Geopoliittiset muutokset ovat nostaneet digitaalisen suvereniteetin yhdeksi aikamme keskeisimmistä strategisista kysymyksistä. Kyse ei ole enää pelkästä politiikasta tai ideologiasta – organisaatioille se on konkreettinen liiketoimintariski ja samalla kilpailukykymahdollisuus.
Euroopan digitaalinen suvereniteetti (Digital Sovereignity) tarkoittaa Euroopan kykyä tehdä itsenäisiä päätöksiä teknologiasta, datasta ja turvallisuudesta myös silloin, kun geopoliittiset jännitteet kiristyvät. Digitaalisen itsemääräämisoikeuden omaava Eurooppa ei olisi kriisitilanteessa ulkoisen tahdon armoilla sen suhteen, minkä teknologian varassa yhteiskuntamme ja yrityksemme toimivat.
Viime vuosien tapahtumat ovat nostaneet tämän kysymyksen konkreettiseksi keskustelunaiheeksi. Venäjän hyökkäyssota Ukrainaan, kauppapolitiikan kiristyminen Atlantin yli ja teknologiajättien kasvava vaikutusvalta ovat kaikki osoittaneet, että digitaalinen riippuvuus voi olla strateginen haavoittuvuus. Kyberturvallisuus on tunnustettu yhdeksi modernin sodankäynnin viidestä osa-alueesta, ja kriittiseen infrastruktuuriin kohdistuvat hyökkäykset ovat muuttuneet niin vakaviksi, että niillä voi olla laajempia geopoliittisia seurauksia.
Miksi digitaalinen suvereeniteetti kiinnostaa yrityksiä?
Monet yritysjohtajat saattavat ajatella, että digitaalinen suvereniteetti on ennen kaikkea valtiojohdon ja poliitikkojen asia. Todellisuus on kuitenkin toinen: tämä kehitys vaikuttaa suoraan yritysten arjen toimintaan, riskienhallintaan, tiedon prosessointiin ja teknologiavalintoihin.
Oikeudelliset riskit ovat konkreettisia. Kun yritys käyttää ei-eurooppalaisia pilvi- tai tietoturvapalveluja, sen data voi olla alttiina näiden kolmansien maiden lainsäädännölle. Yhdysvaltain Cloud Act velvoittaa amerikkalaiset palveluntarjoajat luovuttamaan tietoja Yhdysvaltain viranomaisille – riippumatta siitä, missä data fyysisesti sijaitsee. Tämä on ristiriidassa EU:n GDPR:n kanssa eikä ristiriitaa voida poistaa yritysten välisillä sopimusehdoilla tai salauksella. Yksi käytännön esimerkki löytyy äskettäisestä tilanteesta, jossa Yhdysvaltojen sanktiot johtivat Kansainvälisen rikostuomioistuimen pääsyn rajoituksiin Microsoftin isännöimiin palveluihin – tapaus, joka muistutti, miten ei-eurooppalainen oikeudellinen vaikutusvalta voi ulottua yllättäviin kohteisiin.
Markkinarakenne luo systeemisiä haavoittuvuuksia. Euroopan kyberturvallisuusteknologioiden päätelaitesuojauksen ja uhkien havaitsemisen liittyvistä markkinoista vain noin 21 prosenttia on eurooppalaisten toimijoiden hallussa. Vaikka kansainvälisestikin katsottuna laadukkaita Europpalaisia teknologiavaihtoehtoja on, valtaosa Europpalaisista yrityksistä, organisaatioista ja julkisesta sektorista käyttää kyberturvallisuutensa varmistamiseen yhdysvaltalaisten yritysten tuotteita. Pelkästään Microsoftin markkinaosuus päätelaitesuojauksessa on kasvanut viimeisen viiden vuoden aikana noin 20 prosentista yli 35 prosenttiin. Kun tietoturvaratkaisut on sulautettu osaksi tällaisten dominoivien alustojen ekosysteemiä – Windows, Microsoft 365, Azure – asiakkaiden on yhä vaikeampaa ottaa käyttöön vaihtoehtoisia eurooppalaisia ratkaisuja. Tietoturvan valuminen tällä tavalla ei-Eurooppalaisiin käsiin ei ole pelkästään kilpailupoliittinen ongelma: se on turvallisuusriski koko Euroopan digitaaliselle huoltovarmuudelle.
Sääntelyvaatimukset lisääntyvät. EU on viime vuosina rakentanut kunnianhimoisen sääntelykehyksen: GDPR, NIS2, DORA, Cyber Resilience Act, tekoälyasetus AI Act ja Data Act muodostavat yhdessä tiiviin vaatimusten verkon. Jokainen näistä asettaa yrityksille konkreettisia velvoitteita tietoturvan, raportoinnin ja riskienhallinnan suhteen. Erityisesti pk-yrityksille tämä kokonaisuus on raskas: velvoitteet ovat hajautuneet, tulkinnat vaihtelevat maittain, ja sääntely noudattamisen varmistaminen kuluttaa yhtiöiden resursseja, jotka olisi parempi suunnata todellisen turvallisuuskyvykkyyden rakentamiseen.
Mitä kyberturvaan liittyviä vaatimuksia EU lainsäädäntö sisältää?
EU:n digitaalinen lainsäädäntö vaatii Euroopassa toimivia yrityksiä ja organisaatioita täyttämään monia samanaikaisia velvoitteita.
NIS2-direktiivi laajentaa merkittävästi kriittisen infrastruktuurin piiriin kuuluvien toimialojen joukkoa ja tiukentaa vaatimuksia kyberturvallisuuden hallintajärjestelmille, poikkeamien raportoinnille ja toimitusketjun riskienhallinnalle. DORA puolestaan asettaa finanssisektorille yksityiskohtaiset vaatimukset digitaaliselle operatiiviselle toimintavarmuudelle. Cyber Resilience Act ulottaa tuoteturvallisuusvaatimukset verkkoyhteydellisiin laitteisiin ja ohjelmistoihin. Data Act pyrkii purkamaan toimittajalukitusta, mutta sen velvoitteet kohdistuvat tällä hetkellä myös pieniin eurooppalaisiin yrityksiin, joilla ei ole merkittävää markkinavoimaa – tämä on saanut kritiikkiä, sillä lain alkuperäinen tavoite oli rajoittaa suurten teknologiajättien ylivaltaa, ei rasittaa eurooppalaisia pk-yrityksiä.
Näiden sääntelyiden noudattamisen varmistaminen ei kuitenkaan sellaisenaan riitä. Eurooppalaiset organisaatiot usein hoitavat sääntelyn vaatimat paperityöt hyvin kuntoon, mutta oikea kyberresilienssi osoitetaan todellisissa häiriötilanteissa. Organisaatioiden on kyettävä havaitsemaan, torjumaan ja toipumaan kyberhäiriöistä – tähän tarvitaan operatiivisia kyvykkyyksiä, ei pelkästään lakimiestyötä.
Miten organisaatiot voivat lisätä digitaalista itsemääräämisoikeuttaan?
Yrityksille on olemassa kolme keskeistä lähestymistapaa, jotka yhdessä muodostavat strategisen viitekehyksen eurooppalaiseen digitaaliseen suvereeniteettiin.
Ensinnäkin: hallitse toimitusketjun riippuvuuksia aktiivisesti. Yleisin sokea piste on olettaa, että suuri tai sertifioitu toimittaja on automaattisesti turvallinen ja juridisesti riskitön. Todellisuudessa markkinavalta voi lisätä systeemistä haavoittuvuutta. Yritysten tulisi arvioida minkä maan lainsäädäntöä kukin toimittaja on velvoitettu noudattamaan ja missä maassa toimittaja prosessoi asiakkaidensa tietoja – mahdollisen EU:n ulkopuoliselle lainsäädännölle altistumisen tulee olla osa organisaatioiden normaalia riskienhallintaa – ei kerran viidessä vuodessa, vaan tätä on tehtävä säännöllisesti jatkuvasti muuttuvassa ympäristössä.
Toiseksi: suosi eurooppalaisia vaihtoehtoja, kun sellaisia on tarjolla. Kriittisillä sektoreilla toimivien eurooppalaisten organisaatioiden tulisi aktiivisesti integroida eurooppalaisia teknologioita osaksi toimitusketjuaan. Euroopalla on vahvaa kyberturvallisuusosaamista – ongelma ei ole kyvykkyyden puute vaan kaupallinen mittakaava ja alustaintegraatio, joka tekee vaihtamisesta hankalaa. Julkisia hankintoja tekevien organisaatioiden tulee huomioida digitaalinen toimitusvarmuus ja EU:n ulkopuoliselle lainsäädännölle altistuminen, hintapaineiden rinnalla.
Kolmanneksi: rakenna todellisia kyvykkyyksiä, älä vain sääntöjenmukaisuutta. Kun sääntelyvelvoitteet kasvavat, voi käydä niin, että resurssit suuntautuvat juridisee työhön, raportointiin ja dokumentaatioon operatiivisen turvallisuuden kustannuksella. Kyberresilienssi perustuu kykyyn havaita, torjua ja palautua uhista reaaliajassa. Tekoäly on jo keskeinen osa sekä hyökkäyksiä että puolustusta – automaatio kasvattaa hyökkäysten nopeutta ja mittakaavaa, mikä tekee operatiivisesta valmiudesta entistäkin tärkeämpää.
Mitä tämä tarkoittaa strategisesti?
Eurooppalainen digitaalinen suvereniteetti ei ole ideologinen projekti – se on konkreettisen autonomian, huoltovarmuuden ja poikkeuksien sietokyvyn edellytys. Yritykset, jotka ymmärtävät tämän nyt, ovat paremmin varautuneet sekä sääntelyn muutoksiin että geopoliittisiin häiriöihin. Liiketoiminnassa resilienssi on kilpailukykyä ja luottamuksen perusta: kumppanit, asiakkaat ja sijoittajat kiinnittävät yhä enemmän huomiota siihen, kuinka hyvin organisaatio kykenee suojelemaan toimintaansa ja palautumaan häiriöistä.
Euroopalla on tähän sekä osaaminen että tahto. Yritysten, organisaatioiden ja julkisen sektorin tehtävänä on tehdä teknologiavalinnoissaan tietoisempi ero eri toimittajien juridisen ja operatiivisen riskiprofiilin välillä. Infrastruktuurin turvallisuus edellyttää infrastruktuurin omistajuutta – ja siinä jokaisella organisaatiolla on oma roolinsa.
Tiina Sarhimaa on WithSecuren laki asiainjohtaja ja vastaa myös yhtiön yhteiskuntasuhteista. Hänellä on laaja kokemus lakiasioista ja compliance-tehtävistä kyberturvallisuuden ja ohjelmistoteknologian toimialoilla. Tiina toimii myös hallituksen jäsenenä Suomen Teknologiateollisuuden Kyberalassa ry:ssä (FISC) sekä Euroopan Kyberturvallisuusjärjestössä (ECSO).
