Valtion kyberturvallisuusjohtaja Rauli Paananen varoittaa, että hallituksen valmistelema hankintalain uudistus voi toteutuessaan vakavasti heikentää Suomen kyberturvallisuutta. Erityisesti sidosyksiköitä koskeva 10 prosentin vähimmäisomistusvaatimus uhkaa romahduttaa nykyiset toimivat ICT- ja kyberturvallisuusrakenteet, joihin erityisesti kunnat, hyvinvointialueet ja osa valtionhallintoa nojaavat. Palvelujen yksityistäminen pois inhouse-palveluista myös moninkertaistaisi kyberturvan kustannukset, kyberturvallisuusjohtaja varoittaa hankintalakiesityksessä.
Valtion kyberturvallisuusjohtaja Paanasen mukaan käytettävissä olevan kyberturvallisuuden osaamis- ja tietotaso heikkenisi merkittävästi, mikäli sidosyksiköiden roolia kavennetaan. Tämä selviää 5.2.2026 eduskunnalle edenneestä hallituksen hankintalakiesityksestä. Nykyisissä yhteistyörakenteissa kriittinen osaaminen on ollut yhteisesti käytettävissä ja turvannut palveluiden jatkuvuuden. Lakiluonnoksessa todetaan, että erityisesti ICT-infrastruktuurin ja -palveluiden osalta sidosyksiköillä on keskeinen rooli asiakkaidensa toimintojen jatkuvuuden turvaamisessa – rooli, jota markkinaehtoiset ratkaisut eivät kaikilla alueilla kykene korvaamaan.
Hankintalakiehdotuksen taustalla olevien markkinaselvitysten mukaan kyberturvapalveluiden kustannukset voivat nousta jopa kolmesta neljään kertaisiksi, mikäli palvelut siirretään sidosyksiköiltä kokonaan yksityisille toimijoille. Erityisesti ympärivuorokautiset SOC-palvelut (Security Operations Center) ovat markkinoilta hankittuina huomattavasti kalliimpia kuin sidosyksiköiden tuottamina. Valtion kyberturvallisuusjohtaja Paananen kertoo lasiesityksessä markkinavertailun osoittavan, että palvelun siirtäminen yksityisille toimijoille kolmi-nelikertaistaisi kustannukset.
Kyberturvapalveluiden sirpaloituminen tekee havoittuvaksi
Lakiluonnoksessa korostetaan, että kyberturvallisuutta ei voida erottaa ICT-järjestelmistä tai ”liimata” olemassa olevien rakenteiden päälle. Turvallisuuden on oltava sisäänrakennettuna koko ICT-arkkitehtuuriin ja toimintaan. Palveluiden sirpaloituminen ja pakollinen jakaminen osiin lisäävät riskiä uusista haavoittuvuuksista, joita ulkomaiset tiedustelutoimijat ja rikolliset voivat hyödyntää. Erityisen alttiita kyberhyökkäyksille ovat siirtymävaiheet, joissa järjestelmiä ja toimittajia vaihdetaan.
Huoli koskee erityisesti pieniä ja harvaan asuttuja kuntia, joilla ei ole taloudellisia tai osaamisresursseja järjestää vaativia kyberturvallisuuspalveluja itsenäisesti. Sidosyksiköt ovat tarjonneet näille kunnille mittakaavaetuja, jatkuvuutta sekä osaamista tilanteessa, jossa henkilöstön vaihtuvuus on suurta ja kilpailu kyberturvaosaajista kovaa. Lakiehdotuksen mukaan uudistus voisi johtaa vakavaan osaajapulaan ja kyvyttömyyteen täyttää kiristyviä kansallisia ja EU-tason kyberturvallisuusvaatimuksia.
Hankintalakiehdotus tunnistaa myös EU:n uuden kyberturvallisuuslainsäädännön, kuten NIS2-direktiivin ja Cyber Resilience Actin, asettamat tiukentuvat vaatimukset, mutta samalla toteaa, ettei voimassa oleva hankintalaki tarjoa riittäviä keinoja hallita näihin liittyviä riskejä markkinaehtoisissa hankinnoissa. Turvaluokittelu tai CE-merkintä ei yksin riitä takaamaan turvallisuutta, kun suuria tietomassoja käsitellään kriittisissä julkisissa järjestelmissä.
Lakiluonnoksessa todetaan toistuvasti, että mikäli kyberturvallisuudessa, tietoturvassa tai varautumisessa syntyy vakavia puutteita, seuraukset eivät rajoitu yksittäisiin hankintayksiköihin. Vaikutukset heijastuvat kuntien ja hyvinvointialueiden asukkaisiin ja lopulta koko yhteiskuntaan. Viime kädessä vastuu puutteiden korjaamisesta ja niiden kustannuksista olisi valtiolla.
Lainsäädännön arviointineuvosto on omassa lausunnossaan vaatinut hankintalakiesityksen kustannusvaikutusten perusteellisempaa arviointia. Neuvoston mukaan esityksessä ei ole esitetty tutkimustietoa tai dataa sidosyksiköitä koskevan 10 prosentin minimiomistusvaatimuksen tueksi, eikä siinä ole arviota hallinnollisen taakan tai mahdollisesti moninkertaistuvien kyberturvakustannusten suuruudesta.
Lainsäädännön arviointineuvoston 25.11.2025 julkaistun lausunnon mukaan hankintain esitysluonnosta tulee korjata sen tekemän lausunnon mukaisesti ennen hallituksen esityksen antamista. Esitysluonnoksessa neuvoston mukaan ei ole esitetty tutkimustietoa tai dataa kymmenen prosentin minimiomistuksen tueksi. Lakiehdotuksen täytyisi antaa ”suuntaa antava arvio esityksen hallinnollisesta taakasta aiheutuvista kustannuksista”. Näin ollen siinä tulisi olla arvio myös mahdollisesti nelinkertaistuvista, hankintalakiehdotuksen mukaan viime kädessä valtion maksettavaksi tulevista kyberturvakuluista.
Lue lisää:
- Suorat kyberturvasitaatit lopullisesta hankintalakiehdotuksesta (5.2.2026)
- Perustuslaki, miljardikustannukset ja kuusi muuta syytä ottaa aikalisä hankintalain uudistamisen 10 %:n minimiomistusrajaukseen
- Mitä eroa on yhteishankinnalla ja sidosyksikköhankinnalla?
- Hallituksen hankintalakiehdotus (5.2.2026, lopullinen versio)
- Hankintalain uudistamista käsittelevän työryhmän mietintö.pdf (tammikuu 2025, sisältää mm. VM:n eriävän mielipiteen, lukuisia viittauksia lain vaarantamaan kyberturvaan)
- Lausuntopalvelussa olevat 607 lausuntoa hankintalakiehdotuksesta (lukuisia viittauksia lain vaarantamaan kyberturvaan, lausunnonantomahdollisuus päättyi 11.3.2025)
