Julkisen hallinnon IT-hankintojen yleiset sopimusehdot (JIT 2025)

Kuntaliitto kiittää mahdollisuudesta lausua valtiovarainministeriön lausuntopyyntöön julkisen hallinnon IT-hankintojen yleisistä sopimusehdoista (JIT 2025) sekä henkilötietojen käsittelyn ehdoista (JYSE/JIT - Henkilötiedot 2025).

Kuntaliiton näkemyksen mukaan vakioehtosopimusten ehtojen ja erityisehtojen rakenne on riittävän selkeä ja tarkoituksenmukainen, eikä Kuntaliitolla täten ole JIT 2025 -ehtojen rakenteeseen huomautettavaa.

Erityisehdot asiantuntijapalveluista

Kuntaliitto pitää hyvänä uutta liitettä asiantuntijapalveluiden hankinnasta. Liitteen johdanto-osassa on aiheellisesti muistutettu käyttäjiä tietosuoja-asioiden huomioon ottamisesta sopimuksessa. Koska erityisehdot asiantuntijatyön hankinnasta ovat uudet JIT-ehdoissa ja vakiintuneita käytäntöjä ei vielä laajalti muodostunut asiantuntijatyön hankinnasta, käyttöohjeissa olisi hyvä huomioida johdonmukaisuuden lisäksi tietoturvanäkökulmat yleisellä tasolla. Julkisissa hankkeissa asiantuntijat pääsevät usein näkemään ja käsittelemään herkkää ja jopa salassa pidettävää tietoa, ja tämä tulisi ottaa huomioon sopimusteitse. 

Huomiot ehtojen hallintamallista sekä julkaisemisesta ja visuaalisesta ilmeestä

Kuntaliitto pitää tarkoituksenmukaisena JIT- ja JYSE-ehtojen koontia samalle sivustolle. Nykyistä sivustoasettelua ei siten ole tarvetta muuttaa.

Kuntaliitto toteaa, että JIT- ja JYSE-ehdot muodostavat omat kokonaisuutensa. Näin ollen niitä koskevat päivitystyöt tulisi olla mahdollista toteuttaa tarvittaessa eri aikaan. Päivitystöiden koskiessa laajempia kokonaisuuksia ei kuitenkaan ole estettä toteuttaa ehtojen päivityksiä saman aikaisesti, erityisesti silloin kun päivitykset koskevat samoja tai vuorovaikutuksissa oleva ehtokokonaisuuksia. Tällöin ehtojen samanaikainen päivittäminen voisi sen sijaan olla suotavaa ja tarkoituksenmukaista.

Kuntaliitolla ei ole huomioita JIT 2025 -ehtojen visuaaliseen ilmeeseen tai kirjoitusasuun.

Muut mahdolliset huomiot

EU- ja kansallinen tietoturva- ja tietoliikennettä koskeva sääntely lisääntyy jatkuvasti. Kuntaliitto kantaa huolta siitä, miten kunnat ja muut hankintayksiköt pysyvät tässä jatkuvassa ja kokonaisvaltaisessa muutoksessa mukana. JIT-ehtojen lisäksi valtiohallinnon olisi tärkeä koordinoida, viestiä ja ohjeistaa uuden sääntelyn merkityksestä ja käytöstä julkisille hankkijoille.

Esimerkkinä merkittävästä muutoksesta tietoturvasääntelyn alalla voidaan mainita EU:n kyberkestävyysasetus (EU) 2024/2847), joka asettaa pakollisia kyberturvallisuusvaatimuksia kaikille digitaalisia elementtejä sisältäville laitteille ja ohjelmistoille. Säädös velvoittaa valmistajat huomioimaan tietoturvan laitteen koko elinkaaren ajan, aina suunnittelusta ylläpitoon ja haavoittuvuuksien raportointiin asti. 

Kyberkestävyysasetusta täydentävä kansallinen laki eräiden tuotteiden kyberkestävyydestä sekä kyberturvallisuussertifioinnista (439/2026) astui voimaan 1.6.2026. Lain 6 §:n mukaisesti digitaalisia elementtejä sisältäviä tuotteita hankittaessa julkisin hankinnoin, kyberkestävyysasetuksen mukaisia olennaisia kyberturvallisuusvaatimuksia tulee noudattaa ja tuotteiden haavoittuvuuksia arvioida huolellisesti. Vaikka lain siirtymäsäännösten mukaisesti lain ja asetuksen soveltamisalaan kuuluvien tuotteiden olennaisten kyberturvallisuusvaatimusten soveltaminen alkaa vasta 11.12.2027, muun muassa asetuksen soveltamisalaan kuuluvien tuotteiden haavoittuvuuksien raportointia koskevien vaatimusten soveltaminen alkaa jo 11.9.2026. Haavoittuvuuksien raportointivaatimukset sisältävät muun muassa valmistajan velvollisuuden tiedottaa tuotteen käyttäjiä aktiivisesti hyödynnetystä haavoittuvuudesta tai tietoturvaan vaikuttavasta vakavasta poikkeamasta, jotta käyttäjät, mukaan lukien kunnat ja muut hankintayksiköt, voivat toteuttaa riskinhallinta- ja korjaavia toimenpiteistä lieventääkseen haavoittuvuuden tai poikkeaman vaikutuksia. Näin ollen kuntien ja muiden hankintayksikköjen on valmistauduttava kyberkestävyysasetuksen huomioon ottamiseen toiminnassaan ja sopimuksissaan jo tällä hetkellä. 

Kvanttiteknologian kehittyminen mahdollistaa monimutkaisten tehtävien ratkaisuja, mutta se sisältää myös riskejä teknologian väärinkäytöstä viestintään sekä verkkoon liitetyn infrastruktuurin kyberturvallisuuteen. EU:n strategiana onkin siirtyä kvanttien jälkeiseen salaukseen mahdollisimman pian, kriittisten infrastruktuurien suojaamisen osalta viimeistään vuoden 2030 loppuun mennessä. Tämä tavoite asettaa jo nyt kunnille ja muille julkisille toimijoille tarvetta valmistautua riittävien salausmenetelmien kehittämiseen ja ylläpitämiseen myös julkisissa hankinnoissa.

Tiedonhallinta, tietoturvallisuus ja niiden jatkuvuudenhallinta ovat erottamaton osa tietojärjestelmien hankintoja ja käyttöä. Niiden kannalta olennaisia näkökulmia on huomioitu kohtuullisessa määrin JIT-ehdoissa liitteineen. Kuntaliitto kuitenkin katsoo, että JIT-ehtojen lisäksi oli hyödyllistä kehittää kuntien ja muiden hankintayksiköiden toimintaa varten yleiset vaatimuspohjat tiedonhallinnan, tietoturvallisuuden ja niiden jatkuvuudenhallinnan varmistamiseksi. Näitä yleisiä vaatimuspohjia tulisi lisäksi säännöllisesti päivittää. Apuna vaatimuspohjien laadinnassa voitaisiin ensinnäkin käyttää julkisen hallinnon tiedonhallintalautakunnan julkaisemia tietoturvasuosituksia, kuten julkisen hallinnon tietoturvallisuuden arviointikriteeristöä (Julkri) sekä tietoturvallisuudesta hankinnoissa annettua suositusta. Lisäksi hyödyllistä ohjeistusta antavat Huoltovarmuuskeskuksen SOPIVA-suositukset. Esimerkkejä vaatimuspohjiin tarkennettavista asioista ovat saatavuustasot, salaus varmuuskopioiden palautuspisteet sekä häiriötilanteiden palautumisajat sekä vaatimukset kerättyjen lokitietojen sisällöstä ja luovutustavoista. 
 

SUOMEN KUNTALIITTO

Juha Myllymäki​                  
lakiasiainjohtaja                

Eeva-Riitta Högnäs
johtava juristi                         ​