EU:n tekoälyasetus tuo tekoälyn käyttöön yhteiset pelisäännöt ja haastaa yritykset tarkastelemaan tekoälyä vastuullisuuden, tietoturvan ja osaamisen näkökulmista. Lue artikkelista, mitä tämä käytännössä tarkoittaa ja miten voit kääntää vaatimukset kilpailueduksi.

Elokuusta 2026 täysimääräisesti sovellettava EU:n tekoälyasetus on tuonut tekoälyn käyttöön yhteiset pelisäännöt, joiden ytimessä on vastuullisuus. Yrityksille, jotka jo hyödyntävät tai suunnittelevat tekoälyn käyttöönottoa, asetus ei ole pelkkä sääntelykysymys, vaan myös mahdollisuus rakentaa luottamusta asiakkaisiin, henkilöstöön ja sidosryhmiin. Vastuullinen tekoälyn käyttö tarkoittaa sitä, että teknologian hyödyt tunnistetaan, mutta samalla ymmärretään sen vaikutukset ihmisiin, liiketoimintaan ja yhteiskuntaan.

Riskien tunnistaminen on osa vastuullisuutta

Tekoälyasetus perustuu riskiperusteiseen ajatteluun. Kaikki tekoälyratkaisut eivät ole samanlaisia, eikä niitä tule käsitellä yhtenä kokonaisuutena. Osa sovelluksista on käytännössä vähäriskisiä, kun taas korkeariskiset käyttötapaukset, esimerkiksi ihmisten arviointiin, päätöksentekoon tai valvontaan liittyvät ratkaisut, edellyttävät huomattavasti tiukempaa hallintaa.

Vastuullinen toimija pysähtyy arvioimaan, mihin tarkoitukseen tekoälyä käytetään ja millaisia vaikutuksia sillä voi olla yksilöihin tai päätöksentekoon. Kun käyttötarkoitus ja vaikutukset on hyvin määritetty, myös vaatimusten täyttäminen on huomattavasti helpompaa. Sen pohjalta riskit voidaan tunnistaa ajoissa, jolloin tekoälyä voidaan käyttää hallitusti ja läpinäkyvästi. Tämä tukee paitsi sääntelyn noudattamista, myös eettisesti kestävää liiketoimintaa.

Tietoturva ja tietosuoja luottamuksen perustana

Tekoäly ei ole irrallinen teknologia, vaan se rakentuu datan, järjestelmien ja prosessien varaan. Siksi tietoturva ja tietosuoja ovat keskeinen osa vastuullista tekoälyn käyttöä, eivät erillinen tekninen yksityiskohta. Tekoälymallien kouluttamiseen käytettävä data, tekoälypalveluiden integraatiot sekä ulkopuoliset toimittajat edellyttävät selkeitä vastuita ja hallintamalleja.

Samalla henkilötietojen käsittely tekoälyn yhteydessä vaatii erityistä huolellisuutta. Läpinäkyvyys, käyttötarkoitussidonnaisuus ja minimointi eivät katoa tekoälyn myötä, vaan päinvastoin. Hyvin hallittu tekoälyn käyttö tukee myös tietosuojavaatimusten täyttämistä, kun vastuut, roolit ja käsittelyperusteet on määritelty selkeästi. Yritykset, jotka huomioivat tietosuojan ja tietoturvan jo tekoälyratkaisujen suunnitteluvaiheessa, pystyvät vähentämään riskejä ja vahvistamaan luottamusta niin asiakkaiden kuin viranomaisten suuntaan.

Tekoälylukutaito – uusi perustaito organisaatioille

Tekoälyasetuksessa korostuu myös tekoälylukutaito. Kyse ei ole siitä, että kaikkien pitäisi osata rakentaa tekoälymalleja, vaan siitä, että tekoälyä käyttävät ymmärtävät, miten tekoäly toimii, mihin sitä käytetään ja missä sen rajat kulkevat.

Johdon on kyettävä arvioimaan tekoälyn käyttöä strategisesta ja eettisestä näkökulmasta. Asiantuntijoiden ja käyttäjien taas on tunnistettava, milloin tekoälyn tuottama lopputulos vaatii kriittistä arviointia tai ihmisen tekemää päätöstä. Koulutus ja osaamisen ylläpito ovat keskeinen osa vastuullista tekoälyn hyödyntämistä.

Vastuullisuus kilpailuetuna

Tekoälyasetus ei ole innovoinnin este, vaan keino rakentaa luottamusta ja kehys vastuulliselle kasvulle. Yritykset, jotka ottavat tekoälyn riskit, tietoturvan, tietosuojan ja osaamisen systemaattisesti haltuun, luovat samalla pohjaa kestävälle ja luottamusta herättävälle liiketoiminnalle. Selkeät pelisäännöt mahdollistavat kestävän ja vastuullisen tekoälyn hyödyntämisen ja samalla vähentävät ikäviä yllätyksiä myöhemmin.

Nyt onkin hyvä hetki tarkastella omaa tekoälyn käyttöänne: ei peläten, vaan suunnitelmallisesti ja ennakoiden.

Yhteenveto

EU:n tekoälyasetus ohjaa yrityksiä kohti vastuullista ja hallittua tekoälyn käyttöä. Käytännössä tämä tarkoittaa riskiperusteista ajattelua, tietoturvan ja tietosuojan huomioimista jo suunnitteluvaiheessa sekä riittävän tekoälylukutaidon varmistamista koko organisaatiossa. Yrityksille, jotka tarttuvat näihin teemoihin ennakoivasti, tekoälyasetus ei ole pelkkä velvoite, vaan mahdollisuus rakentaa luottamusta, vähentää riskejä ja luoda kestävää kilpailuetua. Palaan aiheeseen syventäen tekoälyn tietoturvanäkökulmia seuraavassa artikkelissani Kauppakamarin toukokuun lehdessä, jonka teemana on kyberturvallisuus.

P.S. Tämä artikkeli oli pääosin tekoälyn avulla (ChatGPT) kirjoitettu. Myös kirjoittajan kuva, vierailuni EU:n parlamentissa, on muokattu tekoälyn avulla karikatyyriksi. Oliko onnistunut kokonaisuus? Pohdi, millä tavoin tekoäly on muuttanut teidän yrityksenne työskentelyä ja toimintaympäristöä.

The post Tekoälyn vastuullinen käyttö – mitä yritysten on syytä ymmärtää? appeared first on Tikkasec Oy.

Johdolla on vastuu suojata organisaation digitaalista toimintaympäristöä

Eduskunnassa on hyväksyttävänä uusi kyberturvallisuuslaki, joka tuo merkittäviä muutoksia suurempien organisaatioiden kyberturvallisuusvastuuseen. Laki perustuu EU:n kyberturvallisuusdirektiiviin (NIS2) ja asettaa lain piiriin kuuluville organisaatioille useita uusia velvoitteita. Nämä velvoitteet painottavat riskienhallintaa, tietoturvatoimia, raportointivelvoitteita, vastuuta koko toimitusketjusta ja yhteistyötä viranomaisten kanssa.

Voimakkaasti digitalisoituneessa ja verkottuneessa maailmassa kyberturvallisuuden merkitys kasvaa yhä enemmän. Tietoverkoissa ja digitaalisissa palveluissa käsitellään arkaluontoista tietoa ja kyberhyökkäykset voivat aiheuttaa organisaatioille katastrofaalisia seurauksia. Tietovuodot, tietojenkalastelu, palvelunestohyökkäykset ja ransomware-hyökkäykset voivat vahingoittaa mainetta, häiritä liiketoimintaa ja johtaa merkittäviin taloudellisiin tappioihin.

Mitä kyberturvallisuuslaki tarkoittaa organisaatioiden johdolle?

Johdolla on nyt entistäkin suurempi vastuu kyberturvallisuudesta. Ylin johto vastaa jatkossa lakisääteisesti organisaation kyberturvallisuutta koskevan riskienhallinnan toteuttamisen ja valvonnan järjestämisestä sekä hyväksyy ja valvoo riskienhallinnan toimintamallia. Johdolla tulee myös olla riittävä perehtyneisyys ja osaaminen kyberturvallisuutta koskevaan riskienhallintaan.

Tämä tarkoittaa käytännössä mm. seuraavia asioita:

• Kyberturvallisuuden priorisointi: Sen on oltava osa organisaation strategista suunnittelua ja riskienhallintaa. Johdon on osoitettava selkeä sitoutuminen kyberturvallisuuteen ja varmistettava, että resursseja on varattu riittävästi asianmukaisten toimenpiteiden toteuttamiseen.
• Riskienhallinta: Organisaation on rakennettava systemaattinen riskienhallinnan toimintamalli, jossa tunnistetaan ja arvioidaan erilaisia kyberturvallisuusriskejä sekä tehdään riskiarvion pohjalta tarvittavia toimia riskien minimoimiseksi.
• Tietoturvatoimet: Organisaation on toteutettava asianmukaisia tietoturvan hallintakeinoja tietojärjestelmien ja tiedon suojaamiseksi. Näihin toimenpiteisiin sisältyy niin teknisiä kuin hallinnollisia toimia, kuten tietoverkkojen ja -järjestelmien suojaaminen, henkilöstöturvallisuus ja koulutus, pääsynhallinnan kehittäminen, salausratkaisut sekä varmuuskopiointi ja palautumissuunnitelmat.
• Toimitusketjun turvallisuus: NIS2-toimijat ovat vastuussa myös toimitusketjunsa kyberturvallisuudesta. Tämä tarkoittaa käytännössä sitä, että organisaation on varmistettava niiden yhteistyökumppanien noudattavan samoja kyberturvallisuusvaatimuksia.
• Tietoisuuden lisääminen: Johdon on varmistettava, että kaikki organisaation työntekijät ymmärtävät kyberturvallisuuteen ja tietoturvaan liittyviä riskejä ja tietävät, kuinka turvata organisaation käsittelemää luottamuksellista tietoa.
• Raportointivelvoitteet: Merkittävistä kyberuhista ja tietoturvapoikkeamista on raportoitava viranomaisille. Ensi-ilmoitus tulee tehdä jo 24 tunnin sisällä poikkeaman havaitsemisesta. Merkittävästä poikkeamasta on ilmoitettava myös asiakkaille, jos merkittävä poikkeama voi haitata palvelun tarjoamista.
• Yhteistyö: Organisaatioiden on tehtävä yhteistyötä viranomaisten ja muiden toimijoiden kanssa kyberturvallisuuden parantamiseksi.
• Valvovat viranomaiset: Kyberturvallisuuslakia valvovia viranomaisia on useita, ja organisaation kyberturvallisuutta valvova viranomainen riippuukin sen toimialasta. Käytännössä valvontaresursseja tulee olemaan huomattavasti enemmän kuin GDPR:n osalta.
• Hallinnolliset sakot: Kyberturvallisuuslain velvoitteiden, kuten riskienhallinnan toimintamallin tai poikkeamailmoitusten toteuttamatta jättämisestä voi organisaatiolle seurata hallinnollinen sakko.

Kyberturvallisuuslaki koskee lähtökohtaisesti yhteiskunnan toiminnan kannalta kriittisten toimialojen organisaatioita, joissa on yli 50 työntekijää. Näitä organisaatioita arvioidaan olevan Suomessa noin 5000. Koska kyseiset toimijat ovat vastuussa myös toimitusketjustaan, tulevat lainsäädännön velvoitteet sopimusvaatimusten kautta käytännössä koskemaan moninkertaista joukkoa yrityksiä. Jokaisen suuremmille yrityksille tai esimerkiksi hyvinvointialueille jollain tavoin tiedonhallintaan liittyviä palveluita, kuten tietojärjestelmiä tai IT-palveluita, tarjoavien yritysten onkin syytä varautua lainsäädännön vaatimuksiin.

Uuden kyberturvallisuuslain noudattaminen ei ole pelkkä velvollisuus, vaan investointi tulevaisuuteen. Vahva kyberturvallisuuteen panostaminen on edellytys luottamuksen rakentamiselle asiakkaiden ja kumppaneiden kanssa, liiketoiminnan jatkuvuudelle ja kilpailukyvylle. Systemaattinen varautuminen riskeihin tuo kustannukset ennustettaviksi, kun taas riskien toteutuminen voi aiheuttaa ennustamattomia kustannuksia, sekä myös vahingonkorvausvelvoitteita.

Kuinka kyberturvallisuuslain voimaantuloon tulisi valmistautua?

Viimeisimmän lakiluonnoksen mukaan lain voimaan tullessa sen piiriin kuuluvilla toimijoilla on kuukausi aikaa ilmoittautua valvovalle viranomaiselle. Riskienhallintajärjestelmä taas tulee olla laadittuna kolmen kuukauden kuluessa lain voimaan tulosta. Molempiin liittyy myös mahdollinen hallinnollinen sakko, mikäli asia ei ole määräaikaan mennessä kunnossa. Hyvä tapa valmistautua kyberturvallisuuslain velvoitteisiin on rakentaa lainsäädännön velvoitteet täyttävä tietoturvallisuuden hallintajärjestelmä. Se auttaa organisaatioita tunnistamaan, arvioimaan ja hallitsemaan kyberturvallisuusriskejä, toteuttamaan asianmukaiset tietoturvatoimenpiteet sekä parantamaan jatkuvasti kyberturvallisuustoimintaansa.

Organisaatioiden on myös tärkeää varmistaa, että niillä on selkeät kyberturvallisuuteen liittyvät roolit ja vastuut. Kyberriskien hallinta ei ole vain tietohallinnon tehtävä, vaan se on lopulta koko liiketoiminnan ja ylimmän johdon vastuulla.

The post Kyberturvallisuuslaki tulee, oletko valmis? appeared first on Tikkasec Oy.

Vuonna 2024 voimaan astuva uusi kyberturvallisuuslaki tuo mukanaan merkittäviä muutoksia organisaatioiden kyberturvallisuusvastuuseen. Laki perustuu EU:n kyberturvallisuusdirektiiviin (NIS2) ja asettaa sen piiriin kuuluville organisaatioille useita uusia velvoitteita. Nämä velvoitteet painottavat riskienhallintaa, tietoturvatoimia, raportointivelvoitteita ja yhteistyötä viranomaisten kanssa.

Mitä kyberturvallisuuslaki tarkoittaa organisaatioiden johdolle?

Johdolla on nyt entistäkin suurempi vastuu kyberturvallisuuden varmistamisessa. Ylin johto vastaa jatkossa lakisääteisesti organisaation kyberturvallisuutta koskevan riskienhallinnan toteuttamisen ja valvonnan järjestämisestä sekä hyväksyy ja valvoo riskienhallinnan toimintamallia. Johdolla tulee myös olla riittävä perehtyneisyys kyberturvallisuutta koskevaan riskienhallintaan.

Tämä tarkoittaa käytännössä mm. seuraavia asioita:

• Kyberturvallisuuden priorisointi: Kyberturvallisuuden on oltava osa organisaation strategista suunnittelua ja riskienhallintaa. Johdon on osoitettava selkeä sitoutuminen kyberturvallisuuteen ja varmistettava, että resursseja on varattu riittävästi asianmukaisten toimenpiteiden toteuttamiseen.
• Tietoisuuden lisääminen: Johdon on varmistettava, että kaikki organisaation työntekijät ymmärtävät kyberturvallisuuteen ja tietoturvaan liittyviä riskejä ja tietävät, miten toimia turvata organisaation käsittelemää luottamuksellista tietoa.
• Riskienhallinta: Organisaation on rakennettava systemaattinen riskienhallinnan toimintamalli, jossa tunnistetaan ja arvioidaan erilaisia kyberturvallisuusriskejä sekä tehdään riskiarvion pohjalta tarvittavia toimia riskien minimoimiseksi.
• Tietoturvatoimet: Organisaation on toteutettava asianmukaisia tietoturvan hallintakeinoja tietojärjestelmien ja tiedon suojaamiseksi. Näihin toimenpiteisiin sisältyy niin teknisiä kuin hallinnollisia toimia, kuten tietoverkkojen ja –järjestelmien suojaaminen, henkilöstöturvallisuus ja koulutus, pääsynhallinnan kehittäminen, salausratkaisut sekä varmuuskopiointi ja palautumissuunnitelma.
• Toimitusketjun turvallisuus: NIS2-toimijat ovat vastuussa myös toimitusketjunsa kyberturvallisuudesta. Tämä tarkoittaa käytännössä sitä, että organisaation on varmistettava niiden yhteistyökumppanien noudattavan samoja kyberturvallisuusvaatimuksia.
• Raportointivelvoitteet: Merkittävistä kyberuhkista ja tietoturvapoikkeamista on raportoitava viranomaisille. Ensi-ilmoitus tulee tehdä jo 24 tunnin sisällä poikkeaman havaitsemisesta. Merkittävästä poikkeamasta on ilmoitettava myös organisaation tarjoaman palvelun vastaanottajille, jos merkittävä poikkeama voi haitata palvelun tarjoamista.
• Yhteistyö: Organisaatioiden on tehtävä yhteistyötä viranomaisten ja muiden toimijoiden kanssa kyberturvallisuuden parantamiseksi.
• Valvovat viranomaiset: Kyberturvallisuuslakia valvovia viranomaisia on useita, ja organisaation kyberturvallisuutta valvova viranomainen riippuukin sen toimialasta. Käytännössä valvontaresursseja tullee olemaan huomattavasti enemmän kuin GDPR:n osalta.
• Hallinnolliset sakot: Kyberturvallisuuslain velvoitteiden, kuten riskienhallinnan toimintamallin tai poikkeamailmoitusten toteuttamatta jättämisestä voi organisaatiolle seurata hallinnollinen sakko.

Uuden kyberturvallisuuslain noudattaminen ei ole pelkkä velvollisuus, vaan investointi tulevaisuuteen. Vahva kyberturvallisuuteen panostaminen on edellytys luottamuksen rakentamiselle asiakkaiden ja kumppaneiden kanssa, liiketoiminnan jatkuvuudelle ja kilpailukyvylle. Systemaattinen varautuminen riskeihin tuo kustannukset ennustettaviksi, kun taas riskien toteutuminen voi aiheuttaa ennustamattomia kustannuksia, sekä myös vahingonkorvausvelvoitteita.

Miten organisaatiot voivat valmistautua kyberturvallisuuslain voimaantuloon?

Paras tapa valmistautua kyberturvallisuuslain velvoitteisiin on ottaa käyttöön ISO 27001 standardin mukainen tietoturvallisuuden hallintajärjestelmä. Se auttaa organisaatioita tunnistamaan, arvioimaan ja hallitsemaan kyberturvallisuusriskejä, toteuttamaan asianmukaiset tietoturvatoimenpiteet sekä parantamaan jatkuvasti kyberturvallisuustoimintaansa.

Organisaatioiden on myös tärkeää varmistaa, että niillä on selkeät kyberturvallisuuteen liittyvät roolit ja vastuut. Kyberriskien hallinta on koko liiketoiminnan vastuulla, ei pelkästään tietohallinnon. Kysy lisätietoja,

Ota yhteyttä, niin keskustellaan kuinka organisaationne voi valmistautua kyberturvallisuuslain voimaantuloon ISO 27001 standardin mukaisella tietoturvallisuuden hallintajärjestelmällä!

The post Kyberturvallisuuslaki: Johdolla on vastuu tietoturvallisesta toimintaympäristöstä appeared first on Tikkasec Oy.