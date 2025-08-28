Valtion kyberturvallisuusjohtaja Paanasen mukaan käytettävissä olevan kyberturvallisuuden osaamis- ja tietotaso heikkenisi merkittävästi, mikäli sidosyksiköiden roolia kavennetaan. Tämä selviää 5.2.2026 eduskunnalle edenneestä hallituksen hankintalakiesityksestä. Nykyisissä yhteistyörakenteissa kriittinen osaaminen on ollut yhteisesti käytettävissä ja turvannut palveluiden jatkuvuuden. Lakiluonnoksessa todetaan, että erityisesti ICT-infrastruktuurin ja -palveluiden osalta sidosyksiköillä on keskeinen rooli asiakkaidensa toimintojen jatkuvuuden turvaamisessa – rooli, jota markkinaehtoiset ratkaisut eivät kaikilla alueilla kykene korvaamaan.

Hankintalakiehdotuksen taustalla olevien markkinaselvitysten mukaan kyberturvapalveluiden kustannukset voivat nousta jopa kolmesta neljään kertaisiksi, mikäli palvelut siirretään sidosyksiköiltä kokonaan yksityisille toimijoille. Erityisesti ympärivuorokautiset SOC-palvelut (Security Operations Center) ovat markkinoilta hankittuina huomattavasti kalliimpia kuin sidosyksiköiden tuottamina. Valtion kyberturvallisuusjohtaja Paananen kertoo lakiesityksessä markkinavertailun osoittavan, että palvelun siirtäminen yksityisille toimijoille kolmi-nelikertaistaisi kustannukset.

Lakiluonnoksessa korostetaan, että kyberturvallisuutta ei voida erottaa ICT-järjestelmistä tai ”liimata” olemassa olevien rakenteiden päälle. Turvallisuuden on oltava sisäänrakennettuna koko ICT-arkkitehtuuriin ja toimintaan. Palveluiden sirpaloituminen ja pakollinen jakaminen osiin lisää riskiä uusista haavoittuvuuksista, joita ulkomaiset tiedustelutoimijat ja rikolliset voivat hyödyntää. Erityisen alttiita kyberhyökkäyksille ovat siirtymävaiheet, joissa järjestelmiä ja toimittajia vaihdetaan.

Huoli koskee erityisesti pieniä ja harvaan asuttuja kuntia, joilla ei ole taloudellisia tai osaamisresursseja järjestää vaativia kyberturvallisuuspalveluja itsenäisesti. Sidosyksiköt ovat tarjonneet näille kunnille mittakaavaetuja, jatkuvuutta sekä osaamista tilanteessa, jossa henkilöstön vaihtuvuus on suurta ja kilpailu kyberturvaosaajista kovaa. Lakiehdotuksen mukaan uudistus voisi johtaa vakavaan osaajapulaan ja kyvyttömyyteen täyttää kiristyviä kansallisia ja EU-tason kyberturvallisuusvaatimuksia.

Hankintalakiehdotus tunnistaa myös EU:n uuden kyberturvallisuuslainsäädännön, kuten NIS2-direktiivin ja Cyber Resilience Actin, asettamat tiukentuvat vaatimukset, mutta samalla toteaa, ettei voimassa oleva hankintalaki tarjoa riittäviä keinoja hallita näihin liittyviä riskejä markkinaehtoisissa hankinnoissa. Turvaluokittelu tai CE-merkintä ei yksin riitä takaamaan turvallisuutta, kun suuria tietomassoja käsitellään kriittisissä julkisissa järjestelmissä.

Lakiluonnoksessa todetaan toistuvasti, että mikäli kyberturvallisuudessa, tietoturvassa tai varautumisessa syntyy vakavia puutteita, seuraukset eivät rajoitu yksittäisiin hankintayksiköihin. Vaikutukset heijastuvat kuntien ja hyvinvointialueiden asukkaisiin ja lopulta koko yhteiskuntaan. Viime kädessä vastuu puutteiden korjaamisesta ja niiden kustannuksista olisi valtiolla.

Lainsäädännön arviointineuvosto on omassa lausunnossaan vaatinut hankintalakiesityksen kustannusvaikutusten perusteellisempaa arviointia. Neuvoston mukaan esityksessä ei ole esitetty tutkimustietoa tai dataa sidosyksiköitä koskevan 10 prosentin minimiomistusvaatimuksen tueksi, eikä siinä ole arviota hallinnollisen taakan tai mahdollisesti moninkertaistuvien kyberturvakustannusten suuruudesta.

