Kansallisen koordinointikeskuksen rahoitustuki edisti yritysten kyberturvallisuutta

Rahoitustukea myönnettiin vuosien 2023–2024 aikana yhteensä noin 2 milj. € yhteensä 50:lle mikro- ja pk-yritykselle. Kokonaisrahoitusbudjetista puolet eli noin 1 milj. € myönnettiin pienyrityksille (<50 työntekijää), 500 000 € keskisuurille yrityksille (<250 työntekijää) ja 500 000 € mikroyrityksille (<10 työntekijää). Hakemuksia saapui yhteensä 187 kpl ja tukea haettiin yhteensä noin 7 milj. € edestä. Tukea myönnettiin 6 622 €–60 000 € per projekti. Rahoitustuki kattoi enintään 75 % projektin kokonaiskustannuksista. Projektien keskimääräinen koko oli noin 40 000 €.

Rahoitustuen saajista 44/50 vastasi tuen saajille toteutettuun kyselyyn, joka toteutettiin arvioinnin yhteydessä. Kyselyn perusteella projekteilla pyrittiin ratkomaan monenlaisia tietoturva- ja kyberturvahaasteita. Yleisimmin tavoitteet liittyivät tietoaineiston turvaamiseen (esim. asiakastiedot, kuten terveystiedot, liikesalaisuudet, rahoitustapahtumat, kriittinen infrastruktuuri, muut arkaluonteiset henkilötiedot), tietoliikenteen turvaamiseen ja hallinnolliseen turvallisuuteen. Noin 55 % kyselyyn vastaajista ilmoitti, että projektissa pyrittiin parantamaan myös heidän laitteidensa ja tuotantoympäristön teknologian turvallisuutta.

Arvioinnin mukaan rahoitustuki on saavuttanut sille asetetut tavoitteet ja sen suorat vaikutukset tuen saajille on arvioitu merkittäviksi. Tuen tavoitteina oli vahvistaa hakijayritysten omia valmiuksia suojautua tieto- ja kyberuhkilta sekä vahvistaa kansallista kyberturvallisuuskapasiteettia. Tuensaajista enemmistö toimii tieto- ja viestintätekniikan, terveyden, digitaalisten palveluiden ja digitaalisen infrastruktuurin sektoreilla. Tuensaajat raportoivat olevansa välillisesti vaikutuksessa esimerkiksi asiakassuhteiden ja toimitusketjujen kautta yhteiskunnan kannalta kriittisiksi katsotuilla toimialoilla, jolloin rahoitustuen voidaan arvioida vaikuttavan positiivisesti myös laajemmin yhteiskunnassa.

Lyhyen aikavälin tuloksia ajatellen noin 80 % kyselyyn vastaajista arvioi projektin parantaneen yrityksen kykyä reagoida uhkiin, lisänneen tietoturvatietoisuutta koko organisaatiossa ja mahdollistaneen tietoturvan kehittämisen kokonaisarkkitehtuuri huomioiden. Integroimalla kyberturvallisuuden kokonaisarkkitehtuuriin yritykset luovat yhtenäisen, tehokkaan ja resilientin ympäristön, joka paitsi suojaa omaisuutta myös tukee strategista kasvua ja vaatimustenmukaisuutta sekä tukee myönteisiä turvallisuusvaikutuksia verkostoilleen. Vastaajista 77 % ilmoitti ottaneensa projektin aikana käyttöön automatisoituja järjestelmiä uhkien havaitsemiseksi. 65 % ilmoitti myös päivittäneensä tietoturvaan liittyviä prosessejaan ja toimintaperiaatteitaan, ja lähes 60 % ilmoitti järjestäneensä henkilöstölleen tietoturvakoulutusta. Vaikka toimenpiteitä koskevat tulokset vaikuttavat kokonaisvaltaisilta ja perusteellisilta, vain 40 % ilmoitti toteuttaneensa tietoturva-auditointeja ja -arviointeja projektin aikana.

Hyvän ennusteen rahoitustuen pitkän aikavälin vaikutuksista ja tuensaajien ajattelutavan muutoksesta antaa se, että 82 % kyselyyn vastaajista ilmoitti projektin auttaneen tunnistamaan uusia tietoturvallisuuteen liittyviä kehitystarpeita. Noin 60 % vastaajista mainitsi myös, että heillä on paremmat valmiudet noudattaa säännöksiä ja standardeja (kuten NIS2 ja GDPR). Puolet vastaajista ilmoitti onnistuneensa vähentämään tietoturvahyökkäysten määrää. 

Aikaisempi vaikuttavuusarviointikokemus osoittaa, että rahoitustuki on tehokkaampi, kun sitä täydennetään ei-rahallisella tuella kuten teknisellä- ja asiantuntijatuella. Vaikuttavuusarviointi ehdottaa, että tuen myöntämisen ohella tarjottaisiin teknistä tukea ja alustoja parhaaksi koettujen käytäntöjen jakamiseen muiden organisaatioiden kanssa.

Arvioinnin mukaan rahoitustuki omavastuuosuusedellytyksellä on tyypillinen ja todennäköisesti sopivin tukiväline tavoitteisiin nähden. Tähänastinen vuotuinen rahoitusbudjetti (1 milj. €) ei kuitenkaan riitä ratkomaan suomalaisyritysten tieto- ja kyberturvallisuuteen liittyviä haasteita. Volyymi katsotaan asianmukaiseksi kohdennettuna ja kannustimena tiettyjen tunnistettujen haasteiden ratkomisessa. Puolestaan yksittäinen tukisumma (enint. 60 000 €) voisi olla yhtä tehokas myös pienempänä (esim. 20 000 €), jolloin tukea voisi myöntää useammalle yritykselle ja tuen vaikuttavuus voisi kasvaa. 

Rahoitustuen markkinavaikutukset ovat olleet vähäisiä. Tuki on synnyttänyt IT-palveluiden kysyntää noin 0,9 milj. € arvosta. Tyypillisesti rahoitetuissa projekteissa hankittiin tietoturvaratkaisuja monikansallisilta yrityksiltä, joiden integroimiseksi ostettiin konsultointipalveluita kotimaisilta IT-palveluyrityksiltä. Tuki siis lisää jossain määrin kotimaisten palveluiden kysyntää, mutta käyttöön otetut ratkaisut ovat olleet pääosin monikansallisten yritysten tuotteita ja palveluita. Suomen kyberturvallisuusmarkkinan arvioidaan olevan 1,3 mrd. € ja ala painottuu yhä enemmän palveluihin. Kyberturvallisuustuotteiden ja -palvelujen maailmanlaajuisten markkinoiden arvioitiin olevan 160 mrd. € vuonna 2023, ja niiden odotetaan kasvavan 523 mrd. € vuoteen 2032 mennessä.

Tuen saajille lähetetyllä kyselyllä kartoitettiin myös tyytyväisyyttä rahoitustuen määrään ja ehtoihin sekä tuen myöntämisen prosesseihin. Tuensaajat raportoivat tukimäärän riittäväksi ja tuen ehdot ja hakuprosessin asianmukaisiksi. Suurimpana haasteena nähtiin tuen käytön tiukka aikataulu, mikä näkyi myös rahoitustukiviranomaisen päässä siten, että rahoitustuen saajat ilmoittivat projektissa syntyneen kustannuksia suunniteltua vähemmän.

Vaikuttavuusarvioinnilla mitattiin Traficomin Kyberturvallisuuskeskuksen kansalliselle koordinointikeskukselle myönnetyn EU-rahoitteisen projektin vaikuttavuutta. Lisäksi tuloksia voidaan hyödyntää tulevaisuudessa mahdollisesti toteutettavissa rahoitustukihauissa.

Vaikuttavuusarviointi ja sen tiivistelmä ovat saatavilla Traficomin verkkosivuilla (Ulkoinen linkki). 

Lisätietoa: ncc-fi@traficom.fi