Vuosi 2026 tuo muutoksia tietoturvaan. Ennustaminen on epäkiitollista hommaa, mutta en malta olla listaamatta mitä tietoturvallisuuden teemoja pidän keskeisinä tälle vuodelle. On hyvä harjoitus pohtia mihin kaikkeen tulee varautua, jotta kykenee nopeaan reagointiin.
Katsotaan vuoden lopulla onnistuinko vai tuliko yllätyksiä.
Seuraavassa kahdeksan teemaa, joiden uskon nousevan esille suomalaisissa organisaatioissa vuonna 2026.
1. NIS2 alkaa purra
Ensimmäinen täysi toimintavuosi toi mukanaan valvontaa, ja valvonta on jo nostanut eroja näkyviin. Osalla organisaatioita riskienhallinta on huolella johdettu prosessi. Joillakin se on pölyinen mappi, jonka selässä seisoo pontevasti Riskienhallinta.
Erot valmiudessa näkyvät viimeistään silloin, kun jotain ikävää tapahtuu. Ensimmäiset tapaukset, joissa viranomainen toteaa dokumentaation olleen muodollista, mutta ei arjessa toimivaa, tulevat olemaan opettavaisia.
Erityinen kulma, jonka nostan, on NIS2:n piiriin noussut teollisuusautomaatio. Suomessa on paljon tuotantolaitoksia, joissa IT ja OT (Operational Technology eli teollisuuden ohjausjärjestelmät) kohtaavat, ja usein melko kevyesti. Ennakoin, että vuonna 2026 näemme merkittävän OT-tietoturvapoikkeaman. Se voi nousta uutisiin tai jäädä vain alan toimijoiden tietoon, mutta se tulee.
→ Kyberturvallisuuskeskuksen NIS2-sivu: https://www.kyberturvallisuuskeskus.fi/fi/toimintamme/saantely-ja-valvonta/nis-2-euroopan-unionin-kyberturvallisuusdirektiivi/tarkeaa-tietoa
2. ISO 27001 -sertifikaatin merkitys kasvaa
Siirtymä ISO 27001:2022 -versioon on takana, ja näen paljon merkkejä siitä, että sertifikaatin merkitys liiketoiminnassa kasvaa vuonna 2026 edelleen. Monelle yritykselle se on käytännössä myyntilupa, jota ilman ei pääse isojen asiakkaiden toimittajaksi. Tämä suunta on vahvistumassa.
Se mikä on muuttunut, on asiakkaiden osaaminen. Isot asiakkaat kysyvät entistä tarkempia kysymyksiä, kuten miten riskienhallinta oikeasti toimii? Miten poikkeamia käsitellään? Miten te hallitsette omaa toimittajaketjuanne? Tämä näkyy, ja tulee näkymään, tarjouspyynnöissä, toimittaja-auditoinneissa ja sopimusneuvotteluissa.
Tämä on erinomainen uutinen niille organisaatioille, jotka käyttävät tietoturvallisuuden hallinta- ja johtamisjärjestelmää (ISMS) taitavasti toiminnan seuraamiseen ja kehittämiseen. He erottuvat edukseen. Moni saattaa mieltää sertifikaatin hankkimisen rasti ruutuun excel -jumppana. Tämä käsitys on hiukan harhaanjohtava, sillä sertifiointi on apuna sekä arjen tilanteissa että kaikessa kehittämisessä. Asiakkaamme pitävät sertifioinnin ja siihen valmistautumisen aikana käytäviä keskusteluja merkityksellisinä.
→ Kirjoitin vaatimustenmukaisuudesta aiemmin: ISO 27001 ja NIS2: Neljä syytä panostaa vaatimustenmukaisuuden hallintaan
3. Toimitusketjuihin kohdistuu uusia vaatimuksia
Nato-jäsenyys, ja laajemmin turvallisuuskriittiset hankinnat, tuovat uusia vaatimuksia. Vaatimukset koskevat suorien toimittajien lisäksi alihankkijoita, alihankkijoiden alihankkijoita ja kumppaneita.
KATAKRI-kriteeristö, joka syntyi alunperin viranomaiskäyttöön, valuu yhä useammin myös siviilitoimijoihin asti, ja erityisesti niille, jotka haluavat tai joutuvat osaksi turvallisuuskriittisiä toimitusketjuja.
Käytännössä tämä tarkoittaa, että hyvä tietoturva näkyy kauas. Ja se on pystyttävä osoittamaan myös ulospäin, dokumentoidusti, toistettavasti, ja vieläpä ‘auditoitavasti’. Monelle yritykselle tämä on iso muutos.
→ NATO Supply Chain Security Requirements (PDF)
https://www.ncia.nato.int/resources/site1/general/business/policies-regulations/20170330_nscsr.pdf
4. Kiristyshaittaohjelmat eivät katoa mihinkään
Hyökkäykset ovat entistä kohdennetumpia ja kiristyssummat suurempia. Kynnys lunnasvaateisiin suostumiseen on noussut, mutta niin on myös paine maksaa lunnaat, jos vaihtoehtona on toiminnan pysähtyminen.
Vuonna 2026 näemme todennäköisesti kotimaisia tapauksia, jotka nousevat julkisuuteen, ja uskon, että paljon tapauksia jää nousematta Tivin uutisiin. NIS2:n raportointivelvoitteet tuovat ehkä hieman enemmän läpinäkyvyyttä, mutta valtaosa tapauksista jää edelleen pimentoon.
Pääauditoijamme Ville Koskinen kirjoitti syksyllä kahdesta kansainvälisesti casesta: Jaguar Landrover -autotehdas Briteissä ja Asahi-panimo Japanissa.
Kyberturvallisuuskeskus – Ajankohtaiset: https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaiset
5. Pilvipalveluiden konfiguraatiovirheet
Pilvipalveluiden konfiguraatiovirheet ovat usein hyvin arkisia virheitä, joita syntyy kun pilviympäristöt kasvavat nopeasti ja hallinta ei pysy perässä. Julkiseksi jäänyt ‘S3-ämpäri’, liian avoin Azure AD -konfiguraatio tai liian laajat käyttöoikeudet, jotka kasaantuvat ajan myötä. Tähän tulee moni törmäämään.
Ongelma kehittyy tuttuun tapaan. Pilvipalvelu toimii oivallisesti, joten kenelläkään ei ole syytä kyseenalaistaa asetuksia. Kun vastuu jakautuu kehittäjien, ylläpidon ja tietoturva-ammattilaisten välillä, kukaan ei omista kokonaisuutta. Sitten kun ympäristöjä on useita ja muutostahti kova, pilvikonfiguraatiot luisuvat huomaamatta pois hallinnan piiristä.
Tämä on tullut kentällä vastaan. Auditoinnissa löytyy asetuksia, joiden olemassaolosta kukaan ei tiennyt, tai löytyy käyttöoikeuksia, jotka ovat jääneet voimaan vuosia sitten päättyneen projektin jäljiltä. Pahimmillaan oikeuksia on talosta kilpailijoille siirtyneillä työntekijöillä.
Korjaaminen on harvoin teknisesti vaikeaa, mutta puutteiden huomaaminen edellyttää systemaattista työtä.
Vuonna 2026 tulemme todennäköisesti näkemään useita tietovuotoja, joiden juurisyy on yksinkertainen konfiguraatiovirhe. Tämä on erityisen harmillista, koska syy on niin yksinkertainen.
→ NCSC: Cloud security guidance https://www.ncsc.gov.uk/collection/cloud-security
6. Tekoäly muuttaa sekä hyökkäyksiä että puolustusta
Tekoälyn nopea kehittyminen ja vaikutukset näkyivät tietoturvassa konkreettisesti 2025 aikana sekä hyökkäyksissä että puolustuksessa.
Hyökkääjille tekoäly tuo nopeutta ja volyymia. Kalasteluviestit ovat aiempaa virheettömämpiä ja jopa räätälöityjä. Ääni- ja videoväärennöksten laatu on kehittynyt, ja kiireinen controller saadaan siirtämään rahaa rosvoille. Haavoittuvuuksia etsitään tehokkaasti automaation avulla. Myös hyökkäysten toteuttaminen helpottuu, kun tarvittavat työkalut ovat edullisia ja helposti saatavilla.
Puolustuksessa tekoäly auttaa seulomaan hälytyksiä, tunnistamaan poikkeamia ja reagoimaan nopeammin kuin ihminen ehtisi. Tämä kuitenkin edellyttää, että perusta on kunnossa. Tekoälystä ei ole apua, jos lokeja ei kerätä systemaattisesti, käyttöoikeuksia ei hallita tai kukaan ei tiedä miltä normaali toiminta näyttää.
Minua huolestuttaa myös se, että tekoälyyn kohdistuu ylimitoitettuja odotuksia. Tekoäly ei äkkiseltään korvaa osaamista, prosesseja tai johtamista. Parhaimmillaan se voi vahvistaa näitä. Entä pahimmillaan? Syntyy vääränlaista turvallisuudentunnetta. Valmiuksia on syytä hankkia pikimmiten.
→ Lue Ville Koskisen kirjoitus tekoälystä ja digiresilienssistä: https://intosecurity.fi/blogi/tekoalyn-tietoturvariskit-2025-digitaalinen-resilienssi/
7. Digital Omnibus sekoittaa pakkaa
Euroopan komissio julkaisi helmikuussa 2025 ehdotuksen, joka yhdistää ja keventää digitaalista sääntelyä.
Ehdotus koskee muun muassa NIS2:n ja kyberturvallisuusasetuksen (CRA) suhdetta, raportointivelvoitteiden yhtenäistämistä ja poikkeuksia pienten toimijoiden kohdalla. Yksityiskohdat elävät vielä, ja lopullinen muoto selviää aikaisintaan 2026 loppupuolella.
Tavoitteet ovat hyviä eli vähemmän päällekkäisyyttä, selkeämmät velvoitteet ja kevyempi taakka pienille yrityksille. Käytännössä tämä kuitenkin tarkoittaa, että hiljan omaksuttuja sääntöjä ollaan jo muuttamassa. On jonkin verran epätietoisuutta siitä, mikä on voimassa ja milloin.
Käsillä on siis pohdinta siitä pitäisikö odottaa lopullista versiota vai edetä nykyisten velvoitteiden mukaan? Vastaus on yleensä jälkimmäinen. Hallintamalli, joka kestää vain staattista sääntelyä, ei kestä todellisuutta. Odottaminen ei siis ole käytännössä toimiva vaihtoehto. NIS2 on voimassa, ja sen velvoitteet eivät poistu. Järkevin lähestymistapa on rakentaa hallintamalli, joka joustaa sääntelyn muuttuessa.
Vuosi 2026 on tältä osin epävarmuuden vuosi. Se ei silti ole syy viivytellä, vaan syy rakentaa vaatimustenmukaisuutta kestävästi.
→ EU: Digital Omnibus Regulation Proposal
https://digital-strategy.ec.europa.eu/en/library/digital-omnibus-regulation-proposal
8. Osaajapula muuttaa muotoaan
Tietoturva-alan osaajapula ei ole katoamassa, mutta se tulee vuonna 2026 kohdistumaan osin eri osa-alueisiin kuin aiemmin. Perustehtäviin löytyy tekijöitä, ja automaatio helpottaa monia rutiineja. Vaikeinta on löytää osaajia, jotka ymmärtävät kokonaisuuksia eli miten sääntely, teknologia ja liiketoiminta kytkeytyvät toisiinsa. Tällaisia henkilöitä on vähän, ja heistä käydään kovaa kilpaa. (Intossa olemme tässä onnistuneet.)
Tämä näkyy kentällä. Moni organisaatio on tilanteessa, jossa osaamista kyllä on, useissakin siiloissa, mutta harva hallitsee monimutkaisen kokonaisuuden. Osaajalla voi olla tekninen tausta, mutta ei kokemusta hallinnasta. Tai päinvastoin. Kun NIS2 edellyttää johdon vastuuta ja riskienhallinnan kytkemistä liiketoimintaan, tulee osaamiskuilu nopeasti esille.
Samaan aikaan uudet osaamisvaatimukset kasaantuvat. Tekoälytyökalut edellyttävät monenlaista uutta osaamista, tekoälyavusteiset hyökkäykset vaativat uudenlaista puolustusta, ja tähän liittyvä tietoturva on uusi osaamisalue, esim. pilviympäristöjen hallinta on oma lajinsa. Osaajapula ei siis hellitä, mutta se muuttaa muotoaan.
_______
Tällaisia listoja on helppo laatia. Ja joskus ne saattavat antaa illuusion siitä, että tulevaisuus on kattavasti ennustettavissa ja hallittavissa. Tietoturvan vakavasti ottavan organisaation tietoturvastrategia ei luonnollisestikaan voi olla reagointia median (tai meikäläisen) artikkeleihin ja puheenaiheisiin.
Edelläkävijäorganisaatiot ovat tehneet systemaattista työtä vuosien ajan. Investointeja, osaavia ihmisiä, prosessikehitystä ja toimivaa arkkitehtuuria. Listaamani teemat vuodelle 2026 ovat yksi syöte tähän työhön.
Palaan tähän tekstiin vuoden lopulla. Katsotaan silloin, miten kävi.
Niki