestelmä.
Tietohallinto: Tiedonhallintakäytäntöjä on käytettävä sen varmistamiseksi, että koulutus-, validointi- ja testaustiedot täyttävät tietyt laatukriteerit.
Tekninen dokumentaatio: Korkean riskin tekoälyjärjestelmien tarjoajien on ylläpidettävä järjestelmää koskevaa kattavaa teknistä dokumentaatiota, mukaan lukien suunnittelutiedot, ominaisuudet, rajoitukset ja sääntelyn noudattamiseen tähtäävät toimet.
Kirjanpito: Korkean riskin tekoälyjärjestelmien on kirjattava tapahtumat automaattisesti vastuullisuuden ja jäljitettävyyden varmistamiseksi.
Ihmisten valvonta: Korkean riskin tekoälyjärjestelmät on suunniteltava siten, että ihmiset voivat valvoa niitä ja minimoida terveyteen, turvallisuuteen ja perusoikeuksiin kohdistuvat riskit. Palveluntarjoaja voi rakentaa järjestelmään ihmisen valvontaa varten tarvittavat toimenpiteet tai käyttäjä voi toteuttaa ne.
Tarkkuus, kestävyys ja kyberturvallisuus: Korkean riskin tekoälyjärjestelmät on suunniteltava ja kehitettävä siten, että ne saavuttavat asianmukaisen tarkkuuden, kestävyyden ja kyberturvallisuuden tason.
Vaatimustenmukaisuuden arvioinnit: Korkean riskin tekoälyjärjestelmien on tehtävä vaatimustenmukaisuuden arvioinnit sen varmistamiseksi, että ne täyttävät oikeudelliset, tekniset ja eettiset standardit ennen niiden saattamista markkinoille tai käyttöönottoa.
Rekisteröinti: Korkean riskin tekoälyjärjestelmien tarjoajien on rekisteröidyttävä itsensä ja järjestelmänsä keskitettyyn EU:n tietokantaan ennen järjestelmiensä saattamista markkinoille tai käyttöönottoa.
CE -merkintä: Korkean riskin tekoälyjärjestelmissä on oltava CE-merkintä osoituksena siitä, että tuote täyttää EU:n turvallisuusstandardit, ja merkinnän on oltava selvästi näkyvissä. Jos CE-merkintää ei voida fyysisesti sijoittaa järjestelmään, se tulisi sisällyttää pakkaukseen tai dokumentaatioon.
EU:n tekoälylain vaatimustenmukaisuuden varmistaminen ISO 42001 -standardin avulla
Uusi aikataulu tarjoaa kaikille riskialttiiden tekoälyjärjestelmien tarjoajille tai käyttöönottajille, jotka ovat vasta aloittamassa lain mukaisten velvoitteidensa täyttämistä, pidennettyä lisäaikaa älykkään ja jäsennellyn lähestymistavan omaksumiseen tekoälyn hallintaan.
Täällä ISO 42001 tarjoaa parhaiden käytäntöjen kehyksen. Monet standardin vaatimuksista ovat yhdenmukaisia EU:n tekoälylain vaatimusten kanssa: riskiluokitus, läpinäkyvyystoimenpiteet, vastuuvelvollisuusrakenteet ja ihmisen suorittama valvonta. ISO 42001 -standardin noudattaminen ei kuitenkaan takaa EU:n tekoälylain noudattamista ja päinvastoin.
ISO 42001 -standardi tarjoaa loogisen lähestymistavan tekoälyn hallintaan, jonka avulla organisaatiot voivat rakentaa eettisen ja kestävän tekoälynhallintajärjestelmän (AIMS). Ottamalla käyttöön ISO 42001 -standardin organisaatiot voivat varmistaa, että tekoälyjärjestelmiä kehitetään, otetaan käyttöön ja käytetään tavalla, joka asettaa etusijalle turvallisuuden, läpinäkyvyyden ja vastuullisuuden – kaikki lain keskeiset periaatteet.
ISO 42001 -viitekehyksen käyttäminen ja sen yhdistäminen EU:n tekoälylain vaatimuksiin antaa korkean riskin tekoälyjärjestelmien tarjoajille ja käyttöönottajille mahdollisuuden ottaa käyttöön vankan hallinnon ja puuttua ennakoivasti lain vaatimuksiin ISO 42001 -standardin soveltamisalan ulkopuolella varmistaen vaatimustenmukaisuuden ennen vuoden 2027 määräaikaa.
Laajenna tietosi
Webseminaari: ISO 42001 käytännössä: Oppitunteja yhdestä maailman ensimmäisistä ISO 42001 -sertifioinneista
Blogi: Tärkeän EU:n tekoälylain määräaika lähestyy: Tässä on mitä yritysten on tiedettävä
