Asetuksen (EU) 2024/1689 15 artikla — Tarkkuus, luotettavuus ja kyberturvallisuus. Virallinen teksti, käytännön tulkinta, keskeiset velvoitteet ja vaatimustenmukaisuuden vaikutukset.
Virallisen tekstin tiivistelmä
Asetuksen (EU) 2024/1689 15 artikla vahvistaa tekniset vaatimukset tarkkuudelle, luotettavuudelle ja kyberturvallisuudelle, jotka korkean riskin tekoälyjärjestelmien on täytettävä koko elinkaarensa ajan. Artikla rakentuu kolmen toisiinsa kytkeytyvän velvoitteen ympärille.
Ensinnäkin korkean riskin tekoälyjärjestelmät on suunniteltava ja kehitettävä siten, että ne saavuttavat käyttötarkoituksensa kannalta asianmukaisen tarkkuuden tason. Tarjoajien on ilmoitettava asiaankuuluvat tarkkuusmittarit oheisessa teknisessä dokumentaatiossa, mikä mahdollistaa jatkotarkistuksen ja viranomaisten valvonnan.
Toiseksi järjestelmien on osoitettava luotettavuus — kyky käsitellä virheitä, vikoja ja epäjohdonmukaisuuksia, jotka aiheutuvat järjestelmästä itsestään, sen toimintaympäristöstä tai tahallisesta vihamielisestä manipuloinnista. Asetus mainitsee nimenomaisesti tarpeen puuttua tahattomien palautesilmukoiden riskiin, erityisesti silloin, kun korkean riskin tekoälyjärjestelmä vaikuttaa omiin harjoitusdataan tai tulosteisiinsa.
Kolmanneksi järjestelmiin on sisällytettävä kyberturvallisuustoimenpiteitä, jotka ovat oikeassa suhteessa niiden aiheuttamiin riskeihin. Näiden toimenpiteiden on suojattava kolmansien osapuolten yrityksiltä hyödyntää järjestelmän haavoittuvuuksia, jotka voisivat saada järjestelmän käyttäytymään haitallisesti, puolueellisesti tai muulla tavoin vaatimusten vastaisesti. Asetus tunnustaa, että kyberturvallisuuden resilienssi ei ole staattinen tila, vaan sitä on ylläpidettävä uhkamaiseman kehittyessä.
Kokonaisuutena 15 artikla operationalisoi laajemman periaatteen — joka ilmaistaan johdanto-osan 51 ja 52 kappaleessa — jonka mukaan tekninen luotettavuus on edellytys tekoälyn käyttöönotolle seurauksia aiheuttavilla aloilla.
Mitä tämä tarkoittaa käytännössä
15 artikla luo konkreettisia teknisiä ja hallinnollisia velvoitteita jokaiselle organisaatiolle, joka saattaa korkean riskin tekoälyjärjestelmän EU:n markkinoille tai ottaa sen käyttöön.
Tarjoajille välitön seuraus on, että tarkkuus ei ole pelkästään kaupallinen väite, vaan sääntelyllinen sitoumus, joka on dokumentoitava, mitattava ja ylläpidettävä. Tekoälypohjaista diagnostiikkatyökalua integroivan lääkinnällisten laitteiden valmistajan on täsmennettävä, mitattiinko tarkkuus herkkyytenä, spesifisyytenä, AUC:na vai muuna mittarina — ja tämän valinnan on oltava linjassa järjestelmän käyttötarkoituksen ja riskiprofiilin kanssa. Epämääräiset tai tavoitteelliset tarkkuuslausumat eivät täytä vaatimusta.
Luotettavuustestauksen on ylitettävä tavanomainen laadunvarmistus. Tarjoajien tulisi suorittaa kuormitustestauksia, jakaumaulkopuolisia testauksia sekä — silloin kun järjestelmä altistuu käyttäjän hallitsemille syötteille — vihamielistä punainen tiimi -testausta (adversarial red-teaming). Silloin kun järjestelmä sisältää palautesilmukoita (esimerkiksi rekrytointialgoritmi, joka oppii rekrytoijien päätöksistä), tarjoajien on kartoitettava ja lievennettävä riskiä, että puolueelliset tulosteet turmelevat tulevat harjoittelukierrokset.
15 artiklan kyberturvallisuusvelvoitteita on luettava yhdessä tarjoajan laajemman tietoturva-asennon kanssa. Korkean riskin tekoälyjärjestelmät, jotka käsittelevät henkilötietoja tai ovat yhteydessä kriittiseen infrastruktuuriin, kohtaavat kumulatiivisia velvoitteita sekä tämän asetuksen että NIS 2 -direktiivin nojalla. Käytännön toimenpiteitä ovat mallin käyttöoikeuden hallinta, syötteiden puhdistus, poikkeavuuksien havaitseminen päättelypyynnöissä sekä haavoittuvuuksien ilmoittamismenettelyt.
Käyttöönottajille 15 artiklan vaatimustenmukaisuus riippuu olennaisesti tarjoajan kuvaamien validoitujen käyttöolosuhteiden säilyttämisestä. Järjestelmän käyttöönottaminen datajakaumissa, jotka poikkeavat olennaisesti validoinnissa käytetyistä — esimerkiksi yhdellä kansallisella markkinalla harjoitetun luottoluokitusmallin soveltaminen toiseen lainkäyttöalueeseen — voi heikentää niitä tarkkuus- ja luotettavuusominaisuuksia, joiden perusteella CE-merkintä myönnettiin.
Keskeiset velvoitteet
- Tarkkuusmittareiden ilmoittaminen: Tarjoajien on täsmennettävä korkean riskin tekoälyjärjestelmän asiaankuuluvat tarkkuusmittarit ja sisällytettävä ne 11 artiklan ja liitteen IV nojalla vaadittuun tekniseen dokumentaatioon. Mittareiden on soveltava järjestelmän käyttötarkoitukseen.
- Asianmukaisen tarkkuuden saavuttaminen ja ylläpitäminen: Järjestelmä on suunniteltava ja kehitettävä ilmoitetun tarkkuustason saavuttamiseksi; tarkkuutta ei saa kohdella kertaluonteisena validointituloksena, vaan sitä on seurattava käyttöönoton jälkeen 72 artiklan nojalla vaaditun markkinoille saattamisen jälkeisen seurantajärjestelmän kautta.
- Luotettavuuden varmistaminen virheitä ja epäjohdonmukaisuuksia vastaan: Käytössä on oltava tekniset ja organisatoriset toimenpiteet, jotta järjestelmä pystyy käsittelemään virheitä, vikoja ja epäjohdonmukaisuuksia — olivatpa ne peräisin sisäisistä vioista, ympäristön vaihtelusta tai tahallisista vihamielisistä syötteistä — aiheuttamatta vaarallisia tai vaatimusten vastaisia tulosteita.
- Suojautuminen vihamielisiltä hyökkäyksiltä: Silloin kun järjestelmä altistuu kolmansien osapuolten syötteille, tarjoajien on toteutettava toimenpiteitä vihamielisen manipuloinnin havaitsemiseksi ja torjumiseksi, mukaan lukien kehoteinjektio (prompt injection), mallin inversio tai datan myrkyttämishyökkäykset soveltuvin osin.
- Palautesilmukkariskien käsittely: Silloin kun järjestelmän tulosteet voivat vaikuttaa tulevaan harjoitusdataan tai mallin käyttäytymiseen, tarjoajien on tunnistettava tämä riski teknisessä dokumentaatiossa ja toteutettava suojatoimia suorituskyvyn heikkenemisen tai puolueellisuuden vahvistumisen estämiseksi ajan myötä.
- Oikeasuhteisten kyberturvallisuustoimenpiteiden toteuttaminen: Teknisten ratkaisujen — mukaan lukien käyttöoikeuden hallinta, seuranta ja häiriötilanteisiin reagointimenettelyt — on oltava oikeassa suhteessa järjestelmän aiheuttamiin kyberturvallisuusriskeihin ottaen huomioon sen käyttötarkoitus, käyttöönottokonteksti sekä altistuminen ulkoisille verkoille tai käyttäjän hallitsemille syötteille.
Suhde muihin artikloihin
15 artiklaa ei voi lukea erillään. Se on korkean riskin tekoälyjärjestelmien teknisten vaatimusten ytimessä ja leikkaa useita muita asetuksen säännöksiä.
9 artikla (riskinhallintajärjestelmä) tarjoaa kattavan kehyksen, jonka puitteissa tarkkuuteen, luotettavuuteen ja kyberturvallisuuteen liittyvät riskit on tunnistettava, arvioitava ja lievennettävä. Riskinhallintajärjestelmä on menettelyllinen väline monien 15 artiklan asettamien aineellisten vaatimusten täyttämiseksi.
10 artikla (data ja datahallinto) on keskeinen tarkkuuden kannalta: järjestelmä, joka on harjoitettu heikkolaatuisella, epäedustavalla tai puolueellisella datalla, ei voi saavuttaa merkityksellisiä tarkkuustakeita. Datalaadun velvoitteet mahdollistavat suoraan 15 artiklan vaatimustenmukaisuuden.
11 artikla ja liite IV täsmentävät, mitä tekniseen dokumentaatioon on sisällyttävä, mukaan lukien 15 artiklan 1 kohdan edellyttämät tarkkuusmittarit.
17 artikla (laadunhallintajärjestelmä) edellyttää, että tarjoajat sisällyttävät 15 artiklan vaatimustenmukaisuuden organisatorisiin prosesseihinsa, mukaan lukien suunnittelun ohjaukset, testausprotokollat ja muutostenhallinnan menettelyt.
72 artikla (markkinoille saattamisen jälkeinen seuranta) luo jatkuvan velvoitteen tarkistaa, että tarkkuus- ja luotettavuustasot säilyvät käyttöönoton jälkeen, sulkien elinkaarisilmukan, jonka 15 artikla avaa suunnitteluvaiheessa.
Järjestelmien osalta, jotka ovat myös lääkinnällisiä laitteita tai turvakomponentteja, 15 artiklaa on luettava yhdessä sovellettavan liitteessä I luetellun unionin yhdenmukaistamislainsäädännön kanssa.
Vaatimustenmukaisuuden aikataulu
15 artikla noudattaa asetuksen (EU) 2024/1689 113 artiklassa vahvistettua vaiheistettua soveltamisaikataulua, joka tuli voimaan 1. elokuuta 2024.
| Päivämäärä | Välitavoite |
|---|---|
| 1. elokuuta 2024 | Asetus tulee voimaan. 15 artikla on lainvoimainen mutta ei vielä sovellettavissa. |
| 2. helmikuuta 2025 | Kielletyt tekoälykäytännöt (II osasto, 5 artikla) tulevat sovellettaviksi. 15 artiklaa ei sovelleta vielä. |
| 2. elokuuta 2025 | GPAI-mallivelvoitteet (VIII osasto) tulevat sovellettaviksi. 15 artikla pysyy soveltamattomana. |
| 2. elokuuta 2026 | 15 artikla tulee sovellettavaksi liitteessä III lueteltuihin korkean riskin tekoälyjärjestelmiin (esim. biometrinen tunnistaminen, kriittisen infrastruktuurin hallinta, työllistymisvälineet, koulutusjärjestelmät, lainvalvontasovellukset). |
| 2. elokuuta 2027 | 15 artikla tulee sovellettavaksi liitteen I unionin yhdenmukaistamislainsäädännön nojalla säänneltyihin korkean riskin tekoälyjärjestelmiin (esim. lääkinnälliset laitteet, koneet, siviili-ilmailun komponentit). |
Tarjoajien, jotka kehittävät tai saattavat markkinoille korkean riskin tekoälyjärjestelmiä ennen sovellettavaa päivämäärää, on silti valmisteltava dokumentaatio, testausprotokollat ja kyberturvallisuusarkkitehtuurit etukäteen — 43–47 artiklan mukaisten sääntelyvalmiuden arviointien ja vaatimustenmukaisuuden arviointien suorittaminen edellyttää huomattavaa valmisteluaikaa. Ilmoitettujen laitosten ruuhkat ja vihamielisen testauksen monimutkaisuus tarkoittavat, että vuoden 2026 markkinoille tuloa tavoittelevien organisaatioiden on aloitettava 15 artiklan puuteanalyysit viimeistään vuoden 2025 puolivälissä.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
15 artikla edellyttää, että korkean riskin tekoälyjärjestelmät suunnitellaan ja kehitetään siten, että ne saavuttavat asianmukaisen tarkkuuden, luotettavuuden ja kyberturvallisuuden tason koko elinkaarensa ajan. Tarjoajien on ilmoitettava asiaankuuluvat tarkkuusmittarit teknisessä dokumentaatiossa ja varmistettava, että järjestelmät pysyvät kestävinä virheitä, vikoja, epäjohdonmukaisuuksia ja vihamielisiä hyökkäyksiä vastaan.
15 artikla sitoo ensisijaisesti asetuksen (EU) 2024/1689 6 artiklassa ja liitteessä III määriteltyjen korkean riskin tekoälyjärjestelmien tarjoajia. Käyttöönottajilla on toissijaisia vastuita, erityisesti sen varmistamisessa, että järjestelmän validoinnissa käytetyt olosuhteet säilytetään.
Vihamieliset hyökkäykset viittaavat kolmansien osapuolten tahallisiin yrityksiin manipuloida tai huijata tekoälyjärjestelmää syöttämällä sille erityisesti laadittuja syötteitä, jotka on suunniteltu aiheuttamaan virheellisiä tulosteita. 15 artikla edellyttää teknisiä luotettavuustoimenpiteitä — kuten vihamielistä harjoittelua tai syötteiden validointia — tämän riskin lieventämiseksi.
Ei. 15 artikla sisältyy III osaston 2 lukuun, jota sovelletaan yksinomaan korkean riskin tekoälyjärjestelmiin. Yleiskäyttöisiä tekoälymalleja (GPAI) säätelee asetuksen VIII osasto, erityisesti 51–56 artikla, joissa säädetään erillisistä velvoitteista.
15 artiklaa sovelletaan liitteen III piiriin kuuluviin korkean riskin tekoälyjärjestelmiin 2. elokuuta 2026 alkaen ja liitteessä I lueteltujen unionin yhdenmukaistamislainsäädännön nojalla säänneltyihin korkean riskin tekoälyjärjestelmiin 2. elokuuta 2027 alkaen, tiettyjä siirtymäsäännöksiä noudattaen.
Tarkkuustasot on määritettävä järjestelmän käyttötarkoituksen perusteella ja ne on täsmennettävä 11 artiklan ja liitteen IV nojalla vaaditussa teknisessä dokumentaatiossa. Yhtä universaalia vertailuarvoa ei ole; tarjoajien on valittava tehtäväalueelle sopivat mittarit — esimerkiksi herkkyys ja spesifisyys lääketieteellisen diagnostiikan järjestelmille tai väärien positiivisten/negatiivisten asteet biometristä tunnistamista varten.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.