BEACON Opas

EU:n tekoälyasetus (AI Act) selitettynä.

EU:n tekoälyasetus (AI Act, asetus (EU) 2024/1689) on maailman ensimmäinen kattava tekoälylaki. Se tuli voimaan 1. elokuuta 2024, ja sitä sovelletaan vaiheittain — osa tekoälykäytännöistä kielletään kokonaan, ”korkean riskin” järjestelmille asetetaan tiukkoja velvoitteita ja läpinäkyvyyttä vaaditaan aina, kun ihmiset ovat vuorovaikutuksessa tekoälyn kanssa tai näkevät tekoälyn tuottamaa sisältöä. Vuonna 2026 ”Digital Omnibus on AI” siirsi useita määräaikoja, joten tässä on ajantasainen kokonaiskuva: mitä asetus kattaa, ketä se koskee ja mihin mennessä, sakot sekä mitä se merkitsee tavalliselle verkkosivustolle.

Aloita ilmaiseksi Suorita ilmainen tarkistus
Riskiperusteinen, ei kaikenkattavaNeljä tasoa: kielletyt käytännöt, korkean riskin järjestelmät, rajoitettu riski (läpinäkyvyysvelvoitteet) ja minimaalinen riski — suurin osa tekoälystä kuuluu viimeiseen tasoon ilman uusia velvoitteita.
Vaiheittainen aikatauluKiellot ja tekoälylukutaitovelvoitteet helmikuusta 2025; yleiskäyttöisen tekoälyn (GPAI) säännöt elokuusta 2025; läpinäkyvyysvelvoitteet elokuusta 2026; korkean riskin velvoitteet lykätty joulukuuhun 2027 / elokuuhun 2028.
Ulottuu EU:n ulkopuolelleSitä sovelletaan EU:n ulkopuolisiin tarjoajiin ja käyttöönottajiin aina, kun tekoälyjärjestelmän tuotosta käytetään EU:ssa — kuten GDPR:ssä, et tarvitse EU-toimistoa kuuluaksesi soveltamisalaan.
Kovat kiellotSosiaalinen pisteytys, manipuloivat tekniikat, kasvokuvien kohdentamaton haravointi, tunteiden tunnistaminen työpaikoilla ja kouluissa (kapein poikkeuksin) — kielletty helmikuusta 2025 alkaen.
Läpinäkyvyys verkkosivustoilleChatbottien on kerrottava olevansa tekoälyä; tekoälyn tuottama ja manipuloitu sisältö (deepfaket) on merkittävä, ja synteettinen media vaatii koneluettavan merkinnän.
GDPR-luokan sakotJopa 35 miljoonaa euroa tai 7 % maailmanlaajuisesta liikevaihdosta kielletyistä käytännöistä; jopa 15 miljoonaa euroa tai 3 % useimmista muista rikkomuksista; jopa 7,5 miljoonaa euroa tai 1 % harhaanjohtavien tietojen toimittamisesta.
Neljä riskitasoa yhdellä silmäyksellä
Kielletty riski
Kokonaan kielletty
Suuri riski
Tiukat velvoitteet + rekisteröinti
Rajoitettu riski
Läpinäkyvyysvelvoitteet
Vähäinen riski
Ei uusia velvoitteita
Enimmäissakot
Kielletyt käytännöt€35M / 7%
Useimmat muut rikkomukset€15M / 3%
Harhaanjohtavat tiedot€7.5M / 1%
maailmanlaajuisesta vuosiliikevaihdosta (suurempi summa)
Aikataulu — päivitetty vuoden 2026 Digital Omnibusin jälkeen
1.8.2024Voimaantulo
2.2.2025Kiellot + AI-osaaminen
2.8.2025GPAI-mallien säännöt
2.8.2026Läpinäkyvyys + seuraamuksetTänään
2.12.2026Uudet sisältökiellot
2.12.2027Suuri riski — liite III
2.8.2028Suuri riski — liite I

Mitä tekoälyasetus on (ja mitä se ei ole)

Tekoälyasetus on tuoteturvallisuustyyppinen sääntely tekoälyjärjestelmille, jotka saatetaan EU-markkinoille tai joiden tuotosta käytetään EU:ssa. Se ei sääntele ”tekoälyä” teknologiana — se sääntelee tiettyjä käyttötapoja riskin mukaan. Mitä suurempi riski terveydelle, turvallisuudelle tai perusoikeuksille, sitä raskaammat velvoitteet. Suurin osa arkisesta tekoälystä (roskapostisuodattimet, suositteluvimpaimet, oikolukijat, tuottavuustyökalujen tekoälyominaisuudet) on minimaalisen riskin luokkaa eikä saa lainkaan uusia velvoitteita.

Neljä riskitasoa

Kaikki asetuksessa rakentuu tämän luokittelun varaan:

  • Kohtuuton riski — kielletty kokonaan 2. helmikuuta 2025 alkaen: sosiaalinen pisteytys, hyväksikäyttävät tai manipuloivat tekniikat, kasvokuvien kohdentamaton haravointi, tunteiden tunnistaminen työpaikoilla ja kouluissa (kapeat turvallisuuspoikkeukset), biometrinen luokittelu arkaluonteisten ominaisuuksien päättelemiseksi sekä reaaliaikainen biometrinen etätunnistus julkisissa tiloissa lainvalvontaa varten (rajatut poikkeukset). 2. joulukuuta 2026 alkaen vuoden 2026 muutos kieltää nimenomaisesti myös tekoälyjärjestelmät, jotka tuottavat ilman suostumusta intiimikuvastoa tai CSAM-materiaalia.
  • Korkea riski — sallittu mutta tiukasti säännelty: tekoäly säänneltyjen tuotteiden turvakomponenttina (liite I — koneet, lääkinnälliset laitteet, hissit…) tai arkaluonteisissa käyttötapauksissa (liite III — rekrytointi ja työntekijöiden hallinta, koulutuksen arviointi, luottopisteytys, välttämättömät palvelut, lainvalvonta, maahanmuutto, oikeuslaitos). Velvoitteisiin kuuluvat riskienhallinta, datanhallinta, tekninen dokumentaatio, lokitus, ihmisvalvonta, tarkkuus- ja kestävyystestaus sekä rekisteröinti EU-tietokantaan.
  • Rajoitettu riski — läpinäkyvyysvelvoitteet (50 artikla): kerro ihmisille, kun he ovat vuorovaikutuksessa tekoälyjärjestelmän kanssa (chatbotit), merkitse tekoälyn tuottama tai manipuloitu kuva-, ääni- ja videosisältö (deepfaket), merkitse synteettinen sisältö koneluettavasti ja ilmoita tekoälyn kirjoittama teksti, joka julkaistaan yleisölle yleistä etua koskevissa asioissa.
  • Minimaalinen riski — kaikki muu: ei uusia velvoitteita; vapaaehtoisia käytännesääntöjä suositellaan.

Aikataulu vuonna 2026 — päivitetty Digital Omnibuksen jälkeen

Asetus tuli voimaan 1. elokuuta 2024, ja sen piti tulla lähes täysimääräisesti sovellettavaksi 2. elokuuta 2026. Marraskuussa 2025 komissio ehdotti ”Digital Omnibus on AI” -pakettia yksinkertaistamaan ja porrastamaan tätä; parlamentti hyväksyi sen 16. kesäkuuta 2026 ja neuvosto antoi lopullisen hyväksynnän 29. kesäkuuta 2026. Keskeiset päivämäärät nyt:

  • 2. helmikuuta 2025 — kohtuuttoman riskin käytäntöjen kiellot ja tekoälylukutaitovelvoitteet tulivat sovellettaviksi.
  • 2. elokuuta 2025 — yleiskäyttöisten tekoälymallien (GPAI) tarjoajien velvoitteet (tekninen dokumentaatio, tekijänoikeuspolitiikka, koulutusdatan tiivistelmät; lisävelvoitteet systeemiriskin malleille) sekä EU:n tekoälytoimisto ja hallintorakenteet.
  • 2. elokuuta 2026 — asetusta aletaan soveltaa yleisesti: läpinäkyvyysvelvoitteet (50 artikla), seuraamukset ja useimmat jäljellä olevat säännökset. Synteettisen sisällön koneluettava merkintä saa siirtymäajan 2. joulukuuta 2026 asti järjestelmille, jotka olivat markkinoilla jo ennen 2. elokuuta 2026.
  • 2. joulukuuta 2026 — uudet kiellot tekoälylle, joka tuottaa ilman suostumusta intiimikuvastoa tai CSAM-materiaalia, tulevat sovellettaviksi.
  • 2. joulukuuta 2027 — korkean riskin velvoitteet liitteen III käyttötapauksille (rekrytointi, luottopisteytys, koulutus…) — lykätty 16 kuukaudella alkuperäisestä elokuun 2026 päivämäärästä.
  • 2. elokuuta 2028 — korkean riskin velvoitteet liitteen I tuotteisiin sulautetulle tekoälylle (lääkinnälliset laitteet, koneet…) — lykätty vuodella elokuusta 2027. Kansalliset sääntelyhiekkalaatikot on määrä perustaa 2. elokuuta 2027 mennessä.

Ketä velvoitteet koskevat

Velvoitteet kohdistuvat arvoketjun rooleihin: tarjoajiin (jotka kehittävät tekoälyjärjestelmän tai saattavat sen EU-markkinoille omalla nimellään), käyttöönottajiin (jotka käyttävät tekoälyjärjestelmää ammattimaisesti) sekä maahantuojiin ja jakelijoihin. Ulottuvuus on ekstraterritoriaalinen — yhdysvaltalainen tai brittiläinen SaaS, jonka tekoälytuotosta käytetään EU:ssa, kuuluu soveltamisalaan. Pk-yritykset saavat helpotuksia: yksinkertaistettu dokumentaatio, etusija hiekkalaatikoihin ja sakot rajattu kahdesta summasta alempaan korkeamman sijaan.

Mitä tekoälyasetus merkitsee verkkosivustollesi

Useimmille yrityksille ensimmäiset todelliset kosketuspisteet ovat elokuusta 2026 sovellettavat läpinäkyvyyssäännöt — ne koskevat sitä, mitä kävijät näkevät sivustollasi:

  • Sivustosi tekoälychatbottien ja -avustajien on tehtävä selväksi, että kävijä keskustelee koneen kanssa (ellei se ole kontekstista ilmeistä).
  • Julkaisemasi tekoälyn tuottamat tai manipuloimat kuvat, äänet ja videot (deepfaket) on merkittävä näkyvästi keinotekoisesti tuotetuiksi tai manipuloiduiksi.
  • Synteettisessä mediassa tulisi olla koneluettava merkintä (esim. metadata/vesileima) — merkintävelvoite ennen elokuuta 2026 markkinoilla olleille järjestelmille alkaa 2. joulukuuta 2026.
  • Tekoälyn kirjoittama teksti, joka julkaistaan yleisölle yleistä etua koskevissa asioissa, on ilmoitettava tekoälyn tuottamaksi, ellei se ole käynyt läpi ihmisen toimituksellista tarkastusta vastuineen.
  • Jos käytät tekoälyä rekrytoinnissa, luotonannossa tai muissa liitteen III käyttötapauksissa, varaudu korkean riskin sääntelyyn, joka alkaa 2. joulukuuta 2027.
  • Tekoälylukutaito: tekoälyä ammattimaisesti käyttävien organisaatioiden tulisi varmistaa, että henkilöstö ymmärtää käyttämänsä järjestelmät.

Seuraamukset

Sakkorakenne on tarkoituksella GDPR:n kaltainen: enintään 35 miljoonaa euroa tai 7 % maailmanlaajuisesta vuosiliikevaihdosta (kumpi on suurempi) kielletyistä käytännöistä; enintään 15 miljoonaa euroa tai 3 % useimmista muista rikkomuksista, mukaan lukien korkean riskin ja GPAI-velvoitteet; enintään 7,5 miljoonaa euroa tai 1 % virheellisten tai harhaanjohtavien tietojen toimittamisesta viranomaisille. Pk-yrityksille kukin katto on kahdesta summasta alempi. Valvonta jakautuu kansallisten markkinavalvontaviranomaisten ja GPAI-mallien osalta EU:n tekoälytoimiston kesken.

Miten Beacon liittyy tähän

Beacon skannaa jo nyt, mitä hakukoneet ja tekoälyrobotit todella näkevät verkkosivustollasi — robots.txt-käytännöt, renderöidyn sisällön, strukturoidun datan ja ilmoitukset. Rakennamme tämän perustan päälle tekoälyasetuksen valmiusskannausta: automaattisen tarkistuksen sivustosi kävijöille näkyvistä läpinäkyvyyssignaaleista (chatbot-ilmoitus, tekoälysisällön merkinnät, koneluettava merkintä ja niihin liittyvä metadata) priorisoidulla korjauslistalla. Se ei ole oikeudellista neuvontaa — mutta se näyttää konkreettisesti, mitä sivustosi paljastaa tänään ja mitä korjata ensin.

FAQ

Koskeeko EU:n tekoälyasetus EU:n ulkopuolisia yrityksiä?

Kyllä. Kuten GDPR:llä, sillä on ekstraterritoriaalinen ulottuvuus: jos saatat tekoälyjärjestelmän EU-markkinoille tai järjestelmän tuotosta käytetään EU:ssa, kuulut soveltamisalaan riippumatta siitä, mihin yrityksesi on sijoittautunut.

Milloin keskeisiä velvoitteita todella sovelletaan?

Kiellot ja tekoälylukutaito 2. helmikuuta 2025 alkaen; GPAI-mallien velvoitteet 2. elokuuta 2025 alkaen; läpinäkyvyysvelvoitteet ja seuraamukset 2. elokuuta 2026 alkaen. Vuoden 2026 Digital Omnibuksen jälkeen korkean riskin velvoitteet lykättiin 2. joulukuuta 2027 asti (liitteen III käyttötapaukset) ja 2. elokuuta 2028 asti (liitteen I tuotteisiin sulautettu tekoäly).

Pitääkö tekoälyn tuottama sisältö merkitä verkkosivustollani?

Jos julkaiset tekoälyn tuottamia tai manipuloimia kuvia, ääntä tai videota (deepfakeja), kyllä — ne on merkittävä, ja synteettisessä mediassa tulisi olla koneluettava merkintä. Tekoälychatbottien on kerrottava olevansa tekoälyä. Yleistä etua koskeva tekoälyn kirjoittama teksti on ilmoitettava, ellei ihmistoimittaja ota siitä vastuuta.

Onko ChatGPT tai tekoälytoimittajani vastuussa minun sijastani?

Vastuut jakautuvat roolien mukaan. Mallin tarjoaja (esim. OpenAI) kantaa GPAI-tarjoajan velvoitteet; sinä, chatbotin sivustollesi tuovana tai tekoälysisältöä julkaisevana käyttöönottajana, kannat käyttöönottajan läpinäkyvyysvelvoitteet kävijöitäsi kohtaan.

Onko tekoälyn käyttö SEO:ssa tai sisältömarkkinoinnissa kiellettyä?

Ei. Markkinointitekstin tuottaminen tekoälyllä on minimaalisen/rajoitetun riskin toimintaa — täysin laillista. Asetus vaatii läpinäkyvyyttä vain tietyissä tapauksissa (deepfaket, yleistä etua koskeva teksti, chatbotit) ja kieltää lyhyen listan haitallisia käytäntöjä, joilla ei ole tekemistä normaalin markkinoinnin kanssa.

Mitä verkkosivuston omistajan pitäisi tehdä juuri nyt?

Kartoita, missä tekoäly koskettaa sivustoasi (chatbot, generoidut kuvat/tekstit), lisää selkeät tekoälyilmoitukset ja merkinnät, tarkista synteettisen median merkintäsi ja perehdytä tiimisi. Pidä sitten silmällä 2. joulukuuta 2027, jos käytät tekoälyä rekrytoinnissa tai muilla liitteen III alueilla.

Pikatesti: missä mennään?

Kuusi väittämää — vastaa rehellisesti. Vastaukset pysyvät selaimessasi.

Kävijät tietävät, kun he keskustelevat tekoälyn kanssa (tai meillä ei ole AI-chattia).
AI-generoitu kuva, ääni tai video on näkyvästi merkitty (tai emme julkaise sellaista).
AI:n kirjoittamat yleisen edun artikkelit kerrotaan tai ihminen tarkistaa ne.
Olemme varmistaneet, ettei mikään AI-käyttö ole kiellettyä (5 artikla).
Tiedämme, kuuluuko jokin AI-käyttö liitteen III suuririskisiin.
Tiimimme on saanut AI-peruskoulutuksen.
0/6 vastattuHae ilmainen valmiusskannausIlmainen Beacon-tili sisältää signaaliskannauksen ja interaktiivisen tarkistuslistan — ilman korttia.

Tarkista, mitä sivustosi paljastaa tänään — ilmaiseksi

Aja Beaconin ilmainen näkyvyysskannaus nyt. Tekoälyasetuksen valmiustarkistukset tulevat Beaconiin pian.

Aloita ilmaiseksi Suorita ilmainen tarkistus