Kansallisesti myöntämämme rahoitustuet

Keväällä 2025 astui voimaan kansallinen kyberturvallisuuslaki (124/2025), jolla pannaan täytäntöön EU:n kyberturvallisuusdirektiivi (NIS 2 -direktiivi). Kyberturvallisuusdirektiivin tavoitteena on vahvistaa sekä EU:n yhteistä että jäsenvaltioiden kansallista kyberturvallisuuden tasoa useiden yhteiskunnan toiminnan kannalta kriittisten toimialojen osalta. NIS 2 -direktiivi korvaa aiemman EU:n verkko- ja tietoturvadirektiivin (NIS-direktiivi), jolla on säädetty tiettyihin toimialoihin kohdistuvista kyberturvallisuusvelvoitteista.

NIS 2 -direktiivissä ja sitä koskevassa kansallisessa kyberturvallisuuslaissa osoitetaan yhteiskunnan kriittisille toimialoille kyberturvallisuutta vahvistavia riskienhallintavelvoitteita ja raportointivelvoite merkittävistä poikkeamista. Laissa on lueteltu vähimmäistoimenpiteet, jotka kaikkien toimijoiden on toteutettava hallitakseen toimintaansa kohdistuvia kyberturvallisuusriskejä. Toimijoiden tulee myös ilmoittaa valvovalle viranomaiselleen merkittävistä tietoturvapoikkeamista. Näiden lisäksi NIS2-sääntelyn soveltamisalaan kuuluvien toimijoiden on ilmoittauduttava oman toimialansa valvovan viranomaisen ylläpitämään toimijaluetteloon.

Traficom on laatinut kyberturvallisuuden riskienhallinnan toimenpiteistä suosituksen, joka on kohdistettu kansallista sääntelyä valvoville viranomaisille, mutta se tukee myös lainsäädännön soveltamisalaan kuuluvien toimijoiden omaa kyberturvallisuuden riskienhallinnan suunnittelua.

Mistä yksittäisen hankkeen rahoitus koostuu?

Rahoitus koostuu 25 % kansallisesta rahoituksesta, 25 % EU-rahoituksesta ja 50 % hakijan omasta rahoituksesta. Kansalliselle koordinointikeskukselle on myönnetty projektirahoitus Digitaalinen Eurooppa -ohjelmasta vuosille 2025–2029. Projektista tullaan myöntämään edelleen rahoitustukea yhteensä noin 3,7 miljoonaa euroa pienille ja keskisuurille yrityksille uusien kybersäädösten toimeenpanon tukemiseen ja kehittyneiden kyberturvallisuusratkaisujen käyttöönottoon ja levittämiseen.

Millä perustein rahoitustukea myönnetään?

Rahoitustuki on harkinnanvaraista ja sitä myönnetään hakukelpoisuuskriteerit täyttäville sekä parhaiten hakemusten arvioinnissa menestyville hakijoille. Saapuneet hakemukset arvioidaan Liikenne- ja viestintäviraston Kyberturvallisuuskeskuksessa. On mahdollista, että kaikki hakijat eivät tule saamaan myönteistä rahoitustukipäätöstä. Lisätietoja arviointiprosessista ja -kriteereistä löytyy hakuilmoituksesta.

Mistä tiedän, onko edustamani organisaatio kooltaan mikrokokoinen, pieni tai keskisuuri?

Hakijan koon määritelmässä sovelletaan mikroyritysten sekä pienten ja keskisuurten yritysten määritelmästä annetun komission suosituksen 2003/361/EY liitettä kyberturvallisuuslain tarkoittamalla tavalla. Suosituksen liitteen mukaan mikroyritysten sekä pienten ja keskisuurten yritysten (pk-yritysten) luokka koostuu yrityksistä, joiden palveluksessa on vähemmän kuin 250 työntekijää ja joiden vuosiliikevaihto on enintään 50 miljoonaa euroa tai taseen loppusumma on enintään 43 miljoonaa euroa.

Komission suositus sisältää myös määritelmän yrityksen riippumattomuudesta. Yrityksen pääomasijoittajat ja konserni- ja tytäryhtiörakenne voivat vaikuttaa yrityksen riippumattomuuteen ja siten hakijan koon määritykseen. Komission suosituksessa puhutaan sidos- ja omistusyhteysyrityksistä. Sidosyritykset ovat yrityksiä, jotka muodostavat ryhmän joko siten, että yritys hallitsee suoraan tai epäsuorasti toisen yrityksen äänimäärän enemmistöä, tai siten, että yritys voi käyttää määräysvaltaa toiseen yritykseen. Sidosyritysten taloudellisista tiedoista (henkilöstömäärä, liikevaihto, tase) on lisättävä 100 % pk-yrityksen määritelmän kohteena olevan yrityksen tietoihin, jotta voidaan selvittää, täyttääkö se pk-yrityksen määritelmässä esitetyt henkilöstömäärää ja yhtä talouden kynnysarvoista (liikevaihto, tase) koskevat vaatimukset. Useimpien jäsenvaltioiden lainsäädännössä edellytetään, että tällaiset yritykset laativat konsernitilinpäätöksen tai että se sisällytetään toisen yrityksen tilinpitoon täyden konsolidoinnin kautta. Tällöin esimerkiksi konsernitilinpäätöksessä olevat taloudelliset tunnusluvut voivat olla oleellisia hakijan koon määrittelyssä. Jos yritys ei laadi konsernitilinpäätöstä ja sen sidosyrityksellä on puolestaan suhde muihin yrityksiin (omistusyhteysyritys tai sidosyritys), kyseisen yrityksen on lisättävä 100 % kaikkien sidosyritysten tiedoista ja suhteellinen prosenttiosuus omistusyhteysyritysten tiedoista omiin tietoihinsa. 

Omistusyhteysyritykset puolestaan ovat yrityksiä, jotka eivät ole itsenäisiä eivätkä sidosyrityksiä. Yritys on omistusyhteysyritys, jos yrityksellä on vähintään 25 % osuus toisen yrityksen pääomasta tai äänimäärästä ja/tai toisella yrityksellä on vähintään 25 % osuus kyseisen yrityksen pääomasta tai äänimäärästä. Omistusyhteysyrityksen on lisättävä tunnuslukuihinsa prosentuaalinen osuus sen kumppanin henkilöstömäärästä, liikevaihdosta ja taseesta.

Apua tulkintaan voi saada myös komission käyttöoppaasta pk-yrityksen määritelmästä.

Voiko kunnan taseyksikkö tai liikelaitos hakea rahoitustukea?

Kunnan taseyksikkö tai liikelaitos voi hakea tukea, mikäli se kuuluu kyberturvallisuuslain soveltamisalaan, täyttää komission suosituksen 2003/361/EY liitteen kokokriteerit ja on ilmoittautunut oman toimialansa valvovan viranomaisen ylläpitämään toimijaluetteloon. Julkisomisteisten hakijoiden tapauksessa hakijan koon määritelmässä huomioidaan vain kyberturvallisuuslain liitteessä tarkoitettu toiminta, eli koko määräytyy siltä osin kuin organisaatio kuuluu kyberturvallisuuslain soveltamisalaan. Koon määrittelyssä ei huomioida koko julkisyhteisön tai -laitoksen, kuten kunnan henkilöstön määrää, liikevaihtoa ja tasetta eikä julkisyhteisön tai -laitoksen omistus- tai äänioikeudelle asetettuja rajoituksia.

Voiko julkisyhteisön kokonaan tai osittain omistama osakeyhtiömuotoinen tytäryhtiö hakea rahoitustukea?

Voi hakea. Hakijan koon määritelmässä sovelletaan mikroyritysten sekä pienten ja keskisuurten yritysten määritelmästä annetun komission suosituksen 2003/361/EY liitettä kyberturvallisuuslain tarkoittamalla tavalla. Suosituksen liitteen 3 artiklan 4 kohtaa ei sovelleta. Näin ollen myös julkisyhteisön tai -laitoksen omistuksessa olevat toimijat voivat olla hakijoina ja heidän osalta rahoitustuen hakijan koon määritelmässä huomioidaan vain kyberturvallisuuslain liitteessä tarkoitettu toiminta. Jos hakijan X taustalla on esim. kunta 50 % omistuksella ja osakeyhtiö Y 50 % omistuksella, huomioidaan hakijan X tunnusluvuissa kuitenkin osakeyhtiön Y tunnusluvut. Koon määrittelyssä ei huomioida julkisyhteisön tai -laitoksen, kuten kunnan henkilöstön määrää, liikevaihtoa ja tasetta. Lisäksi toisin kuin komission suosituksessa, julkisyhteisön tai -laitoksen omistus- tai äänioikeudelle asetettuja rajoituksia ei sovelleta. Huomioitavaa on, että komission suosituksen 2003/361/EY mukaiset henkilöstömäärän sekä liikevaihdon tai taseen raja-arvot pätevät myös julkisyhteisön omistamiin organisaatioihin.

Edustamassani organisaatiossa työskentelee viimeisimmän tilinpäätöksen mukaisesti 300 henkilöä ja sen liikevaihto on alle 50 miljoonaa euroa ja tase alle 43 miljoonaa euroa. Onko edustamani yritys hakukelpoinen? 

Ko. organisaatio ei ole hakukelpoinen tässä rahoitustukihaussa. Hakijan koon määritelmässä sovelletaan mikroyritysten sekä pienten ja keskisuurten yritysten määritelmästä annetun komission suosituksen 2003/361/EY liitettä kyberturvallisuuslain tarkoittamalla tavalla. Suosituksen liitteen 2 artiklan mukaan mikroyritysten sekä pienten ja keskisuurten yritysten (pk-yritysten) luokka koostuu yrityksistä, joiden palveluksessa on vähemmän kuin 250 työntekijää ja joiden vuosiliikevaihto on enintään 50 miljoonaa euroa tai taseen loppusumma on enintään 43 miljoonaa euroa. Henkilöstömäärän raja-arvon ylitys riittää yksin sulkemaan hakijan haun ulkopuolelle.

Voiko rahoitustukea hakea, jos ei kuulu kyberturvallisuuslain soveltamisalaan, mutta omatoimisesti tai yhteistyökumppaneiden edellyttämänä kuitenkin soveltaa lain velvoitteita?

Rahoitustukea ei myönnetä hakijalle, joka ei kuulu kyberturvallisuuslain (124/2025) soveltamisalaan ja täytä muita hakukelpoisuuskriteerejä.

Edustamassani organisaatiossa työskentelee viimeisimmän tilinpäätöksen mukaisesti alle 250 henkilöä, sen liikevaihto on yli 50 miljoonaa euroa, mutta tase on alle 43 miljoonaa euroa. Onko yritykseni hakukelpoinen?

Ko. organisaatio on kokonsa puolesta hakukelpoinen tässä rahoitustukihaussa. Yrityksenne henkilöstömäärä alittaa pk-yritykselle asetetun raja-arvon. Liikevaihdon ja taseen osalta vain toinen voi ylittää pk-yritykselle asetetut raja-arvot. Tässä tapauksessa liikevaihto ylittää asetetun raja-arvon, mutta tase alittaa asetetun raja-arvon, mikä on sallittua. On huomioitava, että myös muut omistussuhteet vaikuttavat hakijan kokoon ja niitä ei ole huomioitu tässä esimerkissä.

Onko ongelmallista, jos yritys täyttää hakemushetkellä pk-yrityksen määritelmän, mutta esimerkiksi henkilöstömäärä kasvaa yli 250 henkilön hankkeen aikana?

Henkilöstömäärän ja rahamääräisten arvojen laskennassa käytettävät tiedot arvioidaan viimeisimmän päättyneen tilikauden tietojen perusteella, ja ne lasketaan vuosittain. Rahoitustukipäätöksen jälkeen tapahtuva muutos henkilöstömäärässä, liikevaihdossa tai taseessa ei vaikuta myönnetyn rahoitustuen maksatukseen. Kun yrityksen vuotuiset tiedot tilinpäätöshetkellä ylittävät tai alittavat mainitut henkilöstömäärää koskevat tai rahamääräiset kynnysarvot, yritys saavuttaa tai menettää keskisuuren yrityksen, pienen yrityksen tai mikroyrityksen aseman ainoastaan siinä tapauksessa, että ylitys tai alitus toistuu kahtena peräkkäisenä tilivuotena.

Vaikuttavatko yrityksen pääomasijoittajat hakukelpoisuuteen?

Pääomasijoittajilla saattaa olla vaikutusta yrityksen hakukelpoisuuteen, riippuen esimerkiksi hakijayritykseen kohdistuvista omistusosuuksista tai määräysvallan luonteesta tai määrästä. Hakijan koon määritelmässä huomioidaan komission suosituksen liitteen mukaisesti artiklan 3 kohdat pois lukien kohta 4.

Lisäksi rahoitustukeen sovelletaan Euroopan parlamentin ja neuvoston asetuksen (EU) 2021/694 Digitaalinen Eurooppa -ohjelman perustamisesta 12 artiklaa. Euroopan unionin ja Euroopan talousalueen ulkopuolella toimivat tahot eivät saa käyttää suoraa tai epäsuoraa määräysvaltaa rahoitustuen saajaan turvallisuussyistä. Määräysvaltaa arvioitaessa sovelletaan kirjanpitolain (1336/1997) 5 §:ssä määriteltyä. Jos rahoitustuen saajan määräysvaltaan kuten omistukseen liittyvissä seikoissa tapahtuu muutoksia hankkeen aikana, tulee niistä ilmoittaa viipymättä valtionapuviranomaiselle osoitteeseen kyber.rahoitustuki(at)traficom.fi.

Tuleeko rahoitustukea saavan organisaation soveltaa hankintalakia?

Rahoitustukea saavien organisaatioiden tulee noudattaa lakia julkisista hankinnoista ja käyttöehtosopimuksista (1397/2016), koska valtioon, kuntiin tai seurakuntiin kuulumaton toimija on hankintalain tarkoittama hankintayksikkö ja velvollinen kilpailuttamaan hankintansa hankintalain mukaisesti, jos se täyttää hankintalaissa määritellyt julkisoikeudellisen laitoksen tunnusmerkit tai saa avustusta tiettyyn hankintaan yli 50 % hankinnan arvosta. Yrityksillä, joiden taustalla ei ole julkisyhteisöllistä omistajaa, raja-arvo ei täyty hankkeen omavastuuosuuden ollessa 50 %.

Mitä hankkeen omavastuuosuus tarkoittaa?

Rahoitustuki voi kattaa enintään 50 % hankkeen toteutuneista ja hyväksytyistä kustannuksista, jolloin hankkeen omavastuuosuuden on oltava vähintään 50 %. Esimerkiksi hankkeen, jolle myönnetään 50 000 euroa tukea, kokonaiskustannusten on oltava vähintään 100 000 euroa. Omavastuuosuuden täytyy sisältyä rahoitettavaan hankkeeseen ja hankesuunnitelmaan ja sen tulee täyttää rahoitustuen ehdot.

Voiko hankkeeseen sisällyttää kustannuksia takautuvasti?

Hankkeeseen voi sisällyttää kustannuksia, jotka ovat syntyneet hankeajalla 1.1- 31.12.2026. Mikäli hanke saa myönteisen rahoitustukipäätöksen esimerkiksi myöhemmin tammikuussa 2026 ja hanke on alkanut 1.1.2026, voi hankkeelle sisällyttää 1.1.2026 alkaen syntyneet kustannukset takautuvasti. Mikäli hankkeelle ei myönnetä rahoitusta, vastaa hakija jo syntyneistä kustannuksista täysimääräisesti itse.

Onko tunkeutumistestaus (penetration testing) rahoitettava toimenpide?

Kyllä on, jos tunkeutumistestaus osuu hakuilmoituksen mukaisesti yhden tai useamman kyberturvallisuuslain 9 §:n toimenpiteeseen ja on hakijan kyberturvallisuutta koskevan riskienhallinnan toimintamallin mukaisesti perusteltavissa oleva toimenpide.

Katsotaanko ohjelmistojen kertakorvauslisenssien päivitykset tietoturvaltaan parannettuun versioon hyväksyttäväksi kustannukseksi?

Tällainen voidaan hyväksyä, kuitenkin huomioiden rahoitustuen tavoitteet ja että laitteiden, infrastruktuurin tai muun käyttöomaisuuden ostamisesta hyväksytään vain poistot, eli vain se osa kustannuksista, joka vastaa ostetun tuotteen todellista käyttöastetta hankkeen aikana. Poiston on perustuttava toteutuneisiin kustannuksiin ja laskettava kansainvälisten tilinpäätösstandardien ja tuen saajan yleisten kirjanpitokäytäntöjen mukaisesti.

Miten voin antaa Suomi.fi-valtuudet rahoitustuen hakemiseen?

Valtuuksien antamista varten täytyy kirjautua Suomi.fi-sivustolle ja antaa hakemuksen täyttävälle henkilölle valtuus: 'Tietoturvan kehittämisen tuen hakeminen'. Tarkemmat ohjeet löytyvät Suomi.fi-sivuilta.

Miten toimin, jos hankkeeseen tulee muutoksia hakemusten käsittelyprosessin tai hankkeen toteutuksen aikana?

Kaikki merkittävät muutokset esimerkiksi yrityksen omistajiin, yhteystietoihin, hankkeen sisältöön ja kustannuksiin liittyen tulee ilmoittaa ja tarpeen mukaan hyväksyttää valtionapuviranomaisella viipymättä. Osa muutoksista saattaa vaatia muutospäätöksen. Jos tuen saaja on epävarma muutoksen laajuudesta tai tarpeesta, asia kannattaa varmistaa valtionapuviranomaiselta olemalla yhteydessä sähköpostitse kyber.rahoitustuki@traficom.fi

Miten hankkeesta raportoidaan?

Raportoinnista ohjeistetaan erikseen myönteisessä rahoitustukipäätöksessä. Loppuselvityksen yhteydessä hakijan tulee esittää ja todentaa hankkeelle kohdentuneet toteutuneet kustannukset. Kun loppuselvitys on hyväksytty, tuen saajalle maksetaan loput 30 prosenttia myönnetystä rahoitustuesta.

Vuoden 2024 rahoitustukihakukierros päättyi 1.3.2024

Liikenne- ja viestintäviraston Kyberturvallisuuskeskus avasi 2.1.2024 haettavaksi rahoitustukea modernien tietoturvaratkaisujen ja -innovaatioiden käyttöönottoprojekteihin. Haku päättyi 1.3.2024. Rahoitustukea pystyivät hakea Suomeen rekisteröidyt mikroyritykset sekä pienet ja keskisuuret yritykset. Tukea oli haettavissa yhteensä 1,5 milj. euroa ja sitä haettiin yhteensä noin 6,5 milj. euron edestä. Hakemuksia saapui yhteensä 160 kappaletta.

Rahoitustukea myönnettiin 37 yritykselle ja tukisummat vaihtelivat 6 622 € - 60 000 € välillä. Rahoitustuki on harkinnanvaraista ja sitä myönnettiin hakukelpoisuuskriteerit ja rahoitusehdot täyttäville sekä parhaiten hakemusten arvioinnissa menestyneille hakijoille.

Vuoden 2023 rahoitustukihakukierros päättyi 16.8.2023

16.6.–16.8.2023 auki olleella hakukierroksella rahoitustukea oli haettavissa modernien kyberturvallisuusratkaisujen ja -innovaatioiden käyttöönottoon.  Rahoitustukea pystyivät hakea Suomeen rekisteröidyt pk-yritykset. Rahoitustuki oli tarkoitettu hakijayrityksen kyberturvallisuutta parantaviin toimiin. Rahoitustukea oli haettavissa yhteensä 500 000 euroa.

Rahoitustukea myönnettiin 13 hakijalle yhteensä 485 000 euroa. Rahoitustukea haettiin yhteensä noin 633 000 euron edestä. Myönnetyt rahoitustukimäärät per projekti sijoittuivat 7 640 euron ja 60 000 euron välille. Rahoitustukea myönnettiin hakukelpoisuuskriteerit ja yleiset rahoitusehdot täyttäneille hakemuksille sekä parhaiten hakemusten arviointiprosessissa menestyneille.