Tietoturvaseteli on mahdollisuus, joka yrityksen kannattaa hyödyntää
Asetus tietoturvan kehittämisen tuesta eli niin kutsutusta tietoturvasetelistä tulee voimaan 1. joulukuuta 2022. Uudella määräaikaisella tuella yhteiskunnan toiminnan kannalta kriittisten alojen yritykset voivat konkreettisesti parantaa tietojärjestelmiensä tietoturvaa sekä kehittää tietoturvaosaamistaan.
Kysymyksessä on merkittävä kustannustuki tietoturvan parantamiseen. Erityisesti pienemmät kriittisten alojen toimijat voivat saada siitä suurta hyötyä.
Esimerkiksi monessa valmistavan teollisuuden pk-yrityksessä ei välttämättä ole mahdollisuuksia panostaa talon sisäiseen it-osaamiseen. Suojeltavaa tietoa kuitenkin löytyy: monessa pienemmässäkin yrityksessä digitalisaatio on vuosien varrella hiipinyt yksittäisten laitteiden myötä tehtaan lattialle. Useissa laitteissa on jo nyt mahdollisuus liittää laite verkkoon esimerkiksi valmistajan päivityksiä varten, mutta liityntöjen kokonaiskuva ja niihin liittyvät riskit ovat epäselviä – kaikki liitännät ovat lähtökohtaisesti myös riskejä.
Jos yrityksen henkilöstöstä ei löydy tarvittavaa osaamista, ei tietoturvariskejä välttämättä tunnisteta, jolloin on mahdotonta tietää, mitkä olisivat tärkeimmät toimet tietoturvan parantamiseksi. Onneksi Suomessa toimii useita tietoturvaan erikoistuneita yrityksiä, joilta näitä palveluita voi hankkia.
Mistä tiedän, onko yritykseni tukikelpoinen?
Yhteiskunnan toiminnan kannalta kriittisten alojen yrityksillä tarkoitetaan niitä perusrakenteita, palveluja ja niihin liittyviä toimintoja, jotka ovat välttämättömiä yhteiskunnan elintärkeiden toimintojen (infrastruktuuri, palvelut ja tuotanto) ylläpitämiseksi. Näitä ovat muun muassa elintarvike-, energia-, finanssi-, logistiikka-, teollisuus- ja terveydenhuoltosektorit sekä niitä koskevat tietojärjestelmät sekä viestintäverkot ja -palvelut, tieto-omaisuudet, automaatio-, paikannus- ja aikatietojärjestelmät sekä erilaiset ohjaus- ja hallintajärjestelmät.
Yritys on tukikelpoinen, mikäli se kuuluu kansalliseen huoltovarmuusorganisaatioon. Mikäli yritys ei kuulu tai ei tiedä kuuluvansa kyseiseen organisaatioon, tukikelpoisuutta voi selvittää pohtimalla kysymystä: ”Mitä yhteiskunnassa tapahtuu, mikäli toimintamme lakkaa tai siihen kohdistuu vakava häiriö?” Mikäli vastauksena on, että jokin keskeinen toiminta tai esimerkiksi laajasti käytössä oleva toiminta häiriintyy, tukikelpoisuus on todennäköistä.
Pohdinnassa kannattaa myös muistaa, että huoltovarmuuden kannalta kriittiset toiminnot koostuvat pitkistä ketjuista toimittajia ja yhteistyökumppaneita, joilta kaikilta tarvitaan toimia, jotta lopputulos onnistuu.
Vaikuttaa siltä, että tukea voitaisiin myöntää yritykselleni. Miten etenen?
Pienempi seteli on enintään 15 000 euroa ja sitä voidaan myöntää pk-yrityksille (alle 250 työntekijän ja enintään 50 miljoonan euron liikevaihto, tai taseen loppusumma alle 43 M€) seuraaviin tarkoituksiin:
- tietojärjestelmien tarkastus- ja arviointityöhön,
- tietoturvan parantamiseksi tehtävään hankintaan tai
- henkilökunnan kouluttamiseen ja osaamisen kehittämiseen.
Suurempi tietoturvaseteli on arvoltaan enintään 100 000 euroa, ja se on tarkoitettu
- hyökkäyksenestotestaukseen
- tärkeimpien sähköisten palveluiden varautumistason testaamiseen
- näihin perustuvaan muuhun välittömään tietoturvallisuutta parantavaan toimeen.
Suuremmalla tietoturvasetelillä yritykset voivat kattaa 70 prosenttia tietoturvaprojektin kuluista, eli projektikustannusten omavastuu on 30 prosenttia. Valtion tuen takia tavara-, palvelu- ja käyttöoikeushankinnat tulee kilpailuttaa mikäli hankinnan kokonaisarvo ylittää 60 000 euroa (alv 0 %).
Nopeus on valttia
Kannattaa huomioida, että tukimäärärahan suuruus on 6 miljoonaa euroa, ja tukikelpoisia yrityksiä on arvioitu olevan noin 3000 kappaletta, jolloin laskennallisesti suurempi tuki olisi tarjolla enintään 30 yritykselle ja pienempi enintään 300 yritykselle.
Seteliä kannattaa hakea myös, vaikkei tuen kehittämiskohde olisi vielä täysin selvä. Todennäköisesti tukipäätöksessä sallitaan automaattisesti kaikki sallitut tuen kohteet (ks. yllä).