Inledning

I avsnitt 8 undersöks särdragen i den digitala säkerheten i kommunerna (frågorna 48-53). Först undersöks kommunernas allmänna erfarenhet av hur viktiga krav på informationssäkerhet uppfylls i verksamheten, dvs. hur kraven i 4 kap. i informationshanteringslagen (informationssäkerhet) genomförs, hur den digitala miljön beaktas i kontinuitets- och beredskapsplaneringen och om kommunen har en systematisk riskhanteringsmodell som beaktar cybersäkerhetsrisker (fråga 48). Fråga 49 bedömer hur ofta kommunerna granskar digitala säkerhetsrisker och hanteringsåtgärder med interna och externa intressenter. Nästa fråga handlar om hur informationssäkerhetsombudets och dataskyddsombudets uppgifter är organiserade i kommunen (fråga 50) och hur respondenterna förväntar sig att investeringarna i informationssäkerhet och dataskydd kommer att utvecklas under de kommande åren (fråga 51). Respondenterna rapporterade också om de ömsesidiga beroendena mellan kommunens ICT-tjänster och aktörerna i den kommunägda kritiska infrastrukturen (k52). De som svarade hade också möjlighet att ge bakgrundsinformation om sina svar i en öppen fråga (fråga 53).

Begreppet digital säkerhet omfattar cybersäkerhet, informationssäkerhet (teknisk och administrativ) och dataskydd samt kontinuitetshantering och beredskap i anslutning till detta.

Kommunerna har fortfarande utrymme för förbättringar när det gäller att implementera lagstadgade säkerhetskrav (fråga 48)

I fråga "48. Bedöm giltigheten av följande påståenden utifrån din kommuns perspektiv" ombads svarspersonerna i tre delfrågor att välja det alternativ som bäst beskriver deras situation bland fem alternativ. Denna fråga besvarades av 143 till 146 kommuner av de 159 kommuner som besvarade enkäten. Detta motsvarar cirka 91% av de kommuner som svarade på enkäten och cirka 50% av kommunerna i Fastlandsfinland. Fördelningen av svaren framgår av figur 8.1.

Figur 8.1: ”Implementering av specifika informationssäkerhetsaspekter i kommunerna”

Genomförande av kraven i kapitel 4 i informationshanteringslagen

Kapitel 4 i informationshanteringslagen, som trädde i kraft 2020, innehåller de informationssäkerhetskrav som gäller för informationshantering inom offentlig förvaltning (inklusive kommuner). 18% av respondenterna anser att kraven i kapitel 4 är fullt genomförda i kommunen (”ja”-svarande). I de allra flesta kommuner är situationen uppenbarligen ganska bra, eftersom 64% av respondenterna anser att kraven ”i stor utsträckning” uppfylls.  I 16% av kommunerna uppfylls lagens krav endast i liten utsträckning.

Samtliga kommuner med fler än 100 000 invånare anser att kraven i 4 kap. informationshanteringslagen ”till stor del” uppfylls i deras verksamhet. I alla andra kategorier av kommuner finns det de som anser att kraven är helt uppfyllda (”ja”-svar). Andelen respondenter med detta svar varierar mellan 11% och 28%, med andelar över 20% för kommuner med mellan 2 000 och 5 999 invånare, mellan 10 000 och 19 999 invånare och mellan 20 000 och 39 999 invånare. I den andra ytterligheten anser 44% av kommunerna med färre än 2.000 invånare och 27% av kommunerna med mellan 6.000 och 9.000 invånare att kraven i lagens 4 kap. uppfylls i liten utsträckning. 

Att ta hänsyn till den digitala miljön i kontinuitets- och beredskapsplaneringen

I delfrågan om kontinuitets- och beredskapsplanering anser 22% av svarspersonerna att kommunens kontinuitets- och beredskapsplanering tar hänsyn till den digitala miljön. 43% av kommunerna har tagit hänsyn till denna fråga i stor utsträckning och 28% i liten utsträckning. 4% av de svarande anser att frågan inte alls beaktas. 

Som en allmän regel gäller att ju större kommunen är, desto oftare beaktas den digitala miljön på ett heltäckande sätt i kontinuitets- och beredskapsplanerna. Med undantag för en storlekskategori anser mer än 26% av dem som svarat i kommuner med mer än 6 000 invånare att denna fråga beaktas på ett övergripande sätt (”ja”-svar). Andelen respondenter som svarade ”i stor utsträckning” varierade mellan 33% och 63%. Andelen som svarat ”i viss utsträckning” är störst i de mindre kommunerna. I kommuner med färre än 10.000 invånare svarade 33% till 36% av de tillfrågade ”ja”, medan andelen i kommuner med fler än 10.000 invånare varierade mellan 16% och 24%. Andelen ”nej”-svarare är endast signifikant i den minsta storlekskategorin, kommuner med färre än 2000 invånare (33%, dvs. tre svarande). 

Användning av en systematisk riskhanteringsmodell i en kommun

Mindre än hälften av de som svarade anser att deras kommun har en systematisk riskhanteringsmodell på plats som tar hänsyn till cybersäkerhetsrisker. 21% av kommunerna svarade ”ja” och 25% ”i stor utsträckning”. Mer än en tredjedel, eller 37%, av de som svarade anser att detta är fallet ”i viss utsträckning” och 14% att så inte är fallet. 

Erot kuntakokoluokkien välillä korostuvat tässä jopa edellisiä alakysymyskohtia enemmän. Yli 100 000 asukkaan kunnista 57 % vastasi ”kyllä” ja 43 % ”suurelta osin”. Käytännössä tällöin voisi olettaa kyberturvallisuuden huomioivan riskienhallintamallin olevan melko hyvin käytössä suurimmissa kunnissa. Seuraavassa kokoluokassa 40 000 - 99 999 asukkaan kunnissa 38 % vastasi ”kyllä” ja 25 % ”suurelta osin”, kun taas kolmannes (31 %) vastasi ”pieneltä osin”. Kuntakokoluokassa 20 000 - 39 999 asukasta vastaukset ovat samansuuntaiset kuin yhtä suuremmassa kokoluokassa. Kuitenkin ”suurelta osin” vastanneiden määrä on vain 5 % ja tästä kokoluokasta (sekä pienemmistä) alkaa jo löytyä myös ”Ei” vastauksen antaneita (16 %). 

Kuntakokoluokista 2000 ja 19 999 välille asettuvissa kunnissa noin 40 % vastanneista arvioi riskienhallintamallin olevan täysin tai suurelta osin käytössä. ”Kyllä” vastaajien osuus on sitä pienempi, mitä pienemmästä kokoluokasta on kyse. Malli on käytössä pieneltä osin 40 - 48 % kunnista ja sitä ei ole käytössä 11 - 16 % :lla. Alle 2000 asukkaan kunnat erottuvat joukosta siten, että niistä yhdelläkään ei ole täysin tällaista riskienhallintamallia käytössä, 11 %:lla (yksi vastaaja) sellainen löytyy ”suurelta osin” käytössä ja 33 %:lla pieneltä osin, kun taas 56 %:lla sellaista ei ole käytössä. 

Johtopäätökset (kysymys 48): tietoturvavaatimusten ja riskienhallintamallin toimeenpano kunnissa vaatii vielä huomioita ja kehittämistä

Tiedonhallintalain 4. luvun vaatimusten toteutuminen

Tiedonhallintalaki on ollut voimassa yli viisi vuotta. Lain luvussa 4 esitetyt tietoturvallisuutta koskevat vaatimukset ovat kansainvälisessäkin katsannossa melko edistykselliset. Vaatimukset ovat eritasoisia, osa liittyy yleisesti toimintamalliin kuten velvoite seurata toimintaympäristön tilannetta, asettaa tietoturvavaatimukset riskilähtöisesti huomioiden koko tiedonhallinnan elinkaari (13.1 §) kun taas osa on yksityiskohtaisempia kuten velvollisuus testata järjestelmien vikasietoisuus (13.2 §) tai toteuttaa salaus siirrettäessä salassa pidettävää tietoa tietoverkossa (14 §). 

Tiedonhallintalautakunta tukee tiedonhallintalain toimeenpanoa mm. vastaamalla tiedonhallintayksiköiden kysymyksiin toimeenpanosta ja laatimalla suosituksia. Tiedonhallintalautakunnan resurssit ovat kuitenkin olleet rajalliset, eikä esimerkiksi aktiivista ja laajaa tukea ja neuvontaa tiedonhallintayksiköille ole ollut tarjolla. Luvun 4 vaatimuksiin liittyvän suosituskokoelman viimeinen osa valmistui vuonna 2024. Lisäksi kansallisella tasolla ei ole toteutettu tiedonhallintalain 4 luvun toimeenpanon valvontaa.

Edellä mainituista syistä, saadut tulokset ovat ymmärrettäviä. Lain vaatimukset ovat monitahoiset ja laajat. Ne kohdistuvat samantasoisina niin suuriin kuin pieniinkin kuntiin, vaikka resurssit ovat niissä aivan erilaiset. Lain toimeenpanoon on tarjottu vain vähäistä - joskin sekin hyvin tarpeellista - tukea. Lisäselvitystä tarvittaisiinkin siitä, miltä osin eritaustaiset kunnat ovat kokeneet haasteita tiedonhallintalain 4. luvun toimeenpanossa. Sen perusteella tulisi kohdistaa entistä parempaa ja kohdennetumpaa tukea lain kattavan toimeenpanon mahdollistamiseksi. Tarvittaessa myös muunlaisia toimenpiteitä tulisi pohtia. 

Digitaalisen ympäristön huomioiminen jatkuvuus- ja valmiussuunnittelussa

Kunnan koko ja organisoituminen vaikuttavat merkittävällä tavalla siihen, miten kunnan jatkuvuus- ja valmiussuunnittelu on vastuutettu ja organisoitu. Päävastuu niistä voi useinkin olla turvallisuus- tai valmiuspäälliköllä. Olisi tärkeää, että jatkuvuus- ja valmiussuunnittelun tarve ja vaatimukset huomioitaisiin kunnissa sekä tietohallinto- ja ICT-palveluiden järjestämisen että yleisemminkin koko kunnan valmiussuunnittelun näkökulmista. Kunnan omaan harkintaan jää, miten ne sovitetaan yhteen. Olennaista olisi myös huomioida jatkuvuuden ja valmiuden vaatimukset hankintasopimuksissa, jotta edellytykset niiden toteuttamiselle olisivat olemassa. Nykyisessä toimintaympäristössä, jossa kyberuhkat ovat pikemminkin lisääntymässä kuin vähenemässä, jatkuvuus- ja valmiussuunnittelussa tulisi jokaisessa kunnassa huomioida kattavasti myös toiminta digitaalisessa ympäristössä. Tähän on myös selkeät lakisääteiset velvoitteet tiedonhallintalain luvussa 4 (13a.3 §). 

Järjestelmällisen riskienhallintamallin käyttö kunnassa

Tiedonhallintalain 13 §:n mukaan ” Tiedonhallintayksikön on selvitettävä olennaiset tietojenkäsittelyyn kohdistuvat riskit ja mitoitettava tietoturvallisuustoimenpiteet riskiarvioinnin mukaisesti.” Tiedonhallintalautakunnan suosituksessa tietoturvallisuuden vähimmäisvaatimuksista kuvataan riskienhallintavaatimusta tarkemmin mm. näin: ”Riskienhallinta on kokonaisuus, johon kuuluu riskien arviointi, tietoturvallisuustoimenpiteiden suunnittelu tunnistettujen riskien perusteella, jäännösriskien hyväksyminen sekä tietoturvallisuustoimenpiteiden toteuttaminen. Riskienhallinnan tulee olla jatkuvaa ja suunnitelmien toteutumista sekä toteutettujen tietoturvallisuustoimenpiteiden vaikuttavuutta tulee arvioida säännöllisesti.” Kuntia koskevassa lainsäädännössä ei ole erikseen vaadittu toteuttamaan järjestelmällistä kyberturvallisuuden riskit huomioivaa riskienhallintamallia, mutta informaatio-ohjauksen perusteella voisi pitää ilmeisenä, että tiedonhallintalain riskilähtöisen toiminnan vaatimusten täyttämiseen tarvitaan järjestelmällistä ja määrämuotoista riskienhallintaa. 

Vuonna 2025 voimaan tulleessa kyberturvallisuuslaissa ja uudessa tiedonhallintalain 4 a luvussa, joilla toimeenpannaan kansallisesti EU:n NIS2-direktiivin vaatimukset, on vaatimukset kyberturvallisuuden riskienhallintamallista. Peruskunnat eivät kuitenkaan kuulu näiden säädösten soveltamisalaan. Suurimpien kuntien kriittisen infran toiminnot (vesi-, lämpö- tai jätelaitos) kuuluvat näiden säädösten soveltamisalaan, jos niiden toiminnan kokoluokka on riittävän suuri. Läheskään kaikkien kuntien vastaavat toiminnot tai yhtiöt eivät kuitenkaan ylitä kokoluokkarajoja. Liikenne- ja viestintäviraston Traficomin Kyberturvallisuuskeskus on laatinut säädösten toimeenpanon tueksi suosituksen NIS2 valvoville viranomaisille. Se sisältää näkemyksiä kyberturvallisuuden riskienhallintamallin toimeenpanon vaatimuksista. Kunnat voivat tutustua suositukseen hyvänä käytäntönä ja oman toimintansa kehittämisen tukena.

Kuntien riskienhallintaa tulisi edelleen kehittää kyberturvallisuuden riskien huomioimisen osalta siten, että kaikissa kunnissa olisi riittävä ymmärrys kyberturvallisuuden riskienhallinnan vaatimuksista ja kyky toimeenpanna vaatimukset riittävällä tasolla omassa toiminnassa. Tässä tarvitaan myös kansalliselta tasolta toteutettuja riskienhallintatoimenpiteitä sekä tukea, neuvontaa ja informaatio-ohjausta - kuntien välistä vertaisyhteistyötä unohtamatta.

Kuntien tulisi pyrkiä järjestelmälliseen kyberturvariskien ja niiden hallintatoimenpiteiden käsittelyyn eri toimielimissä (Kysymys 49)

Kysymyksessä ”49. Miten usein seuraavien tahojen kanssa katselmoidaan kunnan digitaalisen turvallisuuden riskejä ja niiden hallintatoimenpiteitä?” vastaajat saivat valita kahdeksassa alakohdassa parhaiten kuvaavan vaihtoehdon neljästä vaihtoehdosta. Kysymykseen vastasi 144-150 kuntaa kaikista kyselyyn vastanneista 159 kunnasta. Tämä tarkoittaa noin 91-94 % kyselyyn vastanneista kunnista ja noin 50 % kaikista Manner-Suomen kunnista. Kuvaaja 8.2 esittää vastausten jakauman kuntakokoluokittain.

Kuvaaja 8.2: ”Miten usein seuraavien tahojen kanssa katselmoidaan kunnan digitaalisen turvallisuuden riskejä ja niiden hallintatoimenpiteitä”

Kunnissa digiturvan riskejä ja niiden hallintatoimenpiteitä tarkastellaan säännöllisesti erityisesti tietohallintotiimissä (63 %), keskeisten ICT-palveluntoimittajien kanssa (46 %) ja kunnan johtoryhmässä (43 %). Toimialojen johtoryhmissä (21 %) ja kriittiseen infraan kuuluvien liikelaitosten johdon kanssa (28 %) nousivat vaihtoehtoina yli 20 % osuuksiin. 

Tyypillisin toimintatapa kaikissa tarkastelluissa ryhmissä oli tapauskohtainen tarkastelu. Sen osuus vaihtoehdoista vaihteli 25:stä 54 %:iin. Jos yhdistetään säännöllinen ja tapauskohtainen tarkastelu vaihtoehtoina, nähdään, että digitaalisen turvallisuuden riskejä ja niiden hallintatoimenpiteitä käsitellään ylipäätään jollain tavalla pääosassa kuntien johtoryhmistä (93 %) ja tietohallintotiimeistä (88 %) sekä keskeisten ICT-palveluntoimittajien kanssa (93 %). Melko kattavat tulokset tulivat myös käsittelystä kunnan toimialojen johtoryhmissä (75 %) ja kunnanhallituksissa (73 %). 

”Ei koskaan” vastauksia tuli vähän paitsi valtuuston (39 %) ja kunnanhallituksen (18 %) kohdalla. Kiinnostavaa on myös se, että vastaajista 38 % ei tiennyt, käsitelläänkö aihetta kriittiseen infraan kuuluvien kunnan omistamien yhtiöiden hallituksissa tai liikelaitosten johdossa (30 %). 

Kuntakokoluokkien vastausjakaumat olivat pääosassa alakohdista melko samansuuntaiset kokoluokasta riippumatta. Joissakin alakohdissa ”säännöllinen” vastaukset olivat hieman yleisempiä suurimmissa kokoluokissa. Poikkeuksen muodostaa ”tietohallintotiimi” -alakohta, jossa ”säännöllisesti” vastauksen osuus yli 100 000 asukkaan kunnissa on 100 % ja laskee siitä lähes lineaarisesti päätyen alle 2000 asukkaan kunnissa 22 %:iin vastanneista. Alle 40 000 asukkaan kuntaryhmissä ”tapauskohtaisesti” vaihtoehdon valinneiden osuus on noin 30 %. Alle 10 000 asukkaan kunnissa löytyy myös ”ei koskaan” vaihtoehdon valinneita, joiden osuus vastaajista on noin 10 %. Lisäksi ”en osaa sanoa” vastaajia löytyy alle 6 000 asukkaan kunnista 18-33 %. 

Johtopäätökset (kysymys 49): Kyberturvariskien käsittelyssä tulisi päästä tapauskohtaisesta säännönmukaiseen kaikilla tasoilla

Vaikuttaa hyvältä, että lähes kaikki kyselyyn vastanneet kunnat käsittelevät digitaalisen turvallisuuden riskejä ja niiden hallintatoimenpiteitä keskeisten ICT-palveluntoimittajiensa kanssa sekä kunnan johtoryhmissä ja tietohallintotiimeissä ainakin tapauskohtaisesti. Jokaisen kunnan tavoitteena olisi kuitenkin hyvä olla ”säännöllisyys” tässä ja muissakin alakohdissa. 

Vaikka NIS2-direktiivi ei koske suoraan kuntia, hyvänä käytäntönä alkaa nostaa päätään vaatimus siitä, että organisaatioiden ylin johto ymmärtää perusteet digitaalisen turvallisuuden (lue kyberturva, tietoturva ja tietosuoja) riskienhallinnasta. Johdon tulee varmistaa se, että riittävät vastuut ja toimintamallit on otettu käyttöön kunnassa ja että niitä valvotaan (vrt. esim. tiedonhallintalaki 4.2 § ja 13 §) - myös organisaation omistamissa tai operoimissa suurissa kriittiseen infraan kuuluvissa toiminnoissa (vrt. kyberturvallisuuslaki). Siksi olisi hyvä pohtia ja määritellä, mitä kyberturvallisuuteen liittyviä näkökulmia kannattaisi käsitellä minkäkin kunnan johdon toimielimen asialistalla, ja mitä säännönmukaisuus näiden eri toimielinten näkökulmasta tarkoittaa. Valtuuston kanssa asiaa ei varmastikaan kannata käsitellä yhtä usein ja samalla tavoin kuin kunnanhallituksen, saati kunnan johtoryhmän kanssa. Tärkeää olisi varmistaa, että aihe nousee riittävällä tavalla myös kriittisen infran toimintojen kuten vesi- ja lämpölaitosten ja -yhtiöiden hallituksen tai ylimmän johdon ja ohjauksen asialistalle säännönmukaisesti ja oikeantasoisena. 

Erikokoisissa kunnissa voi olla eri tavoin järjestäytyneitä tietohallintotiimejä ja tietohallinnon ohjausrakenteita. Riippumatta siitä, onko kunnalla virallinen tietohallintotiimi vai vain oman toimen ohessa toimiva muunlainen tietohallintoasioita käsittelevä ryhmä, tulee sen asialistalla olla säännönmukaisesti kattava digiturvariskien ja niiden hallintatoimenpiteiden tarkastelu. 

Pääosa kunnista järjestää tietoturvavastaavan ja tietosuojavastaavan toiminnot itse (Kysymys 50)

 Kysymyksessä ”50. Miten seuraavien tehtävien pääasiallinen toteuttaminen on järjestetty kunnassani?” vastaajat saivat valita kahden alakohdan, tietoturva ja tietosuoja, kohdalla kuudesta eri vaihtoehdosta sopivimman. Kysymykseen vastasi 150-151 kuntaa kaikista kyselyyn vastanneista 159 kunnasta. Tämä tarkoittaa noin 95 % kyselyyn vastanneista kunnista ja noin 51 % kaikista Manner-Suomen kunnista. Kuvaaja 8.3 esittää vastausten jakauman alakohdittain.

Kuvaaja 8.3: ”Miten tietoturva- ja tietosuojavastaavan toiminnot on pääasiallisesti järjestetty kunnassa”

Pääosa kunnista järjestää tietoturva- ja tietosuojavastaavan toiminnot itse (78-79 %). Osa alueellisten ja kansallisten sidosyksiköiden asiakkaista hyödyntää yhtiötään näiden toimintojen järjestämisessä (9 % ja 1-2 %). Kuntayhteistyönä näitä toimintoja järjestää 5 % vastaajista ja ostopalveluna suoraan markkinalta 3- 5 % vastanneista. 

Kaikki yli 20 000 asukkaan kunnat järjestävät tietoturvavastaavan toiminnot itse. Kunnista 80 % järjestää tämän toiminnon itse 6 000 - 19 999 asukkaan kunnissa. Näissä kuntakokoluokissa muita mainittuja vaihtoehtoja ovat alueellisen sidosyksikön tai kuntayhteistyön kautta järjestäminen. Pienimmistä kuntakokoluokista 2 000 - 5 999 asukkaan kunnista 68 % järjestää tietoturvavastaavan toiminnot pääasiassa itse ja hyödyntäen erilaisia muita järjestämisvaihtoehtoja. Alle 2000 asukkaan kunnissa tietoturvavastaavan toiminto järjestetään itse 20 %:ssa vastanneista kunnista ja muuten hyödynnetään muita edellä mainittuja järjestämisvaihtoehtoja. Tietosuojavastaavan toiminnon järjestämisen osalta eri kuntakokoluokissa on melko lailla samantyyppinen tilanne kuin tietoturvavastaavan osalta. 

Valtaosa kunnista ennakoi tietoturva- ja tietosuojapanostusten lisääntyvän lähivuosina (Kysymys 51)

 Kysymyksessä ”51. Miten arvioit kuntasi tietoturvaan ja tietosuojaan tekemien panostusten (toimintamenot, investoinnit, oma työpanos) kehittyvän seuraavien kahden vuoden aikana?” vastaajat saivat valita kahdessa alakohdassa parhaiten kuvaavan vaihtoehdon neljästä vaihtoehdosta. Kysymykseen vastasi 150 kuntaa kaikista kyselyyn vastanneista 159 kunnasta. Tämä tarkoittaa noin 94 % kyselyyn vastanneista kunnista ja noin 51 % kaikista Manner-Suomen kunnista. Kuvaaja 8.4 esittää vastausten jakauman alakohdittain.

Kuvaaja 8.4: ”Miten kunnissa arvioidaan tietoturva- ja tietotosuojapanostusten kehittyvän seuraavien kahden vuoden aikana”

Pääosa vastaajista näkee tietoturvaan (76 %) ja tietosuojaan (59 %) kohdistuvien panostusten kasvavan seuraavien kahden vuoden aikana. Näiden panostusten vähenemistä ennakoi vain pieni osa vastaajista (3 %). Osa kunnista näkee tilanteen pysyvän ennallaan tietoturvan (19 %) ja tietosuojan (35 %) osalta. 

Tarkasteltaessa tilannetta kuntakokoluokittain, suhteessa eniten tietoturvapanostusten lisääntymistä ennakoivia kuntia (88 - 95 %) löytyi 20 000 - 99 999 asukkaan kunnista. Suhteessa eniten panostusten ennallaan pysymistä ennakoivia kuntia löytyi alle 2000 asukkaan (44 %) ja yli 100 000 asukkaan (38 %) kunnista. Tietosuojan osalta (yhtä poikkeusta lukuun ottamatta) panostusten kasvua ennakoitiin sitä useammin, mitä suuremmasta kuntakokoluokasta on kyse. Alle 2000 asukkaan kunnista 33 % vastaajista arvioi tietosuojapanostusten kasvavan, kun taas yli 100 000 asukkaan kunnista 75 % ennakoi kasvavia panostuksia.

Kunnat ja kriittisen infran toimijat (Kysymys 52)

 Kysymyksessä ”52. Järjestääkö kuntasi perus-ICT-, tietohallinto- tai ohjelmistopalveluita kuntasi alueella toimivalle ja kuntasi omistamalle kriittisen infrastruktuurin toimijalle (toimii kunnan sisällä taseyksikkönä / liikelaitoksena tai kunnan omistaman yhtiönä)?” vastaajat saivat valita neljästä vaihtoehdosta kaikki kunnan tilanteeseen sopivat. 

Tämän kysymyksen vastauksia ei raportoida julkisessa raportissa.

Kommunerna behöver ett brett stöd och samarbete för att utveckla den digitala säkerheten (Fråga 53)

I fråga "53. Om du vill kan du specificera dina svar i detta avsnitt." ombads de tillfrågade att utveckla sina svar på frågorna om digital säkerhet eller på annat sätt kommentera läget för den digitala säkerheten. Denna fråga besvarades av 17 kommuner av de 159 kommuner som besvarade enkäten. Detta motsvarar cirka 11% av de kommuner som svarade på enkäten och cirka 4% av alla kommuner på fastlandet i Finland.

Resultat och slutsatser (fråga 53)

De fria kommentarerna ger en viktig bakgrund till svaren på flervalsfrågorna i detta avsnitt. Därför lyfts flera kommentarer fram nedan som citat.

En uppgiftslämnare reflekterade över skälen till att det finns ett behov av att investera i utvecklingen av digital säkerhet: 

”På grund av den globala situationen behövs det mer investeringar i informationssäkerhetssystem än tidigare.” (Kommun med 2000-5999 invånare)

Medan vissa aktörer redan har investerat i digital säkerhet, har andra fortfarande betydande investeringar kvar att göra:

”Det har investerats så mycket i IT-säkerhet de senaste åren att det sannolikt kommer att förbli oförändrat ett tag framöver.” (en kommun med mer än 100 000 invånare)

"Även ett litet bidrag är utveckling. Man börjar långsamt inse hur viktig och kritisk frågan är, men det görs inga ansträngningar. Det finns ett stort behov av allmänna riktlinjer och vägledning i små kommuner, eftersom utvecklingsarbetet ofta hamnar i skymundan av den dagliga rutinen. Det finns till exempel en outnyttjad potential för utveckling genom kommunalt samarbete." (Kommun med 2000-5999 invånare)

Det görs insatser för att förbättra olika typer av enheter:

”Utvecklingsfokus är att nå NIS2-nivå” (kommun med 20 000-39 999 invånare)

”Att gå mer från den traditionella kokosnötsmodellen (hårt skal (perimeter), mjuk kärna (internt)) till en mer nolltillitsstrategi och implementering där användaren/enheten inte är betrodd från början och användaren/enheten endast ges de åtkomsträttigheter de behöver.” (kommun med 6000-9999 invånare)

”Nästa år kommer fokus att ligga på dataminimering och automatiserade arkiveringsprocesser samt revisioner.” (Kommun med 20 000-39 999 invånare)

”Införande av tvåfaktorsautentisering för alla användare av stadsdomänen.” (Kommun med 20 000-39 999 invånare)

Tre svarspersoner identifierade utmaningar med att digitala säkerhet blir personbunden:

”IT-team = kommunal IKT-expert” (kommun med färre än 2000 invånare)

”Allting ligger i allmänhet i händerna på en person, när han lämnar börjar hela ICT/cybersäkerheten att återgå till gamla fifflande metoder som inte riktigt tar hänsyn till någonting.” (Kommun med 10 000-19 999 invånare)

”Att utveckla hanteringen av digital säkerhet är huvudfokus för de kommande åren. Digital säkerhet kan inte vara ansvaret för en liten grupp experter ensamma.” (Kommun med 40 000-99 999 invånare)

Tre svarspersoner bedömde behovet av stöd för att förbättra informationssäkerheten och dataskyddet:

"Kommunen skulle ha stor nytta av särskild finansiering för ett projekt med specifikt fokus på informationssäkerhet och dataskydd. Ett sådant projekt skulle vara mest meningsfullt på nationell nivå, för att ge kamratstöd och nätverkande i ämnet; i dessa tider är nationell säkerhet och dess samstämmighet viktiga frågor." (kommun med mindre än 2000 invånare)

”Expertis, tydlig, konkret vägledning, ekonomiskt stöd.” (kommun med 6000-9999 invånare)

”Mer pengar är välbehövligt...” (Kommun med 10 000-19 999 invånare)