EU:n digisääntely on viime vuosina kokenut mittavan murroksen. Uutta lainsäädäntöä on tullut nopealla tahdilla niin verkkopalvelujen, tekoälyn, datan käytön kuin kyberturvallisuudenkin osalta. Eikä tahti näytä hidastuvan – uusia velvoitteita on tulossa sovellettavaksi myös lähitulevaisuudessa. 

Koostimme alle tilannekatsauksen siitä, mitä digisääntelyn kentällä on hiljattain tapahtunut ja millaisia uusia velvoitteita on näköpiirissä.  

Suuret verkkoalustat piinapenkissä 

EU:n digipalvelusäädös (DSA) astui voimaan vaiheittain vuosina 2023–2024, ja se velvoittaa laajasti erilaisia digipalvelualustoja muun muassa puuttumaan laittomaan sisältöön ja parantamaan läpinäkyvyyttä suhteessa käyttäjiin. Komissio ja kansalliset valvojat ovat jo käynnistäneet ensimmäisiä valvontatoimia: esimerkiksi X:ää tutkitaan mahdollisista rikkomuksista käyttäjiä manipuloiviin käytäntöihin ja mainonnan läpinäkyvyyteen liittyen. 

Ns. portinvartijoina toimivat erittäin suuret verkkoalustat ovat joutuneet päivittämään käytäntöjään toukokuusta 2023 alkaen myös EU:n digimarkkinasäädöksen (DMA) myötä. Digimarkkinasäädöksellä on pyritty parantamaan kilpailua ja läpinäkyvyyttä suurten teknologia-alustojen ekosysteemeissä. Huhtikuussa 2025 Euroopan komissio langetti ensimmäiset sakot digimarkkinasäädöksen puitteissa. Apple sai 500 miljoonan euron seuraamuksen App Storessa asetetuista rajoituksista, joiden myötä sovelluskehittäjät eivät voineet riittävästi hyödyntää vaihtoehtoisia jakelualustoja. Metalle määrättiin 200 miljoonan euron sakko sen soveltamasta ”consent or pay” -mallista, joka edellytti Facebookin ja Instagramin käyttäjiltä maksua vastineeksi rajatummasta henkilötietojen käsittelystä.  

Kohti riskiperustaista tekoälysääntelyä 

Tekoälyhypen ollessa kuumimmillaan EU:n tekoälysäädöksen (AI Act) ensimmäiset velvoitteet alkoivat soveltua helmikuussa 2025. Kaikkien kielletyn riskiluokan tekoälyjärjestelmien kehittäminen, tarjoaminen ja käyttö on tullut lopettaa. Organisaatiot ovat lisäksi joutuneet pohtimaan, millaisilla koulutuksilla ja muilla toimenpiteillä ne täyttävät velvoitteensa varmistaa riittävä tekoälylukutaito. 

Avoimeksi jääneiden kysymysten selventämiseksi komissio julkaisi alkuvuodesta 2025 ei-sitovaa ohjeistusta mm. tekoälyjärjestelmän määritelmästä, kielletyistä tekoälykäytännöistä sekä tekoälylukutaitoa koskevasta velvoitteesta. Pian ollaan taas uuden äärellä, kun muut tekoälysäädöksen velvoitteet tulevat asteittain sovellettaviksi vuosien 2025–2027 aikana. Erityisesti korkean riskin tekoälyjärjestelmiä koskevat velvoitteet tulevat vaikuttamaan sekä tarjoajien että käyttöönottajien toimintaan. 

Reiluja pelisääntöjä datamarkkinoille 

Datan saadessa yhä keskeisempää merkitystä yhteiskunnassa EU on pyrkinyt mahdollistamaan datan vapaan liikkuvuuden sisämarkkinoilla eri toimijoiden välillä. Keskeinen sääntelyhanke tämän strategian tukemiseksi on datasäädös (Data Act), jonka velvoitteista suurinta osaa aletaan soveltaa 12.9.2025 alkaen. Sääntelyn kohteena ovat erityisesti verkkoon kytketyt laitteet (IoT), joiden käyttäjille on jatkossa annettava pääsy laitteen tuottamaan dataan. Datasäädös myös kieltää kohtuuttomien dataan liittyvien sopimusehtojen soveltamisen, jos ne on asetettu yksipuolisesti toiselle yritykselle.  

Datasäädös tulee vaikuttamaan myös pilvipalveluihin, ja ”vendor lock-in” -tilanteiden odotetaan jäävän sen myötä pitkälti historiaan. Pian esimerkiksi pilvipalvelun vaihtamista rajoittavat vaihtomaksut poistuvat asteittain, pilvipalveluntarjoajilla on velvollisuus avustaa palvelun vaihtamisessa, ja asiakkailla on oikeus irtisanoa pilvipalvelu kahden kuukauden irtisanomisajalla. Lähitulevaisuus näyttää, millaisiksi tarkemmat sopimuskäytännöt muodostuvat ja millaisia vaikutuksia datasäädöksen velvoitteilla on esimerkiksi pilvipalveluiden hinnoitteluun. 

Kyberturvauhkiin varautumista sääntelyllä 

Pitkään odotetun NIS2-direktiivin velvoitteet tulivat voimaan 8.4.2025, kun ne saatiin viimein toimeenpantua kansallisesti kyberturvallisuuslailla. Yhteiskunnan kriittisillä toimialoilla on kyberuhkien kasvaessa nyt myös lakisääteisesti velvoitteita hallita kyberturvallisuusriskejä sekä ilmoittaa merkittävistä tietoturvapoikkeamista viranomaisille. Uusi kyberturvallisuussääntely ei lopu kyberturvallisuuslakiin, sillä lähivuosina uusia vaatimuksia seuraa myös kyberkestävyyssäädöksestä (CRA). Se tulee vaikuttamaan digitaalisen elementin sisältäviin laitteisiin ja ohjelmistoihin, jotka ovat suoraan tai epäsuorasti liitettävissä toiseen laitteeseen tai verkkoon. Soveltamisalaan kuuluvilla toimijoilla on kuitenkin vielä aikaa varautua velvoitteisiin, sillä haavoittuvuuksista ilmoittamista koskevia velvoitteita aletaan soveltaa 11.9.2026 ja tuotteen tietoturvaominaisuuksia koskevia vaatimuksia aletaan soveltaa 11.12.2027. 

Tietoturvauhkiin on vastattu myös toimialakohtaisella sääntelyllä. Erityisesti 17.1.2025 alkaen sovellettavaksi tullut asetus finanssialan digitaalisesta häiriönsietokyvystä (DORA) on vaikuttanut laajasti niin finanssialan toimijoihin kuin myös finanssialalle palveluita tuottaviin IT-palveluntarjoajiin. Alkuvuodesta nähtiin sopimuspäivitysrupeama, kun DORAn vaatimuksia neuvoteltiin osaksi finanssialan toimijoiden ja IT-palveluntarjoajien välisiä sopimuksia. Komissio on myös ehtinyt luonnostella ja julkaista useita teknisiä sääntelystandardeja, joissa täsmennetään DORAn vaatimuksia. Tällä hetkellä valvontaviranomaiset keskittyvät kriittisyysarviointien tekemiseen, joiden tavoitteena on nimetä ne kriittiset IT-palveluntarjoajat, jotka tulevat suoraan viranomaisvalvonnan piiriin. Nimitysten odotetaan tulevan voimaan syksyllä 2025. 

Miltä tulevaisuus näyttää? 

EU:n digisääntelykehys on muutamassa vuodessa muuttunut laajaksi kokonaisuudeksi, jolla on todellista vaikutusta yritysten arkeen. Uudistusten laajuus ja nopea toimeenpano ovat herättäneet monissa organisaatioissa tarpeen tarkistaa prosesseja, sopimuksia ja teknisiä ratkaisuja – eikä hengähdystaukoa ole näköpiirissä. Komissio ja kansalliset viranomaiset ovat osoittaneet myös valmiutensa tarttua epäkohtiin, ja valvonnan voidaan odottaa ulottuvan vähitellen myös suurten toimijoiden ulkopuolelle. 

Organisaatioille tämä tarkoittaa ennen kaikkea tarvetta pysyä hereillä. Uusi sääntely ei ole vain hallinnollinen velvoite, vaan usein myös strateginen kysymys: miten rakentaa palveluita, jotka ovat paitsi käyttäjälähtöisiä ja kilpailukykyisiä, myös regulaatiovaatimusten mukaisia? Vaikka sääntelyn määrä voi tuntua kuormittavalta, se tarjoaa myös mahdollisuuden erottautua. Ne toimijat, jotka tarttuvat ajoissa sääntelyn tuomiin vaatimuksiin ja mahdollisuuksiin, voivat kääntää uudet velvoitteet myös kilpailueduksi.  

Sääntelyn kiristyessä selkeä suunta ja käytännönläheinen tulkinta ovat tärkeämpiä kuin koskaan – tuemme asiakkaitamme molemmissa. 

Katri Aarnio

Counsel

katri.aarnio@legalfolks.fi

050 306 2031

Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.