Siirry pääsisältöön
  • ENG
  • FIN
LKOS Law Office
  • Etusivu
  • Henkilöstömme
    • Oscari Seppälä
    • Liene Krumina
    • Elvira Vainio
    • Ieva Azanda
  • Palvelumme
    • Sopimusoikeus
    • Yhtiöoikeus
    • Oikeudenkäynti | Riidanratkaisu
    • Työoikeus
    • ESG
    • Vakuutusoikeus
    • Tullaus
    • Pakotteet | Kansainvälinen kauppa
    • Legal Gym
    • Yrityskauppa
    • Logistiikka | Kuljetusoikeus | Merioikeus
    • Baltic Desk
    • Pro Bono
  • Asiakastarinat
  • Uutiset
  • Yhteystiedot
  • Meistä

EU AI Act 2026: mitä yritysten pitää tehdä nyt – riskit, sopimukset ja johdon vastuut

tammikuu 30, 2026 klo 09:53

EU AI Act 2026: mitä yritysten pitää tehdä nyt – riskit, sopimukset ja johdon vastuut

Tiivistelmä: EU AI Act tuo vaiheittain voimaan velvoitteita tekoälyn käyttöön ja hankintaan, ja vuosi 2026 on monille yrityksille käytännön käännekohta. Aloita nyt AI-inventaario, riskiluokitus sekä hankinta- ja sopimusehtojen päivitys, jotta vastuut ja dokumentaatio ovat kunnossa ennen vaatimusten täysimääräistä soveltumista.

EU:n tekoälyasetus (EU AI Act) on ensimmäinen kattava tekoälyä koskeva oikeudellinen kehys EU:ssa. Se koskee sekä tekoälyjärjestelmien kehittäjiä että yrityksiä, jotka ottavat tekoälyä käyttöön tai hankkivat tekoälyratkaisuja kolmansilta toimittajilta. Asetusta sovelletaan vaiheittain, ja vuosi 2026 on monille yrityksille käytännön käännekohta: silloin tulevat sovellettaviksi mm. läpinäkyvyyttä koskevat velvoitteet sekä suuri osa vaatimuksista suuririskisille järjestelmille.

Tämä Insight on kirjoitettu liiketoiminnan näkökulmasta. Tarkoitus on auttaa johtoa, in-house juristeja, IT:tä ja hankintaa ymmärtämään: (i) mitä muuttuu 2026, (ii) missä sopimusoikeudelliset riskit tyypillisesti piilevät ja (iii) mitä kannattaa tehdä jo nyt.

Sisällysluettelo

  • 1. Mikä EU AI Act on ja ketä se koskee?
  • 2. Aikajana: keskeiset soveltamisajankohdat 2025–2027
  • 3. Riskiperusteinen malli: mikä on yrityksellesi relevanttia?
  • 4. Mitä yrityksen kannattaa tehdä nyt (2026-valmistautuminen)
  • 5. Sopimusoikeudelliset riskit: palvelusopimukset, hankinta ja vastuunjako
  • 6. AI-riskienhallinta ja johdon vastuut
  • 7. EU AI Act compliance checklist yrityksille
  • 8. Usein kysytyt kysymykset

1. Mikä EU AI Act on ja ketä se koskee?

EU AI Act asettaa velvoitteita tekoälyjärjestelmien elinkaarelle: suunnittelu, kehitys, markkinoille saattaminen, käyttöönotto ja käytön seuranta. Yrityksen näkökulmasta keskeistä on, että velvoitteet eivät kohdistu vain “tekoälyfirmoihin”. Usein velvollinen on myös käyttöönotosta vastaava yritys (esim. HR-järjestelmä, analytiikka- tai automaatiotyökalu, asiakaspalvelubotti tai päätöksenteon tuki).

Jos yrityksesi ostaa tekoälypohjaisia ratkaisuja (SaaS, alustat, integraatiot), tekoälyasetus on samalla hankinnan ja sopimusten hallinnan kysymys – ei vain compliance-muistilista.

Lisää sääntelyn kokonaisuudesta ja vastuullisuutta koskevasta EU-sääntelystä löydät palvelusivultamme: ESG & vastuullisuus – lakipalvelut yrityksille.

2. Aikajana: keskeiset soveltamisajankohdat 2025–2027

EU AI Actin soveltaminen on vaiheittaista. Yritysten kannalta olennaista on tunnistaa, milloin eri velvoitteet tulevat käytännössä vastaan:

  • 2.2.2025: kielletyt tekoälykäytännöt sekä AI literacy (tekoälylukutaito) -velvoite alkavat soveltua.
  • 2.8.2025: hallintomalli (governance) sekä yleiskäyttöisten tekoälymallien (GPAI) velvoitteet alkavat soveltua.
  • 2.8.2026: asetus on lähtökohtaisesti kokonaisuudessaan sovellettava, ja mm. läpinäkyvyysvelvoitteet tulevat käytäntöön.
  • 2.8.2027: osa suuririskisääntelystä (erityisesti säänneltyihin tuotteisiin integroidut järjestelmät) saa pidemmän siirtymäajan.

Yrityksen käytännön viesti: 2026 ei ole “kaukaista tulevaisuutta”. Jos tekoäly on jo tuotannossa (tai hankinnassa), valmistautuminen kannattaa aloittaa nyt – erityisesti hankinnan, sopimusehtojen ja sisäisen riskienhallinnan osalta.

3. Riskiperusteinen malli: mikä on yrityksellesi relevanttia?

Asetus luokittelee tekoälyn käytöt riskin mukaan. Yrityksille tyypilliset riskipisteet liittyvät seuraaviin:

3.1 Suuririskinen tekoäly (high-risk)

Suuririskisyys voi tulla vastaan esimerkiksi, jos tekoälyä käytetään:

  • rekrytoinnissa, työntekijöiden arvioinnissa tai työvuorojen/työn ohjauksessa
  • luottokelpoisuuden, vakuutusten tai palvelujen saatavuuden arvioinnissa
  • turvallisuuskriittisissä ympäristöissä (esim. liikenne, infrastruktuuri)

Suuririskisissä järjestelmissä korostuvat dokumentaatio, riskienhallinta, laadukas data, lokitus ja ihmisen valvonta.

3.2 Läpinäkyvyysvelvoitteet (transparency)

Moni yritys kohtaa läpinäkyvyysvelvoitteet käytännössä nopeasti: jos käytössä on chatbotteja, generatiivista tekoälyä tai sisältöä, joka voi näyttää “ihmisen tuottamalta”, voi tulla velvoite kertoa käyttäjälle tekoälyn roolista ja varmistaa tunnistettavuus.

4. Mitä yrityksen kannattaa tehdä nyt (2026-valmistautuminen)

Yrityksen kannattaa edetä kahdella rinnakkaisella polulla:

  • (A) Tekoälyn hallintamalli: omistajuus, vastuut, hyväksymisprosessit, riskien seuranta
  • (B) Hankinta & sopimukset: toimittajan velvoitteet, dokumentaatio, audit-oikeudet, vastuunjaot

Käytännössä paras aloitus on AI-inventaario (mitä tekoälyä käytetään ja missä prosesseissa) sekä riskiluokitus (onko mukana suuririskisiä käyttötapauksia tai läpinäkyvyysvelvoitteita).

5. Sopimusoikeudelliset riskit: palvelusopimukset, hankinta ja vastuunjako

EU AI Act tuo sopimuksiin uuden “kerroksen” velvoitteita. Tyypillinen ongelma on, että yritys käyttää tekoälyä SaaS-palvelussa, mutta sopimuksessa:

  • ei ole määritelty, kuka vastaa AI Act -vaatimustenmukaisuudesta
  • ei saada riittäviä tietoja ja dokumentaatiota (esim. järjestelmän tarkoitus, rajoitteet, lokit)
  • puuttuu audit- ja tarkastusoikeus tai oikeus vaatia korjauksia
  • vastuunrajoitukset ja “as is” -ehdot tekevät riskistä käytännössä yksipuolisen

Suositus: päivitä hankinta- ja IT-sopimusten mallit niin, että ne kattavat vähintään: (i) compliance-vastuut, (ii) tiedonsaanti ja dokumentaatio, (iii) incident-ilmoitukset ja korjausvelvoitteet, (iv) alihankkijat ja dataketju, (v) vastuunjako ja vakuutukset.

6. AI-riskienhallinta ja johdon vastuut

Tekoälyyn liittyvät riskit ovat yhä useammin liiketoimintariskiä, eivät pelkkää “IT-riskienhallintaa”. Siksi johdon kannattaa varmistaa ainakin:

  • AI-järjestelmien omistajuus ja päätöksenteko (kuka saa ottaa käyttöön ja millä ehdoilla)
  • riskien seuranta ja raportointi (mitä mitataan ja miten poikkeamiin reagoidaan)
  • henkilöstön osaaminen ja tekoälylukutaito (AI literacy)
  • kriittisten prosessien “human-in-the-loop” -periaatteet (ihmisen valvonta)

7. EU AI Act compliance checklist yrityksille

  1. Tunnista tekoäly: listaa käytössä olevat AI-järjestelmät (myös SaaS ja alihankkijat).
  2. Luokittele riskit: onko mukana suuririskisiä käyttötapauksia tai läpinäkyvyysvelvoitteita?
  3. Arvioi sopimukset: vastuunjako, dokumentaatio, audit-oikeudet, incident-menettely.
  4. Rakenna hallintamalli: roolit, hyväksymisprosessit, seuranta ja raportointi johdolle.
  5. Kouluta: varmista tekoälylukutaito – erityisesti niille, jotka hankkivat tai käyttävät AI:ta päätöksenteossa.
  6. Valmistaudu 2026: priorisoi korjaavat toimet järjestelmiin, joissa on suora vaikutus työntekijöihin, asiakkaisiin tai kriittisiin prosesseihin.

Jos haluat arvioida tilanteen nopeasti, aloitamme tyypillisesti AI-kartoituksella ja sopimus- ja hankintaehtojen tarkastuksella – tavoitteena käytännöllinen ja johdettavissa oleva kokonaisuus.

8. Usein kysytyt kysymykset

1) Koskeeko EU AI Act yritystä, jos käytämme vain “valmista” AI-työkalua?

Usein kyllä. Vaikka et kehittäisi tekoälyä itse, olet tyypillisesti käyttöönottaja (deployer). Velvoitteet riippuvat käyttötarkoituksesta ja riskiluokasta.

2) Mitkä ovat tyypillisimmät riskit vuonna 2026?

Käytännössä: läpinäkyvyysvelvoitteet (esim. chatbotit ja generatiivinen AI), puutteellinen dokumentaatio toimittajalta sekä sopimuksissa epäselvä vastuunjako.

3) Pitääkö sopimuksiin tehdä muutoksia jo nyt?

Kyllä, jos AI on osa palvelua tai päätöksentekoa. Vanhoissa IT- ja SaaS-sopimuksissa AI Act -velvoitteet harvoin näkyvät, jolloin riski jää käyttäjäyritykselle.

4) Mistä kannattaa aloittaa, jos tekoälyä on käytössä useassa tiimissä?

AI-inventaario + riskiluokitus + hankinta- ja sopimusmallien päivitys. Näillä saat nopeasti hallittavuuden ja johdon näkyvyyden riskeihin.

Tarvitsetko apua EU AI Actiin valmistautumisessa?

Autamme yrityksiä rakentamaan käytännöllisen AI-governance -mallin, päivittämään sopimuksia ja hallitsemaan sääntelyriskejä liiketoimintaa tukevalla tavalla. Tutustu myös palveluihimme: ESG & vastuullisuus – lakipalvelut yrityksille.

Asiantuntija: Liene Krumina

Vastuullinen juristi: Liene Krumina, LKOS Law Office Oy

Uusimmat julkaisut

  • SHIP25 ehdot korvaavat SHIP2000 ehdot – mitä uusi laivanrakennussopimus muuttaa käytännössä
    6 helmikuuta, 2026
  • EU AI Act 2026: mitä yritysten pitää tehdä nyt – riskit, sopimukset ja johdon vastuut
    30 tammikuuta, 2026
  • CBAM 2026 – Mitä hiilirajamekanismi tarkoittaa maahantuojille Suomessa?
    29 tammikuuta, 2026
  • CountEmissionsEU ja huolinnan päästölaskenta – miten kuljetuspalvelun CO2e lasketaan (ISO 14083)
    15 tammikuuta, 2026
  • EU:n tulliuudistus: 3 € tullimaksu alle 150 € lähetyksille 1.7.2026 alkaen (IOSS)
    14 tammikuuta, 2026
  • Yrityskauppa ja yritysjärjestely Suomessa – juridinen due diligence ja kaupan toteutus
    19 joulukuuta, 2025
  • EU:n tulliuudistus 2026–2037 – mitä muuttuu, milloin ja miten yritysten kannattaa varautua?
    2 joulukuuta, 2025

LKOS LAW Office uutiset

Löydät täältä viimeisimmät uutisemme sekä uusimmat tiedot lainsäädännön muutoksista. 

Tilaa ohesta uutiskirjeemme saadaksesi viimeisimmät tiedot lainsäädäntömuutoksista kuin uutisemme sähköpostiisi.

Ole yhteydessä. Kerromme mielellämme lisää viimeaikaisista tapahtumista.

Asiantuntijamme käytettävissäsi. Tutustu tarkemmin liikejuridiikan osaajiimme.

LKOS Law Office Oy I office(at)lkoslaw.fi I Business ID 2666655-6
LKOS Law Office Oy website is intended for information purposes only. It should not be relied upon as legal advice nor should it be used as a basis for any action or decision.
Copyright © LKOS Law Office Oy 2016-2026 - All rights reserved.
Privacy and cookie policy | Yleiset ehdot