Digitaalinen turvallisuus on osa kansallista huoltovarmuutta: kaikki yhteiskuntamme keskeiset toiminnot ovat riippuvaisia digitaalisista järjestelmistä ja -infrastruktuurista.
Kyberresilienssin terävin kärki löytyy vahvasti säännellyiltä toimialoilta, joissa toimintaa valvovat viranomaiset varmistavat kyberhäiriöiden sietokyvyn. Finanssisektori on tästä hyvä esimerkki.
Kyberturvallisuus on kuitenkin liiketoiminnan ehdoton edellytys myös monilla huomattavasti vähemmän säännellyillä toimialoilla. Suomessa on vaikea keksiä toimialaa, jossa esimerkiksi tietoliikenneyhteyksien katkeaminen ei pysäyttäisi liiketoimintaa.
Haastava taloustilanne on luonut monille yrityksille teknologiavelkaa, mikä puolestaan muodostaa liiketoiminnalle selviä riskejä ja haavoittuvuuksia,
Vivictan maajohtaja Tero Virtanen kertoo.
Virtanen korostaa, että kriittisten IT-palveluiden riskienhallinta on alue, jossa kaikilla yrityksillä on parantamisen varaa. Siihen tulisi nyt panostaa myös niissä yrityksissä, joissa asiat ovat ”ihan hyvin”, sillä ”ihan hyvä” ei enää riitä.
Olemme tottuneet siihen, että sähköä tulee ja yhteydet pelaavat, oli tilanne mikä tahansa,
Tero Virtanen sanoo.
”Meillä oli liiketoimintaa Ukrainassa kun Venäjän hyökkäyssota alkoi. Sieltä saadut konkreettiset opit henkilöstön ja palvelujen evakuoinnista ovat vaikuttaneet suhtautumiseemme varautumiseen. Suomessa organisaatioiden varautuminen on pitkälti pohjautunut rauhan ajan riskeihin, vaikka varmasti olemmekin Euroopan tasolla tässä poikkeuksellisen hyviä”, hän painottaa.
Kyberkypsyys polkee paikoillaan
Sotilaalliseen uhkaan varautuminen nostettiin ensimmäistä kertaa Huoltovarmuuskeskuksen strategian kärkeen vuonna 2024. Tammikuussa 2026 Huoltovarmuuskeskus julkaisi Kyberkypsyys toimialoilla 2025 -selvityksen. Sen mukaan kybervarautuminen polkee Suomessa paikallaan: kyberkypsyydessä ei ole tapahtunut juuri minkäänlaista muutosta vuoden 2022 jälkeen.
Samaan aikaan geopoliittinen tilanne ja turvallisuusuhat ovat kiristyneet merkittävästi. Pandemia, Ukrainan sota, kaapelirikot – epävarmuus on uusi normaali,
Tero Virtanen toteaa.
Kriittisten yritysten riskienhallinta on joko kohtuullisen hyvää tai sitä ei juurikaan ole. Välimaastossa on hyvin vähän yrityksiä,
Vivicta Suomen turvallisuusjohtaja Jari Pirhonen kiteyttää Kyberkypsyys-selvityksen huolestuttavimman löydön.
Pirhonen muistuttaa, että huhtikuussa 2025 voimaan tullut kyberturvallisuuslaki velvoittaa monet yritykset varmistamaan toimitusketjunsa riittävän kyberturvatason. Käytännössä se tarkoittaa sopimuksiin kirjattuja velvoitteita, auditointeja ja säännöllistä seurantaa.
”Hyvin varautuneet isot yritykset joutuvat oman riskienhallintansa kautta ohjaamaan koko toimitusketjua. Siinä riittää työsarkaa. Kyberresilienssikuilu on niin huomattava”, Jari Pirhonen pohtii.
Kyberkypsyysselvityksessä korostettiin myös seikkaa, joka tuskin yllättää yhtäkään IT-alan ammattilaista: merkittävin ero korkeamman ja matalamman kypsyystason yritysten välillä on johdon sitoutuneisuus kyberturvallisuuden kehitykseen.
Kyberturvallisuus kuuluu ylimmän johdon agendalle. Kyberturvallisuuslaissakin alleviivataan nyt ensimmäistä kertaa, että yrityksen ylin johto vastaa kyberriskeistä,
Jari Pirhonen mainitsee.
”IT ei ole tukifunktio, vaan liiketoiminnan jatkuvuuden elinehto melkeinpä yrityksessä kuin yrityksessä. Monissa yrityksissä tietoturva raportoi IT:lle ja IT raportoi talousjohdolle. Se on liian pitkä ketju”, Tero Virtanen tähdentää.
Tero Virtanen ja Jari Pirhonen
Liiketoiminta mukaan jatkuvuussuunnitteluun
Virtanen ja Pirhonen painottavat, että jatkuvuussuunnittelu vaatii IT:n lisäksi liiketoiminnan osallistumista. Vähimmäisvaatimuksena joka ikisen johtoryhmän tulisi tietää, mikä on liiketoiminnalle kriittistä tietoa, missä se sijaitsee, ketkä sitä pystyvät käsittelemään ja kuinka se on suojattu.
He listaavat neljä keskeistä asiaa, joiden tulisi ehdottomasti olla jokaisessa yrityksessä kunnossa.
”Ensimmäinen on se, että vahvistaa turvallisuus- ja varautumiskäytännöt. Prosessit, menetelmät ja osaaminen ovat kunnossa vasta sitten, kun niitä on harjoiteltu liiketoiminnan kanssa”, Tero Virtanen sanoo.
Toisena asialistalla on varmistaa kriittisten palveluiden siirtämisen mahdollisuus.
“Jos kriittiset palvelut ovat pilvessä, miten ne saadaan tarvittaessa konesaliin, tai konesalista pilveen? Pystytäänkö ne tarvittaessa siirtämään Suomeen tai Suomesta pois?” Jari Pirhonen kuvailee.
Kolmanneksi on varmistettava toimitusketju ja luotettavat kumppanuudet: selvitettävä, mitä osaamispääomaa pitää löytyä omasta takaa – ja mitä kumppaneiden on ehdottomasti kyettävä hoitamaan lokaalisti Suomesta käsin.
Vivictalla on poikkeuksellinen kyky palvella suomalaisia asiakkaita laajoilla lokaaleilla palveluilla. Meillä on sertifioidut, auditoidut ja turvaluokitellut ympäristöt ja vastaamme laajasti yhteiskunnan kannalta kriittisistä IT-palveluista. Meillä on asiakkaita, joille pystymme tarvittaessa hoitamaan lähes kaikki kriittiset palvelut Suomesta, edellyttäen toki priorisointia. Siihen ei moni pysty,
Tero Virtanen huomauttaa.
Neljäntenä asialistalla ovat liiketoiminnan jatkuvuuden kulmakivet: automatisointi ja jatkuva testaus:
“Keskeisten prosessien pitää tulla selkärangasta, oli tilanne mikä hyvänsä. Prosessit kannattaa automatisoida niin pitkälle, että kriisitilanteessa asiantuntijat voivat keskittyä ongelmanratkaisuun ja kriisinhallintaan”, Tero Virtanen alleviivaa.
Varautuminen on kuin henkivakuutus
Virtanen ja Pirhonen huomauttavat, että varautuminen muistuttaa monella tapaa henkivakuutusta: sijoitetun pääoman tuottoa ei tee mieli laskea.
“Business case on huono, se on selvä. Jos pohdit, laitatko rahat kyberturvaan vai liiketoimintasovelluksen kehittämiseen, on helppo arvata, kumpi houkuttelee – erityisesti nyt, kun pitäisi varautua sellaisiin uhkiin, joiden mahdollisuutta moni ei halua edes ajatella”, Tero Virtanen sanoo.
Uhkien realisoituessa varautuminen maksaa itsensä kuitenkin moninkertaisesti takaisin. Parhaiten varautuneet yritykset tietävät tämän ja testaavat kyberresilienssiään aktiivisesti. Erilaisten uhkakuvien varalle harjoitellaan niin omin voimin kuin yhdessä tärkeimpien kumppanienkin kanssa. Merkittäviin kriisitilanteisiin varaudutaan myös osallistumalla toimialakohtaisiin ja kansallisiin harjoituksiin.
Maaliskuussa 2026 tietoyhteiskunnan TIETO26-valmiusharjoituksessa harjoitellaan ensimmäistä kertaa varautumista myös sotilaallisten uhkien varalle.
”Viranomaisten ja yritysten yhteistyö on Suomessa huippuluokkaa. Sitä kadehditaan maailmalla ihan syystä. On hienoa nähdä, miten moni asiakkaistamme on mukana TIETO26:ssa harjoittelemassa kanssamme”, Jari Pirhonen kertoo.
Yhdenkään yrityksen ei kuitenkaan kannata tuudittautua luuloon, että kybervarautuminen on riittävää. Entä jos useilla yrityksillä on samaan aikaan hätä, ja viranomaisten puhelinlinjat ovat tukossa? Olennaista on varmistaa luotettavat kumppanit ja teknologiatoimittajien tuki kaikissa tilanteissa toimitusketjun varmistamiseksi.
”Vivicta on ja pysyy Suomessa, tapahtuu mitä tahansa”, Tero Virtanen korostaa.
”Jokaisen Suomessa toimivan yrityksen tulisi varmistaa, että liiketoimintakriittiset palvelut on tunnistettu, jatkuvuussuunnitelmat on päivitetty yhdessä liiketoiminnan kanssa ja erilaisiin skenaarioihin on varauduttu harjoittelemalla. Vivicta on mielellään asiakkaidensa apuna tässä”, Tero Virtanen lupaa.