Keväällä 2025 aloitettu toimialojen kyberkypsyyden selvitys on valmistunut, kertoo Huoltovarmuuskeskus. Tuore selvitys osoittaa, että kansallinen kyberkypsyyden taso on kehittynyt vuodesta 2022 vain maltillisesti. Samalla teknologian murros etenee ja turvallisuusympäristö muuttuu merkittävästi nopeammin kuin organisaatioiden kyky uudistua ja investoida kyberturvallisuuteen. Korkeamman ja matalamman keskiarvon saavuttaneiden yritysten keskeinen ero on johdon sitoutuneisuus kyberturvallisuuden kehitykseen.
Yritysten liiketoiminta nojautuu nykyisellään toimiviin tietoverkkoyhteyksiin, tietojärjestelmiin ja dataan. Huoltovarmuuden turvaamiseksi on siis tärkeää, että yhteiskunnan tärkeitä toimintoja ylläpitävissä yrityksissä on riittävästi varauduttu kyberuhkiin. Toimialojen kyberkypsyyden selvitys 2025 arvioi huoltovarmuuskriittisten yritysten kyberuhkiin varautumisen tasoa ja esittää kehitystoimenpiteitä tason nostamiseksi. Selvitys toteutettiin edellisen kerran vuonna 2022.
Vuoden 2025 selvityksen mukaan kyberkypsyyden keskiarvo yrityksissä on 3,09 (asteikolla 1–5). Usea toimiala ylittää kohtuullisena pidetyn keskiarvon 3, mutta myös yhteiskunnan toiminnan kannalta kriittisiä toimialoja jää sen alapuolelle. Vahvasti kyberturvallisuuden osalta säännellyt toimialat, kuten finanssi-, teleliikenne- ja ICT-alat ovat toimialavertailun kärjessä. Toimialavertailun loppupäässä ovat esimerkiksi elintarvikehuolto, satamat, telakat ja operaattorit sekä liikenne ja logistiikka, joissa digitalisaation eteneminen on ollut perinteisesti hitaampaa. Lähes jokaisen toimialan vastauksissa on myös laajaa hajontaa.
Teknologian murros ja kyberuhkien kehitys nopeampaa kuin varautumisen
Verrattuna vuoden 2022 tuloksiin, on toimialojen kyberkypsyystaso pysynyt pitkälti ennallaan. Selvityksestä käy ilmi, että kehityskohteet kyberturvallisuuden parantamiseksi ovat edelleen samoja, kuin kolme vuotta sitten tehdyssä selvityksessä. Yritykset myös kamppailevat edelleen samojen aiheiden, kuten resurssien ja kyberosaamisen niukkuuden kanssa.
Merkittävää kehitystä ei siis ole havaittavissa, vaikka turvallisuusympäristömme on ollut viime vuosina jatkuvassa muutoksessa. Vaikuttaakin siltä, että teknologian murroksen tuomat uudenlaiset kyberuhkat ja maailman turvallisuusympäristön muutokset kehittyvät nopeampaa vauhtia kuin yritysten varautuminen kyberuhkiin.
– Maailma muuttuu, eivätkä kehitystoimenpiteet suhteessa muuttuvaan turvallisuusympäristöön ole riittäviä. Jos kyberturvallisuuden kehitys ei ota harppauksia eteenpäin, selkeänä riskinä on, että liikumme oikeastaan vain taaksepäin, kuvailee Huoltovarmuuskeskuksen (HVK) Digitaalinen turvallisuus 2030 -ohjelman ohjelmajohtaja Juha Ilkka tiedotteessa.
Johdon sitoutuminen avainasemassa
Selvityksen mukaan merkittävin ero korkeamman ja matalamman kypsyystason saavuttaneiden yritysten välillä on johdon sitoutuneisuus kyberturvallisuuden kehitykseen. Korkeimmalle sijoittuneissa yrityksissä esimerkiksi kyberturvallisuuden johtamisen ja hallinnan malleja on otettu käyttöön ja niiden vaikuttavuutta on arvioitu. Matalamman kyberkypsyyden saavuttaneissa yrityksissä taas kyberuhkien hallinta hahmottuu pikemminkin tukitoiminnoksi, eikä se ole tarpeeksi tiiviisti sidottu liiketoiminnan johtamiseen.
Selvityksessä tehtyjen haastattelujen mukaan yritysjohdossa kiinnostus kyberturvallisuutta kohtaan on kuitenkin kasvamassa ja kyberturvallisuuden hallinta on muuttumassa aiempaa järjestelmällisemmäksi. Tämä ei vielä kuitenkaan näy kyberkypsyysselvityksen tasossa. Myös huhtikuussa 2025 voimaan tulleen ja kyberturvallisuuden parantamiseen tähtäävän NIS2-direktiivin vaikutukset eivät vielä näkyneet selvityksessä.
Selvityksen tilaaja on Huoltovarmuusorganisaatioon kuuluva Digipooli ja sen on toteuttanut Accenture. Selvitys on rahoitettu Huoltovarmuuskeskuksen Digitaalinen turvallisuus 2030 -ohjelmasta.
