Uusi tekoälyasetus velvoittaa kaikkia firmoja
Vuonna 2024 astui voimaan EU:n tekoälyasetus (EU AI Act), jossa on kysymys varsin monimutkaisesta ja monin paikoin raskaasta säädöksestä. Laissa noudatetaan kerroksittaista lähestymistapaa, mikä tarkoittaa, että mitä enemmän ja laajemmin yritys käyttää tai rakentaa tekoälyä, sitä enemmän sillä on velvoitteita.
Riippumatta tekoälyn riskitasosta jokaisen yrityksen, joka käyttää tekoälyä missä tahansa muodossa, tulee huolehtia työntekijöidensä ja muiden käyttämiensä avustajien (esim. konsulttien ja freelancereiden) “tekoälylukutaidosta” (AI literacy). Tarkoituksena on, että jokainen tekoälyä yrityksessä käyttävä henkilö ymmärtää tekoälyä koskevat tarvittavat käsitteet ja voivat tehdä tekoälyjärjestelmiä koskevia päätöksiä tietoon perustuen. Riittävän tekoälylukutaidon myötä tekoälyn käyttöön liittyvät riskit pysyvät paremmin hallussa ja virheellisten päätösten määrä laskee.
On tärkeää huomata, että tekoälylukutaidon varmistamiseen tähtäävät velvoitteet koskevat kaikkia yrityksiä, joissa käytetään tekoälyä millään tavalla. Tämä tarkoittaa, että jos työntekijäsi käyttävät vaikkapa ChatGPT:tä tai Microsoft Copilotia osana työtään, on heidän tekoälylukutaitonsa varmistettava. Useimmissa tapauksissa tämä ei kuitenkaan vaadi onneksi suuria ponnisteluja, vaan kevyellä perehdytyksellä voidaan täyttää lain vaatimukset.
“Lähtökohtana voidaan pitää, että jos yrityksesi tarjoaa mitä tahansa tekoälyä hyödyntäviä tuotteita tai palveluita, tekoälyasetuksen vaatimuksista tulee huolehtia. Lisäksi, jos yrityksesi käyttää tekoälyä sisäisessä toiminnassaan, sääntely on syytä ottaa tarkasti huomioon.”
Jos taas yritys hyödyntää tekoälyä esimerkiksi oman tietoteknisen tuotteensa tai palvelunsa komponenttina, käyttää tekoälyä vaikkapa tuotteen turvallisuuden varmistamisessa, asiakaspalvelussa (esim. tekoälypohjainen chattirobotti) tai henkilöstöhallinnossa (esim. työnhakijoiden rekrytoinnissa taikka työntekijöiden työsuoritusten arvioinnissa tai palkitsemisesta päättämisessä), siirrytään sääntelyn korkeammille tasoille, jolloin yrityksen velvoitteet kasvavat huomattavasti.
Useissa tapauksissa yrityksen tulee huolehtia vähintäänkin tekoälyn käyttöä koskevasta läpinäkyvyydestä, mutta lukuisissa tapauksissa myös erilaiset riskienhallinnan, valvonnan, kyberturvallisuuden ja dokumentoinnin velvoitteet tulevat kyseeseen.
Artikkeli jatkuu kuvan alla
Eurooppalainen tietoturvasääntely ottaa tänä vuonna suuren harppauksen eteenpäin.
Lähtökohtana voidaan pitää, että jos yrityksesi tarjoaa mitä tahansa tekoälyä hyödyntäviä tuotteita tai palveluita, tekoälyasetuksen vaatimuksista tulee huolehtia. Lisäksi, jos yrityksesi käyttää tekoälyä sisäisessä toiminnassaan, sääntely on syytä ottaa tarkasti huomioon.
Huolellisuus on varsinkin tarpeen, jos tekoälyn käyttämisestä voi syntyä riskejä kenen tahansa ihmisen turvallisuudelle, oikeuksille, vapauksille tai eduille. Varsinkin henkilöstöhallinnossa tekoälyn hyödyntämisessä tulee noudattaa erityistä varovaisuutta.
Mitä tulee laiminlyöntien seuraamuksiin, tekoälyasetuksessa on omaksuttu EU:n yleisestä tietosuoja-asetuksesta tuttu lähestysmistapa. Yritys, joka jättää täyttämättä itseään koskevia tekoälyvelvoitteita, voidaan määrätä maksamaan seuraamusmaksuja, joiden määrä on useimmissa tapauksissa enintään 15 miljoonaa euroa tai 3 % yrityksen maailmanlaajuisesta vuosiliikevaihdosta kutakin rikkomusta kohden. Tuntuvia sakkoja on siis luvassa myös tällä saralla.
EU:n tekoälyasetus on jo voimassa ja ensimmäisiltä osiltaan velvoittavaa lakia. Säädöksen muut osat alkavat tulle olennaisilta osiltaan voimaan vuoden 2025 aikana. Erityisesti tekoälylukutaitoa koskevia vaatimuksia aletaan soveltaa 2.2.2025 alkaen ja lukuisia muita edellä kuvattuja velvoitteita 2.8.2025 alkaen. Säädöksen loput osat tulevat sovellettaviksi pääasiassa vuonna 2026 ja lopuiltakin osin erissä seuraavan viiden vuoden aikana.
Uusi kyberturvallisuuslaki velvoittaa laajalla skaalalla
Vuonna 2024 voimaan tuli myös EU:n uusi kyberturvallisuusdirektiivi (NIS 2), joka säädetään seuraavaksi osaksi kunkin jäsenvaltion kansallista lakia. Suomessa direktiiviä vastaavan kyberturvallisuuslain säätäminen on käynnissä. Direktiivin mukaan kansallisen lain säätämisen määräaika oli vuoden 2024 lokakuussa, joten Suomen eduskunta on jo myöhässä asian kanssa. Lain voimaantuloa voidaan siis odottaa hetkenä minä hyvänsä.
Uusi kyberturvallisuuslaki velvoittaa keskisuuria ja suuria yrityksiä huolehtimaan riittävästä kyberturvallisuudesta, jos ne harjoittavat tiettyjä “keskeisiä” tai “tärkeitä” toimintoja. Ideana on, että yhteiskunnan tai elinkeinotoiminnan kannalta olennaiset toimijat velvoitetaan noudattamaan hyvää riskienhallintaa ICT-toimintojensa osalta.
“Tärkeintä on huomata, että aiemmasta sääntelystä poiketen kyberturvallisuuslain soveltamisalaan eivät kuulu pelkästään tietoturvakriittisiä palveluita tarjoavat firmat, vaan ennestään vähäriskisiksi mielletyt ja jopa aivan perinteisillä aloillakin toimivat yritykset voivat hyvin kuulua sen velvoitteiden piiriin.”
Uuden lain soveltamisalaan kuuluvia “keskeisiä” toimintoja ovat muun muassa lukuisat energia-, liikenne-, terveydenhuolto-, ja vesihuoltotoiminnot mutta myös digitaaliseen infrastruktuuriin liittyvät toiminnot (mukaanlukien pilvipalvelut) sekä yrityksille tarjottavat ICT-hallintapalvelut (esim. hallinnoidut tai “hostatut” IT- tai viestintäpalvelut, CRM- , ERP- yms. palvelut, sekä ulkoistetut IT-tuotannon palvelut). Lisäksi kaikki julkishallinnon toiminnot katsotaan suoraan keskeiksiksi toiminnoiksi.
“Tärkeitä” toimintoja ovat puolestaan muun muassa posti- ja kuriiripalvelut, jätehuolto, elintarviketeollisuus, koneteollisuus ja koneiden valmistaminen, tietyt sähköiset palvelut sekä tietyt tutkimus- ja tuotekehitystoiminnot.
Uusi laki koskettaa hyvin laajalla skaalalla eri toimialoilla toimivia yrityksiä. Tärkeintä on huomata, että aiemmasta sääntelystä poiketen kyberturvallisuuslain soveltamisalaan eivät kuulu pelkästään tietoturvakriittisiä palveluita tarjoavat firmat, vaan ennestään vähäriskisiksi mielletyt ja jopa aivan perinteisillä aloillakin toimivat yritykset voivat hyvin kuulua sen velvoitteiden piiriin. Jokaisen keskisuuren yrityksen on tärkeää selvittää omalta osaltaan, harjoittaako se mitään uuden sääntelyn soveltamisalaan kuuluvaa toimintaa.
Merkitystä ei ole sillä, onko lain piiriin kuuluva toiminta yrityksen ydintoimintaa, vaan esimerkiksi vähäisenä sivutoimintanakin harjoitettu, laissa tarkoitettu toiminta riittää siihen, että yrityksen tulee huolehtia kyberturvallisuudesta lain vaatimusten mukaisesti.
Niinpä esimerkiksi henkilöstöhallintayritys, joka tarjoaa pääasiassa lain soveltamisalaan kuulumattomia perinteisiä vuokratyöpalveluita, kuuluu lain soveltamisalaan, jos se tarjoaa asiakkailleen sivutoimintona pilvipohjaista henkilöstöhallinta-alustaa. Vastaavasti esimerkiksi energia- tai kiinteistöalan kohdehallintapalveluita tarjoava yritys voi kuulua lain soveltamisalaan, jos se ylläpitää hallinnoitua sähköistä palvelua, johon asiakkaat syöttävät kohteidensa tietoja. Ja kuten edellä mainittu, täysin perinteisetkin firmat, kuten elintarvikevalmistajat, konepajat ja jätehuoltofirmat voivat kuulua lain piiriin pelkästään siksi, että toimivat kyseisilllä aloilla.
Artikkeli jatkuu kuvan alla
Uudet velvoitteet on helppo ottaa haltuun, kunhan oikeat toimenpiteet tehdään ajoissa.
“Jos yrityksesi ei itsessään kuulu kyberturvallisuuslain soveltamisalaan mutta palvelee sääntelyn piiriin kuuluvia yrityksiä, teidän kannattaa jo hyvissä ajoin varmistaa, mitä kyberturvallisuuden toimenpiteitä asiakkaanne tulevat teiltä edellyttämään.”
Erityisesti millä tahansa tavalla “ICT-aloilla” ja alustapalvelualoilla toimivien yritysten kannattaa selvittää huolellisesti, kuuluvatko he kyberturvallisuuslain soveltamisalaan. Säädöksessä on määritelty hyvin laveasti lukuisia tietotekniikkaan ja viestintään kuuluvia toimintoja, joita harjoittavien yritysten täytyy noudattaa uuden lain määräyksiä. Vaikka mitään nyrkkisääntöä ei voida tarjota, usein velvoitteet syntyvät, jos yritys tarjoaa jotakin ylläpidettyä tai ulkoistettua tietoteknistä tai viestintäpalvelua (myös ulkoistetut devauspalvelut) taikka jos se on vastuussa suuresta määrästä dataa tai ihmisiä omissa tuotteissaan tai palveluissaan. Näihin kuuluvat erityisesti digi-infrastruktuuriin tai tieto- ja viestintäjärjestelmien ylläpitämiseen kytkeytyvät yritykset mutta myös muun muassa verkkomarkkinapaikat ja verkkoyhteisöalustat.
Huomionarvoista on lopuksi, että vaikka lakia sovelletaan pääsääntöisesti ainoastaan keskisuuriin (50 työntekijää tai 10 miljoonan euron vuosiliikevaihto ja taseen loppusumma) tai sitä suurempiin yrityksiin, lukuisissa tapauksissa myös pienet ja mikroyritykset kuuluvat sen soveltamisalaan, jos ne toimivat tietyillä erityisen kriittisillä aloilla. Tällaisia ovat muun muassa luottamuspalvelut ja yleisesti saatavilla olevat sähköiset viestintäpalvelut.
Pienten ja mikroyritysten ei tule unohtaa sitäkään, että niin kuin nykypäivän vastuullinen liiketoiminta edellyttää, lain soveltamisalaan kuuluvien yritysten tulee huolehtia siitä, että myös niiden alihankkijat ja käyttämänsä palveluntarjoajat noudattavat riittävää kyberturvallisuutta. Tämä tarkoittaa, että lain velvoitteiden piiriin kuuluvien yritysten tulee esimerkiksi sopimusjärjestelyin varmistaa, että myös niiden pienet yhteistyökumppanit tekevät riittäviä toimenpiteitä kyberturvallisuuden varmistamiseksi läpi toimitusketjun.
Jos yrityksesi ei itsessään kuulu kyberturvallisuuslain soveltamisalaan mutta palvelee sääntelyn piiriin kuuluvia yrityksiä, teidän kannattaa jo hyvissä ajoin varmistaa, mitä kyberturvallisuuden toimenpiteitä asiakkaanne tulevat teiltä edellyttämään.
Koska sääntelyn taustalla on EU-lainsäädäntö, myös kyberturvallisuuslain rikkomisesta voidaan määrätä seuraamusmaksuja. Totuttuun tapaan sakkojen määrät voivat olla huomattava: “keskeiselle” toimijalle määrättävän maksun enimmäismäärä kutakin rikkomusta kohden voi olla 10 miljoonaa euroa tai 2 % maailmanlaajuisesta vuosiliikevaihdosta, ja “tärkeälle” toimijalle 7 miljoonaa tai 1,4 % maailmanlaajuisesta vuosiliikevaihdosta.
Vastuullinen varautuminen antaa kilpailuetua
Edellä kuvatut säädökset tulevat voimaan vuoden 2025 aikana. Missään nimessä niihin valmistautumista ei kannata aloittaa vasta sitten, kun lait ovat jo voimassa, sillä laiminlyöntien riskit ovat valtavat. Mitä aiemmin valmistelut aloitetaan, sitä helpompaa ja kustannustehokkaampaa vaatimustenmukaisuuden varmistaminen on.
Kun yrityksesi ryhtyy oikeisiin toimenpiteisiin jo hyvissä ajoin, pystytte viestimään myös omille asiakkaillenne, että olette ajan tasalla uusien velvoitteiden kanssa. Koska molemmat edellä tarkastellut säädökset tähtäävät turvaamaan erityisesti juurikin ihmisten ja asiakkaiden turvallisuutta, etuja ja oikeuksia, vaatimuksiin vastaaminen osoittaa vahvaa vastuullisuutta, josta viestiminen on omiaan parantamaan yrityksesi kilpailuetua markkinoilla. Asiakkaista ja heidän tärkeistä tiedoistaan huolehtiminen on asiakaspalvelua parhaimmillaan.
On odotettavissa jo tämän vuoden aikana, että erityisesti riittävän kyberturvallisuuden noudattaminen on kasvavissa määrin erityisesti keskisuurten ja isojen yritysasiakkaiden keskeinen kriteeri, kun nämä valitsevat omia alihankkijoitaan ja palveluntarjoajiaan.
Jos sinua kiinnostaa selvittää tarkemmin, millä tavoin EU:n tekoälyasetus ja uusi kyberturvallisuuslaki koskettavat yritystäsi ja mitä velvoitteita teille voi olla luvassa, olemme mielellämme apunasi. Varaa maksuton tapaaminen, niin katsotaan yhdessä, mikä on tilanteenne.
Seuraa meitä LinkedInissä. Julkaisemme myös tästä aiheesta yrityksellenne hyödyllisiä päivityksiä.