Hankintalain uudistus sisältää kannatettavia tavoitteita – mutta yksi pykälä voi murskata harvaan asuttujen alueiden pienten kuntien tietoturvan ja talouden. Valtion kyberturvallisuusjohtajakin varoittaa. Kuunteleeko eduskunta, kysyvät neljä alueellisen ICT-sidosyksikön toimitusjohtajaa.
Hallituksen esitys hankintalain muuttamiseksi (HE 2/2026 vp) etenee parhaillaan eduskunnan käsittelyssä. Esityksen taustalla on aito ja ymmärrettävä pyrkimys: vahvistaa kilpailua, kehittää hankintoja ja päivittää järjestelmää vastaamaan nykypäivän tarpeisiin. Markkinavuoropuhelun vahvistaminen, kilpailutusten kehittäminen tilanteissa joissa tarjouksia saadaan vain yksi, sekä hankintojen pilkkominen kilpailun lisäämiseksi ovat kaikki oikean suunnan askeleita.
Mutta esitykseen kätkeytyy yksi muutos, jonka vaikutuksia ei ole arvioitu riittävästi, eikä niiden arviointiin näytä olevan halua. Sidosyksiköiden vähimmäisomistusvaatimukseksi esitetään 10 prosenttia. Kuulostaa tekniseltä yksityiskohdalta. Se ei sitä ole.
Ketä muutos oikeasti palvelee?
Tällä hetkellä pienetkin kunnat ovat voineet olla usein pienomistajina mukana alueellisissa ICT-sidosyksiköissä ja saada sitä kautta käyttöönsä sellaiset tietoturvakyvykkyydet, joihin niillä ei yksin olisi mitään edellytyksiä. Alueelliset sidosyksiköt, kuten Pohjois-Suomessa toimiva LapIT Oy, Pohjois-Pohjanmaalla ja Keski-Suomessa Joki ICT Oy, Itä-Suomessa Meidän IT ja talous Oy sekä Pohjois-Savon alueella Savon ICT-palvelut Oy, ovat vuosien kuluessa rakentaneet juuri sellaisen yhteistyörakenteen, jonka varassa pienten kuntien tietoturva tänään lepää.
10 prosentin vähimmäisomistusvaatimus muuttaisi tämän perustavanlaatuisesti. Suurimmat omistajat, kaupungit ja hyvinvointialueet, pystyvät järjestämään tarvittavat omistusrakenteet ja jatkamaan sidosyksiköiden käyttöä. Sen sijaan pienet kunnat, joilla on vähiten resursseja ja hankintaosaamista, jäisivät monessa tapauksessa yhteistyön ulkopuolelle kokonaan. Paradoksaalisesti muutos iskisi juuri niihin, joita sidosyksiköt alun perin luotiin palvelemaan.
Tietoturva ei ole valinnainen ominaisuus
Pienten kuntien ICT-palvelutarpeet eivät merkittävästi poikkea suurten kaupunkien tarpeista muuten kuin volyymin osalta. Velvoitteet ja vaatimukset ovat samat: tietoliikenneverkot on suojattava, käyttäjien identiteetit ja pääsynhallinta on hallittava, haittaohjelmia torjuttava, tietojärjestelmiä valvottava ympäri vuorokauden. Kyberturvallisuus edellyttää mittavia ja jatkuvia investointeja, joihin yksittäinen pieni kunta ei pysty yksin.
Alueellisten ICT-sidosyksiköiden toiminnasta 50–70 prosenttia on markkinoilta kilpailutettuja palveluita. Kyse ei ole yhteishankinnoista. Sidosyksiköt toimivat hankintalain mukaisina hankintayksikköinä, jotka kokoavat alueen yhteneviä palvelutarpeita järkevän kokoisiksi kokonaisuuksiksi markkinoille ja sovittavat kilpailutetut osakokonaisuudet yhteen toimiviksi ja tietoturvallisiksi palveluketjuiksi käyttäjästä konesaleihin, sekä vastaavat palveluiden päivittäisestä ylläpidosta ja asiakastuesta loppukäyttäjille. Tämä rakenne on osoittanut toimivuutensa. Sen purkaminen on riski, jota ei voi paikata jälkikäteen.
Valtion kyberturvallisuusjohtaja varoittaa – kuunteleeko eduskunta?
Eduskunnan talousvaliokunta on pyytänyt asiasta kirjallisen asiantuntijalausunnon valtion kyberturvallisuusjohtajalta Rauli Paanaselta. Lausunto (2.3.2026) on yksiselitteinen: 10 prosentin omistusosuusrajoitus todennäköisesti heikentäisi julkisen sektorin ja erityisesti pienten sekä keskisuurten kuntien ICT-palveluiden kyberturvallisuutta, jatkuvuutta ja kustannustehokkuutta.
Paananen kuvaa lausunnossaan nykytilannetta selkeästi: kybertoimintaympäristö on muuttunut pysyvästi, uhkakenttä laajenee ja valtiollinen toiminta on entistä keskeisempi osa vaikuttamista yhteiskuntien toimintakykyyn. Toimivimmiksi todetut tulokset on saavutettu juuri alueellisen vapaaehtoisen yhteistyön kautta, alueilla, joilla on paljon pieniä kuntia, markkinatarjonta on vähäistä ja kuntien omat voimavarat ovat rajalliset. Vuosien sidosyksikköyhteistyön merkitys on todennettu myös kansallisissa kyberturvallisuusharjoituksissa.
Paananen nimeää lausunnossaan konkreettiset riskit, jos 10 prosentin rajoitus toteutuu sellaisenaan: palvelurakenteen sirpaloituminen kasvattaa turvallisuusaukkojen riskiä, koska vastuu jakautuu useille toimijoille ja sopimusrajapinnoille. Toimittaja- ja järjestelmämuutosten siirtymävaiheissa hyökkääjät pyrkivät tyypillisesti hyödyntämään epäselviä vastuita ja keskeneräisiä kontrolliketjuja. Nykyisissä yhteistyörakenteissa kriittinen osaaminen on yhteiskäytössä ja skaalautuu kaikille omistajille; rakenteiden purkautuessa osaamisvaje korostuu ja henkilöstön saatavuus muodostuu pullonkaulaksi. Erityisesti vaativat, jatkuvat kyberturvallisuuspalvelut, kuten ympärivuorokautinen valvonta, voivat muodostua huomattavasti kalliimmiksi hajautetusti järjestettynä.
Lausunto ei jätä tulkinnanvaraa: seurauksena syntyisi rakenteellinen haavoittuvuus, jonka vaikutukset eivät jää yksittäisiin kuntiin. Jos kyberturvallisuudessa syntyy vakavia puutteita, seuraukset heijastuvat palveluihin, kansalaisiin ja laajemmin yhteiskunnan toimintakykyyn, ja korjausvastuu kohdistuu viime kädessä myös valtiolle.
Ajankohta on pahin mahdollinen
Tämä kaikki tapahtuu hetkellä, jolloin geopoliittinen tilanne edellyttäisi päinvastaista: julkisen sektorin kyberturvarakenteiden vahvistamista, ei heikentämistä. Pienet kunnat ovat jo nyt heikoimmilla: niillä on vähiten resursseja, ohuin osaaminen ja suurin riippuvuus alueellisesta yhteistyöstä. Kuntarakenteen uudistaminen on mahdollisesti tulossa seuraavien vaalikausien asiaksi, mutta se vie aikaa. Hankintalain muutos voi kriisiyttää pienten kuntien talouden ja palveluiden järjestämismahdollisuudet jo ennen kuin rakenneuudistuksista on edes tehty arviointeja.
Myös asiantuntijat Valtiovarainministeriöstä ja Kilpailu- ja kuluttajavirastosta ovat nostaneet esiin saman huolen. Silti julkinen keskustelu on jäänyt vastakkainasettelevaksi, eikä konkreettisia alueellisia vaikutuksia ole avattu riittävästi. Pohjois- ja Itä-Suomen sekä pohjoisen Keski-Suomen kaltaisilla alueilla kysymys ei ole kilpailupolitiikasta, vaan siitä, onko pienellä kunnalla enää kykyä järjestää tietoturvalliset ICT-palvelut mahdollistamaan kunnan toiminnan ja tämän kehittämisen.
Ratkaisu on olemassa – tarvitaan vain tahtoa
Valtion kyberturvallisuusjohtaja esittää lausunnossaan selkeät ratkaisut: ICT-sidosyksiköitä koskeva 10 prosentin omistusosuusrajoitus tulee poistaa tai sille on tehtävä alueellinen poikkeus, joka turvaa erityisesti pienten kuntien aseman. Siirtymäajan on oltava riittävän pitkä, vähintään neljä vuotta, tarvittaessa jopa seitsemän – jotta muutoskustannuksia, sopimuskatkoja ja kyberturvallisuusriskejä voidaan hallita. Ideaalitilanteessa kuntien ICT-palveluissa tulisi rakentaa entistä suurempia alueellisia kokonaisuuksia, ei pienempiä.
Tulevassa eduskuntakäsittelyssä on ratkaisevaa ymmärtää, ettei Suomi ole hankinta- ja ICT-palvelutuotannon toimintaympäristönä yhtenäinen. Päätöksiä ei voi tehdä pelkästään periaatteiden tasolla, vaan niiden on perustuttava käytännön vaikutusten huolelliseen arviointiin. Eduskunnan päättäjillä on nyt edessä kaksi kysymystä, joihin on vastattava rehellisesti: Olemmeko valmiita antamaan jo ennestään haavoittuvassa asemassa olevien pienten kuntien talouden ja toimintakyvyn edelleen heikentyä? Ja olemmeko valmiita heikentämään näiden yhteisöjen tietoturvan tasoa nykyisessä kyberuhkien ympäristössä?
Ilman alueellisten ICT-sidosyksiköiden mahdollistamaa kokonaistietoturvaa pienten kuntien tietoturva jää kansallisesti yhteiskuntamme heikoimmaksi lenkiksi. Heikko lenkki on se, johon isku kohdistuu usein ensin.
Tämän artikkelin ovat laatineet seuraavien alueellisten sidosyksiköiden toimitusjohtajat
Petri Kinnunen, toimitusjohtaja, Joki ICT Oy – ICT-infra, perustietotekniikan ja tiedonhallinnan palvelutuottaja Pohjois-Pohjanmaalla ja pohjoisessa Keski-Suomessa, 38 omistajaa.
Klaus Kianen, toimitusjohtaja, LapIT Oy – ICT-infra ja perustietotekniikan palvelutuottaja Lapin, Oulunkaaren ja Koillismaan alueella, 34 omistajaa
Salli Kortelainen, toimitusjohtaja, Meidän IT ja Talous Oy, ICT- sekä talous- ja henkilöstöhallinnon palveluita Etelä- ja Pohjois-Karjalan, Etelä-Savon sekä Päijät-Hämeen alueella, 36 omistajaa.
Pirjo Juvonen, toimitusjohtaja, Savon ICT-palvelut Oy, ICT-infra ja perustietotekniikan palvelutuottaja, Pohjois-Savo, 14 omistajaa
