EU:n tekoälyasetuksen Omnibus 2026: Uudet vaatimustenmukaisuuden määräajat selitetty

Digital Omnibus 2026 pidensi kaksi kriittistä tekoälyasetuksen määräaikaa: liitteen III mukaisten itsenäisten korkeariskisten järjestelmien 2. joulukuuhun 2027 ja liitteen I mukaisten integroitujen järjestelmien 2. elokuuhun 2028. Tässä kerrotaan, mitä muuttui, miksi ja mitä vaatimustenmukaisuusohjelmasi on nyt tehtävä.

Mitä Digital Omnibus 2026 muuttaa

Tekoälyä koskeva Digital Omnibus muutti kaksi keskeistä soveltamispäivämäärää EU:n asetuksessa 2024/1689 (EU:n tekoälyasetus):

Velvoite	Alkuperäinen määräaika	Uusi määräaika	Muutos
Korkeariskinen tekoäly — liite III (itsenäiset järjestelmät)	2. elokuuta 2026	2. joulukuuta 2027	+16 kuukautta
Korkeariskinen tekoäly — liite I (säänneltyihin tuotteisiin integroitu)	2. elokuuta 2026	2. elokuuta 2028	+24 kuukautta

Muita merkittäviä määräaikoja ei muutettu. Kielletyt käytännöt (2. helmikuuta 2025), GPAI-säännöt (2. elokuuta 2025) ja GPAI-sisällön merkitsemistä koskevat avoimuusvelvoitteet (2. elokuuta 2025) pysyvät voimassa alkuperäisinä päivämäärinään.

Miksi omnibus lykkäsi korkeariskisen tekoälyn määräaikoja

Euroopan komissio mainitsi kolme syytä:

Yhdenmukaistus täytäntöönpanosäädösten kanssa — korkeariskisen tekoälyn arvioinnin tekniset standardit ja harmonisoidut normit (CEN/CENELECin työohjelma) eivät valmistuneet ajoissa elokuulle 2026. Vaatimustenmukaisuuden arvioinnit edellyttävät näitä standardeja.
Vaatimustenmukaisuuden infrastruktuurin puutteet — ilmoitetut laitokset, kansalliset toimivaltaiset viranomaiset ja EU:n tekoälyvirasto tarvitsivat lisää valmisteluaikaa. Ilman operatiivista täytäntöönpanon infrastruktuuria elokuun 2026 määräaika olisi ollut käytännössä täytäntöönpanokelvoton.
Pk-yritysten valmius — pienemmät tarjoajat erityisesti lääketieteen teknologiassa, henkilöstötekniikassa ja rahoituspalveluissa raportoivat riittämättömästä ajasta laadunhallintajärjestelmän toteutuksen ja teknisen dokumentaation tekemiseen rinnakkain DORA- ja NIS2-velvoitteiden kanssa.

Pidennys on suoja-aika, ei soveltamisalan supistaminen. Kaikki velvoitteet pysyvät; vain niiden aikataulu muuttuu.

Liite III — itsenäinen korkeariskinen tekoäly (määräaika: 2. joulukuuta 2027)

Liitteen III itsenäinen kattaa tekoälyjärjestelmät, jotka itsessään saatetaan markkinoille tai otetaan käyttöön korkeariskisinä järjestelminä ilman, että ne ovat turvakomponentteja toisessa tuotteessa. Esimerkkejä:

Rekrytointi- ja henkilöstöseulontatekoäly (ansioluetteloiden rankkaus, haastatteluanalyysi)
Luottoluokitus- ja luottokelpoisuuden arviointitekoäly
Biometrinen luokittelu (ei reaaliaikainen tunnistaminen, joka on kielletty)
Kriittisen infrastruktuurin hallinnassa käytettävä tekoäly
Koulutus- ja ammatillisen koulutuksen arvioinnissa käytettävä tekoäly
Lainvalvonnan ja maahanmuuttoviranomaisten käyttämä tekoäly

Tarjoajan velvoitteet 2. joulukuuta 2027 mennessä:

Suorita vaatimustenmukaisuuden arviointi Art. 43:n mukaisesti
Toteuta laadunhallintajärjestelmä (Art. 17)
Kokoa tekninen dokumentaatio (Art. 11 + liite IV)
Rekisteröi järjestelmä EU:n tekoälytietokantaan (Art. 71)
Kiinnitä CE-merkintä (Art. 48)
Nimeä EU:n edustaja, jos sijaitsee EU:n ulkopuolella

Käyttäjän velvoitteet (myös 2. joulukuuta 2027 mennessä):

Suorita perusoikeusvaikutusten arviointi (FRIA) julkisten elinten käyttäjille
Toteuta ihmisten valvontatoimenpiteet (Art. 26)
Dokumentoi syötteet ja tulosteet (Art. 26(6))
Tiedota työntekijöille, jos tekoälyavusteiset päätökset koskevat heitä

Liite I — integroitu korkeariskinen tekoäly (määräaika: 2. elokuuta 2028)

Liitteen I integroitu kattaa tekoälyn, joka muodostaa turvakomponentin jo olemassa olevan EU:n tuoteturvallisuuslainsäädännön mukaisesti säännellyssä tuotteessa. Tekoälyasetuksen vaatimustenmukaisuus integroidaan kyseisen tuotteen olemassa olevaan vaatimustenmukaisuuden arviointimenettelyyn. Esimerkkejä:

Tekoälykomponentit lääkinnällisissä laitteissa (MDR/IVDR)
Tekoäly autoteollisuuden järjestelmissä (tyyppihyväksyntäkehykset)
Tekoäly koneissa (koneasetus)
Tekoäly ilmailu-komponenteissa
Tekoäly leluissa ja kuluttajatuotteissa (pienjännite/EMC)

Kahden vuoden lisäpidennys (verrattuna liitteen III 16 kuukauteen) heijastaa vaatimustenmukaisuuden arvioinnin kerrostunutta monimutkaisuutta kahden sääntelyjärjestelmän välillä samanaikaisesti.

Mikä muuttui on määräaika — ei velvoitteet

Omnibuksen yleinen väärinkäsitys: määräajan pidennys tarkoittaa velvoitteiden pehmenemistä. Ne eivät pehmene.

Vaatimustenmukaisuuden arviointi, laadunhallintajärjestelmä, tekninen dokumentaatio, CE-merkintä ja rekisteröitymisvaatimukset ovat identtisiä sen kanssa, mitä vaadittiin elokuulle 2026. Omnibus ei supista soveltamisalaa, luo poikkeuksia eikä lisää siirtymäpoikkeuksia. Se siirtää maaliviivaa.

Käytännön seuraus: organisaatiot, jotka käyttävät pidennystä tekosyynä vaatimustenmukaisuusohjelmien keskeyttämiseen, kohtaavat kovemman paineen vuoden 2027 lopussa. Lisäajan tuottavampi käyttö on laadunhallintajärjestelmän toteutuksen viimeisteleminen, teknisen dokumentaation stressitestaaminen luonnosteilla olevien harmonisoitujen standardien perusteella ja ilmoitettujen laitosten varhainen sitoutuminen — niiden kapasiteetti on rajoitettua joulukuun 2027 määräaikaa lähestyttäessä.

Kielletyt käytännöt, jotka ovat jo voimassa

Nämä Art. 5:n mukaiset kiellot soveltuvat 2. helmikuusta 2025 alkaen eikä omnibus koskettanut niitä:

Alitajuinen manipulointi — tekoälytekniikat, jotka hyödyntävät alitajuisia haavoittuvuuksia muuttaakseen käyttäytymistä käyttäjien intressejä vastaan
Haavoittuvuuksien hyödyntäminen — lasten, vanhusten tai heikommassa asemassa olevien ryhmien kohdistaminen
Sosiaalinen pisteytys — julkisten viranomaisten luonnollisten henkilöiden tekoälypohjainen yleispisteytys
Reaaliaikainen etäbiometrinen tunnistaminen julkisesti saavutettavissa tiloissa lainvalvontatarkoituksiin (suppein poikkeuksin)
Tunnehavaitseminen työpaikalla ja oppilaitoksissa
Biometriset luokittelujärjestelmät, jotka päättelevät arkaluonteisia ominaisuuksia (rotu, poliittiset mielipiteet, ammattiliiton jäsenyys, seksuaalinen suuntautuminen, uskonto) — paitsi oikeutettua lainvalvontaa varten oikeudellisella luvalla
NCII/CSAM — ei-suostumuksellisten intiimikuvien tai lapsiin kohdistuvan seksuaalisen hyväksikäyttömateriaalin tuottaminen tai manipulointi tekoälyä käyttäen on kielletty

Art. 5:n kieltojen noudattamatta jättämisestä 2. helmikuuta 2025 alkaen seuraa sakko enintään 35 miljoonaa euroa tai 7 % globaalista vuosiliikeVaihdosta, kumpi tahansa on suurempi.

GPAI-mallisäännöt: jo sovellettavissa

Luvun 5 GPAI-velvoitteet soveltuvat 2. elokuusta 2025 alkaen:

Kaikkien GPAI-tarjoajien on noudatettava avoimuusvelvoitteita (Art. 53)
Systeemisen riskin GPAI-mallien (yli 10²⁵ FLOPin koulutuksen laskentamäärä) tarjoajat kohtaavat lisävelvoitteita, kuten vastustajatestauksen ja tapahtumaraportoinnin
Synteettisen median tekoälyn tuottaman sisällön merkitseminen (vesileimaus) soveltuu generatiivisiin GPAI-järjestelmiin

Yhdentyminen DORA:n ja NIS2:n kanssa

Rahoituspalveluiden organisaatiot kohtaavat kolminkertaisen taakan tekoälyasetuksen, DORA:n ja NIS2:n velvoitteista päällekkäisin aikatauluin. Keskeisiä leikkauskohtia:

DORA:n mukainen tieto- ja viestintätekniikan riskienhallinta (Art. 5–16) on katettava tekoälypohjaisia tieto- ja viestintätekniikkajärjestelmiä — DORA ei vapauta tekoälytyökaluja tieto- ja viestintätekniikan riskeistä
DORA:n mukainen tapahtumaraportointi (Art. 19–23) koskee tekoälyjärjestelmien aiheuttamia tai niihin liittyviä tapahtumia
NIS2:n turvallisuustoimenpiteet (Art. 21) sisältävät tekoälyyn liittyvät kyberiskit
Tekoälyasetuksen Art. 9:n riskienhallinta korkeariskiselle tekoälylle on merkittävästi päällekkäinen DORA:n tieto- ja viestintätekniikan riskienhallinnan kanssa — kaksoiskartoitus on mahdollinen ja suositeltava päällekkäisen dokumentaation välttämiseksi

Katso täydellinen yhdentymisanalyysiymme → tai sisarsivustomme regulation-dora.eu DORA-erityistä kattavuutta varten.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-19 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Milloin korkeariskisen tekoälyasetuksen velvoitteet nyt soveltuvat omnibuksen mukaisesti?

Itsenäisten liitteen III järjestelmien osalta (esim. rekrytointitekoäly, luottoluokitus, biometrinen luokittelu): 2. joulukuuta 2027. Liitteen I säänneltyihin tuotteisiin integroidun tekoälyn osalta (esim. lääkinnälliset laitteet, koneet): 2. elokuuta 2028.

Mikä on tekoälyasetuksen Digital Omnibus?

Tekoälyä koskeva Digital Omnibus on EU:n lainsäädäntömuutos, joka hyväksyttiin virallisesti vuoden 2026 puolivälissä ja jolla tarkistettiin asetuksessa (EU) 2024/1689 (tekoälyasetus) useita määräaikoja ja velvoitteita. Sen pääasiallisena tarkoituksena oli antaa tarjoajille ja käyttäjille lisäaikaa vaatimustenmukaisten tekoälyn hallintokehysten rakentamiseen erityisesti korkeariskisille luokille.

Lykättiinkö omnibuksella myös kiellettyjen käytäntöjen (Art. 5) määräaikoja?

Ei. Hyväksymättömän riskin tekoälyä koskevat kiellot — mukaan lukien alitajuinen manipulointi, sosiaalinen pisteytys, reaaliaikainen biometrinen tunnistaminen julkisissa tiloissa (poikkeuksin) ja NCII/CSAM-tuotanto — ovat olleet sovellettavissa 2. helmikuuta 2025 alkaen eikä omnibus muuttanut niitä.

Muuttuvatko GPAI-mallisäännöt omnibuksella?

GPAI-velvoitteet (tekoälyasetuksen luku 5) pysyvät myös 2. elokuussa 2025. Omnibus kohdistui vain liitteen III ja liitteen I korkeariskisiin velvoitteisiin.

Mitä organisaatioiden on tehtävä ennen 2. joulukuuta 2027 liitteen III mukaisen tekoälyn osalta?

Tarjoajien on: suoritettava vaatimustenmukaisuuden arviointi, toteutettava laadunhallintajärjestelmä (LHJ), rekisteröidyttävä EU:n tietokantaan, kiinnitettävä CE-merkintä ja laadittava tekninen dokumentaatio. Käyttäjien on: suoritettava perusoikeusvaikutusten arvioinnit, toteutettava ihmisten valvonta ja dokumentoitava kaikki korkeariskisen tekoälyn käyttö.

Muuttaako määräajan pidennys velvoitteita — vai vain niiden aikataulua?

Pidennys on puhtaasti ajallinen: yhtään velvoitetta ei poisteta. Samat vaatimustenmukaisuuden arviointi, tekninen dokumentaatio, laadunhallintajärjestelmä, CE-merkintä, rekisteröityminen ja avoimuusvaatimukset soveltuvat — ne on vain täytettävä uusiin päivämääriin mennessä.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.