Salassa pidetty hankintalakiehdotus etenemässä kyberturvauhkasta ja kuntien satojen miljoonien lisäkuluista huolimatta

Julkinen, mutta julkaisematon lainsäädännön arviointineuvostolta murskakritiikin 26.11.2025 saanut hankintalakiehdotus (liitteenä) myöntää lain aiheuttamat vakavat kyberturvariskit ja satoihin miljooniin erityisesti kunnille nousevat nettokulut. Siitä huolimatta hallitus on esittämässä lakia eduskunnalle. Erityisesti kunnille kohdistuu hankintalain muutoksista vähintään satojen miljoonien lisämenot. ”Esityksellä ei ole vaikutuksia valtion talousarvioon”, lakiesitys toteaa. Kuitenkin lakiehdotuksen omatkin laskelmat osoittavat vaikutuksen olevan jopa satoja miljoonia miinuksella. Lainsäädännön arviointineuvosto vaatii, että esitysluonnosta tulee korjata lausunnon mukaisesti ennen hallituksen esityksen antamista.

Suomi joutuu EU-komission arvion mukaan EU:n niin sanotulle tarkkailuluokalle. Valtiovarainministeri Riikka Purra (pers.) varoitti prosessista viikkoa aiemmin. Käytännössä tämä tarkoittaa liiallisen alijäämän menettelyn käynnistämistä. Kuntien rahoitus on sote-uudistuksen jäljiltä pahassa kriisissä ja johtaa suuriin kuntakohtaisiin muutoksiin. Kunta- ja alueministeri Anna-Kaisa Ikonen (kok.) kertoi 21.11.2025, että kuntarahoituksen uudistus kaatui, koska aika loppui kesken eikä hallituspuolueiden kesken saatu sopua.

Samaan aikaan Petteri Orpon (kok.) hallitus ajaa kovaa vauhtia edistämäänsä hankintalain muutosta, joka lukuisten arvioiden mukaan kustantaa vähintään satoja miljoonia euroja, mahdollisesti miljardeja – myös lakiehdotuksessa esitellyissä laskelmissa. Ehdotetun lain aiheuttamat kyberturvariskit ja suuret lisäkulut paljastuu julkisesta, mutta julkaisemattomasta, 11.11.2025 päivätystä versiosta hankintalakiehdotuksesta. Lainsäädännön arviointineuvosto antoi lakiehdotuksesta murskaavan arvion 26.11.2025 ja vaatii lakiehdotukseen merkittäviä muutoksia. (ks. Lainsäädännön arviointineuvosto: Hankintalain hyödyt ja kustannukset on arvioitava paremmin).

Kuntaliitto ehdotti aikalisää lain valmisteluun, jotta poikkeuksellisen laajavaikutteisen lain valmistelu saataisiin vastuullisesti toimitettua. STT:n haastattelema vastuuministeri Matias Marttinen vastasi Kuntaliiton vaatimuksiin toteamalla, että mitään aikalisiä ei enää oteta. ”Kuntaliittohan olisi tyytyväinen vain siihen, että koko esitys jätetään antamatta, mutta sitähän me emme tietenkään tule tekemään”, Marttinen kuittasi. Marttisen mielestä uudistukselle on erittäin vahvat perusteet, STT raportoi.

Käydyssä keskustelussa, kuten YLE:n A-Studiossa 26.11.2025, sivuutetaan jatkuvasti muiden muassa nämä perusasiat:

• Kunnat, hyvinvointialueet ja valtio voivat jo nyt vapaasti kilpailuttaa hankintansa. Ja näin ne myös toimivat, mikäli ne näkevät yksityiset, myös kansainväliset toimijat, tehokkaammiksi, laadukkaammiksi ja huoltovarmuuden kannalta turvallisemmiksi kuin veronmaksajien itsensä omistamat yhtiöt.
• Hankintalaki-tarkastelussa on unohtunut täysin keskustelu siitä, mikä osuus veroeuroista siirtyy muuttuneen hankintalain myötä alue- ja kansantalouden ulkopuolelle, esimerkiksi kansainvälisille pääomasijoittajille maksettuina osinkoina.
• Miksi tuhansien kunta- ja HVA-valtuutettujen arvio oman omistuksen eduista nähdään niin asiantuntemattomana, että vailla mitään vaikuttavuusarvioita tehdyn hallitusohjelmakirjauksen avulla 10 prosentin minimiomistusrajasta julkisomisteisissa inhouse-yhtiöistä ollaan valmiita romuttamaan julkishankinnat erityisesti pienissä kunnissa – vaikka keskeiset virkavastuulla toimivat viranomaisetkin varoittavat, kyber-, kustannus- ja koordinaatioriskeistä.

Kyberturva vaarantuu

Lakiehdotus ei tee kyberturvan kohdalla poikkeusta sidosyksikköjärjestelyissä – ja vaarantaa näin Suomen kyberturvan ja huoltovarmuuden samaan aikaan, vaikka Venäjä tekee jatkuvasti kyberiskuja muiden NATO-maiden tapaan Suomeen. Lakiehdotuksessakin luetellaan kuntiin kohdistuneita hyökkäyksiä.

Ehdotuksen sivulla 28 kuvataan: ”Valtion kyberturvallisuusjohtajan mukaan sidosyksiköt toteuttavat käytännössä kaikki kyberturvallisuuspalvelut pienille kunnille ja osalle keskisuurista kunnista, joilla ei ole omaa kyvykkyyttä tai hankintaosaamista kyberturvallisuuden toteuttamiseen.”

Ristiriitaisia arveluja hankintojen pilkkomisesta

Hankintalakiehdotuksen oli alun perin määrä tulla viikolla 48 (24.11.2025 alkava viikko) eduskuntaan. Lainsäädännön arviointineuvostolle edennyt lakiehdotus on julkinen asiakirja, mutta se ei ole luettavissa esimerkiksi lain valmistelusta vastuussa olevan työ- ja elinkeinoministeriön verkkosivuilla. Nyt tämä lakiehdotus on luettavissa hankintalaki.fi -sivustolla, tämän artikkelin liitteenä. Siitä paljastuu, että lakiehdotukseen on tullut lähinnä lisäselvityksiä, mutta niissä esitetyistä vaaroista tai kustannuksista ei ole vedetty johtopäätöksiä.

Samaan aikaan kun ehdotus myöntää että ”hankintojen pakollisella jakamisella osiin on negatiivisia vaikutuksia” se esittää toiveen, että hankintojen pakollinen jakaminen voi ”edistää kilpailun ja säästöjen syntyä” (s.59).

Toisaalla lakiehdotus sivuuttaa arviot suurista kustannuksista lausuntomainintoina: ”Hankintayksiköt ovat tuoneet esiin, että erityisesti ICT-hankinnoissa integraatiokustannukset ja sopimuskumppanin vaihtamisen kustannukset voivat olla merkittäviä. Lisäksi muun muassa hankintayksiköt ovat tuoneet esiin, että hankinnan jakaminen liian pieniin osiin voi johtaa vaikeasti hallittavaan kokonaisarkkitehtuuriin tai sopimushallintaan, ja kustannusten jatkuvaan kasvuun”, lakiehdotuksessa todetaan.

Lakiehdotus ennustaa lakimuutoksen aiheuttaman hallinnollisen kaaoksen ja kustannusnousun lukuisilla tavoilla, muun muassa lainaamalla PricewaterhouseCoopersin selvitystä, jonka mukaan ”osassa ICT-palveluja korvaavaa markkinatarjontaa ei kuitenkaan synny heti, tai kovin nopeasti. Näin on erityisesti palveluissa, jotka sisältävät toimialakohtaista räätälöintiä, tai räätälöidyissä palveluissa.”

Ei ole vaikutuksia valtion talousarvioon?

Lainsäädännön arviointineuvosto lausunnon mukaan esitysluonnoksesta ei saa selkeää käsitystä lakiuudistuksesta aiheutuvien kustannussäästöjen suuruusluokasta kokonaisuudessaan. ”Esitysluonnoksessa olisi hyvä esittää suuntaa antava arvio kokonaiskustannussäästöistä valtion, kuntien, hyvinvointialueiden ja kansantalouden näkökulmasta”, neuvosto toteaa.

Marraskuun versiossa hankintalakiehdostuksesta on sivuilla 57–58 arvio säästöistä seitsemän vuoden päästä: 195–390 miljoonaa euroa. Ei siis miljardien säästöjä, kuten lakia puoltavat tahot ovat toistuvasti antaneet ymmärtää. Heti perään lakiehdotus esittelee PricewaterhouseCoopersin Oy:n laatiman arvion, jonka ”mukaan ICT- ja tietohallinnon, sekä yleis- ja taloushallinnon yritysten osalta uudistuksesta aiheutuvien muutoskustannusten arvioitiin olevan noin 30 prosenttia muutoksen kohteena olevien yritysten liikevaihdosta.”

Arvio koskettaa vain suuria, yli 15 omistajan yhtiöitä, jotka joutuvat merkittävästi muuttamaan toimintaansa uudistuksen seurauksena. ”Tämä tarkoittaisi noin 450 miljoonan euron kustannusta. Luvuissa on mukana taloushallinnon palvelut.”

Näiden ICT- ja tietohallinnon sekä yleis- ja taloushallinnon yritysten muutoskustannusten ollessa 450 miljoonaa euroalainsäätäjän oma arvio lakimuutoksen tuomista kustannussäästöitä on 195–390 miljoonaa euroa. Lakiehdotuksen samalla sivulla esittämien tietojen mukaan hankintalain uudistus aiheuttaa siis vähintään 60–255 miljoonan euron lisäkulut. Ja tässä ei ole tarkasteltu esimerkiksi kuntataloutta eikä hyvinvointialueita, joita kustannusnousu myös koskettaa, suoraan tai välillisesti. Lisäksi Kilpailu- ja kuluttajaviraston arvion mukaan ”on realistista olettaa, että säästöjä ei synny ensimmäisen 1–2 vuoden aikana, sillä kilpailutus vaatii valmistelua ja markkinoiden täytyy ehtiä reagoida muutokseen”. Alkuvuosina tulee lakiehdotuksen tietojen mukaan vähintään satojen miljoonien kustannuksia – samaan aikaan kun kunnat ja hyvinvointialueet kamppailevat vakavien talousongelmien kanssa.

Lukuisien selvityksien mukaan suunnitellun lain aiheuttamat muutoskustannukset nousevat tosiasiassa yhteensä miljardiluokkaan. Tämän lisäksi muun muassa KKV on useissa selvityksissä osoittanut, kuinka keskittyvät markkinat – johon hankintalakimuutos lukuisten arvioiden mukaan myös johtaa – nostavat pysyvästi julkishankintojen kustannustasoa.

Ei mitään poikkeuksia pienille kunnille

Vaikka lakiehdotuksesta käy lukuisissa kohdissa ilmi, kuinka se on taloudellisesti todella kallis erityisesti pienkunnille ja asettaa ne esimerkiksi kyberturvavaaraan, ehdotuksessa ei ole poikkeuksia pienkuntien kohtelussa.
Kuntien kyberturvallisuuden taso on ollut viranomaisten huolenaihe jo pitkään, lakiehdotus kuvaa toisaalla. Kunnat ovat muiden suomalaisten organisaatioiden tavoin kyberhyökkäysten kohteena. ”Julkisuudessa esillä olleita tapauksia ovat muun muassa Lahden, Kokemäen, Säkylän ja Rautavaaran kuntiin kohdistuneet hyökkäykset. Monet kunnat tarjoavat myös puolustusjärjestelmän kannalta keskeisiä palveluita, jolloin ne voivat olla turvallisuuspoliittisesti motivoituneen kiinnostuksen kohteena”, lakiehdotus myöntää.

”Kuntien tarjoamat palvelut, joista valtaosa on lakisääteisiä, ovat vahvasti riippuvaisia tietoteknisistä järjestelmistä ja ympäristöistä. ICT-palveluiden toimivuuden varmistaminen on elinehto kuntien palveluiden jatkuvuudelle. Kyberturvallisuus on olennainen osa kunnan ICT-ympäristöä ja edellytys tietoteknisen infrastruktuurin ja palveluiden toimivuuden takaamiseksi”, lakiehdotus kuvaa.

”Sidosyksiköiden tarjoamilla ICT- ja kyberturvallisuuspalveluilla on keskeinen rooli kuntien järjestelmien hallinnassa ja turvallisuuden varmistamisessa. Sidosyksiköt tuottavat asiakkailleen myös kyberturvallisuuden konsultointia sekä tieto- ja kyberturvajohtamisen tukipalveluita”, lakiehdotuksessa todetaan. Silti samassa laissa tavoite on juuri tämän järjestelyn purkaminen kymmenen prosentin minimiomistusvaateella.

”Asiakkaat saavat ICT-palvelut kokonaispalveluna, jossa on kyberturvallisuus sisäänrakennettuna, ja ne pystyvät myös ketterästi kehittämään oman organisaationsa kyberturvallisuutta hyödyntäen sidosyksikön tuotevalikoimaa. Erityisesti pienillä kunnilla on rajalliset taloudelliset ja osaamisresurssit kyberturvallisuuden ylläpitämiseen ja kehittämiseen. Tämä korostaa palveluntarjoajien merkitystä kuntien kyberturvallisuuden toteuttamisessa”, lakiehdotus kuvaa. Kuntien omistamilla yhtiöillä on erityisosaaminen nimenomaan kuntien tukipalveluihin ja järjestelmiin.

Ehdotuksessa kuvataan, kuinka pienten kuntien ei ole tarkoituksenmukaista järjestää ICT-palveluita, mukaan lukien kyberturvapalveluita, yksin. ”Palveluiden hankinta osana laajempaa kokonaisuutta mahdollistaa mittakaavaedut, joita yksittäiset kunnat eivät voi yksin saavuttaa. Kun palvelu on osa suurempaa kokonaisuutta, yksittäinen kunta ei välttämättä tarvitse omia nimettyjä resursseja kyberturvallisuudesta huolehtimiseen”, lakiehdotus kuvaa. Ja silti lain päätarkoitus on päinvastainen: hajottaa pienten kuntien yhteishankintayhtiöt kymmenen prosentin minimiomistuksen vaatimuksella.

”Lisäksi pienissä kunnissa henkilöstön vaihtuvuus on ollut suurta, sillä kunnilla on ollut vaikeuksia pitää osaajia organisaatiossaan kovan kilpailun vuoksi. Kuntien yhteisomisteiset sidosyksiköt ovat tarjonneet jatkuvuutta myös henkilöstöresursseihin”, lakiehdotus ristiriitaisesti kuvaa.

”Kyberturvallisuutta sekä ICT-laitteita ja -palveluita ei voi erottaa toisistaan. ICT-hankinnoissa on lähes aina kyse myös kyberturvallisuudesta. Laitteet ja palvelut muodostavat kokonaisuuden, jonka turvallisuus on varmistettava. Esimerkiksi SOTE-järjestelmät sisältävät merkittäviä kyberturvallisuusnäkökulmia. Kyberturvallisuutta ei voi myöskään ”liimata” olemassa olevien rakenteiden päälle, vaan sen tulee olla sisäänrakennettuna koko ICT-arkkitehtuuriin ja toimintaan”, sivulla 29 lakiehdotus toteaa.

Lakiehdotus, joka minimiomistusvaateellaan pyrkii sirpaloimaan kuntien kyberosaamisen kuvaa toisaalla: ”Jokaisella hankintayksiköllä voi olla erilainen järjestelmä, ja niiden kyvykkyys sekä osaaminen vaihtelevat merkittävästi. ICT-palveluita tuottavat sidosyksiköt tarjoavat asiakkailleen myös kyberturvallisuuden konsultointia sekä tieto- ja kyberturvajohtamisen tukipalveluita. Palvelut tuotetaan kokonaispalveluna, johon kyberturvallisuus sisältyy. Turvallisuusriskit kuten tiedusteluintressit voivat liittyä esimerkiksi laitevalmistajiin tai toimittajiin, jotka ovat suoraan tai epäsuorasti niin sanotun korkean riskin maasta. Lisäksi tarjoajalla saattaa olla välikäsien kautta päämiehenä laitteen ja sen ohjelmistojen valmistaja korkean riskin maassa, mikä voi niin ikään sisältää tietoturvallisuuteen liittyviä riskejä.”

Mittavia korjauksia lakiin, lainsäädännön arviointineuvosto vaatii

Lainsäädännön arviointineuvoston 25.11.2025 julkaistun lausunnon mukaan hankintain esitysluonnosta tulee korjata sen tekemän lausunnon mukaisesti ennen hallituksen esityksen antamista. Esitysluonnoksessa neuvoston mukaan ole ei ole esitetty tutkimustietoa tai dataa kymmenen prosentin minimiomistuksen tueksi. Lakiehdotuksen täytyisi ”suuntaa antava arvio esityksen hallinnollisesta taakasta aiheutuvista kustannuksista”.

Arvioitavana olleessa lakiluonnoksessa oli aiempiin versioihin nähden esitelty enemmän tietoja lausunnoista, mutta niistä tehdyt poliittiset johtopäätökset eivät ole muuttuneet miksikään – riippumatta vaikkapa lakiehdotuksen läpi mennessään aiheuttamista kyberturvaan tai kunta- ja aluetalouteen tulevista vakavista uhkista.

Lainsäädännön arviointineuvoston puheenjohtaja Eeva-Liisa Inkeroinen on juristi, joka on toiminut muun muassa Teknologiateollisuus ry:n johtajana. Arviointineuvoston muina jäseninä toimivat ylijohtaja Tuulia Hakola-Uusitalo, pääsihteeri Leena Linnainmaa, professori Ulla Liukkunen ja professori, johtaja Mika Maliranta sekä professori Juho Saari ja valtiotieteen tohtori Martti Hetemäki. 

”Älä sammuta huoltovarmuutta – äänestä Hankintalakia vastaan”

Nyt on aika puolustaa kyberturvaa, huoltovarmuutta, julkisia palveluja ja suomalaista yrittäjyyttä. Vaikuttaa voi myös suoraan, ottamalla yhteyttä oman alueen kansanedustajiin (etunimi.sukunimi@eduskunta.fi), omakohtaisella viestillä. On hyvä muistuttaa kautta maan tulleista kuntajohtien varoituksista: jos edustaja äänestää uuden hankintalain puolesta eduskunnassa, hän leikkaa samalla viestinkirjoittajan oman ja yhtä lailla kansanedustajan kotikunnan taloutta – sekä heikentää sen palveluita.

On aivan varmaa, että tietoinen päätös poliitikkojen kotikuntien kyberturvaa ja palveluja leikkaavasta sekä kuntaveroja nostavasta hankintalain muutoksesta jää äänestäjien mieliin. Mieliin jää myös se, ketkä päätöstä olivat tekemässä – ja kenen etuja he päätöstä tehdessään tosiasiassa ajoivat. Läpi mennessään hankintalakimuutoksen vaikutukset ovat niin laajat, ettei sen aiheuttama ahdinko unohdu – ainakaan muutamaan vaalikauteen.

Lisää hankintalakiesityksen seurauksista vaalipiireittäin on sivustolla hankintalaki.fi 

Lue lisää:

• Lainsäädännön arviointineuvosto: Hankintalain hyödyt ja kustannukset on arvioitava paremmin