Valtion kyberturvallisuusjohtaja varoittaa suunnitellun hankintalain 10 prosentin minimiomistusvaatimuksen vaarantavan Suomen kyberturvallisuutta ja moninkertaistavan kustannukset
10.2.2026 10:57:11 EET | Kustos ry-Julkishallinnon palvelukumppanit | Tiedote
Valtion kyberturvallisuusjohtaja Rauli Paananen varoittaa, että hallituksen valmistelema hankintalain uudistus voi toteutuessaan vakavasti heikentää Suomen kyberturvallisuutta. Erityisesti sidosyksiköitä koskeva 10 prosentin vähimmäisomistusvaatimus uhkaa romahduttaa nykyiset toimivat ICT- ja kyberturvallisuusrakenteet, joihin erityisesti kunnat, hyvinvointialueet ja osa valtionhallintoa nojaavat. Palvelujen yksityistäminen pois inhouse-palveluista myös moninkertaistaisi kyberturvan kustannukset, kyberturvallisuusjohtaja varoittaa hankintalakiesityksessä.
Valtion kyberturvallisuusjohtaja Paanasen mukaan käytettävissä olevan kyberturvallisuuden osaamis- ja tietotaso heikkenisi merkittävästi, mikäli sidosyksiköiden roolia kavennetaan. Tämä selviää 5.2.2026 eduskunnalle edenneestä hallituksen hankintalakiesityksestä. Nykyisissä yhteistyörakenteissa kriittinen osaaminen on ollut yhteisesti käytettävissä ja turvannut palveluiden jatkuvuuden. Lakiluonnoksessa todetaan, että erityisesti ICT-infrastruktuurin ja -palveluiden osalta sidosyksiköillä on keskeinen rooli asiakkaidensa toimintojen jatkuvuuden turvaamisessa – rooli, jota markkinaehtoiset ratkaisut eivät kaikilla alueilla kykene korvaamaan.
Hankintalakiehdotuksen taustalla olevien markkinaselvitysten mukaan kyberturvapalveluiden kustannukset voivat nousta jopa kolmesta neljään kertaisiksi, mikäli palvelut siirretään sidosyksiköiltä kokonaan yksityisille toimijoille. Erityisesti ympärivuorokautiset SOC-palvelut (Security Operations Center) ovat markkinoilta hankittuina huomattavasti kalliimpia kuin sidosyksiköiden tuottamina. Valtion kyberturvallisuusjohtaja Paananen kertoo lakiesityksessä markkinavertailun osoittavan, että palvelun siirtäminen yksityisille toimijoille kolmi-nelikertaistaisi kustannukset.
Lakiluonnoksessa korostetaan, että kyberturvallisuutta ei voida erottaa ICT-järjestelmistä tai ”liimata” olemassa olevien rakenteiden päälle. Turvallisuuden on oltava sisäänrakennettuna koko ICT-arkkitehtuuriin ja toimintaan. Palveluiden sirpaloituminen ja pakollinen jakaminen osiin lisää riskiä uusista haavoittuvuuksista, joita ulkomaiset tiedustelutoimijat ja rikolliset voivat hyödyntää. Erityisen alttiita kyberhyökkäyksille ovat siirtymävaiheet, joissa järjestelmiä ja toimittajia vaihdetaan.
Huoli koskee erityisesti pieniä ja harvaan asuttuja kuntia, joilla ei ole taloudellisia tai osaamisresursseja järjestää vaativia kyberturvallisuuspalveluja itsenäisesti. Sidosyksiköt ovat tarjonneet näille kunnille mittakaavaetuja, jatkuvuutta sekä osaamista tilanteessa, jossa henkilöstön vaihtuvuus on suurta ja kilpailu kyberturvaosaajista kovaa. Lakiehdotuksen mukaan uudistus voisi johtaa vakavaan osaajapulaan ja kyvyttömyyteen täyttää kiristyviä kansallisia ja EU-tason kyberturvallisuusvaatimuksia.
Hankintalakiehdotus tunnistaa myös EU:n uuden kyberturvallisuuslainsäädännön, kuten NIS2-direktiivin ja Cyber Resilience Actin, asettamat tiukentuvat vaatimukset, mutta samalla toteaa, ettei voimassa oleva hankintalaki tarjoa riittäviä keinoja hallita näihin liittyviä riskejä markkinaehtoisissa hankinnoissa. Turvaluokittelu tai CE-merkintä ei yksin riitä takaamaan turvallisuutta, kun suuria tietomassoja käsitellään kriittisissä julkisissa järjestelmissä.
Lakiluonnoksessa todetaan toistuvasti, että mikäli kyberturvallisuudessa, tietoturvassa tai varautumisessa syntyy vakavia puutteita, seuraukset eivät rajoitu yksittäisiin hankintayksiköihin. Vaikutukset heijastuvat kuntien ja hyvinvointialueiden asukkaisiin ja lopulta koko yhteiskuntaan. Viime kädessä vastuu puutteiden korjaamisesta ja niiden kustannuksista olisi valtiolla.
Lainsäädännön arviointineuvosto on omassa lausunnossaan vaatinut hankintalakiesityksen kustannusvaikutusten perusteellisempaa arviointia. Neuvoston mukaan esityksessä ei ole esitetty tutkimustietoa tai dataa sidosyksiköitä koskevan 10 prosentin minimiomistusvaatimuksen tueksi, eikä siinä ole arviota hallinnollisen taakan tai mahdollisesti moninkertaistuvien kyberturvakustannusten suuruudesta.
Lainsäädännön arviointineuvoston 25.11.2025 julkaistun lausunnon mukaan hankintain esitysluonnosta tulee korjata sen tekemän lausunnon mukaisesti ennen hallituksen esityksen antamista. Esitysluonnoksessa neuvoston mukaan ole ei ole esitetty tutkimustietoa tai dataa kymmenen prosentin minimiomistuksen tueksi. Lakiehdotuksen täytyisi antaa ”suuntaa antava arvio esityksen hallinnollisesta taakasta aiheutuvista kustannuksista”. Näin ollen siinä tulisi olla arvio myös mahdollisesti nelinkertaistuvista, hankintalakiehdotuksen mukaan viime kädessä valtion maksettavaksi tulevista kyberturvakuluista.
Avainsanat
Yhteyshenkilöt
Päivi PitkänenKustos ry:n toiminnanjohtaja
Puh:+358 40 574 8106paivi.pitkanen@kustos.fiKuvat
Linkit
- Suorat kyberturvasitaatit lopullisesta hankintalakiehdotuksesta (5.2.2026)
- Perustuslaki, miljardikustannukset ja kuusi muuta syytä ottaa aikalisä hankintalain uudistamisen 10 %:n minimiomistusrajaukseen
- Mitä eroa on yhteishankinnalla ja sidosyksikköhankinnalla?
- Hallituksen hankintalakiehdotus (5.2.2026, lopullinen versio)
- Hankintalain uudistamista käsittelevän työryhmän mietintö.pdf (tammikuu 2025, sisältää mm. VM:n eriävän mielipiteen, lukuisia viittauksia lain vaarantamaan kyberturvaan)
- Lausuntopalvelussa olevat 607 lausuntoa hankintalakiehdotuksesta (lukuisia viittauksia lain vaarantamaan kyberturvaan, lausunnonantomahdollisuus päättyi 11.3.2025)
Tilaa tiedotteet sähköpostiisi
Haluatko tietää asioista ensimmäisten joukossa? Kun tilaat tiedotteemme, saat ne sähköpostiisi välittömästi julkaisuhetkellä. Tilauksen voit halutessasi perua milloin tahansa.
Lue lisää julkaisijalta Kustos ry-Julkishallinnon palvelukumppanit
Valiokunnat sivuuttivat ministeriöiden varoitukset hankintalakiesityksestä: Merkittäviä riskejä hyvinvointialueille, kyberturvallisuudelle ja julkiselle taloudelle20.4.2026 11:34:36 EEST | Tiedote
Sosiaali- ja terveysministeriön (STM) sekä valtiovarainministeriön (VM) eduskunnan sosiaali- ja terveysvaliokunnalle antamat lausunnot antavat poikkeuksellisen kriittisen ja yksityiskohtaisen arvion käsittelyssä olevasta hankintalakiesityksestä. Silti muun muassa eduskunnan Sosiaali- ja terveysvaliokunta sivuuttaa ministeriöiden esiin nostamat, sidosyksikkösääntelyyn, hyvinvointialueiden toimintaan, kyberturvallisuuteen sekä julkisen talouden kestävyyteen liittyvät merkittävät riskit.
VM: Hankintalain muutos lisää kustannuksia, ei luo markkinoita ja vaarantaa kyberturvan8.4.2026 12:30:53 EEST | Tiedote
Valtiovarainministeriö (VM) varoittaa, että hankintalain muutos ei lisää kilpailua eikä markkinaehtoista palvelutuotantoa, vaan kasvattaa kustannuksia, hallinnollista taakkaa ja riskejä erityisesti pienissä kunnissa. VM on erityisen huolissaan lakimuutoksen aiheuttamasta kyberturvavaarasta ja kansallisen tietoteknologisen suvereniteetin vaarantumisesta. Ministeriö esittää näkemyksensä eduskunnan perustuslakivaliokunnalle 16.3.2026 antamassaan harvinaisen suorasanaisessa lausunnossaan.
Kuusi esimerkkiä hankintalakimuutoksen vaarallisista ja kalliiksi tulevista käytännön vaikutuksista7.4.2026 12:12:38 EEST | Tiedote
Pohjois-Suomeen jopa 600 ICT-kilpailutusta! Pienkuntien muutoskustannus talous- ja henkilöstöhallinnon uudelleenjärjestelystä 2 miljoonaa euroa per kunta! Ei lonkkaleikkauksia Etelä-Pohjanmaalla ja Pohjanmaalla! Kansallinen kyberturva vaarantuu, jos laki estää inhouse-yhtiön kriittisten palveluiden runkoverkon käytön! Tekstiilipesu keskittyy jatkossa yhdelle yritykselle! Pohjois-Karjalan ja Pohjois-Pohjanmaan kunnat vaille yhteistä ruokapalvelua! Siinä kuusi konkreettista esimerkkiä suunnitellun hankintalain vaikutuksista joka puolella Suomea.
Ehdotettu hankintalaki ei tuo miljardeja markkinaan, vain 50–150 miljoonaa euroa9.3.2026 07:59:00 EET | Tiedote
Suunnitellun hankintalain vaikutuksista on pitkään liikkunut voimakkaasti harhaanjohtavia tietoja, erityisesti sen vaikutuksesta markkinoille siirtyvään liiketoimintaan. Lähemmässä tarkastelussa käy ilmi, että markkinoille voisi siirtyä enintään 50–150 miljoonaa euroa nykyisten sidosyksiköiden liikevaihdosta. Pelkästään muutoskustannuksia lakimuutoksesta aiheutuisi kuitenkin 1–2 miljardia euroa.
Hankintalaki voi aiheuttaa laajan hankintasopimusten irtisanomisen tai purkaantumisen3.3.2026 12:29:28 EET | Tiedote
Inhouse-yhtiöiden ja markkinatoimittajien välillä on satoja tuhansia kilpailutettuja sopimuksia. Suunnitteilla oleva hankintalain muutos estäisi inhouse-yhtiöiden mahdollisuutta tarjota palveluja alle kymmenen prosenttia omistaville omistajilleen. Muutos voi käytännössä merkitä sitä, että näille poistuville asiakasomistajille tehtävien palveluiden osalta inhouse-yhtiön ja alihankkijoiden välisiä sopimuksia joudutaan supistamaan tai jopa irtisanomaan. Kun volyymi laskee, hankintalaki velvoittaa uudelleenkilpailuttamaan osan näistä sadoista tuhansista sopimuksista.
Uutishuoneessa voit lukea tiedotteitamme ja muuta julkaisemaamme materiaalia. Löydät sieltä niin yhteyshenkilöidemme tiedot kuin vapaasti julkaistavissa olevia kuvia ja videoita. Uutishuoneessa voit nähdä myös sosiaalisen median sisältöjä. Kaikki tiedotepalvelussa julkaistu materiaali on vapaasti median käytettävissä.
Tutustu uutishuoneeseemme