Korkeariskisten tekoälyjärjestelmien on ylläpidettävä täydellinen tekninen tiedosto ennen EU:n markkinoille saattamista. Art. 11 ja liite IV määrittelevät tarkasti, mitä on sisällytettävä — järjestelmäarkkitehtuurista koulutusdatan hallintoon ja markkinoille saattamisen jälkeisiin valvontasuunnitelmiin.
Mikä on tekninen tiedosto?
Tekninen dokumentaatio — yleisesti kutsuttu "tekniseksi tiedostoksi" — on pääasiallinen todistuspaketti, joka osoittaa korkeariskisen tekoälyjärjestelmän täyttävän kaikki EU:n tekoälyasetuksen vaatimukset. Art. 11 edellyttää ja liite IV rakentaa sen. Se on laadittava ennen järjestelmän saattamista EU:n markkinoille ja pidettävä ajan tasalla koko järjestelmän elinkaaren ajan.
Teknistä tiedostoa ei toimita keskitetysti. Tarjoaja pitää sen hallussaan ja esittää sen pyydettäessä markkinavalvontaviranomaisille ja ilmoitetuille laitoksille. Tämä on pull-malli: viranomaiset tulevat sinulle; sinun on oltava valmis luovuttamaan täydellinen, johdonmukainen paketti, eikä paineessa koottuja ad hoc -tiedostoja.
Art. 11 asettaa tarjoajille kolme velvollisuutta:
- Laadi se ennen markkinoille saattamista tai käyttöönottoa.
- Pidä se ajan tasalla — mikä tahansa merkittävä muutos järjestelmään edellyttää tiedoston päivittämistä ja vaatimustenmukaisuuden uudelleentarkastamista.
- Aseta se saataville toimivaltaisille viranomaisille ja ilmoitetuille laitoksille pyydettäessä, määritellyn aikataulun kuluessa (tyypillisesti 10 arkipäivää kansallisten markkinavalvontasääntöjen mukaan).
"Ajan tasalla" -standardi on toiminnallinen: teknisen tiedoston on heijastettava järjestelmää sellaisena kuin se on tosiasiallisesti käyttöönotettu, ei sellaisena kuin se alun perin suunniteltiin. Jos mallin päivitys muuttaa suorituskykyominaisuuksia, tarkkuuskynnyksiä tai koulutusdataa, tiedosto on tarkistettava vastaavasti.
Kenen tarvitsee tekninen dokumentaatio?
Art. 11:n ja liitteen IV mukainen tekninen dokumentaatio on pakollinen tarjoajille, joilla on:
- Liitteen III mukaisesti luetellut korkeariskiset tekoälyjärjestelmät — itsenäiset järjestelmät alueilla, kuten biometrinen luokittelu, rekrytointi, luottoluokitus, kriittisen infrastruktuurin hallinta, koulutus, lainvalvonta, maahanmuutto ja rajavalvonta, sekä oikeudenhoidon hallinto (Art. 6(3):n merkittävän riskin suodattimeen nähden)
- Liitteen I mukaisten tuotteiden turvakomponentteina toimivat tekoälyjärjestelmät — lääkinnällisiin laitteisiin, koneisiin, ajoneuvoihin, ilmailulaitteisiin ja vastaaviin olemassa olevan EU:n tuoteturvallisuuslainsäädännön kattamiin tuotteisiin integroitu tekoäly
Teknistä dokumentaatiota ei vaadita:
- Minimiriskin tekoälyjärjestelmille (chatbotit, roskapostisuodattimet, suosittelumoottoreita korkeariskisten luokkien ulkopuolella)
- Pelkän Art. 50:n avoimuusvelvoitteen alaisille tekoälyjärjestelmille (esim. syväväärennösilmoitukset, tunnehavaitsemisen ilmoitukset, joissa ei korkeariskinen)
- Yleiskäyttöisille tekoälymallien (GPAI) tarjoajille — heillä on erilliset dokumentointivelvoitteet Art. 53:n mukaisesti, mukaan lukien itse mallin tekninen dokumentaatio, mutta ei liitteen IV muotoa, joka on suunniteltu käyttöönotetuille korkeariskisille järjestelmille
Jos olet käyttäjä (ei tarjoaja), sinun ei tarvitse laadi teknistä tiedostoa. Käyttäjien on kuitenkin ylläpidettävä lokeja järjestelmän käytöstä (Art. 26(5)), ja tarjoajilla on oikeus hyödyntää näitä lokeja päivittäessään teknistä dokumentaatiota tai käsitellessään tapahtumaraportteja.
Liitteen IV 14 elementtiä
Liite IV määrittelee teknisen tiedoston vähimmäissisällön. Ei ole jäykkää muotoa — tarjoajat voivat järjestää dokumentaation parhaaksi katsomallaan tavalla — mutta kaikkien 14 elementin on oltava läsnä ja sisällöllisiä. Ilman tukevaa näyttöä olevat rastiruksi-merkinnät eivät täytä liitettä IV.
| # | Liitteen IV elementti | Mitä sen on sisällettävä |
|---|---|---|
| 1 | Yleiskuvaus | Järjestelmän nimi, versiotunniste, käyttötarkoitus, tarkoitetut käyttäjät, maantieteelliset markkinat, tarjoajan nimi ja osoite, mahdollinen valtuutettu edustaja |
| 2 | Järjestelmäkomponentit | Laitteistovaatimukset, ohjelmistokomponentit, käytetyt kolmannen osapuolen mallit tai kirjastot, koulutusmetodologian yleiskatsaus, algoritminen lähestymistapa (esim. ohjattu oppiminen, vahvistusoppiminen, transformer-arkkitehtuuri) |
| 3 | Suunnittelumääritykset | Järjestelmäarkkitehtuuri, tietovirtakaaviot, keskeiset suunnittelupäätökset ja niiden perustelut, tehdyt kompromissit (esim. tarkkuus vs. selitettävyys), tulosmuoto ja miten tuotokset syöttyvät alajuurisiin päätöksiin |
| 4 | Koulutus-, validointi- ja testausdata | Jokaisessa vaiheessa käytetyt datasarjat, tietolähteet, tietojen hallintamenettelyt, datasarjojen tilastolliset ominaisuudet (koko, jakauma, kattavuus), tietojen käsittely- ja esikäsittelyprotokollat, toimenpiteet datasarjojen harhojen havaitsemiseksi ja korjaamiseksi |
| 5 | Riskienhallinnan dokumentaatio | Täydellinen Art. 9:n mukainen riskinhallintajärjestelmä: tunnistetut riskit terveydelle, turvallisuudelle ja perusoikeuksille; riskien arviointi ja analysointi; hyväksytyt riskien lieventämistoimenpiteet; hyväksytyt jäännösriskit; jäännösriskien hyväksymisen perusteet |
| 6 | Elinkaarimuutokset | Kuvaus kaikista merkittävistä muutoksista alkuperäisen käyttöönoton jälkeen, niiden luonne ja laajuus, miten vaatimustenmukaisuus arvioitiin uudelleen jokaisen muutoksen jälkeen, versiohistoria päivämäärineen |
| 7 | Ihmisten valvonnan toimenpiteet | Miten Art. 14:n vaatimukset toteutetaan: ohitus- ja pysäytysmekanismit, käyttöliittymät, jotka mahdollistavat ihmisoperaattoreiden tuotosten valvonnan, operaattoreiden koulutus- tai pätevyysvaatimukset, dokumentoidut menettelyt ihmisten puuttumiselle tilanteeseen |
| 8 | Validointi- ja testausmenettelyt | Käytetyt suorituskykymetriikat (tarkkuus, presisio, kattavuus, F1, AUC, oikeudenmukaisuusmetriikat), testidatasarjojen kuvaukset, testausolosuhteet ja -ympäristö, harhatestaimetodologia ja tulokset, kestävyys- ja stressitestaus, suorituskyky jakauman ulkopuolisella datalla |
| 9 | Kyberturvallisuustoimenpiteet | Tekniset toimenpiteet mallin varastamista, datan myrkyttämistä, vastustajahyökkäyksiä, kehoteinjektion (LLM-pohjaisille järjestelmille) torjumiseksi, pääsynhallinta, salaus siirron ja levon aikana, haavoittuvuuksien hallintamenettelyt |
| 10 | Harhaavalvonta ja tarkkuuden valvonta | Jatkuvat valvontamenettelyt käyttöönoton jälkeen, tarkkuuskynnyKset, joiden alle järjestelmä käynnistää tarkastelun, suorituskykyvertailuarvot jaoteltuna demografisten ryhmien mukaan soveltuvin osin, menettelyt havaitun ajautumisen tai harhan käsittelemiseksi |
| 11 | Käyttöohjeet | Art. 13:n mukainen käyttäjälle suunnattu asiakirja: käyttötarkoitus ja käyttötapaukset, suorituskykyominaisuudet ja rajoitukset, tunnetut rajoitteet, ylläpito- ja päivitysvaatimukset, käyttäjien lokikirjausvelvoitteet, yhteystieto tapahtumien ilmoittamiseen |
| 12 | Markkinoille saattamisen jälkeinen valvontasuunnitelma | Art. 72:n valvontajärjestelmän suunnittelu: käyttäjiltä kerätty data, valvontajaksojen tiheys, tarkastelun tai päivityksen käynnistävät kynnykset, vakavien tapahtumien ilmoittamismenettely (Art. 73), menettely valvontadatan syöttämiseksi takaisin riskienhallintaan |
| 13 | Rajapintojen kuvaus | API:t ja integraatiopisteet, syöttötietomuodot ja rajoitteet, tulostusmuodot ja niiden semantiikka, integraatio muihin järjestelmiin tai komponentteihin, versioyhteensopivuus |
| 14 | Harmonisoidut standardit ja yhteiset eritelmiä | Luettelo sovelletuista harmonisoiduista standardeista (esim. ISO/IEC 42001:2023, tekoälyasetuksen standardointiohjelman EN-standardit), Art. 41:n mukaisesti hyväksytyt yhteiset eritelmät, kunkin standardin soveltamisen laajuus, mahdolliset poikkeamat ja niiden perusteet |
Käytännön huomio elementin 4 osalta (koulutusdata): Liite IV ei edellytä datasarjojen julkistamista viranomaisille oletuksena. Se edellyttää, että dokumentaatio on olemassa ja voidaan tuottaa. Omistamia datasarjoja koskeva kuvaus tietojen hallintamenettelyistä, tilastollisista yhteenvedoista ja harhojen testauksen tuloksista täyttää yleensä vaatimuksen paljastamatta kaupallisesti arkaluonteista dataa.
Käytännön huomio elementin 14 osalta (standardit): Vuoden 2026 puolivälissä tekoälyasetuksen standardointiohjelmassa on vielä käynnissä. ISO/IEC 42001 (tekoälyn hallintajärjestelmät) on saatavilla ja laajasti viitattu. Tarjoajien tulisi seurata eurooppalaista standardointityötä CEN/CENELEC JTC 21:n alaisuudessa ja päivittää tämä osio harmonisoitujen standardien julkaisujen mukaisesti Euroopan unionin virallisessa lehdessä.
EU:n vaatimustenmukaisuusvakuutus (Art. 47)
EU:n vaatimustenmukaisuusvakuutus (EU DoC) on erillinen pakollinen asiakirja — se ei ole osa teknistä tiedostoa, mutta se viittaa siihen. EU DoC on tarjoajan virallinen lausunto siitä, että tekoälyjärjestelmä täyttää kaikki sovellettavat EU:n tekoälyasetuksen vaatimukset.
Pätevän EU DoC:n on sisällettävä:
- Tarjoajan nimi ja osoite (ja valtuutettu edustaja, jos sovellettava)
- Tekoälyjärjestelmän nimi, versio, sarjanumero tai eränumero tarvittaessa
- Lausuma siitä, että järjestelmä noudattaa EU:n tekoälyasetusta
- Käytetty vaatimustenmukaisuuden arviointimenettely: liite VI (sisäinen valvonta / oma arviointi) useimmille liitteen III järjestelmille tai liite VII (ilmoitetun laitoksen kolmannen osapuolen arviointi) biometrisen luokittelun tekoälylle ja kriittisen infrastruktuurin tekoälylle, joka vaatii kolmannen osapuolen osallistumista
- Luettelo tuetuista harmonisoiduista standardeista tai yhteisistä eritelmistä
- Tarjoajan valtuutetun edustajan allekirjoitus päivämäärällä ja paikalla
EU DoC on säilytettävä 10 vuotta markkinoille saattamisesta ja tuotettava pyydettäessä. Se seuraa CE-merkintää (katso alla).
Liitteen I tuotteisiin integroiduille tekoälyjärjestelmille EU DoC voidaan yhdistää asianomaisessa sektorilainsäädännössä vaadittuun vaatimustenmukaisuusvakuutukseen, edellyttäen, että se sisältää kaikki molempien oikeudellisten instrumenttien vaatimat elementit.
CE-merkintä (Art. 48)
EU:n markkinoille saatettujen korkeariskisten tekoälyjärjestelmien on kannettava CE-merkintä, joka osoittaa vaatimustenmukaisuuden EU:n tekoälyasetuksen ja muun samaa tuotetta kattavan sovellettavan unionin harmonisoidun lainsäädännön kanssa.
Poikkeukset: Liitteen III luokkien tekoälyjärjestelmät, jotka on julkisten viranomaisten omaan sisäiseen käyttöön ottanut käyttöön, on vapautettu CE-merkintävaatimuksista. Ne pysyvät kaikkien muiden velvoitteiden — tekninen dokumentaatio, riskienhallinta, ihmisten valvonta, rekisteröityminen — alaisina, mutta niiden ei tarvitse kiinnittää CE-merkintää.
CE-merkintä on kiinnitettävä ennen järjestelmän saattamista EU:n markkinoille. Sen on oltava näkyvä, luettava ja pysyvä. Jos järjestelmän fyysinen luonne ei salli merkinnän suoraa kiinnittämistä, se voi esiintyä pakkauksessa tai käyttöohjeissa.
Kun korkeariskinen tekoälyjärjestelmä on liitteen I tuotteen komponentti, joka jo vaatii CE-merkinnän sektorikohtaisen lainsäädännön (esim. lääkinnälliset laitteet, koneet) nojalla, CE-merkintä kattaa vaatimustenmukaisuuden sekä sektorilainsäädännön että tekoälyasetuksen kanssa. Tarjoajien tulisi selkeästi dokumentoida, mitkä vaatimustenmukaisuuden arviointimenettelyt CE-merkintää tukevat.
Käytännön tarkistuslista: vähimmäistoimiva tekninen tiedosto
Ennen minkään korkeariskisen tekoälyjärjestelmän saattamista EU:n markkinoille varmista, että nämä 10 kohtaa ovat valmiit ja todistettuja:
- [ ] Järjestelmän kuvaus ja versionhallinta — nimi, versio, käyttötarkoitus dokumentoitu; muutosloki on olemassa
- [ ] Arkkitehtuurikaavio — tietovirtaa ja komponenttikaavio, jossa näkyvät kaikki laitteisto-, ohjelmisto- ja kolmannen osapuolen elementit
- [ ] Koulutusdatan inventaario ja hallintarekisteri — datasarjat luetteloitu lähteen, koon, jakaumien ja datalaadun menettelyjen kanssa dokumentoituna
- [ ] Riskiarviointi (Art. 9:n mukaan) — tunnistetut riskit, lieventämistoimenpiteet ja hyväksytyt jäännösriskit dokumentoitu ja allekirjoitettu
- [ ] Harhojen testauksen tulokset — testausmetodologia dokumentoitu; tulokset jaoteltuna asianmukaisten demografisten ryhmien mukaan soveltuvin osin
- [ ] Tarkkuusmetriikat edustavalla testidatasarjalla — suorituskykymetriikat dokumentoitu testasolosuhteineen; kynnykset määritelty
- [ ] Ihmisten valvonnan menettelyasiakirja — ohitusmekanismit kuvattu; operaattoreiden vaatimukset (koulutus, pätevyys) dokumentoitu
- [ ] Kyberturvallisuuden arviointi — tunnetut hyökkäysvektorit arvioitu; tekniset vastatoimet dokumentoitu
- [ ] Käyttöohjeet (käyttäjälle suunnattu) — Art. 13:n asiakirja valmis, mukaan lukien rajoitukset, lokikirjausvelvoitteet ja tapahtumailmoituksen yhteystieto
- [ ] Markkinoille saattamisen jälkeinen valvontasuunnitelma — tietojen keräyksen laajuus, valvontataajuus, tarkastelun käynnistimet ja tapahtumaraportoinnin menettely dokumentoitu
Tämä tarkistuslista kattaa vähimmäismäärän. Hyvin valmisteltu tekninen tiedosto menee pidemmälle — erityisesti harhatestaimetodologian, komponenttimallien mallikorttien ja näytön osalta siitä, että riskinhallintaprosessi on iteratiivinen eikä kertaluonteinen harjoitus.
Miten tämä liittyy EU:n tekoälyasetuksen akatemiaan
EU:n tekoälyasetuksen akatemian ammattilaisella tasolla sisältää käyttövalmiit tekniset dokumentaatiomallit, jotka kattavat kaikki 14 liitteen IV elementtiä, mukaan lukien:
- Jäsennelty XLSX-työkirja, jossa on yksi välilehti liitteen IV elementtiä kohti, valmiiksi täytettynä kehotuksilla ja esimerkkimerkinnöillä
- DOCX-teknisen tiedoston runko valmiina muokattavaksi
- Art. 9:n iteratiivista prosessia noudattava riskinarviointityösivu
- Tietojen hallintarekisteri -malli, joka kattaa koulutus-, validointi- ja testidatasarjat
- Art. 72:n mukainen markkinoille saattamisen jälkeinen valvontasuunnitelma -malli
Nämä mallit on suunniteltu sopeutettaviksi erityiseen järjestelmääsi — ne ovat sisällöllisinä lähtökohtina, eivät tyhjiä lomakkeita.
Asiaan liittyvät sivut:
- Liite III — Korkeariskisen tekoälyn luokat ja velvoitteet
- Vaatimustenmukaisuuden arviointimenettelyt (liitteet VI ja VII)
- EU:n tekoälyasetuksen akatemia — mallit ja koulutus
- Työkalut — Vaatimustenmukaisuuden arviointimenettelyn valitsin
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Korkeariskisen tekoälyjärjestelmän tarjoaja vastaa yksinomaan teknisen dokumentaation laatimisesta ja ylläpitämisestä. Käyttäjien ei tarvitse laatia sitä, mutta heidän on säilytettävä käyttölokit ja heidän on mahdollisesti toimitettava ne tarjoajille raportointitarkoituksiin.
Tekninen dokumentaatio on säilytettävä 10 vuotta sen jälkeen, kun tekoälyjärjestelmä on saatettu EU:n markkinoille tai otettu käyttöön (Art. 18). Liitteen I lainsäädännön soveltamisalaan kuuluviin tuotteisiin integroiduille tekoälyjärjestelmille sovelletaan tuotelainsäädännön mukaista säilytysaikaa, jos se on pidempi.
Ei — teknistä dokumentaatiota ei arkistoida keskitetysti. Tarjoajan on säilytettävä se ja asetettava se markkinavalvontaviranomaisten ja ilmoitettujen laitosten saataville pyydettäessä. EU:n tekoälytietokantaan rekisteröityminen (Art. 71) on pakollista, mutta täydellinen tekninen tiedosto jää tarjoajalle.
Tarjoajan allekirjoittama virallinen asiakirja, jossa todetaan, että tekoälyjärjestelmä noudattaa EU:n tekoälyasetuksen vaatimuksia. Sen on sisällettävä järjestelmän nimi, versio, tarjoajan henkilöllisyys, luettelo täytetyistä sovellettavista vaatimuksista, käytetty vaatimustenmukaisuuden arviointimenettely ja viittaus asianomaisiin harmonisoituihin standardeihin. Se on CE-merkinnän mukana.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.