Valtion kyberturvallisuusjohtaja Rauli Paanasen mukaan käytettävissä olevan kyberturvallisuuden osaamis- ja tietotaso romahtaisi hankintalain uudistuksen toteutuessa. Erityisesti ICT-infrastruktuurin ja -palveluiden osalta sidosyksiköillä on kriittinen rooli asiakkaidensa toimintojen jatkuvuuden turvaamisessa. Paanasen siteeraaman markkinaselvityksen mukaan kyberturvan kustannukset jopa nelinkertaistuvat, mikäli palvelu siirtyy inhouse-yhtiöiltä kokonaan yksityisille yrityksille.
Liikenne- ja viestintäministeriössä työskentelevä Valtion kyberturvallisuusjohtaja Rauli Paananen hankintalakiehdotuksessa (11.11.2025 versio) tuo esiin laajalti Suomen kyberturvaa vaarantavia tekijöitä, mikäli suunniteltu hankintalaki etenee. Lakiluonnoksessa kuvataan ongelmia, joita kyberturvaan aiheuttaa lain keskeinen pykälä: kuntien, hyvinvointialueiden ja osin valtionkin yksiköiden, kuten puolustusvoimien (kyllä, niitäkin on nyt kaavaillun lain vaikutuspiirissä) omistamien sidosyksiköiden omistuksen rajaaminen vähimmillään 10 prosenttiin. Ohessa on suoria sitaatteja lakiluonnoksesta. Linkki itse lakiluonnos-pdf:ään on artikkelin lopussa.
Sidosyksiköt keskeisessä roolissa kyberturvassa
”Sidosyksiköiden tarjoamilla ICT- ja kyberturvallisuuspalveluilla on keskeinen rooli kuntien järjestelmien hallinnassa ja turvallisuuden varmistamisessa”, lakiluonnos kuvaa sivulla 28. ”Sidosyksiköt tuottavat asiakkailleen myös kyberturvallisuuden konsultointia sekä tieto- ja kyberturvajohtamisen tukipalveluita. Asiakkaat saavat ICT-palvelut kokonaispalveluna, jossa on kyberturvallisuus sisäänrakennettuna, ja ne pystyvät myös ketterästi kehittämään oman organisaationsa kyberturvallisuutta hyödyntäen sidosyksikön tuotevalikoimaa. Erityisesti pienillä kunnilla on rajalliset taloudelliset ja osaamisresurssit kyberturvallisuuden ylläpitämiseen ja kehittämiseen. Tämä korostaa palveluntarjoajien merkitystä kuntien kyberturvallisuuden toteuttamisessa”, marraskuun 11. päivälle 2025 kirjattu versio hankintalakiehdotuksesta toteaa.
”Pienten kuntien ei ole tarkoituksenmukaista järjestää ICT-palveluita, mukaan lukien kyberturvapalveluita, yksin. Palveluiden hankinta osana laajempaa kokonaisuutta mahdollistaa mittakaavaedut, joita yksittäiset kunnat eivät voi yksin saavuttaa. Kun palvelu on osa suurempaa kokonaisuutta, yksittäinen kunta ei välttämättä tarvitse omia nimettyjä resursseja kyberturvallisuudesta huolehtimiseen”, laki listaa.
Lisäksi pienissä kunnissa henkilöstön vaihtuvuus on ollut suurta, sillä kunnilla on ollut vaikeuksia pitää osaajia organisaatiossaan kovan kilpailun vuoksi. Kuntien yhteisomisteiset sidosyksiköt ovat tarjonneet jatkuvuutta myös henkilöstöresursseihin”, lakiluonnos kuvaa.
”Kyberturvallisuutta sekä ICT-laitteita ja -palveluita ei voi erottaa toisistaan. ICT-hankinnoissa on lähes aina kyse myös kyberturvallisuudesta. Laitteet ja palvelut muodostavat kokonaisuuden, jonka turvallisuus on varmistettava. Esimerkiksi SOTE-järjestelmät sisältävät merkittäviä kyberturvallisuusnäkökulmia. Kyberturvallisuutta ei voi myöskään ”liimata” olemassa olevien rakenteiden päälle, vaan sen tulee olla sisäänrakennettuna koko ICT-arkkitehtuuriin ja toimintaan.
Jokaisella hankintayksiköllä voi olla erilainen järjestelmä, ja niiden kyvykkyys sekä osaaminen vaihtelevat merkittävästi. ICT-palveluita tuottavat sidosyksiköt tarjoavat asiakkailleen myös kyberturvallisuuden konsultointia sekä tieto- ja kyberturvajohtamisen tukipalveluita. Palvelut tuotetaan kokonaispalveluna, johon kyberturvallisuus sisältyy. Turvallisuusriskit kuten tiedusteluintressit voivat liittyä esimerkiksi laitevalmistajiin tai toimittajiin, jotka ovat suoraan tai epäsuorasti niin sanotun korkean riskin maasta. Lisäksi tarjoajalla saattaa olla välikäsien kautta päämiehenä laitteen ja sen ohjelmistojen valmistaja korkean riskin maassa, mikä voi niin ikään sisältää tietoturvallisuuteen liittyviä riskejä.”
EU:n kyberturvallisuusdirektiivin tiukentavat vaatimukset
”Uusi kyberturvallisuusdirektiivi tehostaa kyberturvallisuuden toteutumista asettamalla velvoitteita välittömien toimittajien ja palveluntarjoajien kyberturvan tason varmistamiseksi”, laki kuvaa.
”Euroopan Unionin Cyber Resilience Act (CRA), joka on suunniteltu parantamaan digitaalisten tuotteiden kyberturvallisuutta Euroopan alueella ja näin selkeyttämään hankinnan kohteelle asetettavia vähimmäisvaatimuksia, tuli voimaan 10.12.2024. Voimassa oleva hankintalaki ei kuitenkaan tarjoa keinoja sulkea pois sellaista tarjoajaa, joka vain myy tuotteita ja jonka tarjouksessa päämies ei ole mukana konsortiossa tai voimavara-alihankkijana, jos tuote on yleisesti Euroopassa hyväksytty ja saatettu markkinoille (esimerkiksi CE-merkitty tuote). Turvaluokittelu ei aina ole riittävä kriteeri, sillä tavanomaisetkin tiedot riittävässä laajuudessa ja toisiinsa yhdisteltyinä voivat olla tiedustelun kohteena. Isot tietomassat kokonaisuutena tai yhdistettynä muihin tietoihin saattavat kuitenkin olla tiedustelu- tai turvallisuusmielessä kriittisiä”, lakiluonnos kertaa EU-direktiivin taustoja.”
Kyberresilienssiä tulisi vahvistaa
”Kansallisen 10.10.2024 julkaistun kyberturvallisuusstrategian tavoitteissa todetaan muun muassa, että Suomessa otetaan etulinjassa käyttöön murrosteknologioiden hyödyt ja edellytetään sisäänrakennettua turvallisuutta. Strategian mukaan yhteiskunnan kyberresilienssiä ja toimintavarmuutta vahvistetaan siten, että kriittinen infrastruktuuri, yhteiskunnan elintärkeät toiminnot, julkiset palvelut sekä kansallisesti tärkeä yksityinen sektori ovat kybersietoisia. Strategian tavoitteena on, että Suomi kykenee suojautumaan kyberturvallisuuden tietopääoman ja pyrkii kriittisen salausteknologian omavaraisuuteen”, lakiluonnos kertaa strategiaa.
”Strategiassa korostetaan, että vastuu järjestelmien hallinnoinnista ja häiriötilanteisiin varautumisesta säilyy hankinnan tehneellä viranomaisella. Tietoteknisten tukipalvelujen hankinta saattaa edellyttää viranomaisilta erityisosaamista. Lisäksi varmistuminen toimintojen jatkuvuudesta häiriötilanteissa saattaa edellyttää varautumisvelvoitteen huomioivia sopimusjärjestelyitä. Varautumisen merkitys korostuu muun ohella tieto- ja viestintäteknisissä sekä kriittisten toimintojen jatkuvuuteen vaikuttavissa hankinnoissa.
Suomen kyberturvallisuusstrategiassa määritellään keskeiset tavoitteet ja toimintalinjat, joiden avulla vastataan kybertoimintaympäristöön kohdistuviin haasteisiin ja varmistetaan sen toimivuus. Suomen kyberturvallisuusstrategia on uudistettu pääministeri Petteri Orpon hallitusohjelman mukaisesti vastaamaa muuttunutta toimintaympäristöä. Kyberturvallisuusstrategia 2024–2035 hyväksyttiin lokakuussa 2024”, lakiehdotus luettelee.
Siirtymävaiheet erityisen alttiita kyberhyökkäyksille
”On tunnistettu, että siirtymävaiheet ovat erityisen alttiita kyberhyökkäyksille. Maantieteelliset sijainnit huomioiden on tärkeää, ettei eri alueilla Suomessa riskeerata toimivia järjestelyjä, mikä voisi aiheuttaa yhteensopivuushaasteita ja viiveitä palveluiden tuottamisessa, sekä uusia haavoittuvuuksia”, hankilakiehdotuksessa sivulla 68 todetaan.
”Erityisesti ICT-infrastruktuurin ja -palveluiden osalta sidosyksiköillä on kriittinen rooli asiakkaidensa toimintojen jatkuvuuden turvaamisessa. ICT-infrastruktuuri ja palvelut muodostavat kyberturvallisuuden näkökulmasta kokonaisuuden, jota ei voi jakaa osiin. Jakamisen ja palveluiden sirpaloitumisen riskinä on, että turvallisuuteen syntyisi aukkoja, joita ulkomaiset tiedustelutahot ja rikolliset pyrkisivät hyödyntämään.
Valtion kyberturvallisuusjohtajan näkemyksen mukaan käytettävissä olevan kyberturvallisuuden osaamis- ja tietotaso romahtaisi uudistuksen toteutuessa, sillä nykyisissä yhteistyörakenteissa osaaminen on ollut käytettävissä ja turvaamassa palveluiden jatkumista yhteisesti sidosyksiköiden kautta. Edelleen kyberturvallisuusjohtajan arvion mukaan vaikutukset olisivat nykyiset, koko ajan lisääntyvät uhkakuvat huomioiden, kestämättömät”, lakiehdotus selvittää.
Lakiuudistus aiheuttaa kriittisen osaajapulan
”Osaajia ei uudistuksen toteutuessa riittäisi kaikille niitä tarvitseville, eivätkä toisaalta taloudelliset resurssit monilla kunnilla riitä omien osaajien palkkaamiseen. Erilaiset julkisyhteisöihinkin kohdistuvat kyberturvallisuusvaatimukset ja velvoitteet kiristyvät jatkuvasti. Kybertuvallisuusjohtajan näkemyksen mukaan organisaatioiden osaaminen ei uudistuksen toteutuessa riittäisi näiden vaateiden täyttämiseen eivätkä uhkakuvat ja riskit huomioiden riittävään varautumisen tasoon”, hankintalakiehdotus selvittää.
”Esitetty sidosyksiköiden 10 prosentin vähimmäisomistusosuusvaatimus heikentäisi arvion mukaan palveluiden jatkuvuutta ja kyberturvaa erityisesti harvaan asutuilla alueilla, joilla markkinaehtoisten ratkaisujen saatavuus on erittäin rajallista. Näin ollen pienet kunnat joutuisivat järjestämään palvelunsa itsenäisesti, mikä kasvattaisi hallinnollista taakkaa ja lisäisi riskejä sekä kyberturvallisuuden, että varautumisen näkökulmasta. Kyberturvallisuutta ei voi lisätä olemassa olevien ICT-rakenteiden ja palvelujen päälle, vaan sen tulee olla sisäänrakennettuna koko ICT-arkkitehtuuriin ja toimintaan. Jos järjestelmä sirpaloituu, syntyy todennäköisesti uusia haavoittuvuuksia kyberhyökkäyksille. Kyberturvallisuuskyvykkyyden rakentaminen vie aikaa, riippumatta siitä, millaista vaihtoehtoista ratkaisumallia tarkastellaan”, lakiehdotus selvittää.
Viime kädessä valtio on vastuussa
”Valtiovarainministeriön mukaan pienten hankintayksiköiden heikko neuvotteluvoima ja markkinoiden kehittymättömyys voisi johtaa vakaviin puutteisiin kyberturvallisuudessa, tietoturvassa tai kriisitilanteisiin varautumisessa. Kyseiset toiminnot ovat tyypillisesti olleet sidosyksiköiden tuottamia palveluita, etenkin pienemmille omistajille. Tällaiset ongelmat eivät vaikuttaisi vain hankintayksiköihin, vaan ne voisivat heijastua muun muassa kuntien ja hyvinvointialueiden asukkaisiin sekä laajemmin yhteiskuntaan. Viime kädessä tällaiset puutteet ja niiden korjaaminen olisivat useasti valtion vastuulla”, hankintalakiehdotus referoi lausuntoja.
Kyberturvallisuusjohtaja: Hinta voi nousta nelinkertaiseksi, jos tietoturva yksityistetään
”Sidosyksiköiden nykyisin tuottamat ICT-palvelut ovat hankittavissa myös yksityisiltä markkinoilta. Myös yksityisellä sektorilla on tarve vastaaville palveluille, joten niille on myös runsasta kysyntää. Vaikka palveluita on saatavilla, niiden hankintaan liittyy merkittäviä haasteita, jotka koskevat erityisesti osaamisvajetta, markkinan rakennetta ja siirtymävaiheiden hallintaa. Ostajilla on osaamisvajetta, mutta myös palvelujen tarjonnassa tarvittaisiin merkittävästi lisää osaajia”, hankintalakiehdotus listaa.
”Riskejä voidaan pienentää riittävän pitkällä siirtymäajalla ja hankintojen huolellisella valmistelulla. Riskejä voitaisiin pienentää jaksossa 5.3.2.1 läpikäydyillä vaihtoehtoisilla tavoilla järjestää kyberturvallisuuspalvelut. Palvelut olisi mahdollista hankkia esimerkiksi yhdessä useiden kuntien/hyvinvointialueiden kanssa (ns. hankintarengas-yhteistyö) tai hyödyntämällä yhteishankintayksiköiden palveluja. Riskien lieventämisessä edesauttaisi myös yhteisten toimintamallien luonti, joita kunnat ja hyvinvointialueet. Lisäksi hankintaosaamisen lisäämisellä ja tukitoimilla voitaisiin pienentää ehdotuksesta aiheutuvia riskejä”, lakiehdotus toteaa sivulla 69.
”Sidosyksiköiden nykyisin tuottamat ICT-palvelut ovat hankittavissa myös yksityisiltä markkinoilta. (…) On kuitenkin mahdollista, tai jopa todennäköistä, että kustannukset nousevat. Valtio kyberturvallisuusjohtajalta saadun tiedon mukaan erään suuren hankintayksikön tekemän markkinakartoituksen perusteella 24/7 SOC-palvelut (Security Operations Center) hankittuna markkinoilta kyseiselle organisaatiolle olisivat hinnaltaan noin 3–4 kertaiset verrattuna saman palvelun hankintaan sidosyksiköltä.”
Lisääntyvät kyberturvariskit toisaalta nostavat niistä laskuttavien yhtiöiden liikevaihtoa, lakiehdotus toteaa: ”Hankinnan kohteelle sekä tarjoajille asetettavien turvallisuutta ja huoltovarmuutta koskevien vaatimusten asettamisesta voi olla positiivisia yritysvaikutuksia erityisesti sellaisille yrityksille, jotka ovat panostaneet turvallisuuteen, kyberturvallisuuteen ja toimitusketjujensa häiriönsietokykyyn. Tällaisten yrityksien voidaan arvioida saavan myös kilpailuetua ja ne voivat kasvattaa liikevaihtoaan.”
Ristiriitaisia arveluja muutoskustannuksista
Edellä kuvattuja, mahdollisesti nelinkertaistuvia kyberturvakuluja ei ole huomioitu laskelmissa, lähinnä muutoskustannuksia. Samaan aikaan kun ehdotus myöntää että ”hankintojen pakollisella jakamisella osiin on negatiivisia vaikutuksia” se esittää toiveen, että hankintojen pakollinen jakaminen voi ”edistää kilpailun ja säästöjen syntyä” (s.59). Toisaalla lakiehdotus sivuuttaa arviot suurista kustannuksista lausuntomainintoina: ”Hankintayksiköt ovat tuoneet esiin, että erityisesti ICT-hankinnoissa integraatiokustannukset ja sopimuskumppanin vaihtamisen kustannukset voivat olla merkittäviä. Lisäksi muun muassa hankintayksiköt ovat tuoneet esiin, että hankinnan jakaminen liian pieniin osiin voi johtaa vaikeasti hallittavaan kokonaisarkkitehtuuriin tai sopimushallintaan, ja kustannusten jatkuvaan kasvuun”, lakiehdotuksessa todetaan. Lakiehdotus ennustaa lakimuutoksen aiheuttaman hallinnollisen kaaoksen ja kustannusnousun lukuisilla tavoilla, muun muassa lainaamalla PricewaterhouseCoopersin selvitystä, jonka mukaan ”osassa ICT-palveluja korvaavaa markkinatarjontaa ei kuitenkaan synny heti, tai kovin nopeasti. Näin on erityisesti palveluissa, jotka sisältävät toimialakohtaista räätälöintiä, tai räätälöidyissä palveluissa.”
Lainsäädännön arviointineuvosto vaatii arviota kustannuksista
Lainsäädännön arviointineuvoston 25.11.2025 julkaistun lausunnon mukaan hankintain esitysluonnosta tulee korjata sen tekemän lausunnon mukaisesti ennen hallituksen esityksen antamista. Esitysluonnoksessa neuvoston mukaan ole ei ole esitetty tutkimustietoa tai dataa kymmenen prosentin minimiomistuksen tueksi. Lakiehdotuksen täytyisi ”suuntaa antava arvio esityksen hallinnollisesta taakasta aiheutuvista kustannuksista”. Näin ollen siinä tulisi olla arvio myös mahdollisesti nelinkertaistuvista, hankintakiehdotuksen mukaan viime kädessä valtion maksettavaksi tulevista kyberturvakuluista.
Lainsäädännön arviointineuvosto lausunnon mukaan esitysluonnoksesta ei saa selkeää käsitystä lakiuudistuksesta aiheutuvien kustannussäästöjen suuruusluokasta kokonaisuudessaan. ”Esitysluonnoksessa olisi hyvä esittää suuntaa antava arvio kokonaiskustannussäästöistä valtion, kuntien, hyvinvointialueiden ja kansantalouden näkökulmasta”, neuvosto toteaa.
Marraskuun versiossa on sivuilla 57–58 arvio säästöistä seitsemän vuoden päästä: 195–390 miljoonaa euroa. Ei siis miljardisäästöjä, kuten lakia puoltavat tahot, lähinnä viitaten yleistasolla kilpailuttamisen vaikutuksiin, ovat toistuvasti antaneet ymmärtää. Inhouse-yhtiöt kilpailuttavat jo nyt 50-70 liikevaihdostaan markkinoilta. Heti perään lakiehdotus esittelee PricewaterhouseCoopersin Oy:n laatiman arvion, jonka ”mukaan ICT- ja tietohallinnon, sekä yleis- ja taloushallinnon yritysten osalta uudistuksesta aiheutuvien muutoskustannusten arvioitiin olevan noin 30 prosenttia muutoksen kohteena olevien yritysten liikevaihdosta.”
Arvio koskettaa vain suuria, yli 15 omistajan yhtiöitä, jotka joutuvat merkittävästi muuttamaan toimintaansa uudistuksen seurauksena. ”Tämä tarkoittaisi noin 450 miljoonan euron kustannusta. Luvuissa on mukana taloushallinnon palvelut.”
Näiden ICT- ja tietohallinnon sekä yleis- ja taloushallinnon yritysten muutoskustannusten ollessa 450 miljoonaa euroalainsäätäjän oma arvio lakimuutoksen tuomista kustannussäästöitä on 195–390 miljoonaa euroa. Lakiehdotuksen samalla sivulla esittämien tietojen mukaan hankintalain uudistus aiheuttaa siis vähintään 60–255 miljoonan euron lisäkulut. Ja tässä ei ole tarkasteltu esimerkiksi kuntataloutta eikä hyvinvointialueita, joita kustannusnousu myös koskettaa, suoraan tai välillisesti. Lisäksi Kilpailu- ja kuluttajaviraston arvion mukaan ”on realistista olettaa, että säästöjä ei synny ensimmäisen 1–2 vuoden aikana, sillä kilpailutus vaatii valmistelua ja markkinoiden täytyy ehtiä reagoida muutokseen”. Alkuvuosina tulee lakiehdotuksen tietojen mukaan vähintään satojen miljoonien kustannuksia – samaan aikaan kun kunnat ja hyvinvointialueet kamppailevat vakavien talousongelmien kanssa.
Lukuisien selvityksien mukaan suunnitellun lain aiheuttamat muutoskustannukset nousevat tosiasiassa yhteensä miljardiluokkaan. Tämän lisäksi muun muassa KKV on useissa selvityksissä osoittanut, kuinka keskittyvät markkinat – johon hankintalakimuutos lukuisten arvioiden mukaan myös johtaa – nostavat pysyvästi julkishankintojen kustannustasoa.
Lue lisää:
- Hallituksen hankintalakiehdotus (11.11.2025 versio)
- Lainsäädännön arviointineuvosto: Hankinlakiehdotuksessa olennaisia puutteita
- Hankintalain uudistamista käsittelevän työryhmän mietintö.pdf (tammikuu 2025, sisältää mm. VM:n eriävän mielipiteen)
- Lausuntopalvelussa olevat 607 lausuntoa hankintalakiehdotuksesta (lausunnonantomahdollsuus päättyi 11.3.2025)
