Johdanto

Osiossa 8 tarkastellaan kuntien digitaalisen turvallisuuden erityispiirteitä (kysymykset 48-53). Ensin tarkastellaan kuntien yleistä kokemusta siitä, miten keskeiset tietoturvavaatimukset täyttyvät niiden toiminnassa: eli miten tiedonhallintalain 4. luvun (tietoturva) vaatimukset toteutuvat, miten digitaalinen ympäristö on huomioitu jatkuvuus- ja valmiussuunnittelussa, ja onko kunnassa käytössä järjestelmällinen, kyberturvallisuuden riskit huomioiva riskienhallintamalli (kysymys 48). Kysymyksessä 49 arvioidaan, miten usein kunnissa katselmoidaan digitaalisen turvallisuuden riskejä ja niiden hallintatoimenpiteitä sisäisten ja ulkoisten sidosryhmien kanssa. Seuraavaksi selvitetään, miten tietoturvavastaavan ja tietosuojavastaavan tehtävät on järjestetty kunnassa (k50) ja miten vastaajat arvioivat tietoturvaan ja tietosuojaan tehtävien panostusten kehittyvän lähivuosina (k51). Vastaajat kertoivat myös keskinäisriippuvuuksista kunnan ICT-palvelutuotannon ja kuntaomisteisen kriittisen infran toimijoiden välillä (k52). Vastaajilla on myös ollut mahdollisuus taustoittaa vastauksiaan avoimessa kysymyskohdassa (k53).

Digitaalinen turvallisuus kattaa käsitteenä kyberturvallisuuden, tietoturvallisuuden (tekninen ja hallinnollinen) ja tietosuojan sekä niihin liittyvän jatkuvuudenhallinnan ja varautumisen. 

Kunnilla on vielä kehittämistä lakisääteisten tietoturvavaatimusten toimeenpanossa (Kysymys 48)

 Kysymyksessä ”48. Arvioi seuraavien väittämien paikkansapitävyyttä kuntasi näkökulmasta,” vastaajat saivat valita kolmessa eri alakysymyskohdassa tilannettaan parhaiten kuvaavan vaihtoehdon viidestä vaihtoehdosta. Kysymykseen vastasi 143-146 kuntaa kaikista kyselyyn vastanneista 159 kunnasta. Tämä tarkoittaa noin 91 % kyselyyn vastanneista kunnista ja noin 50 % Manner-Suomen kunnista. Kuvaaja 8.1 esittää vastausten jakauman.

Kuvaaja 8.1: ”Valittujen digiturvan osa-alueiden toteutuminen kunnissa”

Tiedonhallintalain 4. luvun vaatimusten toteutuminen

Vuonna 2020 voimaan tulleen tiedonhallintalain luku 4 sisältää julkisen hallinnon (mukaan lukien kunnat) tiedonhallintaan sovellettavat tietoturvavaatimukset. Vastaajista 18 % näkee, että luvun 4 vaatimukset toteutuvat kunnassa täysin (”kyllä” -vastausvaihtoehdon valinneet). Valtaosassa kunnista tilanne on ilmeisesti melko hyvä, koska edellisen rinnalla 64 % vastaajista arvioi, että vaatimukset toteutuvat ”suurelta osin”.  Kunnista 16 %:ssa lain vaatimukset toteutuvat vain pieneltä osin.

Kaikki yli 100 000 asukkaan kunnat kokevat, että tiedonhallintalain 4. luvun vaatimukset toteutuvat niiden toiminnassa ”suurelta osin”. Kaikista muista kuntakokoluokista löytyy vastaajia, jotka arvioivat, että nämä vaatimukset toteutuvat täysin (”kyllä” -vastaus). Näin vastanneiden osuus vaihtelee välillä 11 - 28 %. Yli 20 % osuudet löytyvät 2 000 - 5 999, 10 000 - 19 999 ja 20 000 - 39 999 asukkaan kuntakokoluokista. Toisessa ääripäässä alle 2000 asukkaan kunnista 44 % ja 6 000 - 9 000 asukkaan kunnista 27 % arvioi, että lain 4 luvun vaatimukset toteutuvat pieneltä osin.   

Digitaalisen ympäristön huomioiminen jatkuvuus- ja valmiussuunnittelussa

Jatkuvuus- ja valmiussuunnittelua käsittelevässä alakysymyksessä vastaajista 22 % arvioi, että kunnan jatkuvuus- ja valmiussuunnittelussa on huomioitu toiminta digitaalisessa toimintaympäristössä. Kunnista 43 %:lla asia on huomioitu suurelta osin ja 28 %:lla pieneltä osin. Vastaajista 4 % katsoo, ettei asiaa ole huomioitu ollenkaan. 

Pääsääntöisesti voi todeta, että digitaalinen toimintaympäristö on huomioitu jatkuvuus- ja varautumissuunnitelmissa sitä useammin kattavasti, mitä suuremmasta kunnasta on kyse. Yhden kokoluokan poikkeusta lukuun ottamatta yli 6 000 asukkaan kuntakokoluokissa yli 26 % vastanneista arvioi, että asia on huomioitu kattavasti (”kyllä” -vastaus”). ”Suurelta osin” vastanneiden osuudet vaihtelevat 33 - 63 %:n välillä. ”Pieneltä osin” vastanneita löytyy suhteessa eniten pienemmistä kuntakokoluokista. Alle 10 000 asukkaan kunnista 33 - 36 % vastaajista, kun taas tätä suuremmissa osuudet ovat välillä 16 - 24 %. ”Ei” vastanneiden osuus on olennainen vain pienimmässä, alle 2000 asukkaan kuntien kokoluokassa (33 %, eli kolme vastaajaa). 

Järjestelmällisen riskienhallintamallin käyttö kunnassa

Alle puolet vastaajista kokee, että kunnassa on käytössä järjestelmällinen kyberturvallisuuden riskit huomioiva riskienhallintamalli. Kunnista 21 % vastasi ”kyllä” ja 25 % ”suurelta osin. Yli kolmannes, eli 37 %, vastaajista näkee, että asia toteutuu ”pieneltä osin” ja 14 %, ettei se toteudu. 

Erot kuntakokoluokkien välillä korostuvat tässä jopa edellisiä alakysymyskohtia enemmän. Yli 100 000 asukkaan kunnista 57 % vastasi ”kyllä” ja 43 % ”suurelta osin”. Käytännössä tällöin voisi olettaa kyberturvallisuuden huomioivan riskienhallintamallin olevan melko hyvin käytössä suurimmissa kunnissa. Seuraavassa kokoluokassa 40 000 - 99 999 asukkaan kunnissa 38 % vastasi ”kyllä” ja 25 % ”suurelta osin”, kun taas kolmannes (31 %) vastasi ”pieneltä osin”. Kuntakokoluokassa 20 000 - 39 999 asukasta vastaukset ovat samansuuntaiset kuin yhtä suuremmassa kokoluokassa. Kuitenkin ”suurelta osin” vastanneiden määrä on vain 5 % ja tästä kokoluokasta (sekä pienemmistä) alkaa jo löytyä myös ”Ei” vastauksen antaneita (16 %). 

Kuntakokoluokista 2000 ja 19 999 välille asettuvissa kunnissa noin 40 % vastanneista arvioi riskienhallintamallin olevan täysin tai suurelta osin käytössä. ”Kyllä” vastaajien osuus on sitä pienempi, mitä pienemmästä kokoluokasta on kyse. Malli on käytössä pieneltä osin 40 - 48 % kunnista ja sitä ei ole käytössä 11 - 16 % :lla. Alle 2000 asukkaan kunnat erottuvat joukosta siten, että niistä yhdelläkään ei ole täysin tällaista riskienhallintamallia käytössä, 11 %:lla (yksi vastaaja) sellainen löytyy ”suurelta osin” käytössä ja 33 %:lla pieneltä osin, kun taas 56 %:lla sellaista ei ole käytössä. 

Johtopäätökset (kysymys 48): tietoturvavaatimusten ja riskienhallintamallin toimeenpano kunnissa vaatii vielä huomioita ja kehittämistä

Tiedonhallintalain 4. luvun vaatimusten toteutuminen

Tiedonhallintalaki on ollut voimassa yli viisi vuotta. Lain luvussa 4 esitetyt tietoturvallisuutta koskevat vaatimukset ovat kansainvälisessäkin katsannossa melko edistykselliset. Vaatimukset ovat eritasoisia, osa liittyy yleisesti toimintamalliin kuten velvoite seurata toimintaympäristön tilannetta, asettaa tietoturvavaatimukset riskilähtöisesti huomioiden koko tiedonhallinnan elinkaari (13.1 §) kun taas osa on yksityiskohtaisempia kuten velvollisuus testata järjestelmien vikasietoisuus (13.2 §) tai toteuttaa salaus siirrettäessä salassa pidettävää tietoa tietoverkossa (14 §). 

Tiedonhallintalautakunta tukee tiedonhallintalain toimeenpanoa mm. vastaamalla tiedonhallintayksiköiden kysymyksiin toimeenpanosta ja laatimalla suosituksia. Tiedonhallintalautakunnan resurssit ovat kuitenkin olleet rajalliset, eikä esimerkiksi aktiivista ja laajaa tukea ja neuvontaa tiedonhallintayksiköille ole ollut tarjolla. Luvun 4 vaatimuksiin liittyvän suosituskokoelman viimeinen osa valmistui vuonna 2024. Lisäksi kansallisella tasolla ei ole toteutettu tiedonhallintalain 4 luvun toimeenpanon valvontaa.

Edellä mainituista syistä, saadut tulokset ovat ymmärrettäviä. Lain vaatimukset ovat monitahoiset ja laajat. Ne kohdistuvat samantasoisina niin suuriin kuin pieniinkin kuntiin, vaikka resurssit ovat niissä aivan erilaiset. Lain toimeenpanoon on tarjottu vain vähäistä - joskin sekin hyvin tarpeellista - tukea. Lisäselvitystä tarvittaisiinkin siitä, miltä osin eritaustaiset kunnat ovat kokeneet haasteita tiedonhallintalain 4. luvun toimeenpanossa. Sen perusteella tulisi kohdistaa entistä parempaa ja kohdennetumpaa tukea lain kattavan toimeenpanon mahdollistamiseksi. Tarvittaessa myös muunlaisia toimenpiteitä tulisi pohtia. 

Digitaalisen ympäristön huomioiminen jatkuvuus- ja valmiussuunnittelussa

Kunnan koko ja organisoituminen vaikuttavat merkittävällä tavalla siihen, miten kunnan jatkuvuus- ja valmiussuunnittelu on vastuutettu ja organisoitu. Päävastuu niistä voi useinkin olla turvallisuus- tai valmiuspäälliköllä. Olisi tärkeää, että jatkuvuus- ja valmiussuunnittelun tarve ja vaatimukset huomioitaisiin kunnissa sekä tietohallinto- ja ICT-palveluiden järjestämisen että yleisemminkin koko kunnan valmiussuunnittelun näkökulmista. Kunnan omaan harkintaan jää, miten ne sovitetaan yhteen. Olennaista olisi myös huomioida jatkuvuuden ja valmiuden vaatimukset hankintasopimuksissa, jotta edellytykset niiden toteuttamiselle olisivat olemassa. Nykyisessä toimintaympäristössä, jossa kyberuhkat ovat pikemminkin lisääntymässä kuin vähenemässä, jatkuvuus- ja valmiussuunnittelussa tulisi jokaisessa kunnassa huomioida kattavasti myös toiminta digitaalisessa ympäristössä. Tähän on myös selkeät lakisääteiset velvoitteet tiedonhallintalain luvussa 4 (13a.3 §). 

Järjestelmällisen riskienhallintamallin käyttö kunnassa

Tiedonhallintalain 13 §:n mukaan ” Tiedonhallintayksikön on selvitettävä olennaiset tietojenkäsittelyyn kohdistuvat riskit ja mitoitettava tietoturvallisuustoimenpiteet riskiarvioinnin mukaisesti.” Tiedonhallintalautakunnan suosituksessa tietoturvallisuuden vähimmäisvaatimuksista kuvataan riskienhallintavaatimusta tarkemmin mm. näin: ”Riskienhallinta on kokonaisuus, johon kuuluu riskien arviointi, tietoturvallisuustoimenpiteiden suunnittelu tunnistettujen riskien perusteella, jäännösriskien hyväksyminen sekä tietoturvallisuustoimenpiteiden toteuttaminen. Riskienhallinnan tulee olla jatkuvaa ja suunnitelmien toteutumista sekä toteutettujen tietoturvallisuustoimenpiteiden vaikuttavuutta tulee arvioida säännöllisesti.” Kuntia koskevassa lainsäädännössä ei ole erikseen vaadittu toteuttamaan järjestelmällistä kyberturvallisuuden riskit huomioivaa riskienhallintamallia, mutta informaatio-ohjauksen perusteella voisi pitää ilmeisenä, että tiedonhallintalain riskilähtöisen toiminnan vaatimusten täyttämiseen tarvitaan järjestelmällistä ja määrämuotoista riskienhallintaa. 

Vuonna 2025 voimaan tulleessa kyberturvallisuuslaissa ja uudessa tiedonhallintalain 4 a luvussa, joilla toimeenpannaan kansallisesti EU:n NIS2-direktiivin vaatimukset, on vaatimukset kyberturvallisuuden riskienhallintamallista. Peruskunnat eivät kuitenkaan kuulu näiden säädösten soveltamisalaan. Suurimpien kuntien kriittisen infran toiminnot (vesi-, lämpö- tai jätelaitos) kuuluvat näiden säädösten soveltamisalaan, jos niiden toiminnan kokoluokka on riittävän suuri. Läheskään kaikkien kuntien vastaavat toiminnot tai yhtiöt eivät kuitenkaan ylitä kokoluokkarajoja. Liikenne- ja viestintäviraston Traficomin Kyberturvallisuuskeskus on laatinut säädösten toimeenpanon tueksi suosituksen NIS2 valvoville viranomaisille. Se sisältää näkemyksiä kyberturvallisuuden riskienhallintamallin toimeenpanon vaatimuksista. Kunnat voivat tutustua suositukseen hyvänä käytäntönä ja oman toimintansa kehittämisen tukena.

Kuntien riskienhallintaa tulisi edelleen kehittää kyberturvallisuuden riskien huomioimisen osalta siten, että kaikissa kunnissa olisi riittävä ymmärrys kyberturvallisuuden riskienhallinnan vaatimuksista ja kyky toimeenpanna vaatimukset riittävällä tasolla omassa toiminnassa. Tässä tarvitaan myös kansalliselta tasolta toteutettuja riskienhallintatoimenpiteitä sekä tukea, neuvontaa ja informaatio-ohjausta - kuntien välistä vertaisyhteistyötä unohtamatta.

Kuntien tulisi pyrkiä järjestelmälliseen kyberturvariskien ja niiden hallintatoimenpiteiden käsittelyyn eri toimielimissä (Kysymys 49)

Kysymyksessä ”49. Miten usein seuraavien tahojen kanssa katselmoidaan kunnan digitaalisen turvallisuuden riskejä ja niiden hallintatoimenpiteitä?” vastaajat saivat valita kahdeksassa alakohdassa parhaiten kuvaavan vaihtoehdon neljästä vaihtoehdosta. Kysymykseen vastasi 144-150 kuntaa kaikista kyselyyn vastanneista 159 kunnasta. Tämä tarkoittaa noin 91-94 % kyselyyn vastanneista kunnista ja noin 50 % kaikista Manner-Suomen kunnista. Kuvaaja 8.2 esittää vastausten jakauman kuntakokoluokittain.

Kuvaaja 8.2: ”Miten usein seuraavien tahojen kanssa katselmoidaan kunnan digitaalisen turvallisuuden riskejä ja niiden hallintatoimenpiteitä”

Kunnissa digiturvan riskejä ja niiden hallintatoimenpiteitä tarkastellaan säännöllisesti erityisesti tietohallintotiimissä (63 %), keskeisten ICT-palveluntoimittajien kanssa (46 %) ja kunnan johtoryhmässä (43 %). Toimialojen johtoryhmissä (21 %) ja kriittiseen infraan kuuluvien liikelaitosten johdon kanssa (28 %) nousivat vaihtoehtoina yli 20 % osuuksiin. 

Tyypillisin toimintatapa kaikissa tarkastelluissa ryhmissä oli tapauskohtainen tarkastelu. Sen osuus vaihtoehdoista vaihteli 25:stä 54 %:iin. Jos yhdistetään säännöllinen ja tapauskohtainen tarkastelu vaihtoehtoina, nähdään, että digitaalisen turvallisuuden riskejä ja niiden hallintatoimenpiteitä käsitellään ylipäätään jollain tavalla pääosassa kuntien johtoryhmistä (93 %) ja tietohallintotiimeistä (88 %) sekä keskeisten ICT-palveluntoimittajien kanssa (93 %). Melko kattavat tulokset tulivat myös käsittelystä kunnan toimialojen johtoryhmissä (75 %) ja kunnanhallituksissa (73 %). 

”Ei koskaan” vastauksia tuli vähän paitsi valtuuston (39 %) ja kunnanhallituksen (18 %) kohdalla. Kiinnostavaa on myös se, että vastaajista 38 % ei tiennyt, käsitelläänkö aihetta kriittiseen infraan kuuluvien kunnan omistamien yhtiöiden hallituksissa tai liikelaitosten johdossa (30 %). 

Kuntakokoluokkien vastausjakaumat olivat pääosassa alakohdista melko samansuuntaiset kokoluokasta riippumatta. Joissakin alakohdissa ”säännöllinen” vastaukset olivat hieman yleisempiä suurimmissa kokoluokissa. Poikkeuksen muodostaa ”tietohallintotiimi” -alakohta, jossa ”säännöllisesti” vastauksen osuus yli 100 000 asukkaan kunnissa on 100 % ja laskee siitä lähes lineaarisesti päätyen alle 2000 asukkaan kunnissa 22 %:iin vastanneista. Alle 40 000 asukkaan kuntaryhmissä ”tapauskohtaisesti” vaihtoehdon valinneiden osuus on noin 30 %. Alle 10 000 asukkaan kunnissa löytyy myös ”ei koskaan” vaihtoehdon valinneita, joiden osuus vastaajista on noin 10 %. Lisäksi ”en osaa sanoa” vastaajia löytyy alle 6 000 asukkaan kunnista 18-33 %. 

Johtopäätökset (kysymys 49): Kyberturvariskien käsittelyssä tulisi päästä tapauskohtaisesta säännönmukaiseen kaikilla tasoilla

Vaikuttaa hyvältä, että lähes kaikki kyselyyn vastanneet kunnat käsittelevät digitaalisen turvallisuuden riskejä ja niiden hallintatoimenpiteitä keskeisten ICT-palveluntoimittajiensa kanssa sekä kunnan johtoryhmissä ja tietohallintotiimeissä ainakin tapauskohtaisesti. Jokaisen kunnan tavoitteena olisi kuitenkin hyvä olla ”säännöllisyys” tässä ja muissakin alakohdissa. 

Vaikka NIS2-direktiivi ei koske suoraan kuntia, hyvänä käytäntönä alkaa nostaa päätään vaatimus siitä, että organisaatioiden ylin johto ymmärtää perusteet digitaalisen turvallisuuden (lue kyberturva, tietoturva ja tietosuoja) riskienhallinnasta. Johdon tulee varmistaa se, että riittävät vastuut ja toimintamallit on otettu käyttöön kunnassa ja että niitä valvotaan (vrt. esim. tiedonhallintalaki 4.2 § ja 13 §) - myös organisaation omistamissa tai operoimissa suurissa kriittiseen infraan kuuluvissa toiminnoissa (vrt. kyberturvallisuuslaki). Siksi olisi hyvä pohtia ja määritellä, mitä kyberturvallisuuteen liittyviä näkökulmia kannattaisi käsitellä minkäkin kunnan johdon toimielimen asialistalla, ja mitä säännönmukaisuus näiden eri toimielinten näkökulmasta tarkoittaa. Valtuuston kanssa asiaa ei varmastikaan kannata käsitellä yhtä usein ja samalla tavoin kuin kunnanhallituksen, saati kunnan johtoryhmän kanssa. Tärkeää olisi varmistaa, että aihe nousee riittävällä tavalla myös kriittisen infran toimintojen kuten vesi- ja lämpölaitosten ja -yhtiöiden hallituksen tai ylimmän johdon ja ohjauksen asialistalle säännönmukaisesti ja oikeantasoisena. 

Erikokoisissa kunnissa voi olla eri tavoin järjestäytyneitä tietohallintotiimejä ja tietohallinnon ohjausrakenteita. Riippumatta siitä, onko kunnalla virallinen tietohallintotiimi vai vain oman toimen ohessa toimiva muunlainen tietohallintoasioita käsittelevä ryhmä, tulee sen asialistalla olla säännönmukaisesti kattava digiturvariskien ja niiden hallintatoimenpiteiden tarkastelu. 

Pääosa kunnista järjestää tietoturvavastaavan ja tietosuojavastaavan toiminnot itse (Kysymys 50)

 Kysymyksessä ”50. Miten seuraavien tehtävien pääasiallinen toteuttaminen on järjestetty kunnassani?” vastaajat saivat valita kahden alakohdan, tietoturva ja tietosuoja, kohdalla kuudesta eri vaihtoehdosta sopivimman. Kysymykseen vastasi 150-151 kuntaa kaikista kyselyyn vastanneista 159 kunnasta. Tämä tarkoittaa noin 95 % kyselyyn vastanneista kunnista ja noin 51 % kaikista Manner-Suomen kunnista. Kuvaaja 8.3 esittää vastausten jakauman alakohdittain.

Kuvaaja 8.3: ”Miten tietoturva- ja tietosuojavastaavan toiminnot on pääasiallisesti järjestetty kunnassa”

Pääosa kunnista järjestää tietoturva- ja tietosuojavastaavan toiminnot itse (78-79 %). Osa alueellisten ja kansallisten sidosyksiköiden asiakkaista hyödyntää yhtiötään näiden toimintojen järjestämisessä (9 % ja 1-2 %). Kuntayhteistyönä näitä toimintoja järjestää 5 % vastaajista ja ostopalveluna suoraan markkinalta 3- 5 % vastanneista. 

Kaikki yli 20 000 asukkaan kunnat järjestävät tietoturvavastaavan toiminnot itse. Kunnista 80 % järjestää tämän toiminnon itse 6 000 - 19 999 asukkaan kunnissa. Näissä kuntakokoluokissa muita mainittuja vaihtoehtoja ovat alueellisen sidosyksikön tai kuntayhteistyön kautta järjestäminen. Pienimmistä kuntakokoluokista 2 000 - 5 999 asukkaan kunnista 68 % järjestää tietoturvavastaavan toiminnot pääasiassa itse ja hyödyntäen erilaisia muita järjestämisvaihtoehtoja. Alle 2000 asukkaan kunnissa tietoturvavastaavan toiminto järjestetään itse 20 %:ssa vastanneista kunnista ja muuten hyödynnetään muita edellä mainittuja järjestämisvaihtoehtoja. Tietosuojavastaavan toiminnon järjestämisen osalta eri kuntakokoluokissa on melko lailla samantyyppinen tilanne kuin tietoturvavastaavan osalta. 

Valtaosa kunnista ennakoi tietoturva- ja tietosuojapanostusten lisääntyvän lähivuosina (Kysymys 51)

 Kysymyksessä ”51. Miten arvioit kuntasi tietoturvaan ja tietosuojaan tekemien panostusten (toimintamenot, investoinnit, oma työpanos) kehittyvän seuraavien kahden vuoden aikana?” vastaajat saivat valita kahdessa alakohdassa parhaiten kuvaavan vaihtoehdon neljästä vaihtoehdosta. Kysymykseen vastasi 150 kuntaa kaikista kyselyyn vastanneista 159 kunnasta. Tämä tarkoittaa noin 94 % kyselyyn vastanneista kunnista ja noin 51 % kaikista Manner-Suomen kunnista. Kuvaaja 8.4 esittää vastausten jakauman alakohdittain.

Kuvaaja 8.4: ”Miten kunnissa arvioidaan tietoturva- ja tietotosuojapanostusten kehittyvän seuraavien kahden vuoden aikana”

Pääosa vastaajista näkee tietoturvaan (76 %) ja tietosuojaan (59 %) kohdistuvien panostusten kasvavan seuraavien kahden vuoden aikana. Näiden panostusten vähenemistä ennakoi vain pieni osa vastaajista (3 %). Osa kunnista näkee tilanteen pysyvän ennallaan tietoturvan (19 %) ja tietosuojan (35 %) osalta. 

Tarkasteltaessa tilannetta kuntakokoluokittain, suhteessa eniten tietoturvapanostusten lisääntymistä ennakoivia kuntia (88 - 95 %) löytyi 20 000 - 99 999 asukkaan kunnista. Suhteessa eniten panostusten ennallaan pysymistä ennakoivia kuntia löytyi alle 2000 asukkaan (44 %) ja yli 100 000 asukkaan (38 %) kunnista. Tietosuojan osalta (yhtä poikkeusta lukuun ottamatta) panostusten kasvua ennakoitiin sitä useammin, mitä suuremmasta kuntakokoluokasta on kyse. Alle 2000 asukkaan kunnista 33 % vastaajista arvioi tietosuojapanostusten kasvavan, kun taas yli 100 000 asukkaan kunnista 75 % ennakoi kasvavia panostuksia.

Kunnat ja kriittisen infran toimijat (Kysymys 52)

 Kysymyksessä ”52. Järjestääkö kuntasi perus-ICT-, tietohallinto- tai ohjelmistopalveluita kuntasi alueella toimivalle ja kuntasi omistamalle kriittisen infrastruktuurin toimijalle (toimii kunnan sisällä taseyksikkönä / liikelaitoksena tai kunnan omistaman yhtiönä)?” vastaajat saivat valita neljästä vaihtoehdosta kaikki kunnan tilanteeseen sopivat. 

Tämän kysymyksen vastauksia ei raportoida julkisessa raportissa.

Kunnat kaipaavat moninaista tukea ja yhteistyötä digiturvan kehittämiseen (Kysymys 53)

 Kysymyksessä ”53. Voit halutessasi tarkentaa tähän osioon antamiasi vastauksia.” vastaajat saivat tarkentaa digiturvakysymyksiin antamiaan vastauksia tai muuten kommentoida digiturvan tilannetta. Kysymykseen vastasi 17 kuntaa kaikista kyselyyn vastanneista 159 kunnasta. Tämä tarkoittaa noin 11 % kyselyyn vastanneista kunnista ja noin 4 % kaikista Manner-Suomen kunnista. 

Havainnot ja johtopäätökset (kysymys 53)

Vapaat kommentit taustoittavat  tämän osion monivalintakysymysten vastauksia olennaisella tavalla. Siksi useampi kommentti on nostettu alle sitaattina. 

Yksi vastaaja pohti syitä tarpeelle panostaa digiturvan kehittämiseen: 

”Maailmantilanteesta johtuen joudutaan tietoturvajärjestelmiin satsaamaan aikaisempaa enemmän.” (2000-5999 asukkaan kunta)

Osa vastaajista on jo ehtinyt investoida digiturvaan, mutta osalla merkittäviä investointeja on vielä edessä:

”Tietoturvaan on satsattu niin paljon viime vuosina, että ne [panostukset] pysyvät todennäköisesti hetken ennallaan.” (yli 100 000 asukkaan kunta)

”Pienikin panostus asiaan on kehittämistä. Asian tärkeys ja kriittisyys on hiljalleen tunnistettu, mutta panostuksia asian suhteen ei ole tehty. Yleiset ohjeistukset ja ohjaustarvetta pienissä kunnissa on paljon, sillä kehitystyö jää usein arjen kiireiden jalkoihin. Esim. hyödyntämättä on kehittämispotentiaali kuntayhteistyön kautta.” (2000-5999 asukkaan kunta)

Panostuksia tehdään erityyppisten kokonaisuuksien parannuksiin:

”Kehittämisfokus on päästä NIS2-tasolle” (20 000-39 999 asukkaan kunta)

”Siirtyminen enemmän perinteisestä kookosmallista (kova kuori (ulkoverkon reuna), pehmeä ydin (sisäverkko)) enemmän zero trust -ajatteluun ja toteutukseen, jossa käyttäjään / laitteeseen ei lähtökohtaisesti luoteta ja käyttäjä/laite saa vain tarvitsemansa pääsyoikeudet.” (6000-9999 asukkaan kunta)

”Fokuksessa ensi vuonna on tietojen minimointi ja automatisoidut arkistointiprosessit, sekä auditoinnit.” (20 000-39 999 asukkaan kunta)

”Kaksivaiheisen tunnistautumisen käyttöönotto kaikille, joilla on kaupungin domainin käyttäjätunnus.” (20 000-39 999 asukkaan kunta)

Kolme vastaajaa tunnisti haasteet digiturva-asioiden henkilöitymisessä:

”Tietohallintotiimi = kunnan ICT-asiantuntija” (alle 2000 asukkaan kunta)

”Kaikki asiat ovat pääsääntöisesti yhden henkilön varassa, kun hän lähtee koko ICT/kyberturva alkaa taantumaan vanhoihin puuhastelu käytäntöihin, joissa ei aidosti huomioida mitään.” (10 000-19 999 asukkaan kunta)

”Digitaalisen turvallisuuden hallinnan kehittäminen on tärkein fokus lähivuosina. Digitaalinen turvallisuus ei voi olla pienen osaajajoukon vastuulla pelkästään.” (40 000-99 999 asukkaan kunta)

Kolme vastaajaa arvioi tukitarpeita tietoturvan ja tietosuojan kehittämiseksi:

”Kunta hyötyisi suuresti erillisrahoituksesta hankkeelle, jonka fokuksena olisi nimenomaan tietoturva ja tietosuoja. Tällainen hanke olisi järkevintä toteuttaa kansallisella tasolla, jotta samalla saataisiin toteutettua vertaistuki ja verkostoituminen aiheen tiimoilta; näinä aikoina kansallinen turvallisuus ja sen yhtenäisyys ovat tärkeitä asioita.” (alle 2000 asukkaan kunta)

”Osaamista, selkeää, konkreettista ohjeistusta, rahallista tukea.” (6000-9999 asukkaan kunta)

”Lisää rahaa tarvitaan paljon...” (10 000-19 999 asukkaan kunta