Toimialakohtaiset EU AI Act -vaatimustenmukaisuusoppaat terveydenhuollolle, henkilöstöhallinnolle, julkiselle sektorille, liikenteelle, vakuutustoiminnalle, vähittäiskaupalle, pk-yrityksille ja koulutukselle.
Miten toimiala vaikuttaa EU AI Actin soveltamiseen
EU AI Act on horisontaalinen lainsäädäntöinstrumentti — sitä sovelletaan tekoälyjärjestelmiin, jotka saatetaan markkinoille tai otetaan käyttöön kaikilla Euroopan unionin talouden sektoreilla. Käytännön vaatimustenmukaisuustaakka ei kuitenkaan jakaudu tasaisesti. Toimiala määrittää, mitkä Annex III:n korkean riskin kategoriat ovat relevantteja, mitkä aiemmat sääntelykehykset luovat päällekkäisiä velvoitteita, ja mitkä kansalliset tai EU-tason valvontaviranomaiset ovat toimivaltaisia tekoälysovellusten osalta.
Asetus luo monitasoisen riskiarkkitehtuurin: kielletyt käytännöt Art. 5:n nojalla, korkean riskin tekoäly Art. 6:n ja Annex III:n nojalla, yleiskäyttöistä tekoälyä (GPAI) koskevat velvoitteet Art. 51–Art. 55:n nojalla, sekä avoimuusvelvoitteet Art. 50:n nojalla. Kaikkia toimialoja koskevat kiellettyjen käytäntöjen kielto ja Art. 50:n avoimuusvelvoitteet. Annex III:n korkean riskin velvoitteet kohdistuvat valikoivasti sen mukaan, mitä tekoälyä organisaatio ottaa käyttöön ja mihin tarkoitukseen.
Toimialakohtaisen altistumisen ymmärtäminen alkaa operatiivisten tekoälykäyttötapausten kartoittamisesta suhteessa Annex III:n kategorioihin. Organisaatioiden on myös arvioitava, onko käyttöönotettu tekoäly Art. 3(63):n mukainen GPAI-malli, ja synnyttävätkö toimittajasuhteet velvoitteita GPAI:n käyttäjänä tai palveluntarjoajana.
Annex III:n ymmärtäminen toimialoittain
EU AI Actin Annex III määrittelee 8 itsenäistä korkean riskin tekoälykategoriaa. Kukin kategoria liittyy tiettyihin toimialoihin ja tekoälykäyttötapauksiin.
Kategoria 1 — Biometriikka (poikkitoimialainen)
Art. 6 luettuna yhdessä Annex III:n kohdan 1 kanssa kattaa tekoälyjärjestelmät, joita käytetään luonnollisten henkilöiden biometriseen tunnistamiseen ja biometriseen luokitteluun. Lainvalvontaviranomaisten suorittama reaaliaikainen etäbiometrinen tunnistaminen yleisölle avoimissa tiloissa on kielletty Art. 5(1)(h):n nojalla — se ei ole pelkästään korkean riskin toiminto. Jälkikäteinen biometrinen tunnistaminen sekä biometriset luokittelujärjestelmät, joita käytetään työsuhteissa, rajatarkastuksissa, lainvalvonnassa (sallittujen rajojen puitteissa) ja kulunvalvonnassa, kuuluvat edelleen korkean riskin kategoriaan. Kaikki organisaatiot, jotka ottavat käyttöön kasvojentunnistus-, sormenjälkien täsmäytys-, puheentunnistus- tai vastaavia järjestelmiä merkityksellisiä päätöksiä varten, kuuluvat soveltamisalaan.
Kategoria 2 — Kriittinen infrastruktuuri (liikenne, energia, vesi)
Annex III:n kohta 2 kattaa tekoälyn, jota käytetään turvallisuuskomponenttina kriittisen digitaalisen infrastruktuurin, tieliikenteen, vedenjakelun, kaasun, lämmityksen ja sähkön hallinnassa ja toiminnassa. Liikenneoperaattoreiden, energiaverkkojen hallinnoijien, vesihuoltolaitosten ja digitaalisen infrastruktuurin tarjoajien on arvioitava, täyttävätkö niiden tekoälyjärjestelmät tämän määritelmän. Annex I liittyy myös tähän: Annex I:n mukaisiin säänneltyihin tuotteisiin (koneet, ajoneuvot, siviili-ilmailulaitteet, rautatiejärjestelmät) upotetut tekoälyn turvallisuuskomponentit ovat korkean riskin luokassa Art. 6(1):n — eivät Annex III:n — nojalla.
Kategoria 3 — Koulutus ja ammatillinen koulutus
Annex III:n kohta 3 kattaa tekoälyn, joka määrittää pääsyn oppilaitoksiin, jakaa opiskelijat koulutuspoluille, arvioi tentti- tai testiosuorituksia, arvioi oppimistuloksia tavalla, joka vaikuttaa merkittävästi tulevaisuuden mahdollisuuksiin, sekä valvoo opiskelijoiden käyttäytymistä arviointien aikana. EdTech-alustojen, yliopistojen, ammatillisten koulutuksentarjoajien ja tutkintoviranomaisten on arvioitava tekoälypohjaiset työkalunsa näiden kriteerien suhteen.
Kategoria 4 — Työllisyys ja henkilöstöhallinto
Annex III:n kohta 4 kattaa tekoälyn, jota käytetään rekrytoinnissa ja valinnassa (ansioluetteloiden seulonta, ehdokkaiden pisteytys, automatisoitu haastatteluanalyysi), edistämistä, irtisanomista ja alustataloudentyöntekijöille tehtäväjakelua koskevissa päätöksissä, työntekijöiden käyttäytymisen seurannassa sekä suoritusarvioinnissa. Tämä kategoria on soveltamisalaltaan laajimpia — käytännössä jokaisen organisaation, joka käyttää tekoälyavusteisia henkilöstöhallintoprosesseja, on arvioitava vaatimustenmukaisuutensa. Velvoite koskee työnantajia, henkilöstövuokrausyrityksiä ja alustatalouden toimijoita.
Kategoria 5 — Välttämättömät yksityiset ja julkiset palvelut (rahoitus, vakuutukset, terveyteen liittyvät palvelut, etuudet)
Annex III:n kohta 5 on laajin kategoria, ja se kattaa tekoälyn, jota käytetään luonnollisten henkilöiden luottokelpoisuuden arvioinnissa ja luottoluokituksessa, vakuutusriskin arvioinnissa ja hinnoittelussa, julkisten etuuksien ja sosiaalipalveluiden saamisedellytysten arvioinnissa sekä hätäkeskuspäätöksissä. Tämä kategoria koskee suoraan pankkeja, vakuutusyhtiöitä, julkishallintoa ja sosiaalipalveluiden tarjoajia. Terveystietoon perustuva tekoäly, joka pisteyttää henkilöitä vakuutuskelpoisuuden arvioimiseksi, kuuluu myös tähän kategoriaan, mikä luo päällekkäisyyttä rahoituspalveluiden ja terveydenhuollon velvoitteiden välillä.
Kategoriat 6, 7 ja 8 — Lainvalvonta, maahanmuutto, oikeuslaitos
Annex III:n kohdat 6, 7 ja 8 kohdistuvat julkisen sektorin viranomaisiin ja niiden teknologiatoimittajiin. Lainvalvonnan tekoäly (riskinpisteytys, uusintarikollisuuden ennustaminen, rikosten ennakointi, todisteiden arviointi), maahanmuutto- ja rajatarkastuksen tekoäly (turvapaikkariskin arviointi, asiakirjavarmennus, hakemusten käsittely) sekä oikeuslaitos- ja demokraattisiin prosesseihin liittyvä tekoäly (oikeudellisen tutkimuksen työkalut, vaaleihin liittyvä tekoäly) ovat kaikki korkean riskin luokassa. Nämä kategoriat koskevat ensisijaisesti poliisiviranomaisia, rajavirastoja, maahanmuuttotuomioistuimia, oikeusistuimia ja niiden sopimuksenmukaisia tekoälytoimittajia.
Toimialaoppaat
Seuraavat erilliset oppaat kartoittavat EU AI Actin velvoitteet kunkin toimialan erityiseen sääntelykontekstiin, tyypillisiin tekoälykäyttötapauksiin ja täytäntöönpanoarkkitehtuuriin.
Terveydenhuolto ja biotiede
Terveydenhuollon tekoäly toimii EU AI Actin sekä lääkinnällisiä laitteita koskevan asetuksen (MDR) ja in vitro -diagnostiikkaa koskevan asetuksen (IVDR) risteyskohdassa. Lääkinnällisinä laitteina luokiteltavia tekoälyjärjestelmiä säännellään ensisijaisesti MDR:n/IVDR:n nojalla, mutta ne pysyvät EU AI Actin perusoikeuksia ja avoimuutta koskevien velvoitteiden piirissä. Annex III:n kohta 5 kattaa vakuutuksissa ja julkisten etuuksien kelpoisuusarvioinnissa käytettävän terveysriskin pisteytystekoälyn. Kliinisen päätöksenteon tuki, diagnostinen tekoäly, potilasluokittelutyökalut ja lääkekehityksen tekoäly sisältävät kukin erityisiä velvoitteita, jotka riippuvat niiden sääntelyluokituksesta.
Henkilöstöhallinto ja rekrytointi
Annex III:n kohta 4 asettaa käytännössä kaikki tekoälyavusteiset henkilöstöhallintoprosessit korkean riskin kategoriaan. Ansioluetteloiden seulontatyökalujen, psykometristen arviointialustojen, automatisoitujen haastatteluvideoanalyysien, suoritusjohtamisjärjestelmien ja henkilöstösuunnittelun tekoälyn on noudatettava palveluntarjoajia ja käyttäjiä koskevia velvoitteita. Tämä opas käsittelee työnantajien velvoitteita käyttäjinä Art. 26:n nojalla, tietohallintavaatimuksia Art. 10:n nojalla sekä vuorovaikutusta GDPR:n profilointirajoitusten kanssa.
Julkinen sektori ja oikeuslaitos
Julkiset viranomaiset ovat samanaikaisesti korkean riskin tekoälyn käyttäjiä ja toimijoita, joita kansalliset toimivaltaiset viranomaiset tarkastelevat kaikkein tarkimmin. Annex III:n kohdat 5–8 kattavat yhdessä suuren osan julkisen sektorin tekoälystä: etuuksien kelpoisuuden määrittämisen, hätäpalveluiden tekoälyn, lainvalvonnan työkalut, rajanhallintajärjestelmät ja oikeuslaitos-tekoälyn. Tämä opas käsittelee julkisten käyttäjien erityisiä velvoitteita, kansalaisiin vaikuttavia automatisoituja päätöksiä koskevia avoimuusvelvoitteita sekä vuorovaikutusta GDPR:n ja lainvalvontadirektiivin kanssa.
Liikenne ja kriittinen infrastruktuuri
Liikenneoperaattoreiden on navigoitava sekä Annex III:n kohdan 2 (kriittisen infrastruktuurin turvallisuuskomponentit) että Annex I:n tuoteturvallisuussääntelyn välillä. Autonomisten ajoneuvojärjestelmien, rautatieliikenteen hallinnan, lentoliikenteen hallinnan, satamien toiminnan ja logistiikan reitityksen tekoäly voi käynnistää korkean riskin luokituksen useiden eri polkujen kautta. Tämä opas käsittelee vuorovaikutusta EASAn säädösten, rautatieturvallisuusdirektiivin ja ilmoitettujen laitosten roolin kanssa vaatimustenmukaisuuden arvioinnissa.
Pk-yritykset
Pienet ja keskisuuret yritykset kohtaavat samat EU AI Actin velvoitteet kuin suuret organisaatiot, kun ne ovat korkean riskin tekoälyn palveluntarjoajia tai korkean riskin tekoälyä käyttäviä toimijoita. Asetus tarjoaa kuitenkin suhteellisuusmekanismeja. Tämä opas selittää yksinkertaistettuja teknisen dokumentaation vaihtoehtoja, pääsyä sääntelyhiekkalaatikoihin Art. 57–Art. 63:n nojalla sekä minimaalisen mutta oikeudellisesti riittävän vaatimustenmukaisuusohjelman rakentamista. Se käsittelee myös pk-yritysten altistumista kolmansien osapuolten tekoälytyökalujen käyttäjinä.
Vakuutustoiminta
Vakuutustoiminnan tekoäly on Annex III:n kohdan 5(b):n alainen (luonnollisten henkilöiden henki- ja sairausvakuutusten riskinarviointi ja hinnoittelu) ja liittyy Solvency II:n mallihallintoa ja sisäisten mallien käyttöä koskeviin vaatimuksiin. Moottori-, terveys-, omaisuus- ja henkivakuutusten hinnoittelutekoäly, vakuutuksenantopäätöstyökalut ja automaattiset korvaustenkäsittelyjärjestelmät edellyttävät arviointia. Tämä opas käsittelee EIOPAn ja kansallisten vakuutusvalvojien rooleja EU AI Actin NCA-kehyksen rinnalla.
Vähittäiskauppa ja puhelinpalvelukeskukset
Vähittäiskauppaa ja asiakaspalvelutoimintoja koskevat ensisijaisesti Art. 50:n avoimuusvelvoitteet — tekoälyn tuottaman sisällön ilmoittaminen, chatbottien tunnistaminen ja syväväärennösten merkitseminen — sekä Annex III:n kohdan 4 mukainen työsuhteisiin liittyvä tekoäly. Asiakasrajapinnassa käytettävät tunteiden tunnistusjärjestelmät ovat nimenomaisesti säänneltyjä. Tämä opas käsittelee verkkokaupan tekoälyä, suosittelumoottoreita, automatisoitua asiakaspalvelua ja kontaktikeskusten henkilöstöhallintoa.
Koulutus ja EdTech
Annex III:n kohta 3 asettaa koulutuksen tekoälyn korkean riskin kategoriaan, kun se määrittää tai vaikuttaa merkittävästi pääsyyn koulutuspoluille tai arvioi oppimistuloksia. Tämä opas käsittelee EdTech-palveluntarjoajien, yliopistojen, ammatillisen koulutuksen tarjoajien ja julkisten tutkintoviranomaisten velvoitteita. Se kattaa mukautuvat oppimisalustat, valvontaohjelmistot, automatisoidun esseenarvioinnin ja opiskelijoiden riskiennustetyökalut.
Rahoitussektori (pankkitoiminta)
Pankkisektorin opas käsittelee Annex III:n kohdan 5(b) mukaista luottoluokitusta ja luottokelpoisuuden arviointia, petostentorjunnan tekoälyä, algoritmisia kaupankäyntijärjestelmiä, AML/KYC-työkaluja ja robo-neuvontaalustoja. Se tarkastelee EU AI Actin velvoitteiden kerrostumista DORAn, MiFID II:n, CRR/CRD:n ja EBAn ohjeiden päälle. Ensisijaisena painopisteenä on EU AI Actin mallihallintavaatimusten ja EBAn ohjeisiin perustuvien olemassa olevien malliriskin hallintakehysten välinen yhteys.
Poikkileikkaavat velvoitteet
Useat EU AI Actin velvoitteet soveltuvat toimialasta riippumatta. Kaikkien EU:ssa toimivien organisaatioiden on ymmärrettävä nämä perusvaatimukset.
Kielletyt käytännöt — Art. 5
Art. 5 vahvistaa ehdottomat kiellot, jotka ovat tulleet voimaan 2. helmikuuta 2025. Nämä koskevat kaikkia toimialoja poikkeuksetta: subliminaaliset manipulointitekniikat, jotka aiheuttavat haittaa, luonnollisten henkilöiden haavoittuvuuksien hyväksikäyttö, julkisten viranomaisten harjoittama sosiaalinen pisteytys, lainvalvontaviranomaisten suorittama reaaliaikainen etäbiometrinen tunnistaminen julkisissa tiloissa (kapeiden poikkeusten alainen), tunteiden tunnistaminen työpaikoilla ja oppilaitoksissa (määriteltyjen käyttöjen ulkopuolella), biometrinen luokittelu arkaluonteisten ominaisuuksien perusteella ja rikollisen käyttäytymisen ennakointi pelkästään profilointiin perustuen. Mikään toimialakohtainen poikkeus ei ohita näitä kieltoja.
Avoimuusvelvoitteet — Art. 50
Art. 50 edellyttää, että luonnollisten henkilöiden kanssa vuorovaikutuksessa olevien tekoälyjärjestelmien palveluntarjoajat ja käyttäjät ilmoittavat vuorovaikutuksen tekoälyluonteesta. Tämä koskee chatbotteja, virtuaaliassistentteja, automatisoituja puhelinpalvelujärjestelmiä sekä kaikkia tekoälyjärjestelmiä, jotka on suunniteltu esiintymään ihmisenä. Tekoälyn tuottama sisältö — synteettinen media, syväväärennökset, teksti — on merkittävä koneluettavasti. Nämä velvoitteet koskevat vähittäiskauppaa, rahoituspalveluita, terveydenhuollon potilaspalvelutyökaluja, julkisen sektorin kansalaispalveluita ja kaikkia muita toimialoja, jotka ottavat käyttöön keskustelevan tai generatiivisen tekoälyn.
GPAI-malleja koskevat velvoitteet — Art. 51–Art. 55
Organisaatioiden, jotka ottavat käyttöön GPAI-malleja — suuret kielimallit, perusmallit, multimodaalinen tekoäly — on arvioitava, ovatko ne kolmannen osapuolen GPAI-mallin käyttäjiä vai GPAI-integroidun järjestelmän palveluntarjoajia. GPAI-palveluntarjoajilla on velvoitteita Art. 53:n nojalla (avoimuus jatkokäyttäjille, tekijänoikeuspolitiikka, koulutusaineiston tiivistelmä). Systeemistä riskiä aiheuttavilla GPAI-malleilla on lisävelvoitteita Art. 55:n nojalla. Jokaisen toimialan, joka käyttää kaupallisia perusmalli-APIeja tai itse isännöityjä perusmalleja, on arvioitava nämä velvoitteet.
Pk-yritykset ja suhteellisuusperiaatteen mukaiset velvoitteet
Pk-yritykset muodostavat enemmistön EU:n yrityksistä ja kasvavan osuuden tekoälyjärjestelmien palveluntarjoajista ja käyttäjistä. EU AI Act ei luo yleistä pk-yrityspoikkeusta, mutta Art. 9(5), Art. 11 ja Art. 16 edellyttävät, että palveluntarjoajavelvoitteet ovat oikeassa suhteessa organisaation kokoon ja kapasiteettiin.
Sääntelyhiekkalaatikkokehys (Art. 57–Art. 63) on erityisesti suunniteltu tarjoamaan pk-yrityksille ja startup-yrityksille valvottuja kehitysympäristöjä, vähentämään sääntelyepävarmuutta ja tarjoamaan suoran pääsyn kansallisten toimivaltaisten viranomaisten ohjaukseen. Osallistuminen ei takaa vaatimustenmukaisuuden vahvistamista, mutta se tarjoaa jäsennellyn polun markkinoille pääsyyn innovatiivisille tekoälytuotteille.
Pk-yrityksille, jotka toimivat kolmannen osapuolen toimittaman korkean riskin tekoälyn käyttäjinä, sovelletaan Art. 26:n velvoitteita — käyttötapauksen arviointi, ihmisen valvonnan toteuttaminen, perusoikeuksiin kohdistuvan vaikutuksen arviointi. Vaadittavan dokumentaation ja seurannan laajuus on suhteellinen, mutta oikeudellisia velvoitteita ei ole vapautettu.
Erillinen pk-yritysopas tarjoaa pienemmille organisaatioille räätälöidyn vaatimustenmukaisuustiekartan, joka kattaa priorisoinnin, minimaalisen toimivan dokumentaation, toimittajien due diligence -tarkastuksen ja hiekkalaatikkoon pääsyn menettelyt.
Täytäntöönpano
EU AI Act luo monitasoisen täytäntöönpanoarkkitehtuurin, jolla on merkittäviä toimialakohtaisia ulottuvuuksia.
Kansalliset toimivaltaiset viranomaiset
Kukin EU:n jäsenvaltio nimeää yhden tai useamman kansallisen toimivaltaisen viranomaisen (NCA) Art. 70:n nojalla. NCA:t vastaavat sääntelyhiekkalaatikoiden hyväksymisestä, markkinavalvonnan toteuttamisesta, palveluntarjoajien markkinoille saattamisen jälkeisen seurantatiedon vastaanottamisesta, epäiltyjen rikkomusten tutkimisesta ja hallinnollisten sakkojen määräämisestä Art. 99–Art. 101:n nojalla. Enimmäissakot yltävät 35 miljoonaan euroon tai 7 prosenttiin maailmanlaajuisesta vuotuisesta liikevaihdosta Art. 5:n kiellettyjen käytäntöjen rikkomisesta.
Toimialaviranomaiset markkinavalvontaviranomaisina
Art. 74(8) ja Art. 74(9) mahdollistavat toimialaviranomaisten toimimisen markkinavalvontaviranomaisina omien alojensa tekoälyn osalta. Euroopan pankkiviranomaisella (EBA), Euroopan vakuutus- ja lisäeläkeviranomaisella (EIOPA), Euroopan arvopaperimarkkinaviranomaisella (ESMA), Euroopan lääkevirastolla (EMA) ja Euroopan unionin lentoturvallisuusvirastolla (EASA) kullakin on rooli tekoälyn valvonnassa omilla sääntelyalueillaan. Tämä luo kaksoispolkuisen täytäntöönpanoaltistumisen: pankin luottoluokitustekoälyä voi tutkia sekä kansallinen rahoitusvalvoja, joka soveltaa Annex III:n velvoitteita, että NCA, joka toteuttaa EU AI Actin markkinavalvontaa.
Euroopan tekoälytoimisto
Euroopan tekoälytoimisto, joka on perustettu Art. 64–Art. 70:n nojalla, käyttää suoraa täytäntöönpanovaltaa GPAI-mallien palveluntarjoajiin nähden. Organisaatioille, jotka ottavat käyttöön systeemistä riskiä aiheuttavia GPAI-malleja, tekoälytoimisto on ensisijainen sääntelyviranomainen — ei kansallinen NCA. Toimialaviranomaisilla ei ole suoraa toimivaltaa GPAI-malleihin sellaisenaan, vaikka GPAI:ta integroivat jatkokäyttöön tarkoitetut tekoälyjärjestelmät pysyvät kansallisen ja toimialakohtaisen valvonnan piirissä.
Täytäntöönpanoaikataulu
Art. 5:n mukainen käytäntöjä koskeva kielto on ollut voimassa 2. helmikuuta 2025 alkaen. Art. 51–Art. 55:n mukaiset GPAI-velvoitteet tulivat voimaan 2. elokuuta 2025. Annex III:n korkean riskin tekoälyjärjestelmiin kohdistuvat täysimääräiset velvoitteet — jotka kattavat kaikki kahdeksan kategoriaa sekä kaikki palveluntarjoaja- ja käyttäjävelvoitteet — soveltuvat 2. joulukuuta 2027 alkaen (alkuperäistä 2. elokuuta 2026 olevaa määräaikaa on pidennetty vuoden 2025 Digital Omnibus -muutoksella). Kaikkien toimialojen organisaatioiden tulisi pitää joulukuuhun 2027 ulottuvaa ajanjaksoa aktiivisena vaatimustenmukaisuusikkunana — ei siirtymäaikana.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Kyllä. EU AI Actia sovelletaan yhtenäisesti koko EU:ssa, mutta sen käytännön vaikutukset vaihtelevat merkittävästi toimialan mukaan. Asetuksen Annex III kohdistaa korkean riskin tekoälykategoriat suoraan eri toimialoille — rekrytointiin käytettävä tekoäly koskee henkilöstöhallintoa ja henkilöstövuokrausta, luottokelpoisuuden arviointiin käytettävä tekoäly koskee rahoitusta ja vakuutustoimintaa, ja biometriset järjestelmät kohdistuvat lainvalvontaan ja rajatarkastuksiin. Voimakkaasti säänneltyjen toimialojen (terveydenhuolto, rahoitus, liikenne) toimijoihin sovelletaan lisäksi EU AI Actia päällekkäin olemassa olevan toimialakohtaisen lainsäädännön kanssa, mikä saattaa synnyttää lisävelvoitteita tai edellyttää yhteensovittamista valvontaviranomaisten välillä.
Terveydenhuollolla, rahoituspalveluilla ja julkisella sektorilla on raskaimmat kumulatiiviset velvoitteet. Terveydenhuollon tekoäly liittyy lääkinnällisiä laitteita koskevaan asetukseen (MDR) ja in vitro -diagnostiikkaa koskevaan asetukseen (IVDR); rahoitussektorin tekoäly liittyy DORAan, MiFID II:een ja Solvency II:een; julkisen sektorin tekoäly koskee Annex III:n kategorioita 5–8 (välttämättömät palvelut, lainvalvonta, maahanmuutto ja oikeuslaitos). Kunkin näistä toimialoista on noudatettava sekä EU AI Act -kehystä että aiemmin voimassa olevaa toimialakohtaista sääntelyä, ja jotkin velvoitteet soveltuvat samanaikaisesti.
Pk-yritykset eivät ole vapautettuja, mutta asetus sisältää suhteellisuusperiaatteeseen perustuvia toimenpiteitä. Art. 9(5) edellyttää, että riskienhallintajärjestelmät ovat oikeassa suhteessa palveluntarjoajan kokoon ja luonteeseen. Art. 11 ja Art. 16 sallivat yksinkertaistetun teknisen dokumentaation pk-yrityksille. Art. 57–Art. 63 perustaa sääntelyhiekkalaatikot, joihin pk-yritykset voivat hakeutua kansallisen toimivaltaisen viranomaisen valvonnassa. Art. 26:n mukaiset käyttäjävelvoitteet koskevat myös pk-yrityksiä, jotka käyttävät korkean riskin tekoälyä, joskin menettelyvaatimukset ovat kevyemmät kuin palveluntarjoajilla.
EU AI Actin Art. 70–Art. 77 luovat monitasoisen täytäntöönpanoarkkitehtuurin. Kukin jäsenvaltio nimeää kansallisen toimivaltaisen viranomaisen (NCA), joka vastaa EU AI Actin täytäntöönpanosta. Kun tekoälyjärjestelmät toimivat säännellyillä toimialoilla — rahoituspalvelut, terveydenhuolto, ilmailu, rautatieliikenne — toimialakohtaiset sääntelyviranomaiset (EBA, EIOPA, ESMA, EMA, EASA) koordinoivat toimintaansa NCA:iden kanssa. Euroopan tekoälytoimisto vastaa GPAI-mallien keskitetystä valvonnasta. Tämä rinnakkainen rakenne tarkoittaa, että rahoituslaitoksen tekoälyjärjestelmä voidaan tarkastaa sekä NCA:n toimesta että rahoitusalan sääntelyviranomaisen toimesta, jotka soveltavat erilaisia mutta päällekkäisiä viitekehyksiä.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.