Kuka turvaa tietojamme? – Kyberturvallisuuspalveluiden sääntely ja luvanvaraisuus

Tämän pro gradu -tutkielman tarkoituksena on arvioida kyberturvallisuuspalveluiden sääntelyn tarvetta ja vaikutuksia Suomessa. Kyberturvallisuustoimintojen ulkoistaminen voi tuoda palveluita hankkivalle useita etuja, kuten parempaa asiantuntemusta ja teknologiaa, kustannustehokkuutta sekä mahdollisuuden keskittyä omiin ydintoimintoihin. Ulkoistaminen voi kuitenkin aiheuttaa myös monenlaisia riskejä, kuten riippuvuutta palveluntarjoajasta ja hallinnan menetyksen. Riskejä aiheutuu erityisesti silloin kun valittu palveluntarjoaja on epärehellinen tai osaamaton. Tutkielmassa tarkastellaan ulkoistamisen hyötyjä ja riskejä sekä sääntelyn vaikutuksia palveluiden laatuun ja turvallisuuteen. Kirjallisuuskatsauksen avulla tunnistetaan, miten eri maiden lainsäädäntö ja sääntelykehykset vaikuttavat kyberturvallisuuspalveluiden tuottamiseen sekä millaisia vaatimuksia palveluntuottajille voitaisiin Suomessa asettaa. Tutkimusmenetelmänä käytettiin Delfoi-menetelmää, jolla kerättiin asiantuntijoiden näkemyksiä kyberturvallisuuspalveluiden sääntelystä ja erityisesti sen vaikutuksista ja sääntelyelementtien toivottavuudesta. Tutkimuksen tulokset osoittavat, että sääntelyllä voitaisiin todennäköisesti parantaa kyberturvallisuuspalveluiden laatua ja vähentää ulkoistamiseen liittyviä riskejä, mutta sääntely voi myös kasvattaa kustannuksia ja rajoittaa kilpailua. Asiantuntijat eivät olleet yksimielisiä sääntelyn tarpeesta tai toivottavuudesta. Suomessa mahdollisen sääntelyn tulisi olla kevyttä, joustavaa, oikein kohdennettua ja selkeää ja sen tulisi ottaa huomioon erityisesti palveluntuottajien osaaminen ja luotettavuus. Kyberturvallisuuspalveluiden sääntely voi olla tarpeellista kokonaisturvallisuuden parantamiseksi, mutta sääntelyn muoto ja laajuus vaativat huolellista harkintaa ja sidosryhmien odotusten huomioimista. Sääntelyn rinnalla tulee harkita myös muita keinoja, kuten yleisiä sopimusehtoja ja vapaaehtoisten sertifikaattien hyödyntämistä.