Mitä sisältää uusi EU:n tekoälylaki ja yleiskäyttöiset tekoälyn käytännesäännöt?

Mitä sisältää uusi EU:n tekoälylaki, yleiskäyttöiset tekoälyn käytännesäännöt?

Christie Raen kirjoittama • 15 syyskuu 2025

RFID lukija NFC lukija EU:n tekoälylakiensimmäiset säännökset, kuten kiellettyjä tekoälykäytäntöjä koskevat säännökset, tulivat voimaan helmikuussa 2025. Vaatimusten vaiheittainen käyttöönotto jatkuu elokuuhun 2027 asti, jolloin kaikkien järjestelmien on täytettävä lain velvoitteet. Tässä kuussa tekoälytoimisto julkaisi yleiskäyttöisen tekoälyn käytännesäännöt yleiskäyttöisten tekoälymallien (GPAI) ja systeemiriskin sisältävien GPAI-mallien tarjoajille.

Riippumattomien asiantuntijoiden laatima vapaaehtoinen työkalu, jonka tarkoituksena on auttaa GPAI-mallien tarjoajia noudattamaan lain mukaisia velvoitteitaan. Allekirjoittajien on julkaistava yhteenvedot koulutusdatasta, vältettävä tekijänoikeuksin suojatun sisällön luvatonta käyttöä ja luotava sisäisiä puitteita riskien seuraamiseksi. Säännöstö toimii ohjeena EU:n tekoälylain 53 ja 55 artiklassa esitettyjen velvoitteiden noudattamisen osoittamiseksi, vaikka sen noudattaminen ei olekaan lopullinen todiste säännösten noudattamisesta.

Se koostuu kolmesta luvusta: Läpinäkyvyys, Tekijänoikeudet sekä Turvallisuus. Tässä blogissa tutkimme käytännesäännöissä esiteltyjä kolmea lukua ja esittelemme organisaatioille seuraavat vaiheet.

Käytännesäännöissä käytetyt keskeiset termit

Systeeminen riski: EU:n tekoälylaki määrittelee systeemisen riskin erityiseksi vaikuttaville ominaisuuksille – malleilla, jotka on koulutettu yli 10^25 liukulukulaskutoimituksen kumulatiivisella laskentamäärällä, on vaikuttavia ominaisuuksia.

Sitoumukset: Käytännesääntöjen allekirjoittajien velvoitteet, kuten:

Dokumentaatio
Huippuluokan turvallisuuskehyksen käyttöönotto.

Toimenpiteet: Allekirjoittajien erityiset toimenpiteet sitoumusten mukaiseksi ja käytännesääntöjen velvoitteiden noudattamiseksi, esim.:

Mallidokumentaation ajan tasalla pitäminen
Turvallisuuskehyksen luominen.

EU:n tekoälylaki GPAI:n käytännesäännöt – avoimuus

Läpinäkyvyysluku sisältää yhden sitoumuksen – dokumentoinnin – ja kolme toimenpidettä (1.1, 1.2 ja 1.3) GPAI-mallien ja systeemiriskin sisältävien GPAI-mallien tarjoajien toimittamien tietojen läpinäkyvyyden, eheyden ja merkityksellisyyden varmistamiseksi.

Allekirjoittajien on dokumentoitava kaikki mallidokumentaatiolomakkeessa mainitut tiedot, jotka on kuvattu alla, ja heidän tulee päivittää mallidokumentaatio vastaamaan asiaankuuluvia muutoksia. Yritysten on myös säilytettävä mallidokumentaation aiempia versioita enintään 10 vuotta.

Läpinäkyvyyden varmistamiseksi organisaatioiden on myös luovutettava yhteystiedot, jotta tekoälytoimisto voi pyytää tarvittavia tietoja. Niiden on toimitettava ajantasaista lisätietoa pyydettäessä kohtuullisessa ajassa ja viimeistään 14 päivän kuluessa pyynnön vastaanottamisesta.

Organisaatioiden on varmistettava, että niiden toimittamien tietojen laatua ja eheyttä valvotaan ja että ne säilytetään todisteena vaatimustenmukaisuudesta.

Mikä on mallidokumentaatiolomake?

Läpinäkyvyyttä koskevaan lukuun sisältyy mallidokumentaatiolomake, jonka avulla palveluntarjoajat voivat dokumentoida tarvittavat tiedot EU:n tekoälylain velvoitteen mukaisesti varmistaa riittävä läpinäkyvyys. Lomakkeessa ilmoitetaan kunkin kohdan osalta, onko tiedot tarkoitettu alavirran palveluntarjoajille, tekoälyvirastolle vai kansallisille toimivaltaisille viranomaisille.

Mallidokumentaatiolomakkeessa annettujen tietojen vastaanottajien on kunnioitettava tietojen luottamuksellisuutta EU:n tekoälylain 78 artiklan mukaisesti ja varmistettava, että tietoturvallisuuden ja luottamuksellisuuden suojaamiseksi on käytössä kyberturvallisuustoimenpiteet.

EU:n tekoälylaki GPAI Code of Practice – Tekijänoikeus

Käytännesääntöjen toinen luku käsittelee tekijänoikeuksia ja sisältää yhden sitoumuksen – tekijänoikeuspolitiikan – sekä viisi toimenpidettä, jotka allekirjoittajien on toteutettava varmistaakseen tekijänoikeuksia ja lähioikeuksia koskevan EU:n lainsäädännön noudattamisen EU:n tekoälylain 53 artiklan mukaisesti.

Yleisesti ottaen tämä luku sisältää:

Tekijänoikeuskäytännön laatiminen
Toimenpiteet EU:n tekijänoikeuspolitiikan ja oikeuksien varaumien noudattamiseksi
Tekijänoikeusrikkomusten riskin lieventäminen tekoälymallien tuotoksissa
Yhteyspisteen perustaminen oikeudenhaltijoiden kanssa viestimistä ja valitusten tekemistä varten.

Tämän luvun vaatimusten täyttämiseksi allekirjoittajien on otettava käyttöön ja päivitettävä johdonmukaisesti tekijänoikeuskäytäntö EU:n markkinoille saattamilleen GPAI-malleille ja ylläpidettävä tätä käytäntöä yhdessä asiakirjassa. Heidän on myös varmistettava, että he jakavat organisaatiossaan vastuut tekijänoikeuskäytännön toteuttamisesta ja ylläpidosta.

Käytännesääntöjen mukaiseksi toimimaan pyrkivien organisaatioiden on myös varmistettava, että ne kopioivat ja poimivat internetissä indeksoidessaan vain laillisesti saatavilla olevaa tekijänoikeuksin suojattua sisältöä. Tämä tarkoittaa sellaisten verkkosivustojen poissulkemista, joiden EU:n tuomioistuimet tai viranomaiset ovat todenneet loukkaavan tekijänoikeuksia. Näiden verkkosivustojen luettelo julkaistaan tämän tueksi.

Tämän mukaisesti organisaatioiden on noudatettava oikeuksien varauksia internetin indeksoinnissa esimerkiksi käyttämällä hakurobotteja, jotka lukevat ja noudattavat verkkosivuston robots.txt-tiedostossa ilmaistuja ohjeita. Tiedostossa ilmoitetaan sivuston alueet, joihin hakuroboteilla on oikeus päästä. Lisäksi organisaatioiden tulisi tunnistaa ja noudattaa muita asianmukaisia koneellisesti luettavia protokollia oikeuksien varausten ilmaisemiseksi.

EU:n tekoälylaki GPAI:n käytännesäännöt – turvallisuus ja suojaus

Käytännesääntöjen kolmas ja viimeinen luku on perusteellisin. Siinä esitetään käytäntöjä systeemisten riskien hallitsemiseksi ja palveluntarjoajien tukemiseksi EU:n tekoälylain velvoitteiden noudattamisessa systeemistä riskiä aiheuttavien GPAI-mallien osalta. Tämä luku sisältää kymmenen sitoumusta, jotka koostuvat useista toimenpiteistä:

Asianmukaisen turvallisuuskehyksen hyväksyminen, täytäntöönpano ja päivittäminen hahmotella organisaatioiden toteuttamia systeemisten riskien hallintaprosesseja ja toimenpiteitä, joilla varmistetaan, että niiden malleista johtuvat systeemiset riskit ovat hyväksyttäviä.

Systeemisen riskin tunnistaminen: organisaatioiden on otettava käyttöön jäsennelty prosessi tekoälymalleistaan johtuvien systeemisten riskien tunnistamiseksi ja kehitettävä systeemisten riskien skenaarioita kullekin tunnistetulle systeemiselle riskille.

Systeeminen riskianalyysi, mukaan lukien mallista riippumattoman tiedon kerääminen, arviointien suorittaminen, systeemiriskin mallintaminen, systeemiriskin arviointi ja markkinoille saattamisen jälkeinen seuranta.

Systeemisen riskin hyväksyntätason määritys, mukaan lukien hyväksymiskriteerien määrittäminen, tekoälymallista johtuvien systeemisten riskien hyväksyttävyyden määrittäminen ja päätöksenteko siitä, jatketaanko kehitystä ja käyttöä systeemisen riskin hyväksyntätason määrityksen perusteella.

Turvallisuuslievennysten toteuttaminen mallin koko elinkaaren ajan sen varmistamiseksi, että mallista johtuvat systeemiset riskit ovat hyväksyttäviä, esimerkiksi muokkaamalla mallin käyttäytymistä turvallisuuden takaamiseksi.

Tietoturvan lieventämisten toteuttaminen kuten riittävä kyberturvallisuussuojan taso. Organisaatioiden tulisi myös varmistaa, että luvattomasta mallin käytöstä, käytöstä tai varastamisesta johtuvat systeemiset riskit ovat hyväksyttäviä.

Turvallisuusmalliraportin luominen ennen mallin saattamista markkinoille ja sen ajantasaisuuden varmistamista. Organisaatiot voivat luoda yhden malliraportin useille malleille, jos yhden mallin systeemisen riskin arviointi- ja lieventämisprosesseja ja -toimenpiteitä ei voida ymmärtää ilman viittaamista toiseen malliin/malleihin. Pk-yritykset voivat vähentää malliraporttiensa yksityiskohtaisuuden tasoa ottaakseen huomioon koon ja kapasiteettirajoitukset.

Systeemisen riskin vastuunjako määrittelemällä mallien systeemiriskien hallinnan vastuut organisaation kaikilla tasoilla ja osoittamalla asianmukaiset resurssit niille, joille on osoitettu vastuu systeemiriskien hallinnasta.

Vakavien vaaratilanteiden raportointi, ottamalla käyttöön prosesseja ja toimenpiteitä vakavien vaaratilanteiden seuraamiseksi, dokumentoimiseksi ja niistä tekoälytoimistolle (ja soveltuvin osin kansallisille toimivaltaisille viranomaisille) raportoimiseksi ilman aiheetonta viivytystä. Allekirjoittajien tulisi myös tarjota tarvittavat resurssit tällaisia prosesseja ja toimenpiteitä varten.

Lisädokumentaatio ja läpinäkyvyys – mukaan lukien tämän luvun täytäntöönpanon dokumentointi ja tarvittaessa viitekehyksen ja malliraporttien tiivistettyjen versioiden julkaiseminen. Lisädokumentaatio sisältää yksityiskohtaisen kuvauksen mallin arkkitehtuurista, sen integroinnista tekoälyjärjestelmiin, tämän luvun mukaisesti suoritetuista malliarvioinneista ja toteutetuista turvallisuusriskien lieventämistoimenpiteistä.

ISO 42001 -standardin mukaisen käytännesäännöstön noudattaminen

Käytännesäännöt ovat vapaaehtoisia. Ne tarjoavat kuitenkin GPAI-mallien ja systeemiriskin omaavien GPAI-mallien tarjoajille keinon osoittaa EU:n tekoälylain lakisääteisten velvoitteiden noudattamisen.

Jos yrityksesi aikoo noudattaa käytännesääntöjä, ISO 42001 Standardi tarjoaa parhaiden käytäntöjen kehyksen tekoälynhallintajärjestelmän (AIMS) rakentamiseen, ylläpitoon ja jatkuvaan parantamiseen ja voi myös tukea laajempaa EU:n tekoälylain noudattamista. ISO 42001 -standardi on suunniteltu varmistamaan, että organisaatiot ottavat huomioon tekoälyyn liittyvät erityiskysymykset, kuten turvallisuuden, suojauksen, oikeudenmukaisuuden, läpinäkyvyyden, tiedon laadun ja tekoälyjärjestelmien laadun koko niiden elinkaaren ajan.

Vaikka GPAI:n käytännesäännöt on suunnattu tekoälymallien, ei järjestelmien, tarjoajille, ISO 42001 tarjoaa organisaatioille perustan eettisen ja läpinäkyvän tekoälyhallinnan järjestelmän (AIMS) toteuttamiseen, joka kattaa sekä tekoälymallit että -järjestelmät.

Standardin vaatimusten ja käytännesäännöissä esitettyjen toimenpiteiden ja sitoumusten välillä on paljon päällekkäisyyttä. Esimerkiksi ISO 42001 -standardi edellyttää organisaatioilta tekoälyriskien tunnistamista ja käsittelyä (kohta 6.1.2. Tekoälyriskien arviointi, kohta 6.1.3. Tekoälyriskien käsittely ja kohta 8.3. Tekoälyriskien käsittely).

ISO 42001 -standardin käyttöönottoon kuuluu myös dokumentointi- ja kirjanpitoprosessien luominen, jotka kattavat kaikki AIMS:n osa-alueet, mukaan lukien käytännöt, menettelytavat, suorituskykytiedot ja vaatimustenmukaisuustiedot. Tämä on suoraan linjassa käytännesääntöjen ensimmäisen luvun dokumentointivaatimuksen kanssa.

Vankan ja ISO 42001 -standardin mukaisen tekoälynhallintajärjestelmän avulla organisaatiot voivat helposti ylläpitää ja osoittaa todisteita käytännesääntöjen ja EU:n tekoälylain noudattamisesta.

Seuraavat vaiheet

Käytännesääntöjen noudattamiseksi tarvittavien toimenpiteiden toteuttaminen voi olla haastavaa. Nyt on aika tarkastella nykyisiä tekoälydokumentaatiotoimenpiteitä, tekijänoikeuslainsäädännön yhdenmukaistamista ja systeemisten riskien hallintaa sekä tunnistaa nykyisen hallinnan ja käytännesääntöjen edellyttämien toimenpiteiden väliset puutteet.

Jos organisaatiosi harkitsee ISO 42001 -standardin noudattamista, Yhteydenotot nähdäksesi, miten ISMS.online voi auttaa. Ota seuraava askel kohti vastuullista ja järjestelmällistä tekoälyn hallintaa varmistamalla, että otat tekoälymallit ja -järjestelmät käyttöön eettisesti, turvallisesti ja EU:n tekoälylain mukaisten lakisääteisten velvoitteiden mukaisesti.

Christie Rae

Christie on sisältömarkkinoinnin asiantuntija ISMS.onlinessa. Yli seitsemän vuoden kokemuksella hän pyrkii kirjoittamaan informatiivista, mukaansatempaavaa sisältöä ja on työskennellyt useilla eri aloilla, mukaan lukien kyberturvallisuus, ohjelmistot palveluna, tekniikka ja lääketeollisuus.

Lue lisää Christie Raelta

tietoverkkoturvallisuus 29 joulukuu 2025

tietoturvan tilaa koskeva raportti 11 keskeistä tilastoa ja trendiä oikeusalalla banneri

Tietoturvallisuuden tilaraportti: 11 keskeistä tilastoa ja trendiä oikeusalalla

Vuoden 2025 tietoturvallisuuden tilaa koskeva raportti paljasti monimutkaiset kyberhaasteet ja -mahdollisuudet, joita turvallisuusjohtajat ovat kohdanneet viimeisten 12 vuoden aikana ...

Christie Rae

tietoverkkoturvallisuus 17 joulukuu 2025

Tietoturvan tilaraportti 11 keskeistä tilastoa ja trendiä valmistus- ja yleishyödyllisten palvelujen alalla banneri

Tietoturvallisuuden tilaraportti: 11 keskeistä tilastoa ja trendiä valmistus- ja yleishyödyketeollisuudelle

Tämän vuoden tietoturvaraportti paljasti lukuisat haasteet ja mahdollisuudet, joita tietoturvajohtajat ovat kohdanneet viimeisten 12 kuukauden aikana...

Christie Rae

tietoverkkoturvallisuus 10 joulukuu 2025