Vaatimustenmukaisuus ei pääty markkinoilletuloon. Art. 72 edellyttää korkeariskisten tekoälyjärjestelmien tarjoajia ylläpitämään aktiivista markkinoille saattamisen jälkeistä valvontajärjestelmää, keräämään suorituskykytietoja ja ilmoittamaan vakavista tapahtumista. Tässä kerrotaan, mitä sinun on tehtävä — ja milloin.
Mitä on markkinoille saattamisen jälkeinen valvonta?
Vaatimustenmukaisuuden arviointi ja CE-merkintä ovat korkeariskisen tekoälyjärjestelmän EU:n markkinoilletulon sisäänpääsylippu — ei maaliviiva. EU:n tekoälyasetuksen artikla 72 asettaa jatkuvan velvoitteen: tarjoajien on perustettava ja operoitava markkinoille saattamisen jälkeinen valvontajärjestelmä (PMM), joka aktiivisesti kerää, analysoi ja toimii reaalimaailman suorituskykytiedon perusteella koko järjestelmän operatiivisen eliniän ajan.
Perustelu on suoraviivainen. Kiinteällä datasarjalla validoitu tekoälyjärjestelmä voi ajautua, kun reaalimaailman syötteet muuttuvat, käyttäjäjoukko muuttuu tai ympäristö, jossa se toimii, kehittyy. Staattiset vaatimustenmukaisuuden tilannekuvat eivät pysty tallentamaan tätä. PMM on mekanismi, joka muuttaa vaatimustenmukaisuuden jatkuvaksi prosessiksi kertaluonteisen tapahtuman sijaan.
PMM-järjestelmän on oltava oikeasuhtainen kyseisen korkeariskisen tekoälyjärjestelmän luonteeseen ja riskeihin nähden. Laajassa mittakaavassa miljooniin kuluttajiin käyttöön otettu luottoluokitusmalli vaatii intensiivisempää valvontaa kuin suppea asiakirjaluokittelutyökalu, jota reguloitu yritys käyttää sisäisesti.
Kenen on perustettava PMM-järjestelmä?
Pakollinen:
- Liitteen III mukaisten itsenäisten korkeariskisten tekoälyjärjestelmien tarjoajille — järjestelmät, jotka on lueteltu liitteessä III eivätkä ole tuotteen turvakomponentteja (esim. tekoäly työsuhteisiin liittyvissä päätöksissä, koulutuksen pääsyssä, lainvalvonnassa, luottokelpoisuuden arvioinnissa, kriittisen infrastruktuurin hallinnassa)
- Liitteen I mukaisten tuotteeseen integroitujen tekoälyjärjestelmien tarjoajille — tekoälyn turvakomponentit, jotka on integroitu olemassa olevan EU:n harmonisoivan lainsäädännön (lääkinnälliset laitteet, koneet, ajoneuvot) kattamiin tuotteisiin
Ei vaadita:
- Minimiriskin tekoälyjärjestelmien tarjoajille (ei muodollista PMM-velvoitetta, joskin hyvä käytäntö soveltuu)
- Pelkän avoimuusvelvoitteen tekoälyjärjestelmien tarjoajille (Art. 50:n velvoitteet eivät ulotu PMM:ään)
- GPAI-mallien tarjoajille — näiden alainen on erillinen järjestelmä Art. 61–62:n mukaisesti, johon kuuluu systeemisen riskin mallien tapahtumailmoittaminen, mutta se on rakenteeltaan erilainen kuin Art. 72:n PMM
Käyttäjän rooli on tukeva mutta ei valinnainen. Käyttäjien on operoitava tekoälyjärjestelmää tarjoajan ohjeiden mukaisesti, aktivoitava ja säilytettävä järjestelmään sisäänrakennettu lokikirjaustoiminto, ja — kriittisesti — ilmoitettava mistä tahansa vakavasta tapahtumasta, josta he tulevat tietoisiksi, tarjoajalle ilman aiheetonta viivästystä. Vakavasta tapahtumasta tietoinen käyttäjä, joka ei ilmoita tarjoajalle, ei ole vaatimusten mukainen.
Markkinoille saattamisen jälkeinen valvontasuunnitelma (liite IV, kohta 12)
PMM-suunnitelma on pakollinen osa teknistä dokumentaatiota (liite IV). Se ei voi olla yleinen asiakirja: sen on oltava erityinen järjestelmälle, sen käyttöönottokontekstille ja tunnistetuille riskeille. Sen on vähintään määriteltävä:
- Tietojen keruu — mitä suorituskykymetriikat tallennetaan (tarkkuus, virheprosentit, päätöksenteon tulokset), miten data kerätään (automaattinen telemetria, käyttäjäraportit, käyttäjäpalaute) ja millä taajuudella
- Palautesilmukat — mekanismi, jonka avulla käyttäjät voivat raportoida suorituskykyongelmia, poikkeavuuksia tai tapahtumia tarjoajalle jäsennetyllä ja oikea-aikaisella tavalla
- Tarkkuuden valvonta — miten järjestelmän suorituskykyä seurataan vaatimustenmukaisuuden arvioinnissa käytettyjä validoituja vertailuarvoja vastaan, mukaan lukien mahdollinen ajautumisen havaitsemismetodologia
- Harhojen valvonta — järjestelmillä, joissa demografiset tulokset ovat olennaisia (palkkaaminen, luotto, lainvalvonta), suojattujen ryhmien tilastollisten poikkeavuuksien jatkuva valvonta, määritelty metodologia ja kynnykset
- Päivitysten käynnistimet — erityiset kvantitatiiviset tai kvalitatiiviset kynnykset, jotka käynnistävät korjaavat toimenpiteet, mukaan lukien mallin uudelleenkoulutus, parametrien säätäminen tai käyttöönoton keskeyttäminen
- Tarkistusaikataulu — kuinka usein itse PMM-suunnitelma tarkistetaan ja päivitetään varmistaen, että se pysyy tarkoituksenmukaisena käyttöönottokontekstin kehittyessä
PMM-suunnitelma on pidettävä ajan tasalla. Vanhentunut suunnitelma, joka ei enää heijasta tosiasiallista valvontametodologiaa, ei täytä Art. 72:ta.
Vakavien tapahtumien ilmoittaminen (Art. 73)
Mikä muodostaa vakavan tapahtuman?
Artikla 73 määrittelee vakavan tapahtuman miksi tahansa tapahtumaksi tai korkeariskisen tekoälyjärjestelmän toimintahäiriöksi, joka suoraan tai välillisesti johtaa:
- Kuolemaan tai vakavaan terveyshaitaan (fyysiseen tai psykologiseen)
- Vakavaan ja peruuttamattomaan häiriöön kriittisen infrastruktuurin hallinnassa tai toiminnassa
- Vakavaan perusoikeuksien loukkaukseen (yksityisyys, syrjimättömyys, oikeudenmukainen oikeudenkäynti)
- Tilanteeseen, jossa henkilö juuri vältti edellä mainitut
Tärkeää on, että tekoälyasetus ei edellytä kausaaliyhteyden muodostamista tekoälyjärjestelmään ennen ilmoittamista. Kohtuullinen epäilys siitä, että tekoälyjärjestelmä myötävaikutti haittaan tai epäonnistui sen estämisessä, riittää käynnistämään velvoitteen. Tarjoajat, jotka odottavat varmuutta ennen ilmoittamista, riskeeravat vaatimusten vastaiseen tilaan jäämistä.
Ilmoitusaikataulut
| Lähettäjä | Vastaanottajalle | Määräaika |
|---|---|---|
| Käyttäjä | Tarjoaja | Ilman aiheetonta viivästystä (tietoiseksi tulemisen jälkeen) |
| Tarjoaja | Kansallinen markkinavalvontaviranomainen | 15 kalenteripäivän kuluessa tietoiseksi tulemisesta |
| Tarjoaja (julkisen turvallisuuden riski) | Kansallinen markkinavalvontaviranomainen | 24 tunnin kuluessa tietoiseksi tulemisesta |
| Tarjoaja (äskettäin havaittu systeeminen riskikuvio) | Kansallinen markkinavalvontaviranomainen | Ilman aiheetonta viivästystä (ei erityistä tapahtumaa vaadita) |
15 päivän kello käynnistyy, kun tarjoaja tulee tietoiseksi tapahtumasta — mikä käytännössä tarkoittaa, kun käyttäjä ilmoittaa heille. Tarjoajien tulisi suunnitella käyttäjien ilmoitusmenettelyt siten, että tiedot tavoittavat heidät riittävän nopeasti alajuurisen ilmoitusmääräajan täyttämiseksi.
Mitä tapahtumaraportin on sisällettävä
Vaatimusten mukaisen tapahtumaraportin kansalliselle markkinavalvontaviranomaiselle tulisi sisältää:
- Järjestelmän tunnistaminen: nimi, versio, EU:n tietokantaan rekisteröintinumero
- Tapahtuman kuvaus: mitä tapahtui, mitä haittaa aiheutui tai juuri vältetiin, päivämäärä ja paikka
- Vaikuttaneet henkilöt: vaikuttaneiden käyttäjien tai kolmansien osapuolten lukumäärä ja luokat (anonymisoitu GDPR:n vaatimuksen mukaisesti)
- Alustava syyanalyysi: tarjoajan nykyinen käsitys siitä, miten tapahtuma syntyi, selkeästi merkittynä alustavaksi
- Välittömät korjaavat tai turvallisuustoimenpiteet: jo toteutetut toimenpiteet lisävahingon tai -riskin rajoittamiseksi (esim. vaikuttavan toiminnallisuuden keskeyttäminen, käyttäjien ilmoitukset)
- Yhteystieto: jatkovuorovaikutuksesta viranomaisen kanssa vastaava henkilö tai tiimi
Raportin tulisi olla tosiasiallinen ja oikeasuhtainen. Alustavat raportit voidaan täydentää jatkavilla raporteilla tutkinnan edetessä.
Pakollinen lokikirjaus (Art. 12)
Artikla 12 edellyttää, että korkeariskiset tekoälyjärjestelmät on suunniteltu ja rakennettu kykyyn tuottaa automaattisesti lokeja sellaisella yksityiskohtaisuudella, joka mahdollistaa:
- Art. 72:n mukaisen markkinoille saattamisen jälkeisen valvonnan
- Vakavaan tapahtumaan johtaneiden tapahtumien jäljittämisen
- Kansallisten viranomaisten tutkinnan
Tämä on suunnitteluvaatimus, joka kohdistuu tarjoajaan. Tarjoajan on rakennettava lokikirjauskyky järjestelmään ennen kuin se saatetaan markkinoille.
Näiden lokien aktivoinnin ja säilyttämisen velvoite kuuluu käyttäjälle. Käyttäjien ei pidä poistaa lokikirjaustoimintoa käytöstä, ja heidän on säilytettävä lokit tarjoajan ohjeiden ja teknisen dokumentaation määräämäksi ajaksi. Kun erityistä säilytysaikaa ei ole määritelty, lokeja tulisi säilyttää järjestelmän operatiivisen elinkaaren ja sovellettavien sektorikohtaisten vaatimusten kanssa (esim. rahoituspalveluiden kirjanpitosäännöt DORA:n tai MiFID II:n mukaisesti) yhteensopivaksi.
Merkittävät muutokset ja uudelleenarviointi
Kaikkia käyttöönotetussa tekoälyjärjestelmässä tehtäviä muutoksia ei tarvitse arvioida uudelleen vaatimustenmukaisuuden kannalta. Asetus erottaa pienet päivitykset ja merkittävät muutokset.
Muutos on merkittävä — ja vaatii uuden vaatimustenmukaisuuden arvioinnin ja päivitetyn teknisen dokumentaation —, kun se:
- Muuttaa järjestelmän käyttötarkoitusta (edes osittain)
- Sisältää merkittävän muutoksen arkkitehtuuriin tai koulutusmetodologiaan
- Käyttää uutta koulutusdataa, joka vaikuttaa merkittävästi järjestelmän suorituskykyyn vaatimustenmukaisuuden kannalta merkityksellisellä tavalla
- Heikentää suorituskykyä riskienhallinnan dokumentaatiossa määriteltyjen kynnysarvojen yli tavoin, jotka vaikuttavat turvallisuuteen tai perusoikeuksiin
Pienet päivitykset — tietoturvakorjaukset, virhekorjaukset, jotka korjaavat selkeästi tunnistettuja puutteita muuttamatta vaatimustenmukaisuuden kannalta merkityksellistä käyttäytymistä, kosmetiset käyttöliittymämuutokset — eivät vaadi täyttä uudelleentarkastelua. Ne on kuitenkin dokumentoitava, ja tarjoajan on säilytettävä kirjallinen arviointi siitä, ettei muutos muodosta merkittävää muutosta. Kyseinen tiedosto on markkinavalvontaviranomaisten tarkastettavissa.
Käytännön toteutuksen tarkistuslista
Seuraava tarkistuslista heijastaa Art. 72:n, Art. 73:n ja Art. 12:n mukaisia vähimmäistoimintavaatimuksia. Se ei korvaa oikeudellista neuvontaa, mutta tarjoaa lähtökohdan puuteanalyysille.
- [ ] PMM-suunnitelma dokumentoitu teknisessä tiedostossa (liite IV, kohta 12), erityisesti järjestelmälle ja sen käyttöönottokontekstille
- [ ] Automaattinen lokikirjauskyky suunniteltu ja rakennettu järjestelmään ennen markkinoille saattamista
- [ ] Käyttäjäohjeet sisältävät selkeän, kirjallisen tapahtumaraportoinnin menettelyn eskalointiyhteyspisteineen
- [ ] Tapahtumailmoituksen yhteyspiste perustettu sisäisesti ja ilmoitettu asianomaiselle kansalliselle markkinavalvontaviranomaiselle
- [ ] Harhojen ja tarkkuuden valvontaprosessit tai -koontinäytöt määritelty, dokumentoidulla metodologialla ja kynnyksillä
- [ ] Eskalointikynnykset korjaavalle toiminnalle dokumentoitu ja linkitetty riskinhallintajärjestelmään
- [ ] Merkittävän muutoksen arviointimenettely käytössä, päätösrekisterimalli jokaiselle päivitykselle
- [ ] Lokin säilytyspolitiikka määritelty, käyttäjille tiedotettu ja sektorikohtaisten säilytyssääntöjen kanssa yhteensovitettu
Ristiviitteet: Tekninen dokumentaatio — Liitteen III korkeariskiset tekoälyjärjestelmät — Tarjoajat vs. käyttäjät
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Art. 72:n mukaiset markkinoille saattamisen jälkeistä valvontaa koskevat velvoitteet soveltuvat yksinomaan korkeariskisten tekoälyjärjestelmien (liite I ja liite III) tarjoajille. GPAI-mallien tarjoajilla on rinnakkaisia mutta erilaisia velvoitteita, kuten tapahtumailmoitukset systeemisen riskin malleille. Minimiriskin ja pelkän avoimuusvelvoitteen järjestelmillä ei ole muodollista markkinoille saattamisen jälkeistä valvontavaatimusta.
Vakava tapahtuma on mikä tahansa tapahtuma tai toimintahäiriö, joka suoraan tai välillisesti johtaa: kuolemaan, vakavaan terveyshaitaan, kriittisen infrastruktuurin vakavaan ja peruuttamattomaan häiriöön tai omaisuusvahinkoon tai vakavaan perusoikeuksien loukkaukseen. Se kattaa myös läheltä piti -tilanteet, joissa henkilö vältti juuri ja juuri haitan. Tekoälyasetus ei edellytä kausaaliyhteyttä — kohtuullinen epäilys riittää ilmoituksen käynnistämiseen.
Tarjoajien on ilmoitettava vakavista tapahtumista asianomaiselle kansalliselle markkinavalvontaviranomaiselle ilman aiheetonta viivästystä ja joka tapauksessa 15 päivän kuluessa tietoiseksi tulemisesta. Julkista turvallisuutta uhkaavien tapahtumien osalta määräaika on 24 tuntia. Käyttäjien on ilmoitettava vakavista tapahtumista tarjoajille ilman aiheetonta viivästystä.
Kyllä. Jos päivitys muodostaa 'merkittävän muutoksen' — muuttaa käyttötarkoitusta, heikentää merkittävästi suorituskykyä tai muuttaa riskienhallinnan toimenpiteitä — se vaatii uuden vaatimustenmukaisuuden arvioinnin. Pienet virhekorjaukset ja tietoturvakorjaukset eivät yleensä edellytä uutta arviointia. Tarjoajan on kuitenkin dokumentoitava kaikki päivitykset ja arvioitava, käynnistävätkö ne uuden arvioinnin.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.