Skip to main content Scroll Top

AI Actin aikataulu siirtyy – mitä sinun pitää yrityspäättäjänä tietää ja tehdä nyt

ai-actin-aikataulu-siirtyy-mita-sinun-pitaa-yrityspaattajana-tietaa-ja-tehda-nyt

EU:ssa on päästy alustavaan poliittiseen sopuun 7. toukokuuta 2026 AI Actin aikataulun lykkäämisestä. Korkean riskin tekoälyjärjestelmien velvoitteet kevenevät ja siirtyvät pääosin reilulla vuodella eteenpäin. Otsikkotasolla tämä kuulostaa siltä, että yritykset saavat lisää aikaa, mutta asia ei ole ihan niin yksinkertainen, minkä lisäksi sääntelyn keventämisen päälle tulee tiukennuksia ja kysymyksiä.

Mikä muuttuU?

Komission marraskuussa 2025 esittelemästä ”Digital Omnibus” -paketista on neuvoteltu kevään ajan. Huhtikuussa neuvottelut kaatuivat, kun sopuun ei päästy. Ehkä hieman yllättäen toukokuun alussa Euroopan parlamentin ja neuvoston neuvottelijat sitten pääsivätkin alustavaan poliittiseen sopuun: korkean riskin AI-järjestelmien velvoitteet siirtyvät, mutta regulaatio itsessään ei muutu radikaalisti.

Uudet sovelluspäivät:

  • Korkean riskin Annex III -järjestelmät (rekrytointi, työntekijöiden seuranta, biometria, kriittinen infrastruktuuri, koulutus, lainvalvonta, oikeuslaitos, maahanmuutto, yhteiskunnan olennaiset palvelut): velvoitteet alkavat 2.12.2027 aiemman 2.8.2026 sijaan.
  • Tuotteisiin upotetut Annex I -järjestelmät (lääkinnälliset laitteet, koneet, hissit ja muut tuoteturvasääntelyn alaiset): velvoitteet alkavat 2.8.2028 aiemman 2.8.2027 sijaan.
  • Kansalliset sääntelyhiekkalaatikot siirtyvät vuodella, takarajaksi 2.8.2027.
  • Tekoälyllä tuotetun sisällön merkintävelvoite (Artikla 50(2)) pysyy lähes paikoillaan: takaraja on 2.12.2026.
  • Uusi kielto AI-järjestelmille, jotka tuottavat ei-suostumuksellista intiimisisältöä tai lapsiin kohdistuvaa hyväksikäyttömateriaalia, astuu voimaan 2.12.2026.

Yksi varaus on hyvä todeta. Kyseessä on poliittinen sopu, ei vahvistettu säädös. Muodollinen hyväksyntä Euroopan parlamentissa ja neuvostossa on odotettavissa kesä-heinäkuussa, ja muutokset astuvat voimaan kolme päivää sen jälkeen, kun ne on julkaistu EU:n virallisessa lehdessä. Aikajana on tiukka, koska tämän pitää tapahtua ennen 2.8.2026 tai muuten alkuperäiset päivämäärät jäävät voimaan. Suunta vaikuttaa kuitenkin selvältä.

Mikä ei muutu?

Me ihmiset puhumme mielellämme kaikesta, mikä muuttuu. Sen varjoon ei kuitenkaan saisi jäädä se, mikä ei muutu, eli tässä tapauksessa:

  • AI Actin perusrakenne säilyy ennallaan. Riskiperusteinen luokittelu, neljä riskiluokkaa, vaatimustenmukaisuuden arviointi, yleiskäyttöisten mallien (GPAI) sääntely ja AI Officen valvontarooli — kaikki tämä jää sellaisenaan. Aikataulu on löysempi, mutta sisältö ei.
  • Osa velvoitteista on jo voimassa. Artikla 5:n kielletyt käytännöt ja Artikla 4:n velvoite tekoälyn osaamisesta ovat olleet sovellettavia 2.2.2025 alkaen. Ne koskevat jokaista organisaatiota, joka käyttää tai tarjoaa tekoälyjärjestelmiä — ei vain isoja toimijoita. Yleiskäyttöisten mallien velvoitteet ovat olleet sovellettavia 2.8.2025 alkaen.
  • Käyttäjille suunnatut läpinäkyvyysvelvoitteet — esimerkiksi se, että chatbotin pitää kertoa olevansa tekoäly — alkavat suunnitellusti 2.8.2026. Ainakin alustavasti vaikuttaisi siltä, että vain järjestelmien tuottajille, ei käyttäjille, annettiin lyhennetty siirtymäaika merkintävelvoitteen osalta.
  • Ja olennaisin huomio: lykkäys koskee velvoitteita, ei riskejä. Tekoälyjärjestelmä, joka tekee syrjiviä rekrytointipäätöksiä, on yhtä ongelmallinen 20.5.2026, 1.8.2026 ja 2.12.2027 — riippumatta siitä, milloin laki sen kieltää. Asiakkaanne, työntekijänne ja sidosryhmänne eivät odota Brysseliä etenkään sillä hetkellä, jos jotain menee pahemmin metsään.

Miksi lykkäys tuli?

Otsikkotasolla syy on yksinkertainen: lainsäätäjät pitivät alkuperäistä aikataulua liian tiukkana. Todellisuus on kerroksellisempi, ja tämä kannattaa tunnistaa, koska se vaikuttaa siihen, miten lykkäystä tulkitsee.

Virallisessa perustelussa nojataan kahteen asiaan. Ensinnäkin harmonisoidut standardit ja viranomaisohjeistukset eivät ole valmistuneet ajoissa — käytännössä Bryssel ei itse pystynyt tarjoamaan yrityksille niitä työkaluja, joilla velvoitteita olisi voitu täyttää. Toiseksi Omnibus on osa laajempaa ”yksinkertaistamisagendaa”, jota perustellaan Mario Draghin ja Enrico Lettan raporteilla sekä Budapestin julistuksen vaatimuksella vähentää yritysten hallinnollista taakkaa. Neuvosto on kytkenyt sopimuksen suoraan eurooppalaiseen kilpailukykyyn.

Sen rinnalla on toinen tarina, joka kannattaa nähdä. Teollisuuden lobbaus oli intensiivistä — etenkin korkean riskin sääntöjen lykkäämiseksi. Saksan liittokansleri ajoi voimakkaasti teollisuustuotteiden poistamista AI Actin suorasta soveltamisalasta, ja se osittain onnistuikin (konedirektiivi siirtyi sektorisääntelyn alle). Samalla yli 40 kansalaisyhteiskunnan järjestöä on varoittanut, että ”yksinkertaistamisen” nimissä heikennetään juuri niitä suojia, joita AI Act oli tarkoitettu rakentamaan.

Kummassakin kertomuksessa on totuutensa, eikä niiden välillä tarvitse valita. Pohjimmainen havainto on, että lykkäys ei ollut pelkästään tekninen ratkaisu vaan myös poliittinen kompromissi. Aikaa annettiin, mutta saman aikaan käytiin neuvottelua siitä, kuinka pitkälle sääntelyn soveltamisalaa pitäisi rajata.

Miksi tämä on yrityspäättäjälle merkityksellistä? Kahdesta syystä.

Ensimmäinen on käytännöllinen: jos perustaa oman toimintansa odotukseen, että Bryssel siirtää aikataulua myös toisen kerran, on todennäköisesti väärässä. Lykkäys on kertaluonteinen — instituutioilla ei ole varaa toistaa sitä menettämättä koko AI Actin globaalia uskottavuutta.

Toinen on perustavanlaatuisempi: jos hallintaa rakennetaan vain sääntelyn pakottamana, sitä rakennetaan kerta toisensa jälkeen poliittisten neuvotteluiden tahdissa. Silloin yrityksen tekoälyn käyttö ja sitä koskevat periaatteet seuraavat aina ulkoista painetta, eivät johdon omaa harkintaa. Toimivampi ajattelutapa on käänteinen: hallinta rakennetaan siksi, että se on omasta näkökulmasta järkevää — ja sääntely otetaan vastaan silloin, kun se tulee. Silloin lykkäykset ovat hyödyllinen lisäaika, eivät syy lykätä omia päätöksiä.

Kuten GDPR:n aikaan, kaksi sudenkuoppaa kannattaa välttää

Olen ollut vähän vastaavan tilanteen kanssa tekemisissä ennenkin. GDPR:n voimaantulon yhteydessä kymmenisen vuotta sitten. Niihin aikoihin johdattelin parikin organisaatiota olemaan compliantteja GDPR:n osalta ja siitä kokemuksesta jäi kaksi pysyvää oppia.

Ensimmäinen sudenkuoppa on hötkyily. Jos sääntelyä tulkitaan tiukimman mukaan ja rakennetaan maksimaalinen koneisto heti kärkeen, käytetään hirvittävästi resursseja asioihin, jotka eivät ehkä koskaan käytännössä merkitse mitään. GDPR:n yhteydessä monet rakensivat asioita, joita ei koskaan tarvittu, ja menettivät uskonsa koko hommaan. Eniten GDPR:ää kritisoivat ne, joilla oli siihen liittyen vahvoja väärinkäsityksiä tai ennakkotulkintoja tietämättä, miten asiat oikeasti ovat.

Toinen sudenkuoppa on lamaantuminen. ”Odotetaan, kunnes nähdään mitä siitä tulee.” Lopputulos on tyypillisesti se, että aikaa olisi ollut runsaasti tehdä asia rauhassa, mutta se tehdään lopulta paniikissa kuukautta ennen takarajaa. Ja paniikissa tehty hallintajärjestelmä on dokumentaatiota, ei hallintaa. Plus se on siltikin veikkaus siitä, miten asioita ehkä tullaan aikanaan oikeuskäytännössä tulkitsemaan.

Oikea liike on näiden välistä. Tee pienin pakollinen asia ensin. Sitten seuraava. Anna järjestelmän kasvaa orgaanisesti samaan tahtiin kuin tekoälyn käyttö organisaatiossanne kasvaa ja oikeuskäytäntö kehittyy.

Mitä yritysjohdon kannattaa tehdä nyt

Lykkäys ei muuta sitä, mistä tekoälyssä on kyse. Se vain antaa hieman pidemmän aikaikkunan tehdä asiat huolella. Tässä viisi asiaa, jotka kannattaa tehdä lähikuukausina riippumatta siitä, mitä Brysselissä lopulta sovitaan:

  1. Tehkää tekoälyinventaario. Mitä järjestelmiä organisaatiossanne käytetään? Sekä virallisesti hankittuja että niitä, joita työntekijät käyttävät itse. Useimmiten jälkimmäisiä on enemmän kuin etukäteen arvataan. Inventaario on kaiken muun pohja.
  2. Luokitelkaa karkeasti. Onko jokin käyttötapa kielletty (Artikla 5)? Onko jokin korkean riskin järjestelmä? Mikä on rajoitetun riskin alueella? Tarvitsette tähän myöhemmin tarkkuutta, mutta karkea luokittelu auttaa kohdistamaan huomion oikeisiin paikkoihin.
  3. Hoitakaa jo voimassa olevat velvoitteet kuntoon. AI-lukutaitovelvoite ei odota vuotta 2027. Se on voimassa nyt. Jos henkilöstönne käyttää tekoälyä työssään — ja heillä jo käyttää — heidän pitää saada riittävä ymmärrys siitä, mitä työkalut tekevät, missä niiden rajat ovat ja milloin niitä ei pidä käyttää. Tämä koskee myös johtoa.
  4. Rakentakaa tekoälyn hallintajärjestelmä— sen kokoisena kuin organisaationne tarvitsee. Lakipykälien sijaan tärkeämpää on, että johdolla on dokumentoidut periaatteet siitä, miten tekoälyä käytetään, kuka siitä vastaa, miten riskejä arvioidaan ja miten käytäntöjä katselmoidaan. ISO/IEC 42001 antaa tähän hyvän rakenteen, mutta täyttä sertifiointia ei tarvita. Olennaista on, että teette valinnat tietoisesti ja pystytte selittämään ne — niin auditoijalle, asiakkaalle kuin omalle henkilöstölle.
  5. Käyttäkää lisäaika oikein. Lykkäys ei syntynyt siksi, että velvoitteet olisivat olleet liian tiukkoja, vaan siksi, että harmonisoidut standardit ja viranomaisohjeistukset eivät olleet ehtineet valmistua. Sama aika, joka annettiin Brysselille, on myös teille — kannattaa käyttää se sellaiseen valmisteluun, jota ei tarvitse tehdä myöhemmin uudestaan.

Lopuksi

Suurin riski tekoälyn käytössä ei ole sääntelyn vastainen toiminta. Suurin riski on, että tehdään merkittäviä päätöksiä järjestelmistä, joiden toimintaa ja käytön tapoja kukaan ei ole pysähtynyt arvioimaan. Tekoäly ei ole ratkaisu kaikkeen ja kilpailuedun – jopa kilpailukyvyn – voi menettää keskittymällä liikaa tekniikkaan. Ja se riski ei muutu, vaikka voimaantulopäivä siirtyisi.

Aikataulu on liikahtanut, mutta suunta ei. Hoitakaa pienin pakollinen ensin, jatkakaa siitä jatkuvan parantamisen keinoin, älkääkä pysähtykö. Autamme tässä mielellämme, jos koette tarvetta.

(Teksti on julkaistu 20.5.2026.)

Lenni Laukkanen

Lisää tekstejä kirjoittajalta Lenni Laukkanen
Tekoälyn hallintajärjestelmä – miksi?
Astu Labs13
Tekoälyn hallintajärjestelmä – miksi?
Lenni Laukkanen By Lenni Laukkanen
Tekoälyn hallintajärjestelmä – miksi?
AI-transformaatio IT:n näkökulmasta
Perinteinen IT on kuolemassa sukupuuttoon
AI-transformaatio IT:n näkökulmasta
Janne Pihlajamäki By Janne Pihlajamäki
AI-transformaatio IT:n näkökulmasta
Kuka teillä vastaa tekoälyn tekemistä päätöksistä
Astu Labs14
Kuka teillä vastaa tekoälyn tekemistä päätöksistä
Lenni Laukkanen By Lenni Laukkanen
Kuka teillä vastaa tekoälyn tekemistä päätöksistä
Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.
Privacy Policy
You have read and agreed to our privacy policy
Required
Google Maps
This website uses Google Maps service, allowing to display interactive maps.
Required
Tracking
This website uses functions of the web analytics service Google Analytics. Also, we use HubSpot on our website to manage customer relationships, analyze traffic, and improve user experience. HubSpot uses cookies and other tracking technologies. Learn more: https://legal.hubspot.com/privacy-policy.
Required
YouTube
This website uses YouTube service to provide video content streaming.
Required
Privacy Policy Cookies Policy