Suomen EU-ministerivaliokunta on määritellyt kannat EU:n kyberturvallisuusasetuksen uudistukseen, jonka tavoitteena on parantaa kyberturvallisuuden hallintaa, kehittää kybersertifiointia ja tehostaa ICT-toimitusketjujen riskienhallintaa Euroopassa. Samaan aikaan hallitus kiirehtii hankintalakimuutoksia, jotka Valtion kyberturvajohtajan mukaan vaarantavat Suomen kyberturvan.
EU-ministerivaliokunta linjasi 6. maaliskuuta Suomen kantoja EU:n kyberturvallisuusasetuksen uudistukseen. Tavoitteena on vahvistaa Euroopan kyberturvallisuuden hallintaa, kehittää kybersertifiointia ja parantaa ICT-toimitusketjujen riskienhallintaa. Samalla EU pyrkii lisäämään jäsenmaiden kykyä havaita ja torjua kyberuhkia sekä vahvistamaan digitaalisen infrastruktuurin resilienssiä.
“Mikään instituutio ei ole maamme turvallisuudelle tärkeämpi kuin kansallinen terveyspalvelu.”
– Keir Starmer, Britannian pääministeri (Keir Giles: Who will defend Europe? An awakened Russia and a sleepung continent (2025)
Suomi on ilmoittanut tukevansa näitä tavoitteita. Valtioneuvoston mukaan EU:n kyberturvallisuusasetuksen uudistus täydentäisi EU:n kyberturvallisuusvirasto ENISA:n tehtäviä ja auttaisi koordinoimaan kyberuhkien torjuntaa koko unionin tasolla. Tavoitteena on estää digitaalisen sisämarkkinan pirstaloituminen ja varmistaa, että kriittiset ICT-toimitusketjut pysyvät turvallisina.
Kyberturvajohtaja: Hankintalakimuutoksen 10%:n pykälä vaarantaa kyberturvan
Samaan aikaan Suomessa on kuitenkin käynnissä lainsäädäntöuudistus, jonka vaikutuksista kyberturvallisuuteen on esitetty vakavia varoituksia.
Valtion kyberturvallisuusjohtaja Rauli Paananen varoittaa eduskuntakäsittelyssä olevassa hankintalain tekstissä, että samaisen lain uudistukseen sisältyvä sidosyksiköiden 10 prosentin minimiomistusvaatimus voi heikentää merkittävästi Suomen kyberturvaa. Suuri osa julkishallinnon keskeisistä kyberturvatoiminnoista on rakennettu inhouse-yhtiöiden varaan, kyberturvajohtaja muistuttaa hankintalakiehdotuksen tekstissä.
Nämä yhtiöt tuottavat muun muassa tietojärjestelmäpalveluja, infrastruktuuriratkaisuja ja turvallisuuteen liittyviä digitaalisia palveluja julkishallinnolle. Malli on mahdollistanut tiiviin yhteistyön viranomaisten kanssa sekä pitkäjänteisen kyberturvallisuuden kehittämisen.
Jos sidosyksiköiden omistusvaatimusta kiristetään suunnitellulla tavalla, osa nykyisistä järjestelyistä menettäisi sidosyksikköasemansa. Tämä tarkoittaisi käytännössä sitä, että julkisyhteisöjen olisi kilpailutettava kriittisiä ICT-palveluja avoimilla markkinoilla.
Kyberturvallisuusjohtajan mukaan tällainen muutos voi hajottaa nykyisiä turvallisuusjärjestelyjä ja lisätä riippuvuutta ulkopuolisista toimittajista tilanteessa, jossa kyberuhkien määrä kasvaa nopeasti.
Lakimuutoksen kyberturvariski on tiedossa – eikä siihen puututa
Erityisen merkittävää on se, että kyberturvariski on tunnistettu jo hallituksen esityksen valmisteluvaiheessa. Lakiesityksen taustamateriaaleissa on kuvattu, että muutos voi vaikuttaa julkishallinnon tietoturvaratkaisuihin ja palvelurakenteisiin.
Tästä huolimatta 10 prosentin omistusvaatimus on säilynyt esityksessä.
Tilanne synnyttää ristiriidan Suomen EU-linjan ja kansallisen lainsäädäntöpolitiikan välillä.
EU-tasolla Suomi tukee politiikkaa, jonka tavoitteena on vahvistaa ICT-toimitusketjujen turvallisuutta ja parantaa kyberuhkien hallintaa. Kansallisesti Suomi valmistautuu kuitenkin lainsäädäntömuutokseen, jonka asiantuntijat arvioivat voivan hajottaa julkishallinnon kyberturvarakenteita.
Jo kaksi EU-kantelua hankintalaista
EU:n kyberturvallisuuspolitiikassa toimitusketjujen turvallisuus ja kriittisen infrastruktuurin hallinta ovat keskeisiä teemoja. Jos jäsenvaltio muuttaa hallinnollisia rakenteitaan tavalla, joka lisää kriittisten ICT-palvelujen hajautumista ja altistaa niitä markkinariskeille, se voi nousta myös EU-tason keskusteluun.
Toistaiseksi ei ole merkkejä siitä, että EU olisi puuttumassa Suomen hankintalainsäädäntöön. Sen sijaan EU-komissio on saanut jo kaksi virallista kantelua, joissa epäillään Suomen hallituksen ajaman inhouse-yhtiön 10 prosentin minimiomistusvaateen rikkovan vakavasti EU:n hankintalainsäädäntöä ja unionin oikeuden perusperiaatteita.
Kyberturvallisuuden vahvistaminen on noussut unionissa keskeiseksi turvallisuuskysymykseksi erityisesti Venäjän hyökkäyssodan ja kasvavien kyberhyökkäysten jälkeen. Tämä lisää painetta varmistaa, että jäsenmaiden kansallinen sääntely ei heikennä yhteistä kyberturvallisuustasoa. Suomessa keskustelu hankintalain uudistuksesta on siirtynyt kilpailupolitiikan piiristä kansallisen turvallisuuden alueelle. Kyse ei ole enää pelkästään julkisten hankintojen markkinoista, vaan siitä, miten kriittinen digitaalinen infrastruktuuri suojataan tilanteessa, jossa kyberuhat ovat muuttuneet pysyväksi osaksi turvallisuusympäristöä.
Lue lisää:
- Valtioneuvosto: EU-ministerivaliokunnassa aiheena kyberturvallisuuden vahvistaminen
- Kustos: Valtion kyberturvallisuusjohtaja varoittaa hankintalain 10 % omistusvaatimuksesta
- EU-kantelu unionin tiukimmista inhouse-hankintasäännöistä – Lakiehdotuksen epäillään rikkovan EU-oikeutta
- Iltalehti: Nyt tärähti jo toinen EU-kantelu Orpon hallituksen hankkeesta
