Etusivulle
Ota yhteyttä

Secure Edge AI EU:n te­ko­ä­ly­ase­tuk­sen alla: mitä tuo­te­ke­hi­tys­tii­mien on tehtävä nyt?

Tekoäly muuttaa tapaa, jolla ihmiset ovat vuorovaikutuksessa sulautettujen ja elektronisten laitteiden kanssa – aina teollisuuden tuotantolaitteista ja energiajärjestelmien valvonnasta lääkäreitä avustaviin laitteisiin ja autonomisiin teknologioihin. Kun tekoäly siirtyy pilvipalveluista fyysisiin laitteisiin, syntyy uusia sääntelyyn ja tietoturvaan liittyviä haasteita.

EU:n tekoälyasetus (AI Act) ja kyberkestävyysasetus (Cyber Resilience Act, CRA) muodostavat uuden vaatimuskokonaisuuden perustan. Yhdessä ne määrittelevät, miten tekoälyä tulee kehittää, ottaa käyttöön ja suojata – erityisesti silloin, kun tekoäly toimii reunalaitteissa (Edge AI), jotka eivät ole suojatuissa ympäristöissä.

Tekoälyasetus keskittyy tekoälyn eettiseen käyttöön ja korostaa periaatteita kuten läpinäkyvyys, vastuullisuus ja ”do no harm”. Monet Edge AI -laitteet ovat turvallisuuskriittisiä, kuten teollisuuden ohjausjärjestelmät, autonominen liikenne ja lääkinnälliset laitteet. Näissä tekoälyn tekemät päätökset voivat vaikuttaa suoraan ihmisten turvallisuuteen ja hyvinvointiin. Siksi myös Edge AI -järjestelmät kuuluvat EU:n tekoälyasetuksen piiriin. Asetus määrittelee säännöt, joilla varmistetaan, että nämä järjestelmät toimivat turvallisesti, läpinäkyvästi ja eettisesti.

Edge AI valitaan usein tietosuojasyistä, koska data käsitellään laitteessa eikä pilvessä. Tästä huolimatta myös laitteessa toimiva tekoäly kuuluu tekoälyasetuksen soveltamisalaan, jos sillä on vaikutusta ihmisiin tai turvallisuuteen. Vaatimukset koskevat siis yhtä lailla pilvipohjaista tekoälyä kuin Edge AI -ratkaisuja.

Edge AI vähentää riippuvuutta verkkoyhteyksistä ja mahdollistaa reaaliaikaisen toiminnan myös offline-tilassa tai kriittisissä ympäristöissä. Samalla se edellyttää, että laitteet on suunniteltu toimimaan turvallisesti, jäljitettävästi ja eettisesti koko elinkaarensa ajan.

Sääntely-ympäristön kokonaiskuva

Vuosien 2024–2027 aikana useat EU:n keskeiset sääntelykehykset tulevat voimaan:

  • Data-asetus (EU 2023/2854)
  • NIS2-direktiivi (EU 2022/2555)
  • Kyberkestävyysasetus (CRA)
  • Tekoälyasetus (AI Act, EU 2024/1689)

Yhdessä nämä tekevät secure-by-design-periaatteesta pakollisen kaikille EU:ssa toimiville organisaatioille ja tuotteille. Käytännössä tämä tarkoittaa, että yhdistettyjen ja tekoälyä hyödyntävien laitteiden on osoitettava jäljitettävä dokumentaatio, vahva datanhallinta ja ohjelmistojen koko elinkaaren hallinta ennen kuin ne voidaan tuoda EU-markkinoille

Lue lisää: Tekoälyä hyödyntävät tuotteet – Muutamme älykkyyden mitattavaksi arvoksi

  1. EU:n tekoälyasetus (AI Act)

Tekoälyasetus on maailman ensimmäinen laaja tekoälyä koskeva sääntelykehys. Se luokittelee tekoälysovellukset riskitason mukaan ja asettaa vaatimukset sen perusteella, aina “hyväksymättömän riskin” järjestelmien täydellisistä kielloista “korkean riskin” järjestelmien kattaviin dokumentointi- ja auditointivaatimuksiin. Tavoitteena on varmistaa, että Euroopassa käytettävä tekoäly on turvallista, läpinäkyvää ja perusoikeuksia kunnioittavaa.

  1. Kyberkestävyysasetus (CRA)

CRA keskittyy digitaalisten tuotteiden ja yhdistettyjen laitteiden kyberturvallisuuteen. Valmistajien on suunniteltava tuotteet turvallisiksi oletusarvoisesti, hallittava haavoittuvuuksia ja tarjottava tietoturvapäivityksiä koko tuotteen elinkaaren ajan

Edge AI:n näkökulmasta

  • AI Act säätelee tekoälyn toimintaa (etiikka, riskienhallinta, data)
  • CRA säätelee laitteen turvallisuutta (ohjelmiston eheys, päivitykset, manipuloinnin estäminen)

Molempien noudattaminen on välttämätöntä EU-markkinoille tuotaville tekoälytuotteille.

Milloin vaatimukset astuvat voimaan?

VAIHEKESKEINEN SISÄLTÖVOIMASSA
Vaihe 1Kielletyt tekoälykäytännöt + tekoälyosaamisvaatimus organisaatioilleHelmikuu 2025
Vaihe 2Yleiskäyttöisten tekoälymallien (GPAI) velvoitteetElokuu 2025
Vaihe 3Korkean riskin tekoälyn täysi vaatimustenmukaisuusElokuu 2027

Poikkeuksia ovat mm. kansallinen turvallisuus, puolustus, tieteellinen tutkimus ja harrastuskäyttö. Asetus edellyttää myös, että tekoälyä suunnittelevat, käyttävät tai ottavat käyttöön työntekijät ymmärtävät sen mahdollisuudet ja riskit. HR- ja L&D-tiimien kannattaa aloittaa osaamisen kehittäminen nyt.

Tekoälyasetuksen riskiluokat

  • Hyväksymätön riski (kielletty)
    Ihmisten käyttäytymisen manipulointi, sosiaalinen pisteytys, reaaliaikainen etätunnistautuminen, tunteiden tunnistaminen julkisissa tiloissa, rikollisuuden ennustaminen.
  • Korkea riski 
    Turvallisuuskriittiset järjestelmät, kriittinen infrastruktuuri sekä ihmisarviointiin liittyvät järjestelmät (koulutus, terveydenhuolto, rekrytointi, luottopäätökset, maahanmuutto, oikeusjärjestelmä).
  • Rajoitettu riski 
    Sisällöntuotanto, jossa vaaditaan läpinäkyvyyttä (esim. chatbotit, tekoälyn muokkaama media).
  • Vähäinen riski 
    Viihde ja vähävaikutteiset työkalut, kuten pelit tai roskapostisuodattimet.

Esimerkkinä voisi mainita "mielialan tunnistamisen" raitiovaunumatkustajien tunteita analysoivassa tutkimushankkeessa. Se saattaa vaikuttaa harmittomilta, mutta tekoälylain mukaan se voitaisiin luokitella kielletyksi (käyttäytymismanipulointi) tai korkean riskin (tunnetilojen tunnistus) järjestelmäksi. Konteksti ratkaisee, ovatko ne sääntöjen mukaisia.

Mitkä ovat korkean riskin tekoälyn vaatimukset? 

A | Järjestelmä- ja tuotevaatimukset

  • Kattava riskienhallinta
  • Datan hallinta ja laatuvaatimukset
  • Tekninen dokumentaatio ja lokit
  • Läpinäkyvyys ja ihmisen valvontamahdollisuus
  • Luotettavuus, tarkkuus ja kyberturvallisuus

B | Organisatoriset vaatimukset

  • Tekoälyä koskeva laatujärjestelmä (QMS)
  • Kirjanpito ja korjaavien toimien dokumentointi
  • Yhteistyö viranomaisten kanssa
  • Valtuutettu edustaja (tarvittaessa)
  • Perusoikeusvaikutusten arviointi (FRIA)

10 kohdan AI Act -valmiuslista

  1. Määrittele tekoälyn käyttötapaus ja riskiluokka
  2. Kartoita datalähteet ja vastuut
  3. Laadi uhkamalli laitteelle, mallille ja datalle
  4. Varmista mallien ja opetusdatan jäljitettävyys
  5. Suunnittele verifiointi ja validointi
  6. Mahdollista ihmisen vaikuttaminen
  7. Toteuta kattava lokitus ja auditointipolut
  8. Dokumentoi perusoikeusvaikutusten arviointi
  9. Suunnittele markkinoille tulon jälkeinen seuranta
  10. Varmista toimittajien ja kolmansien osapuolten vaatimustenmukaisuus

Valmiina vähentämään Edge AI -riskejä?

Etteplanin asiantuntijatiimi yhdistää tekoälyn, tietoturvan ja sääntelyn osaamisen, jotta vaatimustenmukaisuus olisi kilpailuetu, ei este.

Autamme kartoittamaan käyttötapauksesi, määrittelemään turvallisuusarkkitehtuurin ja tuottamaan sertifioinnissa tarvittavan dokumentaation. Varaa AI Act -valmiusarviointi Etteplanilta. Ota yhteyttä!