Valtion kyberturvallisuusjohtaja varoittaa suunnitellun hankintalain 10 prosentin minimiomistusvaatimuksen vaarantavan Suomen kyberturvallisuutta ja moninkertaistavan kustannukset
10.2.2026 10:57:11 EET | Kustos ry-Julkishallinnon palvelukumppanit | Tiedote
Valtion kyberturvallisuusjohtaja Rauli Paananen varoittaa, että hallituksen valmistelema hankintalain uudistus voi toteutuessaan vakavasti heikentää Suomen kyberturvallisuutta. Erityisesti sidosyksiköitä koskeva 10 prosentin vähimmäisomistusvaatimus uhkaa romahduttaa nykyiset toimivat ICT- ja kyberturvallisuusrakenteet, joihin erityisesti kunnat, hyvinvointialueet ja osa valtionhallintoa nojaavat. Palvelujen yksityistäminen pois inhouse-palveluista myös moninkertaistaisi kyberturvan kustannukset, kyberturvallisuusjohtaja varoittaa hankintalakiesityksessä.
Valtion kyberturvallisuusjohtaja Paanasen mukaan käytettävissä olevan kyberturvallisuuden osaamis- ja tietotaso heikkenisi merkittävästi, mikäli sidosyksiköiden roolia kavennetaan. Tämä selviää 5.2.2026 eduskunnalle edenneestä hallituksen hankintalakiesityksestä. Nykyisissä yhteistyörakenteissa kriittinen osaaminen on ollut yhteisesti käytettävissä ja turvannut palveluiden jatkuvuuden. Lakiluonnoksessa todetaan, että erityisesti ICT-infrastruktuurin ja -palveluiden osalta sidosyksiköillä on keskeinen rooli asiakkaidensa toimintojen jatkuvuuden turvaamisessa – rooli, jota markkinaehtoiset ratkaisut eivät kaikilla alueilla kykene korvaamaan.
Hankintalakiehdotuksen taustalla olevien markkinaselvitysten mukaan kyberturvapalveluiden kustannukset voivat nousta jopa kolmesta neljään kertaisiksi, mikäli palvelut siirretään sidosyksiköiltä kokonaan yksityisille toimijoille. Erityisesti ympärivuorokautiset SOC-palvelut (Security Operations Center) ovat markkinoilta hankittuina huomattavasti kalliimpia kuin sidosyksiköiden tuottamina. Valtion kyberturvallisuusjohtaja Paananen kertoo lakiesityksessä markkinavertailun osoittavan, että palvelun siirtäminen yksityisille toimijoille kolmi-nelikertaistaisi kustannukset.
Lakiluonnoksessa korostetaan, että kyberturvallisuutta ei voida erottaa ICT-järjestelmistä tai ”liimata” olemassa olevien rakenteiden päälle. Turvallisuuden on oltava sisäänrakennettuna koko ICT-arkkitehtuuriin ja toimintaan. Palveluiden sirpaloituminen ja pakollinen jakaminen osiin lisää riskiä uusista haavoittuvuuksista, joita ulkomaiset tiedustelutoimijat ja rikolliset voivat hyödyntää. Erityisen alttiita kyberhyökkäyksille ovat siirtymävaiheet, joissa järjestelmiä ja toimittajia vaihdetaan.
Huoli koskee erityisesti pieniä ja harvaan asuttuja kuntia, joilla ei ole taloudellisia tai osaamisresursseja järjestää vaativia kyberturvallisuuspalveluja itsenäisesti. Sidosyksiköt ovat tarjonneet näille kunnille mittakaavaetuja, jatkuvuutta sekä osaamista tilanteessa, jossa henkilöstön vaihtuvuus on suurta ja kilpailu kyberturvaosaajista kovaa. Lakiehdotuksen mukaan uudistus voisi johtaa vakavaan osaajapulaan ja kyvyttömyyteen täyttää kiristyviä kansallisia ja EU-tason kyberturvallisuusvaatimuksia.
Hankintalakiehdotus tunnistaa myös EU:n uuden kyberturvallisuuslainsäädännön, kuten NIS2-direktiivin ja Cyber Resilience Actin, asettamat tiukentuvat vaatimukset, mutta samalla toteaa, ettei voimassa oleva hankintalaki tarjoa riittäviä keinoja hallita näihin liittyviä riskejä markkinaehtoisissa hankinnoissa. Turvaluokittelu tai CE-merkintä ei yksin riitä takaamaan turvallisuutta, kun suuria tietomassoja käsitellään kriittisissä julkisissa järjestelmissä.
Lakiluonnoksessa todetaan toistuvasti, että mikäli kyberturvallisuudessa, tietoturvassa tai varautumisessa syntyy vakavia puutteita, seuraukset eivät rajoitu yksittäisiin hankintayksiköihin. Vaikutukset heijastuvat kuntien ja hyvinvointialueiden asukkaisiin ja lopulta koko yhteiskuntaan. Viime kädessä vastuu puutteiden korjaamisesta ja niiden kustannuksista olisi valtiolla.
Lainsäädännön arviointineuvosto on omassa lausunnossaan vaatinut hankintalakiesityksen kustannusvaikutusten perusteellisempaa arviointia. Neuvoston mukaan esityksessä ei ole esitetty tutkimustietoa tai dataa sidosyksiköitä koskevan 10 prosentin minimiomistusvaatimuksen tueksi, eikä siinä ole arviota hallinnollisen taakan tai mahdollisesti moninkertaistuvien kyberturvakustannusten suuruudesta.
Lainsäädännön arviointineuvoston 25.11.2025 julkaistun lausunnon mukaan hankintain esitysluonnosta tulee korjata sen tekemän lausunnon mukaisesti ennen hallituksen esityksen antamista. Esitysluonnoksessa neuvoston mukaan ole ei ole esitetty tutkimustietoa tai dataa kymmenen prosentin minimiomistuksen tueksi. Lakiehdotuksen täytyisi antaa ”suuntaa antava arvio esityksen hallinnollisesta taakasta aiheutuvista kustannuksista”. Näin ollen siinä tulisi olla arvio myös mahdollisesti nelinkertaistuvista, hankintalakiehdotuksen mukaan viime kädessä valtion maksettavaksi tulevista kyberturvakuluista.
Avainsanat
Yhteyshenkilöt
Päivi PitkänenKustos ry:n toiminnanjohtaja
Puh:+358 40 574 8106paivi.pitkanen@kustos.fiKuvat
Linkit
- Suorat kyberturvasitaatit lopullisesta hankintalakiehdotuksesta (5.2.2026)
- Perustuslaki, miljardikustannukset ja kuusi muuta syytä ottaa aikalisä hankintalain uudistamisen 10 %:n minimiomistusrajaukseen
- Mitä eroa on yhteishankinnalla ja sidosyksikköhankinnalla?
- Hallituksen hankintalakiehdotus (5.2.2026, lopullinen versio)
- Hankintalain uudistamista käsittelevän työryhmän mietintö.pdf (tammikuu 2025, sisältää mm. VM:n eriävän mielipiteen, lukuisia viittauksia lain vaarantamaan kyberturvaan)
- Lausuntopalvelussa olevat 607 lausuntoa hankintalakiehdotuksesta (lukuisia viittauksia lain vaarantamaan kyberturvaan, lausunnonantomahdollisuus päättyi 11.3.2025)
Tilaa tiedotteet sähköpostiisi
Haluatko tietää asioista ensimmäisten joukossa? Kun tilaat tiedotteemme, saat ne sähköpostiisi välittömästi julkaisuhetkellä. Tilauksen voit halutessasi perua milloin tahansa.
Lue lisää julkaisijalta Kustos ry-Julkishallinnon palvelukumppanit
Budjettiriihessä huomioitava hankintalain aiheuttamat satojen miljoonien lisäkustannukset kunnille ja hyvinvointialueille28.8.2025 14:53:23 EEST | Tiedote
Hallitus kokoontuu syyskuun alussa budjettiriiheen tilanteessa, jossa kuntatalous on jo ennestään ahtaalla. Kustos ry muistuttaa, että hankintalain kokonaisuudistus aiheuttaa kunnille mittavat, väistämättömät lisäkustannukset – vähintään miljoona euroa per kunta erilaisten hankintaprosessien, yhteisomistusten uudelleenjärjestelyjen ja hallinnollisten muutosten vuoksi. Myös hyvinvointialueille koituu mittavia lisäkustannuksia.
EU-kantelu unionin tiukimmista inhouse-hankintasäännöistä – Lakiehdotuksen epäillään rikkovan EU-oikeutta14.7.2025 08:00:00 EEST | Tiedote
EU-komission tulisi ryhtyä toimiin Suomen hankintalakiin suunnitellun sidosyksiköiden 10 prosentin minimiomistuksen rajauksen aiheuttaman EU-oikeuden rikkomisen estämiseksi, julkisomisteisia sidosyksiköitä edustava Kustos ry vaatii virallisessa EU-kantelussaan. Suomalaisten kuntien ja yhteistyötä ja itsehallintoa uhkaa rajoittava lainsäädäntömuutos, josta on nyt tehty jo kaksi virallista kantelua Euroopan komissiolle. Ensimmäisenä hankintalain muutosehdotuksesta kantelemaan ehti joukko kunnallisia jäteyhtiöitä.
Jyväskylän yliopiston inhouse-selvitykset eivät kestä tieteellistä tarkastelua – Aalto-professori: “Ilkeämielinen kutsuisi tätä pseudotieteeksi”23.4.2025 12:00:06 EEST | Tiedote
Jyväskylän yliopistossa laaditut selvitykset inhouse-yhtiöiden tehokkuudesta eivät täytä tieteellisen tutkimuksen peruskriteerejä eivätkä tarjoa minkäänlaista perustaa julkisten päätösten tekemiselle, toteaa laskentatoimen professori Teemu Malmi Aalto-yliopistosta. Malmi on antanut arvion kahdesta julkaistusta “tutkimuksesta” Kustos ry:n, Suomen Kuntaliiton ja Suomen Kiertovoima ry:n pyynnöstä. Nämä tutkimukset ovat olleet keskeinen perustelu laajavaikutteisen hankintalain muutoksen edistämisessä.
E2 Tutkimus analysoi hankintalakilausunnot – Budjetti- ja virkavastuussa olevat vastustavat lakiehdotusta26.3.2025 13:46:27 EET | Tiedote
E2 Tutkimus selvitti Kustos ry:n toimeksiannosta kaikki 607 lausuntoa sekä eriävät mielipiteet hankintalakiuudistuksesta. Erityisesti budjetti- ja virkavastuussa olevat tahot vastustavat hankintalakiuudistusta voimakkaasti. Toisin kuin tähän asti on tapahtunut, hallitus on hallitusohjelmassaan sitoutunut tekemään huolelliset vaikutusarvioinnit. Se on myös hallitusohjelmassaan luvannut rahoittaa täysimääräisesti hyvinvointialueille asetettavat mahdolliset uudet tehtävät tai niiden laajennukset.
607 lausuntoa hankintalaista: Täystyrmäys – jopa VNK, VM, PLM, STM, MMM ja YM vastustavat12.3.2025 15:26:29 EET | Tiedote
Hankintalaki keräsi Lausuntopalvelu.fi -sivustolle peräti 607 lausuntoa. Vain NATO-jäsenyys, korona ja digitaalinen henkilöllisyys ovat saaneet enemmän lausuntoja palvelussa. 78 prosenttia vähimmäisomistukseen kantaa ottaneista lausunnonantajista vastustaa 10 prosentin omistusrajausta sidosyksiköille – niiden joukossa kunnat, hyvinvointialueet, valtioneuvoston kanslia, valtiovarainministeriö, puolustusministeriö, sosiaali- ja terveysministeriö, maa- ja metsätalousministeriö sekä ympäristöministeriö. Suosituimpina perusteluina hankintalain vastustukseen ovat sen aiheuttamat kustannukset, puutteellinen vaikutusarvio, perustuslain vastaisuus sekä erityishuoli jätehuollosta.
Uutishuoneessa voit lukea tiedotteitamme ja muuta julkaisemaamme materiaalia. Löydät sieltä niin yhteyshenkilöidemme tiedot kuin vapaasti julkaistavissa olevia kuvia ja videoita. Uutishuoneessa voit nähdä myös sosiaalisen median sisältöjä. Kaikki tiedotepalvelussa julkaistu materiaali on vapaasti median käytettävissä.
Tutustu uutishuoneeseemme