Vuosi 2025 oli kyberturvallisuusalalle monin tavoin merkittävä – geopoliittinen epävarmuus, nopeasti etenevä EU-sääntely sekä kasvavat digitaaliset riskit muovasivat toimintaympäristöä keskeisesti. Samaan aikaan sekä Euroopassa että Suomessa vahvistui ymmärrys kyberturvallisuudesta strategisena investointina, joka turvaa yhteiskunnan toimivuutta ja yritysten kilpailukykyä. Kotimaassa toimivan kyberteollisuuden rooli digitaalisen resilienssin rakentajana nousi näkyvämmäksi tilanteessa, jossa kestävä talous, suhteellinen teknologinen omavaraisuus ja kriittisten infrastruktuurien suojaaminen korostuivat entisestään.
Kyberturvallisuusteollisuuden toimintaympäristö vuonna 2025
Vuosi 2025 oli kyberturvallisuusalan kannalta poikkeuksellisen merkittävä ja haastava. Kansainvälisen toimintaympäristön epävakaus, sääntöpohjaisen kansainvälisen järjestelmän rapautuminen ja geopoliittiset konfliktit vaikuttivat myös kyberuhkien kasvuun monimutkaistumiseen. Yhdysvaltojen poliittiset linjamuutokset aiheuttivat väistämättä muutoksia Euroopan turvallisuuden hallintaan, yhteistyöjärjestelmiin ja talouteen sekä nostivat esiin keskustelun tarpeesta vahvistaa eurooppalaista teknologista omavaraisuutta.
Samaan aikaan EU ja Suomi etenivät nopeasti useissa mittavissa sääntelyhankkeissa. Kyberturvallisuuden kehittämiseen liittyvässä keskustelussa korostui strategisen ymmärryksen laajentaminen: kyberturvallisuutta ei tulisi typistää kustannuseräksi, vaan nähdä se kasvua tukeva investointina, jolla vahvistetaan sekä organisaatiokohtaista kilpailukykyä ja jatkuvuutta, että yhteiskunnan turvallisuutta. Yritysten toimintakyky tunnistettiin entistä selvemmin osaksi yhteiskunnan jatkuvuutta ja kriisinsietokykyä. Tässä kokonaisuudessa kansallisen teknishallinnollisen ”korjausvelan” ratkaisemiseksi on otettu askelia, mutta laaja-alaiset tulokset ja niiden riittävyys jäivät epäselviksi.
Geopoliittinen toimintaympäristö ja Euroopan digitaalinen haavoittuvuus
Kansainvälisen ympäristön heikentyminen ilmeni erityisesti suhteessa Yhdysvaltoihin, jonka uusi hallinto haastoi sekä kansainvälisen politiikan normeja, mutta myös eurooppalaisia sääntelyaloitteita ajaen yksipuolisia ratkaisuja kauppa- ja teknologiakysymyksissä. Tässä yhteydessä Euroopan riippuvuus yhdysvaltalaisesta teknologiainfrastruktuurista nousi tahtomattakin esiin, ja huolta herättivät etenkin skenaariot, joissa kriittisten ohjelmisto- tai laitekomponenttien saatavuutta voitaisiin geopoliittisista syistä rajoittaa. Venäjä jatkoi hybriditoimintaansa – eli laaja-alaisia vaikuttamisoperaatioitaan – kohdistaen niitä mm. Euroopan energiasektoriin, logistiikkaan, tietoliikenteeseen ja terveydenhuollon järjestelmiin. Osana vaikuttamisen työkalupakkia kyberturvallisuuspoikkeamien kohteeksi joutuivat yritykset ja toimitusketjut, mikä painotti erityisesti kotimaisen kyberturvallisuusosaamisen merkitystä. Suomessa keskustelu ja toiminta nosti yhä selvemmin esiin, että digitaalinen turvallisuus ei ole pelkästään viranomaisvastuu, vaan kriittinen osa yritysten ja koko kansantalouden toimintakykyä.
EU-sääntelyn vuosi: salauksen puolustaminen, sääntelyn järkeistäminen ja kriittisen infrastruktuurin vahvistaminen
Vuosi 2025 oli EU-sääntelyn ja muiden politiikkatoimien kannalta poikkeuksellisen tiivis. Vuoden aikana laadittiin kymmeniä lakiehdotuksia, strategioita ja suunnitelmia. Useat laajat kokonaisuudet etenivät rinnakkain ja myös kerrosteisesti EU- ja kansallisella tasolla. Niiden vaikutukset ulottuivat syvälle digitaaliseen talouteen, kyberturvallisuuteen ja yritysten toimintaedellytyksiin. Esimerkiksi EU:n CSAM-asetuksen käsittelyssä saavutettiin ratkaiseva edistysaskel, kun aiemmissa luonnoksissa ehdotettu laajamittainen viestinnän skannaus ja päästä päähän -salauksen heikentämiseen johtava menettely vihdoin kolmen vuoden ponnistelujen tuloksena poistettiin lopullisesta lakiehdotuksesta. Ratkaisu osoitti myös, että lastenkin suojeleminen on mahdollista ilman laajoja puuttumisia viestinnän luottamuksellisuuteen, ja se vahvisti eurooppalaisen digitaalisen turvallisuuden perustaa. Ns.
Digiomnibus-lakiehdotuksessa painopiste oli sääntelyn yksinkertaistamisessa. Vaikka varsinaiset säädösmuutokset eivät vielä ole lainsäätäjien käsiteltävänä, tarkoituksena on vähentää yrityksiä kuormittavia päällekkäisiä ilmoitusvelvoitteita sekä tehostaa EU-laajuista kyberturvallisuuspoikkeamien ilmoitusjärjestelmää toteuttamalla ns. yhden keskitetyn kanavan malli. Tämä luo edellytyksiä selkeämmälle ja hallinnollista taakkaa keventävälle raportointikäytännölle.
NIS2-direktiivin (Kyberturvallisuuslaki) ja EU:n Kyberkestävyysasetuksen (CRA) edennyt toimeenpano konkretisoi riskiperustaisen velvoitteiden toteuttamismallia kyberturvallisuuden riskienhallinnassa. Toki vastaavaa ajatusta on hyödynnetty aiemminkin mm. yleisen tietosuoja-asetuksen yhteydessä, mutta kenties vähemmän onnistuneesti. Kaiken kaikkiaan yrityksiin kohdistuvia kustannusvaikutuksia ja velvoitteiden määrää on pyritty arvioimaan entistä tarkemmin, jotta merkittävien toimijoiden suojaukselle saadaan vaikuttava mutta hallittava sääntelykehys. Tulevat vuodet kuitenkin kertovat vasta, miten tavoitteessa onnistutaan.
Kansalliset uudistukset: hankintalain päivittäminen, kvanttiteknologiastrategia ja sisäisen turvallisuuden kokonaisuus
Kotimaassa valmistellussa hankintalain uudistuksessa korostettiin julkisen sektorin tehokkuutta, markkinoiden toimivuutta sekä kilpailun lisäämistä, mutta uudistus herätti myös keskustelua siitä, miten varmistetaan kriittisten ICT- ja kyberturvallisuuspalvelujen laatu ja turvallisuus. Onnistuneen uudistuksen kannalta olennaista onkin huolehtia, ettei kilpailutus perustu yksinomaan hintaan, vääristyneisiin tai joustamattomiin markkinoihin tilanteissa, joissa ratkaisuilla on välitön vaikutus tietojärjestelmien ja toiminnan turvallisuuteen. Kvanttiteknologiastrategiassa nostettiin esiin nopeasti kehittyvän teknologian mahdollisuudet ja uhat. Kvanttikapasiteetin kasvu edellyttää uudenlaisia ratkaisuja salaukseen, riskienhallintaan ja infrastruktuurin suojaamiseen. Suomen vahvan osaamisen tunnistettiin luovan hyvän perustan kansallisen ekosysteemin kehittämiselle, kunhan TKI‑panostukset ja pilotointimahdollisuudet turvataan. Sisäisen turvallisuuden selonteossa viitoitettiin suuntia valtion pitkän aikavälin turvallisuuslinjauksille, mutta yritysvaikutukset ja taloudellisen toiminnan turvallisuus jäivät laajalti pohdinnan ulkopuolelle. Palveluketjujen ja yritysvarallisuuden suojaaminen on keskeinen osa yhteiskunnan häiriönsietokykyä myös (kyber)rikosten torjunnan osalta, ja siksi sisäisen turvallisuuden politiikan tulisikin entistä paremmin tunnistaa yritysten rooli turvallisuuden tuottajina.
Kyberteollisuuden rooli ja tulevaisuuden mahdollisuudet
Vuosi 2025 vahvisti kehittyvää ymmärrystä kyberturvallisuudesta osana yhteiskunnan kriittistä infrastruktuuria. Kotimainen kyberturvallisuusteollisuus tarjoaa ratkaisuja, joilla voidaan ylläpitää digitaalisen yhteiskunnan toimintavarmuutta ja varmistaa kriittisten ja muidenkin järjestelmien luottamuksellisuutta. Toimialan vientipotentiaali kasvaa, kun kyberturvallisuutta arvostetaan aiempaa selkeämmin kilpailukyvyn osatekijänä. Samalla digitalisaation, tekoälyn ja kriittisten teknologioiden kehitys loi menneenä vuotena huimia uusia liiketoimintamahdollisuuksia. Samalla kansalliset ja EU-tason tukiohjelmat avasivat väyliä investoinneille ja ekosysteemien kehittämiselle. Vielä ollaan toki kaukana optimaalisista prosesseista, mutta kehityssuunta oli selvästi myönteinen.
Yhteenveto
Vuosi 2025 oli kyberturvallisuusteollisuuden näkökulmasta voimakkaiden muutosten ja onnistuneiden linjausten vuosi. Keskeisissä sääntelyhankkeissa saavutettiin ratkaisuja, jotka vahvistavat viestinnän luottamuksellisuutta, keventävät sääntelytaakkaa ja luovat edellytyksiä turvalliselle digitalisaatiolle. Kansallisessa valmistelussa korostui yritysten merkitys osana kokonaisturvallisuutta – kansallinen huoltovarmuus mukaan lukien.
Teknologiapolitiikan osalta ymmärrys kriittisten teknologioiden asemasta Suomen tulevaisuuden kasvun moottoreina kehittyi edelleen. Oman mainintansa ansaitsee se, että vaikka kyberturvallisuusteknologia on oma kriittisen digiteknologian alueensa, myöskään muita kriittisiä digiteknologioita (esim. viestintä- tai tekoälyteknologia) ei voi kehittää kestävästi ilman turvallisuusnäkökohtia ja -ominaisuuksia. Näin ajateltuna voidaankin sanoa, että kyberturvallisuuden teknishallinnollisten ratkaisujen kehittäjien ja käyttäjien näkökulmasta kyberturvallisuus on pohjimmiltaan digitaalisen teknologian käyttöön liittyvä kyvykkyys.
Vuosi 2026 käynnistyy epävarmuuden vallitessa, mutta samalla avautuu mahdollisuus vahvistaa yhteistyössä suomalaisen kyberturvallisuusteollisuuden asemaa niin Euroopassa kuin globaalisti – vastuullisena, luotettavana ja teknologisesti edistyksellisenä turvallisuuden tuottajana.
Peter Sund
Toimitusjohtaja
Kyberala ry (FISC)