Laki ei saa avata uusia haavoittuvuuksia – Kyberturvallisuudessa pienikin aukko riittää

Kirjoitus on julkaistu ensikerran Aamulehdessä 30.4.2026.

Hankintalain ICT-rajoitus avaa aukkoja kuntien kyberturvaan, eikä tuo toivottuja hyötyjä

Eduskunta käsittelee hankintalain muutosta. Esityksen mukaan kunta voisi jatkossa ostaa ICT-palveluja omalta yhtiöltään eli sidosyksiköltä vain, jos se omistaa siitä vähintään 10 prosenttia.

Kyse ei kuitenkaan ole teknisestä detaljista. Kyse on kuntien palveluiden laadusta ja kyberturvasta sekä taloudesta – ja sitä kautta välillisesti yhteiskunnan turvallisuudesta ja kriisinkestävyydestä.

ICT-palvelut ovat julkisen hallinnon kriittistä infrastruktuuria. Niissä käsitellään kuntalaisten henkilötietoja, ylläpidetään keskeisiä palveluja ja paikkatietoja sekä turvataan kuntien varautumista myös poikkeusoloissa. Näiden palvelujen on toimittava häiriöttä ja turvallisesti joka päivä.

Suomessa tätä kokonaisuutta on rakennettu useassa maakunnassa alueellisten ICT-sidosyksiköiden varaan. Ne kokoavat yhteen kuntien osaamisen, resurssit ja tietoturvakyvykkyyden. Näin on syntynyt vahvoja osaamiskeskittymiä, jotka vastaavat muun muassa kyberturvavalvonnasta ja häiriötilanteiden ratkomisesta.

Nyt tätä rakennetta ollaan purkamassa.

Yrittäjäjärjestöt ovat myyneet sidosyksiköiden käyttörajoitusta jäsenilleen lupaamalla jopa miljardin euron edestä uutta ICT-kysyntää. Kun ymmärrys asiasta on lakivalmistelun edetessä syventynyt, tämä arvio on kuitenkin kutistunut murto-osaan, muutamiin kymmeniin miljooniin, jotka nekin ovat epävarmoja. Samalla sivuutetaan se, mitä ollaan menettämässä, turvallisuusriskit kasvavat ja voi syntyä vuosien markkinakaaos.

Kun toimivia kuntien yhteistyörakenteita puretaan, palvelurakenne sirpaloituu. Osaaminen hajaantuu ja vastuut pirstaloituvat. Erityisen riskialtis on siirtymävaihe, jossa yhteistyörakenteita järjestellään ja järjestelmiä kilpailutetaan uudelleen – juuri silloin kyberhyökkäykset todennäköisimmin onnistuvat.

Seuraukset voivat olla konkreettisia. Kuntalaisten henkilötiedot voivat vuotaa. Kriittiset tietojärjestelmät voivat häiriintyä. Kuntien turvallisuussuunnitelmiin liittyvä tieto voi vaarantua.

Kyberturvallisuus on ketju, joka on vain niin vahva kuin sen heikoin lenkki. Siksi rakenteita, jotka vahvistavat kokonaisuutta, ei pitäisi purkaa kevyin perustein.

Samaan aikaan kunnille syntyy mittavia kustannuksia. Arviolta jopa satoja miljoonia euroja. Kyse ei ole vain kertaluonteisista muutoskuluista, vaan myös pysyvien hallintokulujen noususta. ICT-osaamista joudutaan rakentamaan uudelleen, usein hajautetummin ja kalliimmin. Tuloksena voi olla huonommat palvelut ja heikompi tietoturva korkeammalla hinnalla.

Onko meillä varaa heikentää kuntien kyberturvaa ja rasittaa niiden taloutta entisestään epävarmojen ja suhteessa pienten kansan- ja yritystaloudellisten hyötyjen toivossa?

Eduskunnalla on vielä mahdollisuus korjata esitystä. Kuntien ICT-sidosyksiköt tulee jättää 10 prosentin omistusrajan ulkopuolelle tai niille on säädettävä riittävät poikkeukset. Esimerkiksi omistusprosenttirajaa voi pienentää tai prosenttirajoituksen vaihtoehdoksi voi asettaa 15 miljoonan euron rajan sidosyksikön liikevaihdolle, jota se ei ole kilpailuttanut markkinoilta. Lisäksi siirtymäaikoja tulisi pidentää merkittävästi. Lakiesityksen käsittelyssä eduskunnan hallintovaliokunta on nostanut esiin samansuuntaisia muutostarpeita. 

Uusi laki ei saa avata uusia haavoittuvuuksia. Kyberturvallisuudessa pienikin aukko riittää.