What are the risk levels in the EU AI Act?

The AI Act defines four risk levels: unacceptable (prohibited), high risk (strict requirements), limited risk (transparency obligations), and minimal risk (voluntary codes of conduct).

Who is an AI Provider under the AI Act?

An AI Provider develops or commissions an AI system and places it on the market or puts it into service under their own name or trademark. They bear the primary compliance burden.

When does the AI Act fully apply?

The AI Act entered into force 1 August 2024 with phased implementation: prohibited practices from February 2025, high-risk obligations from August 2026, and full application by August 2027.

AI Act Guide — Risk Classification & Provider Obligations | Euregas

Tekoälylaki

Maailman ensimmäinen kattava tekoälylaki – koska jonkun oli aloitettava

Tekoälylaki on maailman ensimmäinen kattava tekoälyä koskeva lainsäädäntökehys. Siinä noudatetaan riskilähtöistä lähestymistapaa: mitä suurempi riski tekoälyjärjestelmästä aiheutuu, sitä tiukemmat säännöt ovat. Kielletyistä käytännöistä (kuten sosiaalisen luokittelun) matalan riskin chatbottien vähimmäisvaatimuksiin – tämä asetus kattaa tekoälysovellusten koko kirjon.

Soveltamisala

Kaikki tekoälyjärjestelmät, jotka saatetaan EU:n markkinoille tai joiden tuotoksia käytetään EU:ssa – riippumatta siitä, missä palveluntarjoaja on sijoittautunut. Jos tekoälysi koskee EU:n kansalaisia, tekoälylaki koskee sinua.

Maantieteellinen kattavuus

Koko EU:n alueella, ja sen soveltamisala ulottuu myös EU:n ulkopuolisiin palveluntarjoajiin, joiden tekoälyjärjestelmiä käytetään EU:n alueella.

Voimassa vuodesta

1. elokuuta 2024 (vaiheittainen käyttöönotto: kiellot helmikuusta 2025 alkaen, korkean riskin velvoitteet elokuusta 2026 alkaen, täysimääräinen soveltaminen elokuuhun 2027 mennessä)

Tarkoitus

Jotta voidaan varmistaa, että EU:n tekoälyjärjestelmät ovat turvallisia ja avoimia ja että niissä kunnioitetaan perusoikeuksia. Lisäksi tavoitteena on luoda oikeusvarmuutta tekoälyn kehittäjille ja vahvistaa kansalaisten luottamusta. Sillä vastaus ”luottakaa meihin, algoritmi toimii kunnolla” ei enää riitä.

Siirry rooliisi:

Tekoälypalveluntarjoaja

Kehität tai tilaat tekoälyjärjestelmän ja saatat sen markkinoille tai otat sen käyttöön omalla nimelläsi. Sinä olet se, joka on rakentanut järjestelmän – tai ainakin se, jonka nimi näkyy pakkauksessa. Jos olet kouluttanut mallin, suunnitellut järjestelmän tai lisännyt siihen brändisi, sinä olet palveluntarjoaja.

Velvollisuutesi

Luokittele tekoälyjärjestelmäsi riskitaso: kohtuuton, korkea, rajoitettu tai vähäinen (6 artikla, liite III)
Korkean riskin tekoälyn osalta: otettava käyttöön koko elinkaaren kattava laadunhallintajärjestelmä (17 artikla)
Suorita vaatimustenmukaisuuden arviointi ennen järjestelmän saattamista markkinoille (43 artikla)
Korkean riskin tekoälyjärjestelmät on rekisteröitävä EU:n tietokantaan (49 artikla)
On annettava käyttöönottajille selkeää tietoa – mukaan lukien ominaisuudet, rajoitukset ja käyttötarkoitus (13 artikla)
Riskienhallinta on toteutettava tekoälyjärjestelmän koko elinkaaren ajan (9 artikla)
Varmistetaan koulutustietojen hallinnointi: tietojen merkityksellisyys, edustavuus ja puolueettomuus (10 artikla)
Varmistetaan, että tekoälyjärjestelmän toimintaa valvotaan ihmisen toimesta (14 artikla)
Teknisen dokumentaation ja lokien ylläpito (11–12 §)
Ilmoita vakavista tapauksista viranomaisille (62 §)

Keskeiset artikkelit

6 § — Luokittelusäännöt9 § — Riskienhallinta10 § — Tietojen hallinta13 § — Avoimuus14 § — Ihmisen suorittama valvonta17 § — Laadunhallinta43 § — Vaatimustenmukaisuuden arviointi49 § — Rekisteröinti EU:n tietokantaanLiite III – Korkean riskin tekoälyjärjestelmät

Ammattilaisen vinkki

Älä odota elokuuhun 2026 asti tekoälyjärjestelmiesi luokittelun kanssa. Aloita heti – luokittelu määrää kaiken muun, mitä sinun on tehtävä. Taulukkolaskenta nyt säästää paniikin myöhemmin.

AI-käyttöönottaja

Käytät tekoälyjärjestelmää omalla vastuullasi – ammatillisissa tarkoituksissa, et kuluttajana. Jos olet hankkinut tai lisensoinut tekoälytyökalun ja ottanut sen käyttöön organisaatiosi työnkulussa, olet käyttöönottaja. Et ole rakentanut mallia itse, mutta olet päättänyt käyttää sitä, ja siihen liittyy vastuita.

Velvollisuutesi

Käytä tekoälyjärjestelmää palveluntarjoajan ohjeiden mukaisesti (26.1 §) – käyttöohje on olemassa syystä
On varmistettava, että valvonta suoritetaan pätevän henkilöstön toimesta (26 artiklan 2 kohta)
Seuraa tekoälyjärjestelmän toimintaa ja ilmoita toimintahäiriöistä palveluntarjoajalle (26.5 §)
Suoritetaan perusoikeusvaikutusten arviointi (FRIA) tiettyjen alojen korkean riskin tekoälyä varten (27 artikla)
Ilmoitetaan henkilöille, että he ovat tekoälyn päätöksenteon kohteena (26 artiklan 7 kohta) – erityisesti tunnetunnistuksen tai biometrisen luokittelun yhteydessä
Säilytä korkean riskin tekoälyjärjestelmän tuottamat lokitiedot vähintään kuuden kuukauden ajan (26.6 §)
Toimitaan yhteistyössä kansallisten viranomaisten kanssa, kun niitä pyydetään (26 artiklan 8 kohta)

Keskeiset artikkelit

26 § — Käyttöönottajan velvollisuudet27 § — Perusoikeuksien vaikutustenarviointi86 § — Oikeus saada selitys

Ammattilaisen vinkki

Kun arvioit tekoälytoimittajia, kysy heiltä suoraan: ”Mihin riskitasoon tämä järjestelmä on luokiteltu tekoälylain mukaan, ja voitteko toimittaa vaatimustenmukaisuusasiakirjat?” Jos he näyttävät hämmentyneiltä, se kertoo sinulle jotain.

AI-tuoja

Tuot tekoälyjärjestelmiä EU:n ulkopuolelta EU:n markkinoille. Olet portti – jos EU:n ulkopuolinen toimittaja haluaa myydä tekoälyä Euroopassa, olet usein se, joka mahdollistaa sen. Tähän liittyy vastuu varmistaa, että tuontituotteesi todella täyttävät EU:n vaatimukset.

Velvollisuutesi

Varmista, että palveluntarjoaja on suorittanut vaatimustenmukaisuuden arvioinnin (23 artiklan 1 kohta)
On varmistettava, että tekoälyjärjestelmässä on CE-merkintä ja että sen mukana toimitetaan vaaditut asiakirjat (23 artiklan 1 kohta)
Varmista, että palveluntarjoaja on nimennyt valtuutetun edustajan EU:ssa (23 artiklan 2 kohta)
Älä saattaa järjestelmää markkinoille, jos sinulla on syytä uskoa, että se ei ole vaatimusten mukainen (23 artiklan 3 kohta)
On varmistettava, että varastointi- ja kuljetusolosuhteet eivät vaaranna vaatimustenmukaisuutta (23 artiklan 4 kohta)
Säilytä kopio EU:n vaatimustenmukaisuusvakuutuksesta 10 vuoden ajan (23 artiklan 5 kohta)

Keskeiset artikkelit

23 § — Tuojan velvollisuudet43 § — Vaatimustenmukaisuuden arviointi47 artikla — EU-vaatimustenmukaisuusvakuutus48 § — CE-merkintä

Ammattilaisen vinkki

Sisällytä vaatimustenmukaisuuden tarkastukset tuontiprosessiisi heti alusta alkaen. Tarkistuslistan käyttäminen on edullisempaa kuin tekoälyjärjestelmän takaisinveto.

Tekoälyn jakelija

Tarjoat tekoälyjärjestelmiä markkinoilla ilman, että olet niiden toimittaja tai maahantuoja. Ajattele esimerkiksi jälleenmyyjää, markkinapaikkaa tai integraatiokumppania. Olet osa toimitusketjua, ja tekoälyasetuksessa edellytetään, että jokainen ketjun osapuoli hoitaa oman osuutensa.

Velvollisuutesi

Varmista, että tekoälyjärjestelmässä on CE-merkintä ja että sille on olemassa vaadittu dokumentaatio (24 artiklan 1 kohta)
Älä aseta järjestelmää saataville, jos sinulla on syytä uskoa, että se ei ole vaatimusten mukainen (24.2 artikla)
On varmistettava, että varastointi- ja kuljetusolosuhteet eivät vaaranna vaatimustenmukaisuutta (24 artiklan 3 kohta)
Ilmoita toimittajalle tai maahantuojalle, jos katsot järjestelmän aiheuttavan riskin (24 artiklan 4 kohta)
Toimia yhteistyössä toimivaltaisten viranomaisten kanssa ja antaa tietoja pyydettäessä (24 artiklan 5 kohta)

Keskeiset artikkelit

24 § — Jakelijan velvollisuudet25 § — Vastuut tekoälyn arvoketjussa

Ammattilaisen vinkki

Pidä kirjaa tekoälyn toimitusketjusta. Kun tiedät tarkalleen, kuka toimitti mitäkin, milloin ja millä asiakirjoilla, vältät turhat päänvaivat, kun (ei jos) viranomaiset pyytävät tietoja.

Miten Euregas voi auttaa

Käytettävissä olevat työkalut

Tekoälyjärjestelmien rekisteri – luo luettelo organisaatiosi kaikista tekoälyjärjestelmistä metatietojen ja riskitasojen kera
Riskiluokitus (4 tasoa) — liitteen III luokkien mukainen jäsennelty arviointi
FRIA-malli – 12 kysymyksen perusoikeusvaikutusten arviointi
Riskitasokohtainen vaatimustenmukaisuuden etenemissuunnitelma — luokittelutulokseesi räätälöity vaiheittainen opas

Tekoälyllä tuetut ominaisuudet

Tekoälypohjainen riskiluokitus — liitteen III automaattinen vertailu RAG-menetelmällä, luotettavuusarvioilla ja vaikuttavilla tekijöillä
Luokitteluohje (ai_act_classification) — 5-vaiheinen ohjattu luokittelu, jossa jokaisessa vaiheessa suoritetaan tekoälyanalyysi
Semanttinen haku tekoälylain artikloista ja johdanto-osista

Huomautus

AI-lakimoduuli sisältää Euregasin kattavimman tekoälyintegraation yksittäisen säädöksen osalta. Riskiluokittelussa käytetään RAG-pohjaista analyysia, jonka avulla tekoälyjärjestelmäsi luokitellaan liitteen III luokkien mukaisesti.

Kaikki esimerkit ovat kuvitteellisia ja tarkoitettu vain havainnollistamista varten.