CSRD ja tekoälylaki: Mitä pk-yrityksesi tarvitsee tietää vuonna 2025

Eurooppalaiset pk-yritykset navigoivat ennennäkemättömässä sääntelymaisemassa: kaksi merkittävää säädöstä — CSRD (kestävyysraportointidirektiivi) ja tekoälylaki — ovat yhdistymässä muuttamaan liiketoimintavelvoitteita perusteellisesti. Niiden välisen vuorovaikutuksen ymmärtäminen on nyt strateginen prioriteetti, ei pelkästään oikeudellinen.

Miksi tämä kaksoisasetus koskee pk-yritystäsi

Monet pk-yritysjohtajat uskovat virheellisesti, että nämä asetukset koskevat vain suuria yrityksiä. Tämä on kallis väärinkäsitys. Jos yrityksesi on CSRD:n alaisen suuren yrityksen toimittaja tai alihankkija, olet välillisesti sen raportointivelvoitteiden vaikutuspiirissä. Ja jos käytät tai otat käyttöön tekoälyjärjestelmiä — jopa HR-työkaluja tai asiakaspisteytyssovelluksia — tekoälylaki koskee sinua jo nyt.

CSRD: Aikataulu ja kynnysarvot pk-yrityksille

CSRD otti käyttöön pakollisen kestävyysraportoinnin kolmessa aallossa:

• 2025: Suuret yritykset (>500 työntekijää), jotka ovat jo NFRD:n alaisia
• 2026: Suuret yritykset (>250 työntekijää TAI >40 M€ liikevaihto TAI >20 M€ tase)
• 2027: Säännellyillä markkinoilla listatut pk-yritykset (opt-out-mahdollisuus vuoteen 2028)

Listaamattomat pk-yritykset eivät ole suoraan CSRD:n alaisia. Mutta varo: suuret asiakas- tai kumppaniyritykset pyytävät sinulta ESG-tietoja täydentääkseen omaa raportointiaan. Arvoketjupaine on todellista.

VSME-vapaaehtoinen standardi

EFRAG kehitti yksinkertaistetun standardin listaamattomille pk-yrityksille: VSME (vapaaehtoinen pk-yritysstandardi). Sen avulla voit vastata kumppanien pyyntöihin kantamatta täyttä ESRS-vaatimustaakkaa. VSME:n käyttöönotto nyt antaa sinulle kilpailullisen kaupallisen edun.

Tekoälylaki: Mitä pk-yrityksille sovelletaan vuodesta 2025 alkaen

Tekoälylaki tuli voimaan 1. elokuuta 2024. Sen täytäntöönpano on vaiheistettu:

• Helmikuu 2025: Hyväksymättömien tekoälykäytäntöjen kielto
• Elokuu 2025: Yleiskäyttöisiä tekoälymalleja (GPAI) koskevat velvoitteet
• Elokuu 2026: Korkean riskin tekoälyjärjestelmiä koskevat täysimääräiset velvoitteet

Koskettaako sinua korkean riskin järjestelmät?

Tekoälylain Annex III luettelee korkean riskin toimialat. Pk-yrityksesi saattaa olla asianomainen, jos se käyttää tai kehittää tekoälyjärjestelmiä seuraaviin tarkoituksiin:

• Rekrytointi ja HR-hallinta (CV-pisteytys, suoritusarviointi)
• Luottoon pääsy (luottokelpoisuuspisteytys)
• Koulutus ja ammatillinen koulutus
• Välttämättömät palvelut (vesi, kaasu, sähkö)
• Tuoteturvallisuus säännellyillä sektoreilla

Jos kuulut näihin luokkiin, vaatimustenmukaisuusvelvoitteet koskevat sinua: riskinhallinta, tekninen dokumentaatio, tapahtumalocit, ihmisen valvonta.

Pk-yrityskohtaiset helpotukset

EU:n lainsäätäjä sisällytti erityisiä toimenpiteitä pk-yritysten taakan vähentämiseksi:

1. Sääntelyhiekkalaatikko: Ensisijainen pääsy testata tekoälyjärjestelmiäsi turvallisessa ympäristössä ennen kaupallistamista
2. Alennetut maksut ilmoitetuille laitoksille pk-yrityksille ja mikroyrityksille
3. Yksinkertaistettu dokumentaatio tietyille luokille
4. Lisäsiirtymäajat markkinoilla jo oleville korkean riskin järjestelmien tarjoajille

Yhteentörmäyspisteet: CSRD / tekoälylaki

Nämä kaksi tekstiä vahvistavat toisiaan useissa kriittisissä kohdissa:

1. Tietojen hallinta

CSRD edellyttää tarkkaa raportointia ympäristö- ja sosiaalisista vaikutuksistasi — mikä tarkoittaa tiukkaa tiedonkeruuta. Tekoälylaki velvoittaa dokumentoimaan korkean riskin järjestelmien koulutusdata. Vankka tietoarkkitehtuuri palvelee molempia velvoitteita.

2. Läpinäkyvyys ja tarkastettavuus

Molemmat tekstit edellyttävät, että prosessisi ovat jäljitettäviä ja kolmansien osapuolten tarkistettavissa. CSRD:n osalta kyseessä on tilintarkastaja. Tekoälylain osalta kyseessä ovat markkinavalvontaviranomaiset. Tarkastettavien prosessien rakentaminen on yhteinen investointi.

3. Ihmisen valvonta

Tekoälylaki asettaa tehokasta ihmisen valvontaa korkean riskin järjestelmille. Tämä vaatimus vastaa CSRD:n henkeä, joka arvostaa vastuullista hallintotapaa. Tekoälypäätösten ihmisen valvontaprosessien dokumentointi vastaa molempiin kehyksiin.

4. Arvoketjun huolellisuusvelvoite

CSRD (CSDDD:n kautta) asettaa huolellisuusvelvoitteen vaikutuksillesi koko arvoketjussa. Tekoälylaki luo vastaavia velvoitteita käyttöönottajille, jotka käyttävät kolmansien osapuolten kehittämiä tekoälyjärjestelmiä. Molemmat tekstit tekevät sinusta vastuullisen siitä, mitä ostat ja käytät.

Konkreettinen toimintasuunnitelma pk-yrityksellesi

Tässä on käytännöllinen etenemissuunnitelma kolmella aikahorisonttilla:

Lyhyen aikavälin toimet (nyt — Q3 2025)

• [ ] Kartoita tekoälyjärjestelmäsi: Tunnista kaikki tekoälyä käyttävät työkalut (mukaan lukien kolmannen osapuolen SaaS) ja niiden riskiluokitus
• [ ] Arvioi epäsuora CSRD-altistumisesi: Analysoi sopimuksesi suurten yritysten kanssa ennakoidaksesi niiden ESG-pyynnöt
• [ ] Nimeä sääntelyvastaava: Edes osa-aikaisesti jonkun on ohjattava näitä aiheita
• [ ] Inventoi tietosi: Mikä on ESG- ja tekoälytietojesi laatu, jäljitettävyys ja hallinta?

Keskipitkän aikavälin toimet (Q4 2025 — Q2 2026)

• [ ] Ota käyttöön VSME-standardi jos CSRD-kumppanit pyytävät
• [ ] Saata korkean riskin tekoälyjärjestelmäsi vaatimustenmukaisiksi: tekninen dokumentaatio, riskinhallinta, ihmisen valvonta
• [ ] Kouluta tiimisi tekoälylain perusteisiin (mukaan lukien kaikille tekoälyjärjestelmiä käyttäville henkilöille koskeva tekoälylukutaitovelvoite)
• [ ] Tarkista tekoälytoimittajasopimuksesi: SaaS-toimittajien on toimitettava sinulle vaatimustenmukaisuutesi kannalta tarvittava dokumentaatio

Pitkän aikavälin toimet (Q3 2026 ja sen jälkeen)

• [ ] Integroi ESG- ja tekoälyhallinto strategiaasi: Nämä aiheet eivät enää ole marginaalisia
• [ ] Hyödynnä vaatimustenmukaisuuttasi asiakkaille ja sijoittajille
• [ ] Osallistu sääntelyhiekkalaatikoihin innovaatioiden testaamiseen turvallisessa kehyksessä

Tekoälylukutaitovelvoite: Usein laiminlyöty, mutta välitön

Tekoälylain artikla 4 asettaa usein laiminlyödyn velvoitteen: riittävän tekoälylukutaitotason varmistaminen kaikille henkilöstön jäsenille, jotka käyttävät tai valvovat tekoälyjärjestelmiä. Tämä velvoite on voimassa heti nyt, ilman siirtymäaikaa.

Käytännössä tämä tarkoittaa, että jos työntekijäsi käyttävät työkaluja kuten ChatGPT, tekoälypohjaisia rekrytointiohjelmistoja tai kysynnänennustusjärjestelmiä, sinun on pystyttävä osoittamaan, että he ymmärtävät näiden työkalujen kyvyt ja rajoitukset.

Suosituksemme

Älä käsittele CSRD:tä ja tekoälylakia kahtena erillisenä projektina. Synergiat ovat todellisia, ja niiden yhdistäminen vähentää merkittävästi vaatimustenmukaisuuskustannuksiasi. Aloita nopealla diagnoosilla altistumisestasi molemmille teksteille — tämä on pohja realistiselle toimintasuunnitelmalle.

Jos sinulla on kysymyksiä tilanteestasi, toimialaanalyysimme ja diagnostiikkatyökalumme ovat saatavilla tällä alustalla.

Tämä artikkeli on tarkoitettu informatiivisiin tarkoituksiin, eikä se muodosta oikeudellista neuvontaa. Omaa tilannettasi varten käänny pätevän neuvonantajan puoleen.