17 artikla — Laadunhallintajärjestelmä (EU:n tekoälyasetus)

Asetuksen (EU) 2024/1689 17 artikla — Laadunhallintajärjestelmä. Virallinen teksti, käytännön tulkinta, keskeiset velvoitteet ja vaatimustenmukaisuuden vaikutukset.

Virallisen tekstin tiivistelmä

Asetuksen (EU) 2024/1689 17 artikla edellyttää, että korkean riskin tekoälyjärjestelmien tarjoajat ottavat käyttöön laadunhallintajärjestelmän (LHJ) ennen kuin tällaiset järjestelmät saatetaan markkinoille tai otetaan käyttöön. LHJ on dokumentoitava järjestelmällisellä ja asianmukaisella tavalla, ja sen on katettava kaikki tekoälyjärjestelmän elinkaaren vaiheet.

Asetus täsmentää, että LHJ:n on käsiteltävä vähintään: tarjoajan strategia sääntelynoudattamiseksi, mukaan lukien vaatimustenmukaisuuden arviointimenettelyt; tekoälyjärjestelmän suunnitteluun, suunnittelunohjaukseen ja todentamiseen käytetyt tekniikat, menettelyt ja järjestelmälliset toimet; tiedonhallintamenettelyt, jotka kattavat tietojen hankinnan, keräämisen, analysoinnin, merkinnän, tallentamisen, suodatuksen, louhinnan, koostamisen ja säilyttämisen; 9 artiklassa säädetty riskinhallintajärjestelmä; 72 artiklan mukaisen markkinoille saattamisen jälkeisen seurantajärjestelmän perustaminen ja toteuttaminen; 73 artiklan mukaiset vaaratilanneilmoitusmenettelyt; viestinnän hallinta toimivaltaisten viranomaisten, ilmoitettujen laitosten ja muiden asiaankuuluvien toimijoiden kanssa; rekisterin pitämisen järjestelmät ja menettelyt; resurssien hallinta mukaan lukien toimitusketjuun liittyvät toimenpiteet; ja vastuullisuuskehys, joka dokumentoi vastuut koko organisaatiossa.

Kun tarjoajat ovat luonnollisia henkilöitä tai mikroyrityksiä komission suosituksen 2003/361/EY tarkoittamassa mielessä, komissiolla on valtuudet antaa täytäntöönpanosäädöksiä, joilla sallitaan yksinkertaistetut LHJ-järjestelyt, tunnustaen asetuksen läpäisevä suhteellisuusperiaate.

Mitä tämä tarkoittaa käytännössä

Mille tahansa organisaatiolle, joka kehittää tai saattaa EU:n markkinoille korkean riskin tekoälyjärjestelmän, 17 artikla tarkoittaa, että vaatimustenmukaisuus ei voi olla kertaluonteinen harjoitus, joka tehdään julkaisemisen yhteydessä. Sen on oltava sulautettu elävään organisatoriseen järjestelmään, joka hallitsee koko tuotteen elinkaarta — alkuperäisistä suunnittelupäätöksistä käyttöönottoon, seurantaan ja lopulta käytöstä poistamiseen.

Konkreettisesti tarjoajan on pystyttävä osoittamaan, että dokumentoidut menettelyt ovat olemassa ja niitä noudatetaan jokaisessa vaiheessa. Terveydenhuollon tekoälyn tarjoaja ei esimerkiksi voi yksinkertaisesti kouluttaa mallia ja toimittaa se vaatimustenmukaisuuden arviointiin. Organisaation on osoitettava, että tietojen hankinta noudatti dokumentoituja hallintosääntöjä, että suunnitteluratkaisuja tarkasteltiin riskikriteerien suhteen, että valvontavastuut on osoitettu ja kirjattu, ja että on olemassa mekanismi käyttöönottamisen jälkeisten vaaratilanteiden havaitsemiseksi ja ilmoittamiseksi.

LHJ-vaatimus tarkoittaa, että vaatimustenmukaisuus on yhtä lailla organisatorinen ja menettelyllinen haaste kuin tekninen. Yritykset, jotka jo toimivat ISO 9001:n tai toimialakohtaisten hallintokehysten mukaisesti — kuten ISO 13485 lääkinnällisissä laitteissa — löytävät merkittäviä päällekkäisyyksiä, mutta joutuvat silti nimenomaisesti kartoittamaan olemassa olevat järjestelmänsä tekoälylain vaatimuksia vastaan sen sijaan, että olettaisivat vastaavuuden.

Pienemmät tarjoajat hyötyvät suhteellisuussäännöksestä: mikroyritykset voivat saada yksinkertaistettuja järjestelyjä komission antamien täytäntöönpanosäädösten nojalla. Tämä ei kuitenkaan vapauta niitä taustalla olevista aineellisista velvoitteista; se voi vaikuttaa ainoastaan muotoon, jossa nämä velvoitteet dokumentoidaan ja hallitaan.

Käytännössä tarjoajien tulisi kohdella LHJ:tä keskeisenä selkärankana, josta kaikki muut vaatimustenmukaisuuden artefaktit — tekninen dokumentaatio, riskikirjanpito, markkinoille saattamisen jälkeiset seurantasuunnitelmat, vaaratilannelokitiedostot — tuotetaan ja hallitaan.

Keskeiset velvoitteet

Perustaa dokumentoitu laadunhallintajärjestelmä ennen korkean riskin tekoälyjärjestelmän markkinoille saattamista tai käyttöönottoa kattaen kaikki elinkaaren vaiheet.
Integroida 9 artiklan edellyttämät riskinhallintamenettelyt LHJ:hen varmistaen, että riskien tunnistaminen, arviointi ja vähentäminen ovat järjestelmällistä ja jäljitettävissä.
Dokumentoida tiedonhallintakäytännöt, jotka kattavat hankinnan, merkinnän, käsittelyn, tallentamisen ja säilyttämisen, johdonmukaisesti 10 artiklan tietojen hallintavaatimusten kanssa.
Ylläpitää 11 artiklassa ja liitteessä IV täsmennettyä teknistä dokumentaatiota LHJ:n tuotoksena pitäen se ajan tasalla ja saatavilla vaatimustenmukaisuuden arvioinnin ja markkinavalvonnan tarkoituksiin.
Toteuttaa markkinoille saattamisen jälkeisen seurannan ja vaaratilanneilmoitusten menettelyt LHJ-kehyksessä, linjassa 72 ja 73 artiklan kanssa.
Määritellä ja dokumentoida vastuurakenteet, roolit ja vastuut koko organisaatiossa, mukaan lukien toimitusketjun valvonta, kun kolmansien osapuolten komponentit osallistuvat tekoälyjärjestelmään.

Suhde muihin artikloihin

17 artikla toimii III osaston 3 luvussa perustetun korkean riskin tekoälyjärjestelmien vaatimustenmukaisuusjärjestelmän organisatorisena selkärankana. Se johtaa aineellisen sisältönsä useista toisiinsa kytkeytyvistä velvoitteista: 9 artiklan riskinhallintajärjestelmä, 10 artiklan tietojen ja tietojen hallinnan vaatimukset sekä 11 artiklan teknistä dokumentaatiota koskeva järjestelmä syöttävät suoraan sitä, mitä LHJ:n on katettava ja tuotettava.

LHJ:n on myös tuettava 43 ja 44 artiklassa säädettyjä vaatimustenmukaisuuden arviointimenettelyjä, sillä sen tuottama dokumentaatio muodostaa ensisijaisen todistusaineiston, jonka ilmoitetut laitokset tai itsearviointiprosessit tarkastavat. Käyttöönoton jälkeiset velvoitteet 72 artiklan (markkinoille saattamisen jälkeinen seuranta) ja 73 artiklan (vakavista vaaratilanteista ilmoittaminen) nojalla on sisällytettävä LHJ-menettelyihin eikä niitä saa hallita erillisinä ad hoc -toimintoina.

26 artikla asettaa käyttöönottajille velvoitteita, jotka ovat erillisiä mutta täydentäviä tarjoajien LHJ-velvoitteisiin nähden. Kun tarjoajat ja käyttöönottajat ovat päällekkäisiä — esimerkiksi kun organisaatio sekä kehittää että ottaa käyttöön korkean riskin tekoälyjärjestelmän sisäisesti — 17 artiklan LHJ:tä on luettava yhdessä 26 artiklan käyttöönottajavelvoitteiden kanssa täydellisen kattavuuden varmistamiseksi.

Vaatimustenmukaisuuden aikataulu

EU:n tekoälyasetus tuli voimaan 1. elokuuta 2024 sen jälkeen, kun se julkaistiin Euroopan unionin virallisessa lehdessä. Sen säännösten soveltaminen on vaiheistettu:

Helmikuu 2025 — Hyväksymättömän riskin tekoälykäytäntöjen kiellot (5 artikla) tulivat sovellettaviksi.
Elokuu 2025 — Yleiskäyttöisiä tekoälymalleja koskevat velvoitteet (VIII osasto) tulivat sovellettaviksi.
2. elokuuta 2026 — 17 artikla tulee sovellettavaksi liitteessä III lueteltujen korkean riskin tekoälyjärjestelmien tarjoajiin (järjestelmät muun muassa biometrian, kriittisen infrastruktuurin, koulutuksen, työllistymisen, välttämättömien palvelujen, lainvalvonnan, maahanmuuton ja lainkäytön aloilla).
2. elokuuta 2027 — 17 artikla tulee sovellettavaksi liitteen I (tekoälykomponentit tuotteissa, joihin jo sovelletaan unionin yhdenmukaistamislainsäädäntöä, kuten lääkinnälliset laitteet, koneet ja ilmailulaitteet) soveltamisalaan kuuluvien korkean riskin tekoälyjärjestelmien tarjoajiin.

Tarjoajat, joiden järjestelmät ovat jo markkinoilla ennen näitä päivämääriä, hyötyvät 111 artiklan siirtymäjärjestelyistä, jotka voivat lykätä täydelliset LHJ-vaatimustenmukaisuusvelvoitteet merkittäviin muutoksiin ja meneillään oleviin vaatimustenmukaisuuden arviointisykleihin liittyvien ehtojen mukaisesti. Organisaatioiden tulisi aloittaa LHJ:n suunnittelu ja puutearvioinnit hyvissä ajoin ennen sovellettavaa määräaikaa, jotta sisäinen validointi, ilmoitetun laitoksen osallistuminen tarvittaessa ja iteratiivinen tarkentaminen olisivat mahdollisia ennen velvoitteen voimaantuloa.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-23 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Kenen on 17 artiklan mukaan perustettava laadunhallintajärjestelmä?

17 artikla asettaa laadunhallintajärjestelmävelvoitteen yksinomaan asetuksen (EU) 2024/1689 6 artiklassa ja liitteessä III määriteltyjen korkean riskin tekoälyjärjestelmien tarjoajille. Käyttöönottajat eivät ole tämän erityisvelvoitteen alaisia, vaikka heillä on erillisiä velvoitteita 26 artiklan nojalla.

Mitä laadunhallintajärjestelmän on 17 artiklan mukaan sisällettävä?

LHJ:n on katettava vähintään: sääntelynoudattamisen strategia, suunnittelu- ja kehittämismenetelmät, tiedonhallintamenettelyt, 9 artiklan mukainen riskinhallinta, 11 artiklan mukainen tekninen dokumentaatio, kirjaaminen ja rekisterin pitäminen, 72 artiklan mukainen markkinoille saattamisen jälkeinen seuranta, vaaratilanneilmoitusvelvoitteet sekä ihmisten suorittaman valvonnan järjestelyt.

Edellyttääkö 17 artikla sertifioitua laadunhallintajärjestelmää, kuten ISO 9001?

17 artikla ei edellytä mitään erityistä sertifiointistandardia. Tunnustettujen standardien, kuten ISO 9001:n tai toimialakohtaisten vastaavien, noudattaminen voi kuitenkin tukea vaatimustenmukaisuuden osoittamista, erityisesti silloin kun 40 artiklan nojalla yhdenmukaistettuja standardeja sisältää LHJ-vaatimuksia.

Miten laadunhallintajärjestelmä liittyy tekniseen dokumentaatioon?

LHJ ja tekninen dokumentaatio ovat tiiviisti yhteydessä toisiinsa. LHJ:n on tuotettava ja ylläpidettävä 11 artiklan ja liitteen IV edellyttämää teknistä dokumentaatiota, ja dokumentaatio itse toimii ensisijaisena todisteena siitä, että LHJ toimii oikein vaatimustenmukaisuuden arvioinnin aikana.

Milloin 17 artikla tulee sovellettavaksi?

17 artikla koskee liitteen III korkean riskin tekoälyjärjestelmien tarjoajia 2. elokuuta 2026 alkaen ja liitteen I (alakohtainen unionin yhdenmukaistamislainsäädäntö) soveltamisalaan kuuluvien korkean riskin tekoälyjärjestelmien tarjoajia 2. elokuuta 2027 alkaen, 111 artiklan siirtymäsäännösten mukaisesti.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.