Valtion kyberturvallisuusjohtaja Rauli Paananen varoittaa, että hallituksen valmistelema hankintalain uudistus voi toteutuessaan heikentää vakavasti Suomen kyberturvallisuutta. Erityisesti sidosyksiköitä koskeva kymmenen prosentin vähimmäisomistusvaatimus uhkaa hajottaa nykyiset toimivat ICT- ja kyberturvallisuusratkaisut, joihin kunnat, hyvinvointialueet ja osa valtionhallintoa nojaavat.
Valtion tietotekniikkapalveluissa sidosyksiköt ovat julkise sektorin omistamia inhouse-yhtiöitä, jotka voivat tuottaa palveluita omistajilleen ilman kilpailutusta. IT-hankinnoissa suuret inhouse-yhtiöt ovat tuottaneet palveluita pienelläkin omistusosuudella, mikä on vähentänyt tarvetta kilpailutuksille mutta mahdollisesti myös laksenut kustannuksia. Lakimuutoksen myötä sidosyksiköltä ei voisi hankkia ilman 10 prosentin omistusosuutta.
Paanasen mukaan sidosyksiköiden roolin kaventaminen heikentäisi käytettävissä olevaa kyberturvaosaamista ja tiedonkulkua. Nykyiset yhteiset rakenteet ovat mahdollistaneet kriittisen osaamisen jakamisen ja palveluiden jatkuvuuden turvaamisen. Hallituksen esitysluonnoksessa todetaan myös, että erityisesti ICT-infrastruktuurissa ja -palveluissa sidosyksiköillä on keskeinen merkitys toimintavarmuuden kannalta, eikä markkinaehtoisilla ratkaisuilla pystytä kaikkialla korvaamaan tätä roolia.
Lakiesityksen taustalla olevien markkinaselvitysten mukaan kyberturvapalveluiden kustannukset voivat nousta jopa nelinkertaisiksi, jos palvelut siirretään sidosyksiköiltä kokonaan yksityisille toimijoille. Erityisen kalliiksi tulisivat ympärivuorokautiset valvontapalvelut, joita sidosyksiköt tuottavat nykyisin selvästi markkinoita edullisemmin. Paanasen mukaan vertailut osoittavat, että pelkkä palvelumallin muutos voisi moninkertaistaa kustannukset.
Lakiluonnoksessa korostetaan, ettei kyberturvallisuutta voi irrottaa muusta ICT-toiminnasta tai lisätä järjestelmiin jälkikäteen. Turvallisuuden on oltava sisäänrakennettuna koko arkkitehtuuriin. Palveluiden pakollinen pilkkominen ja toimittajien vaihtuminen lisäävät riskiä uusista haavoittuvuuksista. Erityisen alttiita ovat siirtymävaiheet, joita ulkomaiset tiedustelutoimijat ja rikolliset voivat hyödyntää.
Huoli kohdistuu erityisesti pieniin ja harvaan asuttuihin kuntiin. Niillä ei usein ole resursseja tai osaamista järjestää vaativia kyberturvapalveluja omin voimin. Sidosyksiköt ovat tarjonneet mittakaavaetuja ja jatkuvuutta tilanteessa, jossa osaajapula on krooninen ja kilpailu kyberturvaosaajista kovaa. Lakiluonnoksen mukaan uudistus voi pahentaa osaajavajetta ja vaikeuttaa kansallisten ja EU-tason vaatimusten täyttämistä.
Esityksessä viitataan myös EU:n uusiin kyberturvallisuussäädöksiin, kuten NIS2-direktiiviin ja Cyber Resilience Actiin. Samalla todetaan, ettei nykyinen hankintalainsäädäntö tarjoa riittäviä keinoja hallita näihin liittyviä riskejä markkinaehtoisissa hankinnoissa. Turvaluokittelu tai CE-merkintä ei yksin riitä, kun kyse on laajoista ja kriittisistä julkisista tietojärjestelmistä.
Lakiluonnoksen mukaan vakavat puutteet kyberturvassa eivät jäisi yksittäisten organisaatioiden ongelmaksi. Vaikutukset ulottuisivat kuntalaisiin, hyvinvointialueiden palveluihin ja lopulta koko yhteiskuntaan. Viime kädessä vastuu ja kustannukset kaatuisivat valtiolle.
Myös lainsäädännön arviointineuvosto on suhtautunut esitykseen kriittisesti. Neuvosto vaatii kustannusvaikutusten tarkempaa arviointia ja huomauttaa, ettei 10 prosentin minimiomistusvaatimukselle ole esitetty tutkimustietoa tai dataa. Lausunnon mukaan esityksestä puuttuu arvio hallinnollisesta taakasta sekä mahdollisesti moninkertaistuvista kyberturvakustannuksista, jotka jäisivät lopulta julkisen sektorin maksettaviksi.