Valtion kyberturvallisuusjohtaja Rauli Paananen varoittaa, että hallituksen hankintalain uudistus voi romahduttaa Suomen kyberturvan ja moninkertaistaa kustannukset.

Valtion kyberturvallisuusjohtaja Rauli Paananen varoittaa, että hallituksen valmistelema hankintalain uudistus voi toteutuessaan vakavasti heikentää Suomen kyberturvallisuutta. Paanasen mukaan erityisesti sidosyksiköitä koskeva 10 prosentin vähimmäisomistusvaatimus uhkaa murentaa nykyiset ICT- ja kyberturvarakenteet, joihin kunnat, hyvinvointialueet ja osa valtionhallintoa nojaavat. Asiasta kerrotaan Kustos ry:n 10.2.2026 julkaisemassa tiedotteessa.

“Kustannukset moninkertaistuvat ja osaaminen katoaa”

Paananen varoittaa, että lakiesitys heikentäisi merkittävästi julkisen sektorin käytettävissä olevaa kyberturvaosaamista. Lisäksi käytettävissä olevan kyberturvallisuuden osaamis- ja tietotaso heikkenisi merkittävästi, mikäli sidosyksiköiden roolia kavennetaan.

Nykyiset yhteistyörakenteet ovat mahdollistaneet kriittisen osaamisen jakamisen ja palveluiden jatkuvuuden. Lakiluonnoksessa todetaan, että sidosyksiköillä on keskeinen rooli ICT-infrastruktuurin ja -palveluiden jatkuvuuden turvaamisessa – rooli, jota markkinaehtoiset toimijat eivät kaikilla alueilla kykene korvaamaan.

Markkinaselvitysten mukaan kyberturvapalveluiden kustannukset voivat nousta 3-4 kertaisiksi, mikäli palvelut siirretään sidosyksiköiltä yksityisille toimijoille. Erityisesti ympärivuorokautiset SOC-palvelut ovat huomattavasti kalliimpia markkinoilta hankittuina.

Paananen varoittaa markkinavertailun osoittavan, että palvelun siirtäminen yksityisille toimijoille kolmi–nelinkertaistaisi kustannukset.

Kyberturvaa ei voi “liimata päälle”

Lakiluonnos korostaa, että kyberturvallisuus on osa koko ICT-arkkitehtuuria eikä irrallinen lisäpalikka. Palveluiden pilkkominen ja pakollinen kilpailuttaminen lisäävät haavoittuvuuksia, joita ulkomaiset tiedustelutoimijat ja rikolliset voivat hyödyntää.

Erityisen riskialttiita ovat siirtymävaiheet, joissa järjestelmiä ja toimittajia vaihdetaan – juuri niitä tilanteita, joita lakiesitys lisäisi.

Pienet kunnat vaarassa jäädä oman onnensa nojaan

Huoli kohdistuu erityisesti pieniin ja harvaan asuttuihin kuntiin, joilla ei ole resursseja järjestää vaativia kyberturvapalveluja itsenäisesti. Sidosyksiköt ovat tarjonneet niille mittakaavaetuja, osaamista ja jatkuvuutta tilanteessa, jossa henkilöstön vaihtuvuus on suurta ja kilpailu osaajista kovaa.

Lakiesityksen mukaan uudistus voisi johtaa vakavaan osaajapulaan ja kyvyttömyyteen täyttää kiristyviä kansallisia ja EU-tason vaatimuksia, kuten NIS2-direktiiviä ja Cyber Resilience Actia.

Arviointineuvosto tyrmää esityksen perustelut

Lainsäädännön arviointineuvosto vaatii esityksen perusteellista korjaamista. Neuvoston 25.11.2025 antaman lausunnon mukaan hallituksen esitysluonnoksesta puuttuu tutkimustieto ja data, joka tukisi 10 prosentin minimiomistusvaatimusta.

Neuvosto huomauttaa, että esityksessä ei ole arvioitu hallinnollisen taakan kasvua eikä mahdollisesti nelinkertaistuvien kyberturvakustannusten suuruutta – kustannusten, jotka lakiesityksen mukaan jäisivät viime kädessä valtion maksettaviksi.

Kyberturvan pettäminen heijastuisi koko yhteiskuntaan

Lakiluonnoksessa itsessäänkin myönnetään, että vakavat puutteet kyberturvassa, tietoturvassa tai varautumisessa eivät rajoitu yksittäisiin hankintayksiköihin. Vaikutukset ulottuvat kuntien ja hyvinvointialueiden asukkaisiin ja lopulta koko yhteiskuntaan.

Viime kädessä vastuu puutteiden korjaamisesta ja kustannuksista olisi valtiolla.

