EU-sääntely SaaS-, AI- ja ohjelmistoyrityksille 2026: CRA, AI Act ja tuotevastuudirektiivi käytännössä
- 7 päivää sitten
- 4 min käytetty lukemiseen
Vuonna 2026 kolme EU-säädöstä muuttaa ohjelmisto-, SaaS- ja tekoäly-yritysten
compliance-vaatimuksia Suomessa: kyberkestävyysasetus (CRA), tekoälysäädös (AI Act) ja uusi tuotevastuudirektiivi (PLD). Tämä opas selittää, mitä ne käytännössä tarkoittavat, koskevatko ne sinun yritystäsi, ja mitä kannattaa tehdä — sekä antaa tärkeimmät päivämäärät.
Lyhyesti: nämä kolme lakia kannattaa käsitellä yhtenä kokonaisuutena, ei kolmena erillisenä projektina. Niiden yhteinen ydin on läpinäkyvyys ja dokumentaatio, ja sama työ palvelee kaikkia kolmea. Kun AI-tuotetta kehittävä yritys dokumentoi kehityksensä ja datansa tekoälysäädöksen mukaisesti, tämä sama dokumentaatio tukee sitä myös tuotevastuutilanteessa — ja CRA:n mukainen kyberturva pienentää riskiä siitä, että tietoturva-aukko laukaisisi tuotevastuun. Läpinäkyvyys ja dokumentaatio sisäänrakennettuna tuotekehitykseen auttaa siis koko compliance-kokonaisuudessa kerralla.
Mikä on CRA eli kyberkestävyysasetus, ja koskeeko se SaaS-yritystä?
Kyberkestävyysasetus (Cyber Resilience Act, CRA) velvoittaa: jos yritys saattaa markkinoille verkkoon kytketyn tuotteen, se on vastuussa tuotteen tietoturvasta koko elinkaaren ajan. Suomessa CRA:ta täydentävä laki eräiden tuotteiden kyberkestävyydestä (439/2026) tuli voimaan 1.6.2026, ja kansallisena valvojana toimii Traficomin Kyberturvallisuuskeskus.
Koskeeko CRA minun tuotettani?
CRA koskee tuotetta, jos siihen pätee yksikin seuraavista: tuotteessa on datayhteys verkkoon; tuotteessa on ladattava tai asennettava komponentti; tuotteen toiminta on riippuvainen valmistajan omasta backendistä (palvelimesta).
Puhdas selainpohjainen SaaS-palvelu jää pääosin CRA:n ulkopuolelle — se kuuluu NIS2-kyberturvadirektiivin piiriin. Sen sijaan esimerkiksi mobiilisovellus, joka tarvitsee toimiakseen yrityksen oman API-backendin, kuuluu CRA:n soveltamisalaan.
CRA-riskiluokat ja vaatimustenmukaisuus
Suurin osa tuotteista kuuluu niin sanottuun default-kategoriaan, jolle riittää valmistajan oma itsearviointi ilman ulkopuolista auditointia. Tiukempi, kolmannen osapuolen arviointi koskee tietoturvan ydintuotteita kuten salasananhallintaa, VPN-ratkaisuja, identiteetinhallintaa ja palomuureja.
CRA:n haavoittuvuusraportointi: 24 h / 72 h / 14 vrk
CRA:n kovin lähiajan velvoite on haavoittuvuusraportointi, joka alkaa 11.9.2026. Kun yritys havaitsee aktiivisesti hyödynnetyn haavoittuvuuden, sen on ilmoitettava EU:n kyberturvavirastolle (ENISA) ensivaroitus 24 tunnissa, tarkennettu ilmoitus 72 tunnissa ja loppuraportti 14 vuorokaudessa. Tämä edellyttää, että haavoittuvuudenhallinnan prosessi on rakennettu valmiiksi ennen syyskuuta 2026.
AI Act eli tekoälysäädös: milloin AI-järjestelmä on korkean riskin järjestelmä?
Tekoälysäädös (AI Act) luokittelee tekoälyjärjestelmät riskin mukaan. Toukokuussa 2026 saavutettu poliittinen sopu (Digital Omnibus) lykkäsi korkean riskin järjestelmien velvoitteita: itsenäiset Annex III -järjestelmät siirtyivät 2.12.2027:ään ja tuotteisiin upotetut järjestelmät 2.8.2028:aan. Sopu oli kesällä 2026 vielä lopullisesti vahvistamatta.
Miksi riskiarvio kannattaa tehdä jo nyt
Lykkäyksestä huolimatta tekoälyjärjestelmän riskitason itsearvio kannattaa tehdä heti, kolmesta syystä. Ensinnäkin läpinäkyvyysvelvoitteet eivät lykkääntyneet: chatbot- ja AI-sisältömerkinnät tulevat voimaan 2.8.2026. Toiseksi asiakkaat kysyvät — due diligence -kysymyksiin on osattava vastata, mihin riskiluokkaan tuote kuuluu. Kolmanneksi luokittelu on työläin vaihe, ja sen tekeminen etukäteen antaa etumatkaa.
Korkean riskin tekoälyn tyypilliset käyttötapaukset
Korkea riski määräytyy käyttötarkoituksen, ei teknologian perusteella. Yleisimmät korkean riskin liipaisimet SaaS-yrityksille ovat rekrytointi ja HR (CV-seulonta, ehdokkaiden pisteytys, suoritusarviointi), luotonanto ja vakuutushinnoittelu sekä koulutuksen pääsy- ja arviointijärjestelmät.
Sama yleiskäyttöinen kielimalli ei ole korkean riskin järjestelmä, mutta rekrytointityökaluun integroituna se on. Jos järjestelmä profiloi ihmisiä, se on aina korkean riskin järjestelmä.
Kuinka tarkasti koulutusdata pitää kuvata?
Yleinen väärinkäsitys on, että tekoälysäädös vaatisi koulutusdatan erittäin yksityiskohtaista paljastamista. Näin ei ole. Yleiskäyttöisten tekoälymallien (GPAI) tarjoajan on julkaistava "riittävän yksityiskohtainen tiivistelmä" koulutussisällöstä AI Officen mallipohjan mukaisesti, mutta komission selittävän huomautuksen mukaan tiivistelmän tulee olla "yleisesti kattava" mutta ei "teknisesti yksityiskohtainen" — yksittäisiä teoksia tai datajoukkoja ei tarvitse luetella. Korkean riskin järjestelmissä kyse on datan hallinnasta ja laadusta sekä viranomaisille tarkoitetusta teknisestä dokumentaatiosta, ei datan julkisesta paljastamisesta. Käytännön neuvo: dokumentoi sisäisesti huolella, mutta älä paljasta liiketoimintasalaisuuksia enempää kuin laki edellyttää.
Tuotevastuudirektiivi (PLD): ohjelmisto on nyt "tuote"
Uusi tuotevastuudirektiivi (Product Liability Directive, PLD) määrittelee ohjelmiston, SaaS:n ja tekoälyn nimenomaisesti tuotteeksi. Tämä tarkoittaa ankaraa vastuuta: vahingonkärsijän ei tarvitse osoittaa, että valmistaja oli huolimaton — riittää, että tuote oli viallinen, vahinko tapahtui ja niiden välillä on syy-yhteys. Vastuuta ei voi rajata pois käyttöehdoilla. Lisäksi todistustaakka kevenee kantajan hyväksi tilanteissa, joissa tekninen monimutkaisuus (kuten tekoälyn "musta laatikko") tekee viallisuuden osoittamisesta kohtuuttoman vaikeaa.
Suomen tilanne: kehittämisriskin vastuuvapaus
Oikeusministeriön työryhmä on ehdottanut (mietintö 2.2.2026), ettei Suomi ottaisi käyttöön niin sanottua kehittämisriskin vastuuvapautta — puolustusta, jolla valmistaja voisi vapautua vastuusta vetoamalla siihen, ettei vikaa voitu havaita tuotteen markkinoille tullessa. Hallituksen esitystä ei ole vielä annettu eduskunnalle (odotettavissa syksyllä 2026) eikä lakia ole hyväksytty, joten kyse on toistaiseksi ehdotuksesta.
Ehdotus jatkaisi Suomen pitkää linjaa: Suomi ei omaksunut tätä vastuuvapautta jo vuoden 1990 tuotevastuulaissa, ja on Luxemburgin ohella ainoa EU-jäsenvaltio joka on jättänyt sen soveltamatta kaikkiin tuotteisiin. Käytännössä suomalainen ohjelmisto- ja AI-yritys on jatkossakin tiukemmassa vastuussa kuin moni eurooppalainen kilpailijansa. Direktiivin kansallisen toimeenpanon takaraja on 9.12.2026.
Miten lait kytkeytyvät yhteen — ja mitä se tarkoittaa yritykselle
Nämä kolme säädöstä eivät ole erillisiä. Tuotevastuudirektiivin mukaan CRA:n tai AI Actin rikkomus voi synnyttää olettaman tuotteen viallisuudesta vahingonkorvausoikeudenkäynnissä. Toisin sanoen yhden lain laiminlyönti voi tulla kalliiksi toisen kautta. Vastaavasti hyvä dokumentaatio ja kyberturva tukevat puolustusta kaikissa kolmessa.
Tästä seuraa paras strategia: rakenna läpinäkyvyys ja dokumentaatio sisään tuotekehitykseen ja toimitusketjuun alusta alkaen. Sama työ palvelee kaikkia kolmea lakia kerralla.
Käytännön toimet: mitä yrityksen kannattaa tehdä nyt
Tee tuoteinventaario ja vastaa kolmeen CRA-kysymykseen
Tuota SBOM (Software Bill of Materials) eli koneluettava luettelo kaikista ohjelmistokomponenteista
Rakenna haavoittuvuudenhallinnan prosessi
Luokittele AI-järjestelmäsi riskitason mukaan jo nyt
Lisää chatbot- ja AI-sisältömerkinnät ennen elokuuta 2026.
Pidä dokumentaatio ja vakuutukset kunnossa.
Tärkeät päivämäärät 2026–2027
Keskeiset päivämäärät etenevät näin. Suomen kyberkestävyyslaki (439/2026) tuli voimaan 1.6.2026. AI Actin läpinäkyvyysvelvoitteet astuvat voimaan 2.8.2026. CRA:n haavoittuvuusraportointi alkaa 11.9.2026. AI-sisällön vesileimaus sekä uudet kielletyt käytännöt tulevat voimaan 2.12.2026. Tuotevastuudirektiivin kansallisen toimeenpanon takaraja on 9.12.2026. AI Actin korkean riskin velvoitteet (lykätty) tulevat voimaan 2.12.2027, ja CRA:n täydet vaatimukset CE-merkintöineen 11.12.2027.
Usein kysytyt kysymykset (FAQ)
Koskeeko CRA pelkkää SaaS-palvelua? Puhdas, vain selaimessa käytettävä SaaS-palvelu jää pääosin CRA:n ulkopuolelle ja kuuluu NIS2-direktiivin piiriin. Jos palveluun liittyy ladattava tai asennettava komponentti tai sovellus, joka on riippuvainen valmistajan backendistä, CRA voi soveltua.
Milloin CRA:n velvoitteet alkavat? Suomen täydentävä laki (439/2026) on ollut voimassa 1.6.2026 alkaen. Haavoittuvuusraportointi alkaa 11.9.2026 ja täydet vaatimukset CE-merkintöineen 11.12.2027.
Onko HR- tai rekrytointi-SaaS korkean riskin AI-järjestelmä? Tyypillisesti kyllä. Rekrytointiin ja työntekijöiden hallintaan käytettävät tekoälyjärjestelmät (CV-seulonta, ehdokkaiden pisteytys, suoritusarviointi) kuuluvat AI Actin korkean riskin kategoriaan. Ratkaisevaa on käyttötarkoitus, ei teknologia.
Lykkääntyivätkö AI Actin velvoitteet? Korkean riskin järjestelmien velvoitteet lykkääntyivät (itsenäiset Annex III -järjestelmät 2.12.2027:ään), mutta läpinäkyvyysvelvoitteet ja tekoälylukutaitovaatimus eivät — ne ovat voimassa aikataulussa.
Voiko suomalainen ohjelmistoyritys vedota "emme voineet tietää" -puolustukseen tuotevastuussa? Oikeusministeriön työryhmä on ehdottanut, ettei Suomi ottaisi käyttöön kehittämisriskin vastuuvapautta. Jos ehdotus toteutuu, tällaiseen puolustukseen ei voi vedota. Asia ratkeaa, kun hallituksen esitys annetaan ja laki hyväksytään (odotettavissa loppuvuonna 2026).
Kuinka tarkasti tekoälymallin koulutusdata pitää julkaista? Yleiskäyttöisten mallien tarjoajan on julkaistava "riittävän yksityiskohtainen tiivistelmä" koulutussisällöstä, mutta sen tulee olla yleisesti kattava, ei teknisesti yksityiskohtainen. Yksittäisiä teoksia tai datajoukkoja ei tarvitse luetella.
Tämä artikkeli on yleiskuvaus kevään ja kesän 2026 tilanteesta eikä juridista neuvontaa. Osa säädöksistä oli vielä viimeisteltävänä. Tarkista tuotekohtaiset yksityiskohdat virallisista lähteistä (EUR-Lex, Traficom, oikeusministeriö) ennen merkittäviä päätöksiä.
