Kvanttilaskenta ja oikeus: Suomen ja EU:n oikeudellisten kehysten tarkastelua
Mitä kvanttilaskenta on?
Perinteiset tietokoneet – älypuhelimista supertietokoneisiin – käsittelevät tietoa bittien avulla. Jokainen bitti voi saada arvon 0 tai 1. Kvanttitietokoneet puolestaan käyttävät kvanttibittejä eli kubitteja (qubits), jotka hyödyntävät kvanttimekaniikan ilmiöitä mahdollistaen sen, että ne voivat edustaa samanaikaisesti sekä arvoa 0 että arvoa 1. Tätä ominaisuutta kutsutaan superpositioksi.
Kun superpositioon yhdistyvät lomittuminen (entanglement) – kubittien kyky olla yhteydessä toisiinsa tavalla, jolle ei ole klassista vastinetta – sekä interferenssi (interference), jonka avulla oikeita vastauksia voidaan vahvistaa ja virheellisiä vaimentaa, kvanttitietokoneet voivat ratkaista tiettyjä ongelmaluokkia eksponentiaalisesti nopeammin kuin mikään perinteinen tietokone.
Kvanttitietokoneet hyödyntävät siis superpositiota, lomittumista ja interferenssiä tarjotakseen merkittäviä teoreettisia nopeusetuja tietyissä laskentatehtävissä. Niiden tärkeimpiä mahdollisia käyttökohteita ovat kryptografian murtaminen ja analysointi, kvanttijärjestelmien simulointi sekä tietyt optimointiongelmat. Samalla on kuitenkin tärkeää huomata, että nykyiset kvanttitietokoneet ovat edelleen teknisesti rajallisia, eikä olisi realistista väittää niiden lähitulevaisuudessa syrjäyttävän perinteisiä tietokoneita kaikissa käytännössä merkittävissä käyttötarkoituksissa.
Nykyiset kvanttitietokoneet ovat vielä kehityksensä varhaisessa vaiheessa, jota kutsutaan usein NISQ-aikakaudeksi (Noisy Intermediate-Scale Quantum). Tällä tarkoitetaan järjestelmiä, jotka ovat jo tehokkaita, mutta eivät vielä täysin virheenkorjattuja tai kaupallisesti kypsiä. Kehityksen vauhti kuitenkin kiihtyy nopeasti, ja hallitukset, teknologiayritykset sekä sääntelyviranomaiset ympäri maailmaa valmistautuvat jo kvanttiajan oikeudellisiin, turvallisuuteen liittyviin ja taloudellisiin vaikutuksiin.
Johdanto
Kvanttilaskenta siirtyy nopeasti teoreettisen fysiikan laboratorioista kaupalliseen ja julkishallinnolliseen käyttöön. Kvanttiprosessorien suorituskyvyn kasvaessa niiden mukana nousee esiin joukko oikeudellisia kysymyksiä, joihin juristien, viranomaisten ja yritysten on alettava vastata jo nyt – ennen kuin teknologinen kehitys etenee lainsäädäntöä nopeammin.
Tässä artikkelissa tarkastellaan kvanttilaskennan keskeisiä oikeudellisia ulottuvuuksia Suomen oikeuden ja Euroopan unionin lainsäädännön näkökulmasta. Lisäksi artikkelissa arvioidaan nykyistä sääntely-ympäristöä sellaisena kuin se on 16. maaliskuuta 2026.
1. Tietosuoja ja GDPR
Yksi kiireellisimmistä kvanttilaskentaan liittyvistä oikeudellisista huolenaiheista on sen muodostama uhka nykyaikaiselle kryptografialle. Monet nykyisen tietosuojainfrastruktuurin perustana olevat salausstandardit – mukaan lukien RSA-salaus ja elliptisiin käyriin perustuva kryptografia (ECC) – katsotaan haavoittuviksi riittävän tehokkaille kvanttitietokoneille. Tätä uhkaa kuvataan usein ilmaisulla “harvest now, decrypt later” eli ”kerää nyt, pura salaus myöhemmin”.
Yleisen tietosuoja-asetuksen (GDPR)[1] mukaan rekisterinpitäjien ja henkilötietojen käsittelijöiden on toteutettava henkilötietojen suojaamiseksi ”asianmukaiset tekniset ja organisatoriset toimenpiteet” (32 artikla). Mikäli kvanttilaskenta tekee nykyiset salausmenetelmät vanhentuneiksi, organisaatioille voi syntyä velvollisuus siirtyä kvanttiturvallisiin eli post-kvanttisiin kryptografisiin standardeihin. GDPR:ää kansallisesti täydentävä Suomen tietosuojalaki (1050/2018)[2] vahvistaa näitä velvoitteita ja antaa tietosuojavaltuutetun toimistolle valvonta-, tutkinta- ja korjausvaltuuksia.
Suomessa GDPR:n mukaiset hallinnolliset seuraamusmaksut määrää tietosuojavaltuutetun toimiston seuraamuskollegio, johon kuuluvat tietosuojavaltuutettu ja apulaistietosuojavaltuutetut. Tietosuojavaltuutetun toimisto käyttää muutoin GDPR:n ja tietosuojalain mukaisia valvonta- ja korjausvaltuuksia.
EUCS ja pilvipalveluiden tietoturva
Organisaatioiden, jotka käsittelevät arkaluonteisia henkilötietoja pilviympäristöissä, tulisi seurata myös eurooppalaisen pilvipalveluiden sertifiointijärjestelmän (European Cybersecurity Certification Scheme for Cloud Services, EUCS) kehitystä.
Valmistuessaan EUCS määrittelee pilvipalveluille erilaisia tietoturvaluokituksia. Kvanttiturvallisen salauksen vaatimukset ovat keskeinen kysymys erityisesti korkeimpien turvallisuustasojen osalta. Kuten jäljempänä luvussa 2 tarkastellaan, EUCS-hanke on edelleen viivästynyt, ja korkein sertifiointitaso (High+) on poistettu järjestelmän viimeisimmästä luonnoksesta. Lopputuloksella tulee olemaan suora vaikutus siihen, mitä voidaan pitää GDPR:n 32 artiklan tarkoittamina ”asianmukaisina teknisinä toimenpiteinä” niissä organisaatioissa, jotka tukeutuvat pilvipalveluinfrastruktuuriin.
Mahdolliset muutokset: Digital Omnibus
Euroopan komissio julkaisi 19. marraskuuta 2025 niin kutsutun Digital Omnibus -paketin,[3] jonka tavoitteena on yksinkertaistaa osia EU:n digitaalisesta sääntelykokonaisuudesta.
Mikäli ehdotus hyväksytään nykyisessä muodossaan, se nostaisi valvontaviranomaisille tehtävien tietoturvaloukkausilmoitusten kynnystä siten, että ilmoitusvelvollisuus syntyisi vain korkean riskin tilanteissa. Tämä vastaisi jo nykyisin rekisteröidyille tehtäviä ilmoituksia koskevaa kynnystä. Lisäksi ilmoitusaikaa pidennettäisiin 72 tunnista 96 tuntiin, ja käyttöön otettaisiin yksi EU:n laajuinen raportointiportaali, jota hallinnoisi European Union Agency for Cybersecurity (ENISA). Portaalin kautta raportoitaisiin GDPR:n, NIS2-direktiivin, DORA-asetuksen, eIDAS-asetuksen ja CER-direktiivin mukaisia tietoturvapoikkeamia.
Ehdotus sisältää myös henkilötiedon määritelmän täsmentämisen siten, että tunnistettavuuden arviointi perustuisi nykyistä selvemmin suhteelliseen lähestymistapaan (relative concept of identifiability). Kyseessä ovat kuitenkin edelleen luonnosvaiheessa olevat lainsäädäntöehdotukset, jotka ovat Euroopan parlamentin ja neuvoston täysimittaisen käsittelyn kohteena. Lopullinen säädösteksti voi poiketa merkittävästikin komission alkuperäisestä ehdotuksesta.
2. Kyberturvallisuussääntely: NIS2, CRA ja DORA
NIS2-direktiivi
NIS2-direktiivi (direktiivi (EU) 2022/2555) velvoitti jäsenvaltiot saattamaan sen säännökset osaksi kansallista lainsäädäntöä 17. lokakuuta 2024 mennessä. Käytännössä täytäntöönpano ei ole edennyt yhdenmukaisesti koko unionissa, ja Euroopan komissio käynnisti marraskuussa 2024 rikkomusmenettelyt 23 jäsenvaltiota vastaan direktiivin puutteellisen täytäntöönpanon vuoksi.
Suomessa NIS2-direktiivi pantiin täytäntöön kyberturvallisuuslailla (124/2025), joka tuli voimaan 8. huhtikuuta 2025. Julkishallinnon osalta vastaavat vaatimukset toteutettiin muuttamalla julkisen hallinnon tiedonhallinnasta annettua lakia. Suomessa sovelletaan toimialakohtaista valvontamallia, jossa Liikenne- ja viestintävirasto Traficom koordinoi viranomaisten välistä yhteistyötä sen sijaan, että se toimisi keskitettynä päävalvojana. Toimialakohtaiset viranomaiset, kuten finanssisektorilla toimiva Finanssivalvonta, käyttävät kuitenkin omia valvontavaltuuksiaan.
Sääntelyn piiriin kuuluvien toimijoiden on toteutettava asianmukaiset riskienhallintatoimenpiteet, mukaan lukien toimitusketjujen turvallisuutta ja salausratkaisuja koskevat toimenpiteet.
Kyberresilienssiasetus (Cyber Resilience Act, CRA)
Kyberresilienssiasetus (asetus (EU) 2024/2847)[4] tuli voimaan 10. joulukuuta 2024. Se ulottaa turvallisuus suunnitteluperiaatteena (security by design) -vaatimukset tuotteisiin, jotka sisältävät digitaalisia elementtejä.
Asetuksen 14 artiklan mukaiset pakolliset ilmoitusvelvollisuudet tulevat sovellettaviksi 11. syyskuuta 2026 alkaen, kun taas asetus tulee kokonaisuudessaan sovellettavaksi 11. joulukuuta 2027.
Standardointityö on jo pitkällä. Eurooppalaiset standardointiorganisaatiot CEN, CENELEC ja ETSI hyväksyivät 3. huhtikuuta 2025 komission standardointipyynnön (M/606), jonka perusteella laaditaan 41 harmonisoitua standardia. Horisontaalisten standardien on määrä valmistua 30. elokuuta 2026 mennessä ja tuotekohtaisten standardien 30. lokakuuta 2026 mennessä.
Aktiivisesti hyväksikäytettyjen haavoittuvuuksien pakollinen ilmoittaminen alkaa 11. syyskuuta 2026, ja tuotteiden täysimääräiset vaatimustenmukaisuusvelvoitteet astuvat voimaan 11. joulukuuta 2027. Kvanttiturvallisiin salausratkaisuihin liittyvät tuotevaatimukset muodostavat parhaillaan yhden tämän standardointiprosessin keskeisistä kehitysalueista.
EUCS: Pilvipalveluiden sertifiointi umpikujassa
Euroopan unionin kyberturvallisuusvirasto ENISAn kehittämä eurooppalainen pilvipalveluiden kyberturvallisuussertifiointijärjestelmä (European Cybersecurity Certification Scheme for Cloud Services, EUCS) on ollut valmistelussa vuodesta 2019 lähtien, mutta hanke on edelleen jumissa.[5]
Järjestelmän viimeisin luonnosversio (V1.0.413, maaliskuu 2024) on jäädytetty, eikä suunniteltua hyväksymisäänestystä ole järjestetty. Keskeinen kiistakysymys koskee niin sanottuja digitaalisen suvereniteetin vaatimuksia. Korkein sertifiointitaso, High+, joka olisi sisältänyt muun muassa datan sijaintia ja EU:n ulkopuolisen lainsäädännön vaikutusten rajoittamista koskevia vaatimuksia ja joka olisi ollut erityisen merkityksellinen kvanttiturvallisuuden näkökulmasta, on poistettu nykyisestä luonnoksesta.
Edistystä asiassa ei todennäköisesti tapahdu ennen EU:n kyberturvallisuusasetuksen (Cybersecurity Act, CSA) uudistamista. Komissio antoi asiaa koskevan ehdotuksen 20. tammikuuta 2026.[6]
DORA: Digitaalinen operatiivinen häiriönsietokyky finanssisektorilla
Digitaalista operatiivista häiriönsietokykyä koskeva asetus (DORA, asetus (EU) 2022/2554)[7] on ollut sovellettavana 17. tammikuuta 2025 lähtien. Se asettaa EU:n finanssialan toimijoille pakollisia vaatimuksia tieto- ja viestintäteknologisten riskien hallinnasta, poikkeamien raportoinnista sekä kolmansien osapuolten riskienhallinnasta.
DORA on erityisen merkityksellinen kvanttiriskien näkökulmasta. Finanssialan toimijat ovat alttiita niin sanotulle harvest now, decrypt later -uhalle, koska niiden hallussa olevat tiedot säilyttävät arvonsa ja arkaluonteisuutensa usein hyvin pitkään.
Euroopan kolme valvontaviranomaista – European Banking Authority (EBA), European Insurance and Occupational Pensions Authority (EIOPA) ja European Securities and Markets Authority (ESMA) – nimesivät ensimmäisen luettelon kriittisistä ICT-palveluntarjoajista (Critical ICT Third-Party Providers, CTPP) 18. marraskuuta 2025. Näiden toimijoiden valvonta-arviointeja suoritetaan koko vuoden 2026 ajan.
Kvanttiturvallisen kryptografian vaatimukset ovat nousemassa keskeiseksi kysymykseksi myös DORAn teknisissä standardeissa. DORAn soveltamisalaan kuuluvien organisaatioiden tulisi käsitellä siirtymistä post-kvanttiseen kryptografiaan osana asetuksen 6 artiklan mukaista ICT-riskienhallintaa.
3. Immateriaalioikeudet
Kvanttilaskenta herättää monimutkaisia kysymyksiä immateriaalioikeuksien alalla.
Patentit ja kvanttialgoritmit
Kvanttialgoritmien patentoitavuus on tällä hetkellä aktiivisen oikeudellisen keskustelun kohteena. Eurooppapatenttisopimus (EPC) sulkee matemaattiset menetelmät ja pelkästään henkiseen toimintaan liittyvät menetelmät patenttisuojan ulkopuolelle siltä osin kuin niitä vaaditaan suojattaviksi sellaisinaan (EPC:n 52 artiklan 2 ja 3 kohta).[8]
Tekniseen toteutukseen sisällytetty kvanttialgoritmi voi kuitenkin olla patentoitavissa, riippuen siitä, miten patenttivaatimus on laadittu ja tuottaako ratkaisu teknisen vaikutuksen.
Eurooppapatenttihakemukset jätetään suoraan Euroopan patenttivirastolle EPC-järjestelmän mukaisesti. Suomessa kansallisia patentteja säätelee patenttilaki (550/1967 muutoksineen), joka sisältää vastaavat patentointia koskevat rajoitukset.
Teknisiin toteutuksiin sisällytetyt kvanttialgoritmit – erityisesti sellaiset, jotka tuottavat teknisen vaikutuksen – voivat siten saada patenttisuojaa joko eurooppalaisessa tai kansallisessa järjestelmässä. EPC-järjestelmä ja Suomen kansallinen patenttijärjestelmä ovat kuitenkin rinnakkaisia ja erillisiä oikeudellisia järjestelmiä.
Suurten teknologiayhtiöiden ja valtioiden välinen kilpailu kvanttiylivoiman saavuttamiseksi on jo johtanut huomattavaan määrään patenttihakemuksia. Kvanttiteknologioita kehittävien suomalaisten ja eurooppalaisten organisaatioiden tulisi arvioida huolellisesti, miten niiden innovaatiot voidaan tehokkaimmin suojata näiden oikeudellisten reunaehtojen puitteissa.
Liikesalaisuudet
Liikesalaisuuksien merkitys kasvaa myös jatkuvasti.
Liikesalaisuuksien suojaa koskeva EU:n direktiivi (2016/943/EU) on pantu Suomessa täytäntöön liikesalaisuuslailla (595/2018).[9] Lainsäädäntö suojaa julkistamatonta osaamista ja tietotaitoa, mukaan lukien omistusoikeudellisesti suojatut kvanttilaskentaan liittyvät menetelmät ja ratkaisut, edellyttäen että niiden luottamuksellisuuden säilyttämiseksi on toteutettu asianmukaiset suojatoimenpiteet.
Huomionarvoista on myös se, että Digital Omnibus -ehdotus vahvistaa liikesalaisuuksien suojaa data-asetuksen mukaisten esineiden internetiin (IoT) liittyvien tiedonjakovelvoitteiden yhteydessä. Ehdotuksen mukaan datan haltija voisi kieltäytyä pakollisesta tietojen jakamisesta tilanteissa, joissa on merkittävä riski liikesalaisuuksien oikeudettomasta paljastumisesta. Tällä suojalla voi olla huomattavaa käytännön merkitystä kvanttiteknologiaa kehittäville yrityksille.
4. Vientivalvonta ja kaksikäyttötuotteita koskeva sääntely
Kvanttilaskentateknologialla on merkittävä kaksikäyttöpotentiaali (dual-use), sillä sen siviili- ja sotilaskäyttö limittyvät monilta osin.
EU:n kaksikäyttötuoteasetus (asetus (EU) 2021/821)[10] on suoraan sovellettavaa oikeutta kaikissa jäsenvaltioissa, myös Suomessa, ja muodostaa ensisijaisen oikeudellisen kehyksen sellaisten tuotteiden, ohjelmistojen ja teknologioiden viennin valvonnalle, joita voidaan käyttää sekä siviili- että sotilaallisiin tarkoituksiin.
Kvanttitietokoneet, niiden komponentit sekä niihin liittyvät ohjelmistot sisällytetään yhä useammin vientivalvonnan kohteena oleviin luetteloihin. Suomessa kaksikäyttötuotteiden vientivalvontaa täydentää kaksikäyttötuotteiden vientivalvonnasta annettu laki (500/2024), joka tuli voimaan 15. syyskuuta 2024. Laki luo kansallisen menettely- ja täytäntöönpanokehyksen EU:n asetuksen soveltamiselle Suomessa.
Kvanttilaskennan kehittyessä vientivalvontaluokitusten voidaan odottaa tiukentuvan entisestään. Yritysten tulisi siksi seurata aktiivisesti kaksikäyttötuoteasetuksen liitteen I muutoksia ja arvioida niiden vaikutuksia omaan toimintaansa.
Quantum Europe Strategy ja tuleva Quantum Act
Heinäkuussa 2025 julkaistu Quantum Europe Strategy tunnistaa nimenomaisesti kvanttiteknologioiden kaksikäyttöluonteen sekä niiden merkityksen ulkomaisten investointien valvontaa koskevissa keskusteluissa.
Valmisteilla olevan EU:n Quantum Act -säädöksen odotetaan sisältävän hallinnointia koskevia säännöksiä, jotka liittyvät muun muassa toimitusketjujen turvallisuuteen ja vientiriskeihin. Nämä ovat alueita, joilla EU:n ja kansalliset vientivalvontajärjestelmät kohtaavat ja täydentävät toisiaan.
5. Kilpailuoikeudelliset näkökohdat
Kvanttilaskennan kehitystä hallitsee tällä hetkellä suhteellisen pieni joukko erittäin hyvin resursoituja toimijoita, mikä herättää huolta markkinoiden keskittymisestä.
Euroopan unionin kilpailuoikeudellinen kehys, joka perustuu Euroopan unionin toiminnasta tehdyn sopimuksen (SEUT) 101 ja 102 artiklaan, soveltuu täysimääräisesti myös kvanttiteknologia-alaan.[11]
Euroopan komissio on jo aiemmin osoittanut erityistä kiinnostusta digitaalisten markkinoiden keskittymiseen. Kvanttilaskenta voi poikkeuksellisen suuren laskentatehonsa vuoksi muodostaa merkittävän kilpailuedun, minkä vuoksi ala saattaa tulevaisuudessa joutua tarkastelun kohteeksi niin yrityskauppavalvonnan kuin määräävän markkina-aseman väärinkäyttöä koskevien sääntöjen näkökulmasta.
Yrityskauppavalvonta
Kun yrityskauppa täyttää EU:n yrityskauppa-asetuksessa (139/2004) säädetyt liikevaihtorajat, Euroopan komissiolla on asiassa yksinomainen toimivalta. Tällöin kansalliset kilpailuviranomaiset, kuten Suomessa toimiva Kilpailu- ja kuluttajavirasto (KKV), eivät voi soveltaa kansallista kilpailulainsäädäntöä samaan yrityskauppaan.
KKV:n toimivalta rajoittuu siten yrityskauppoihin ja markkinakäyttäytymiseen, jotka jäävät EU-tason kynnysarvojen alapuolelle.
Suomen kansallinen kilpailuoikeus
Näissä tilanteissa Suomen kilpailulainsäädäntö heijastaa pitkälti EU:n kilpailuoikeudellisia periaatteita. Kansalliset säännöt täydentävät EU-oikeutta ja soveltuvat täysimääräisesti Suomen markkinoilla tapahtuvaan kilpailunrajoittavaan toimintaan.
Kvanttilaskentasektorilla kilpailuoikeudelliset kysymykset voivat tulevaisuudessa liittyä esimerkiksi teknologisten standardien hallintaan, patenttisalkkujen keskittymiseen, pääsyyn laskentainfrastruktuuriin sekä strategisiin yritysostoihin. Mikäli markkina keskittyy harvojen toimijoiden käsiin, viranomaiset voivat arvioida entistä tarkemmin, rajoittavatko tietyt liiketoimintajärjestelyt kilpailua tai estävätkö ne uusien toimijoiden markkinoille pääsyn.
6. Tekoäly, kvanttilaskenta ja EU:n AI Act
EU:n tekoälyasetus (AI Act, asetus (EU) 2024/1689)[12] luokittelee tekoälyjärjestelmät niiden riskitason perusteella ja asettaa kullekin riskiluokalle vastaavat velvoitteet.
Kvanttilaskentaa hyödyntävät tekoälyjärjestelmät – jotka voivat tulevaisuudessa toimia huomattavasti nykyisiä tekoälyratkaisuja nopeammin ja analysoida tietoa olennaisesti tehokkaammin – voivat kuulua asetuksen soveltamisalaan siinä missä perinteisetkin tekoälyjärjestelmät.
Korkean riskin kvanttitehostetut tekoälysovellukset esimerkiksi biometrisessä tunnistamisessa, kriittisen infrastruktuurin hallinnassa tai oikeudellisen päätöksenteon tukena kuuluisivat AI Actin tiukimman sääntelyn piiriin. Tällöin niitä koskisivat muun muassa läpinäkyvyyttä, ihmisen suorittamaa valvontaa, riskienhallintaa ja vaatimustenmukaisuuden arviointia koskevat velvoitteet.
AI Omnibus ja mahdolliset muutokset soveltamisaikatauluun
Euroopan komission 19. marraskuuta 2025 julkaisema AI Omnibus -ehdotus sisältää niin sanotun stop-the-clock-mekanismin, jonka tarkoituksena on kytkeä korkean riskin tekoälyjärjestelmiä koskevien velvoitteiden soveltaminen harmonisoitujen standardien ja viranomaisohjeiden valmistumiseen.
Ehdotuksen mukaan AI Actin liitteessä III lueteltuja korkean riskin järjestelmiä koskevat velvoitteet alkaisivat soveltua kuusi kuukautta sen jälkeen, kun komissio on vahvistanut tarvittavien tukitoimenpiteiden olevan käytettävissä. Viimeinen mahdollinen määräpäivä olisi kuitenkin 2. joulukuuta 2027.
Liitteessä I tarkoitettuja järjestelmiä koskevat velvoitteet puolestaan tulisivat voimaan kaksitoista kuukautta tämän vahvistuksen jälkeen, kuitenkin viimeistään 2. elokuuta 2028.
Mikäli ehdotus hyväksytään, sillä voi olla merkittävä vaikutus kvanttilaskentaa hyödyntävien tekoälyjärjestelmien kehittäjien ja käyttöönottajien vaatimustenmukaisuussuunnitteluun.
AI Omnibus on kuitenkin edelleen lainsäädäntöprosessissa, ja sen sisältö voi muuttua olennaisesti ennen lopullista hyväksymistä.
7. Sääntelyn tulevaisuudennäkymät: mitä on odotettavissa?
EU:n Quantum Act
Merkittävin lähitulevaisuuden kehityshanke on valmisteilla oleva EU:n Quantum Act.
Euroopan komissio julkaisi 2. heinäkuuta 2025 Quantum Europe Strategy -strategian (COM(2025) 363 final),[13] jossa asetettiin tavoitteeksi nostaa Eurooppa maailman johtavien kvanttiteknologiatoimijoiden joukkoon vuoteen 2030 mennessä.
Komission vuoden 2026 työohjelman mukaan Quantum Act -asetusehdotus on tarkoitus julkaista vuoden 2026 aikana.
Euroopan parlamentin Legislative Train -seurannan perusteella säädöksellä tavoitellaan kolmea toisiaan täydentävää päämäärää:
- tutkimus- ja innovaatioinvestointien koordinoinnin vahvistamista jäsenvaltioiden välillä;
- EU:n teollisen kapasiteetin kasvattamista kvanttilaitteistojen ja kvanttipiirien valmistuksessa; sekä
- kvanttiteknologioiden toimitusketjujen turvallisuuden ja hallintorakenteiden vahvistamista.
Säädöksen oikeusperustana toimivat SEUT:n 173, 180 ja 184 artiklat, minkä vuoksi Quantum Act näyttäisi olevan luonteeltaan ensisijaisesti tutkimusta, teollisuuspolitiikkaa ja kilpailukykyä edistävä säädös. Tässä suhteessa se muistuttaa enemmän EU:n siruasetusta (Chips Act) kuin AI Actia.
Komission puheenjohtaja Ursula von der Leyen viittasi syyskuussa 2025 pitämässään unionin tilaa koskevassa puheessa myös suunnitelmiin perustaa niin sanottu Quantum Sandbox, jonka tarkoituksena olisi helpottaa viranomaisten ja innovoijien välistä yhteistyötä.
Quantum Act tulee olemaan ensimmäinen EU:n lainsäädäntöhanke, joka on suunniteltu nimenomaisesti kvanttiteknologioita varten. Sen voidaan odottaa muodostavan merkittävän virstanpylvään tässä artikkelissa tarkastelluille oikeudellisille viitekehyksille.
Post-kvanttinen kryptografia: standardit lähestyvät toisiaan
Yhdysvaltain standardointi- ja teknologiainstituutti National Institute of Standards and Technology (NIST) viimeisteli ensimmäiset kolme post-kvanttisen kryptografian standardiaan elokuussa 2024 (FIPS 203, 204 ja 205).[14]
Kesäkuussa 2025 Euroopan komissio julkaisi koordinoidun toimeenpanosuunnitelman siirtymisestä post-kvanttiseen kryptografiaan. Tämä osoittaa, että sekä julkisella että yksityisellä sektorilla pyritään määrätietoisesti valmistautumaan kvanttiajan tietoturvahaasteisiin.
ENISA jatkaa kryptografisia riskejä koskevan ohjeistuksen julkaisemista, ja GDPR:n 32 artiklan, NIS2-sääntelyn tai DORA-asetuksen soveltamisalaan kuuluvien organisaatioiden tulisi pitää post-kvanttiseen kryptografiaan siirtymisen suunnittelua jo nykyisenä vaatimustenmukaisuuskysymyksenä eikä pelkästään tulevaisuuden haasteena.
Kyberturvallisuusasetuksen uudistaminen
Euroopan komissio antoi 20. tammikuuta 2026 ehdotuksen EU:n kyberturvallisuusasetuksen (Cybersecurity Act, asetus (EU) 2019/881)[15] uudistamiseksi.
Tavoitteena on vahvistaa ENISAn toimivaltuuksia ja nopeuttaa eurooppalaisten sertifiointijärjestelmien kehittämistä.
Uudistuksella on suora vaikutus myös EUCS-pilvipalvelusertifiointijärjestelmään, ja se voi tarjota menettelyllisen perustan aiemmin pysähtyneen High+-sertifiointitason uudelleentarkastelulle.
Digital Omnibus: sääntelyn yksinkertaistaminen
Digital Omnibus -paketti, joka julkaistiin 19. marraskuuta 2025, on komission ensimmäinen laaja-alainen hanke EU:n digitaalisen sääntelykokonaisuuden yksinkertaistamiseksi.
Paketti ei sisällä uusia kvanttilaskentaa koskevia aineellisia velvoitteita. Sen merkittävin vaikutus liittyy eri sääntelykehysten – kuten GDPR:n, NIS2:n, DORAn ja CER-direktiivin – mukaisten raportointivelvollisuuksien yhdistämiseen yhden ENISAn ylläpitämän raportointiportaalin kautta.
Tämä vähentäisi niiden organisaatioiden hallinnollista taakkaa, joiden on nykyisin noudatettava useita rinnakkaisia kyberturvallisuutta koskevia sääntelyjärjestelmiä.
Paketti on parhaillaan tavanomaisessa lainsäätämisjärjestyksessä käsiteltävänä, ja sen hyväksymisen arvioidaan tapahtuvan vuosien 2026–2027 aikana.
Suomen valmius kvanttiaikaan
Suomessa kvanttiteknologioihin liittyvää valmiutta tullaan todennäköisesti kehittämään osana valtion laajempaa digitalisaatio- ja teknologiastrategiaa, jota koordinoivat työ- ja elinkeinoministeriö sekä Traficom.
Suomalaisilla yliopistoilla ja teknologiayrityksillä – joista useat osallistuvat EU:n kvanttiteknologioiden lippulaivaohjelmaan (Quantum Flagship) – on keskeinen rooli siinä, kuinka EU:n sääntelytavoitteet muunnetaan käytännön osaamiseksi, innovaatioiksi ja kilpailukyvyksi.
6. Tekoäly, kvanttilaskenta ja EU:n AI Act
EU:n tekoälyasetus (AI Act, asetus (EU) 2024/1689)[12] luokittelee tekoälyjärjestelmät niiden riskitason perusteella ja asettaa kullekin riskiluokalle vastaavat velvoitteet.
Kvanttilaskentaa hyödyntävät tekoälyjärjestelmät – jotka voivat tulevaisuudessa toimia huomattavasti nykyisiä tekoälyratkaisuja nopeammin ja analysoida tietoa olennaisesti tehokkaammin – voivat kuulua asetuksen soveltamisalaan siinä missä perinteisetkin tekoälyjärjestelmät.
Korkean riskin kvanttitehostetut tekoälysovellukset esimerkiksi biometrisessä tunnistamisessa, kriittisen infrastruktuurin hallinnassa tai oikeudellisen päätöksenteon tukena kuuluisivat AI Actin tiukimman sääntelyn piiriin. Tällöin niitä koskisivat muun muassa läpinäkyvyyttä, ihmisen suorittamaa valvontaa, riskienhallintaa ja vaatimustenmukaisuuden arviointia koskevat velvoitteet.
AI Omnibus ja mahdolliset muutokset soveltamisaikatauluun
Euroopan komission 19. marraskuuta 2025 julkaisema AI Omnibus -ehdotus sisältää niin sanotun stop-the-clock-mekanismin, jonka tarkoituksena on kytkeä korkean riskin tekoälyjärjestelmiä koskevien velvoitteiden soveltaminen harmonisoitujen standardien ja viranomaisohjeiden valmistumiseen.
Ehdotuksen mukaan AI Actin liitteessä III lueteltuja korkean riskin järjestelmiä koskevat velvoitteet alkaisivat soveltua kuusi kuukautta sen jälkeen, kun komissio on vahvistanut tarvittavien tukitoimenpiteiden olevan käytettävissä. Viimeinen mahdollinen määräpäivä olisi kuitenkin 2. joulukuuta 2027.
Liitteessä I tarkoitettuja järjestelmiä koskevat velvoitteet puolestaan tulisivat voimaan kaksitoista kuukautta tämän vahvistuksen jälkeen, kuitenkin viimeistään 2. elokuuta 2028.
Mikäli ehdotus hyväksytään, sillä voi olla merkittävä vaikutus kvanttilaskentaa hyödyntävien tekoälyjärjestelmien kehittäjien ja käyttöönottajien vaatimustenmukaisuussuunnitteluun.
AI Omnibus on kuitenkin edelleen lainsäädäntöprosessissa, ja sen sisältö voi muuttua olennaisesti ennen lopullista hyväksymistä.
7. Sääntelyn tulevaisuudennäkymät: mitä on odotettavissa?
EU:n Quantum Act
Merkittävin lähitulevaisuuden kehityshanke on valmisteilla oleva EU:n Quantum Act.
Euroopan komissio julkaisi 2. heinäkuuta 2025 Quantum Europe Strategy -strategian (COM(2025) 363 final),[13] jossa asetettiin tavoitteeksi nostaa Eurooppa maailman johtavien kvanttiteknologiatoimijoiden joukkoon vuoteen 2030 mennessä.
Komission vuoden 2026 työohjelman mukaan Quantum Act -asetusehdotus on tarkoitus julkaista vuoden 2026 aikana.
Euroopan parlamentin Legislative Train -seurannan perusteella säädöksellä tavoitellaan kolmea toisiaan täydentävää päämäärää:
- tutkimus- ja innovaatioinvestointien koordinoinnin vahvistamista jäsenvaltioiden välillä;
- EU:n teollisen kapasiteetin kasvattamista kvanttilaitteistojen ja kvanttipiirien valmistuksessa; sekä
- kvanttiteknologioiden toimitusketjujen turvallisuuden ja hallintorakenteiden vahvistamista.
Säädöksen oikeusperustana toimivat SEUT:n 173, 180 ja 184 artiklat, minkä vuoksi Quantum Act näyttäisi olevan luonteeltaan ensisijaisesti tutkimusta, teollisuuspolitiikkaa ja kilpailukykyä edistävä säädös. Tässä suhteessa se muistuttaa enemmän EU:n siruasetusta (Chips Act) kuin AI Actia.
Komission puheenjohtaja Ursula von der Leyen viittasi syyskuussa 2025 pitämässään unionin tilaa koskevassa puheessa myös suunnitelmiin perustaa niin sanottu Quantum Sandbox, jonka tarkoituksena olisi helpottaa viranomaisten ja innovoijien välistä yhteistyötä.
Quantum Act tulee olemaan ensimmäinen EU:n lainsäädäntöhanke, joka on suunniteltu nimenomaisesti kvanttiteknologioita varten. Sen voidaan odottaa muodostavan merkittävän virstanpylvään tässä artikkelissa tarkastelluille oikeudellisille viitekehyksille.
Post-kvanttinen kryptografia: standardit lähestyvät toisiaan
Yhdysvaltain standardointi- ja teknologiainstituutti National Institute of Standards and Technology (NIST) viimeisteli ensimmäiset kolme post-kvanttisen kryptografian standardiaan elokuussa 2024 (FIPS 203, 204 ja 205).[14]
Kesäkuussa 2025 Euroopan komissio julkaisi koordinoidun toimeenpanosuunnitelman siirtymisestä post-kvanttiseen kryptografiaan. Tämä osoittaa, että sekä julkisella että yksityisellä sektorilla pyritään määrätietoisesti valmistautumaan kvanttiajan tietoturvahaasteisiin.
ENISA jatkaa kryptografisia riskejä koskevan ohjeistuksen julkaisemista, ja GDPR:n 32 artiklan, NIS2-sääntelyn tai DORA-asetuksen soveltamisalaan kuuluvien organisaatioiden tulisi pitää post-kvanttiseen kryptografiaan siirtymisen suunnittelua jo nykyisenä vaatimustenmukaisuuskysymyksenä eikä pelkästään tulevaisuuden haasteena.
Kyberturvallisuusasetuksen uudistaminen
Euroopan komissio antoi 20. tammikuuta 2026 ehdotuksen EU:n kyberturvallisuusasetuksen (Cybersecurity Act, asetus (EU) 2019/881)[15] uudistamiseksi.
Tavoitteena on vahvistaa ENISAn toimivaltuuksia ja nopeuttaa eurooppalaisten sertifiointijärjestelmien kehittämistä.
Uudistuksella on suora vaikutus myös EUCS-pilvipalvelusertifiointijärjestelmään, ja se voi tarjota menettelyllisen perustan aiemmin pysähtyneen High+-sertifiointitason uudelleentarkastelulle.
Digital Omnibus: sääntelyn yksinkertaistaminen
Digital Omnibus -paketti, joka julkaistiin 19. marraskuuta 2025, on komission ensimmäinen laaja-alainen hanke EU:n digitaalisen sääntelykokonaisuuden yksinkertaistamiseksi.
Paketti ei sisällä uusia kvanttilaskentaa koskevia aineellisia velvoitteita. Sen merkittävin vaikutus liittyy eri sääntelykehysten – kuten GDPR:n, NIS2:n, DORAn ja CER-direktiivin – mukaisten raportointivelvollisuuksien yhdistämiseen yhden ENISAn ylläpitämän raportointiportaalin kautta.
Tämä vähentäisi niiden organisaatioiden hallinnollista taakkaa, joiden on nykyisin noudatettava useita rinnakkaisia kyberturvallisuutta koskevia sääntelyjärjestelmiä.
Paketti on parhaillaan tavanomaisessa lainsäätämisjärjestyksessä käsiteltävänä, ja sen hyväksymisen arvioidaan tapahtuvan vuosien 2026–2027 aikana.
Suomen valmius kvanttiaikaan
Suomessa kvanttiteknologioihin liittyvää valmiutta tullaan todennäköisesti kehittämään osana valtion laajempaa digitalisaatio- ja teknologiastrategiaa, jota koordinoivat työ- ja elinkeinoministeriö sekä Traficom.
Suomalaisilla yliopistoilla ja teknologiayrityksillä – joista useat osallistuvat EU:n kvanttiteknologioiden lippulaivaohjelmaan (Quantum Flagship) – on keskeinen rooli siinä, kuinka EU:n sääntelytavoitteet muunnetaan käytännön osaamiseksi, innovaatioiksi ja kilpailukyvyksi.
Partner
[1]Regulation (EU) 2016/679, OJ L 119, 4.5.2016.
[2]Finnish Data Protection Act (Tietosuojalaki) 1050/2018.
[3]Digital Omnibus Regulation Proposal, COM(2025) 765 final, 19.11.2025.
[4] [4]Regulation (EU) 2024/2847 (Cyber Resilience Act), OJ L, 20.11.2024. Standardisation request M/606 approved by CEN/CENELEC/ETSI 3.4.2025; deadline for horizontal standards 30.8.2026, for vertical standards 30.10.2026; reporting obligations apply from 11.9.2026; full application from 11.12.2027.
[5]ENISA, EUCS Draft v1.0.413 (March 2024), jäädytetty; ks. myös Euroopan parlamentin ajatushautomo, Cybersecurity Act Review, 5.1.2026.
[6]Revision of the Cybersecurity Act, COM(2026) 30 final, 20.1.2026.
[7]Regulation (EU) 2022/2554 (DORA), OJ L 333, 27.12.2022; sovellettavana 17.1.2025. EBA, EIOPA, ESMA nimesivät kriittiset ICT-kolmannet osapuolet 18.11.2025.
[8]European Patent Convention, Articles 52–53; Finnish Patents Act (Patentilaki) 550/1967.
[9]Directive (EU) 2016/943 (Trade Secrets Directive); Act on Trade Secrets (Liikesalaisuuslaki) 595/2018.
[10]Regulation (EU) 2021/821 (EU Dual-Use Regulation), OJ L 206, 11.6.2021; Act on the Export Control of Dual-Use Items 500/2024, in force from 15 September 2024.
[11]TFEU Articles 101–102; Regulation (EU) 139/2004 (EU Merger Regulation), OJ L 24, 29.1.2004.
[12]Regulation (EU) 2024/1689 (EU AI Act), OJ L, 12.7.2024. The AI Omnibus proposal (19.11.2025) proposes a ”stop-the-clock” mechanism: Annex III high-risk systems by 2.12.2027 at the latest, and Annex I systems by 2.8.2028. The proposal is pending.
[13] Quantum Europe Strategy, COM(2025) 363 final, 2.7.2025; European Parliament Legislative Train Schedule, Quantum Act, status as of 22.1.2026; Commission work programme 2026 (proposal expected in Q2/2026).
[14]NIST FIPS 203 (ML-KEM), FIPS 204 (ML-DSA), FIPS 205 (SLH-DSA), approved on 13.8.2024. European Commission, ”A Coordinated Implementation Roadmap for the Transition to Post-Quantum Cryptography”, June 2025.