Riskienhallinta pienien ja keskisuurien kuntien digitaalisessa turvallisuudessa : tapaustutkimus

Abstract

Tutkimuksen tavoitteena oli selvittää pienien ja keskisuurien kuntien digitaaliseen turvallisuuteen ja siihen liittyvään riskienhallintaan liittyviä käytänteitä. Julkisen hallinnon, mukaan lukien kuntien, digitaalista turvallisuutta ja riskienhallintaa ohjataan muun muassa lainsäädännöllä. Laki julkisen hallinnon tiedonhallinnasta (906/2019) asettaa kuntien tietoturvallisuudelle vaatimuksia, jonka takia tutkimuksen tavoitteena oli selvittää myös pienien ja keskisuurien kuntien valmiuksia lainsäädännön tietoturvallisuudelle asettamien vaatimuksien noudattamiseen. Laki julkisen hallinnon tiedonhallinnasta astuu kuntien osalta pääosin voimaan vuoden 2023 alusta, jolloin lain määrittämä siirtymäkausi päättyy ja kuntien tietoturvallisuuden pitäisi olla lain asettamien vaatimuksien tasalla. Tutkimuksessa hyödynnettiin laadullista tutkimusmenetelmää. Tutkimusai-neisto koostui yhteensä neljän pienen ja keskisuuren kunnan kunnanjohtajan ja tietoturvasta vastaavan tai kunnan tietohallinnosta vastaavan henkilön teemahaastatteluista. Tutkimustuloksien mukaan pienien ja keskisuurien kuntien digitaalisen turvallisuuden ja siihen liittyvän riskienhallinnan käytänteet vaihtelivat kuntakohtaisesti suuresti ja niissä oli vielä kehitettävää. Tiedonhallintalain kunnille asettamien tietoturvallisuusvaatimuksien toteuttamisessa oli niin ikään vielä kehitettävää suurimmassa osassa tutkimukseen osallistuneista kunnista. Digitaalisen turvallisuuden takaamiseksi ja tiedonhallintalain tietoturvallisuudelle asettamien vaatimuksien toteuttamiseksi oli pienissä ja keskisuurissa kun-nissa tarvetta digitaaliseen turvallisuuteen suunnattaville lisäresursseille. Seudullisella yhteistyöllä pystyttiin tutkimustuloksien mukaan jakamaan digitaalisen turvallisuuden kehittämiseen vaadittavia resursseja ja parantamaan pienien ja keskisuurien kuntien digitaalisen turvallisuuden käytänteitä.