Blogi: Digisuvereniteetti siirtyi EU-keskusteluista konkreettiseksi sääntelyksi

EU-instituutioista saadut vahvat signaalit digisuvereniteetin merkityksen kasvusta nostivat teeman korkealle prioriteetille jo keväällä 2025, minkä seurauksena käynnistimme alueiden vuoropuhelun Euroopan komission ja parlamentin kanssa. DigiFinland laati yhdessä alueiden kanssa (hyvinvointialueet, Helsingin kaupunki ja HUS) yhteisen kantapaperin, jonka avulla suomalaisen julkisen sote-sektorin näkemyksiä tuotiin komission johdon, parlamentin jäsenten sekä muiden keskeisten sidosryhmien tietoon. Digisuvereniteetin kasvava merkitys näkyi myös konkreettisesti EU rahoitusinstrumenteissa, sillä keväällä 2025 julkaistujen rahoitushakujen valintakriteerit painottivat vahvasti eurooppalaisten teknologiaratkaisujen hyödyntämistä ja käytännössä ohjasivat rahoitusta niitä hyödyntäville konsortioille.

Edellä kuvattu kehityssuunta on sittemmin vahvistunut edelleen. Komission 3.6.2026 antama esitys Cloud and AI Development Act asetuksesta koskee hyvinvointialueita ennen muuta pilvipalvelujen hankintoja koskevan pakottavan sääntelyn kautta. Ehdotus määrittelee pilvipalveluille neljä varmuustasoa eli käytännössä suvereniteetin tasoa ja edellyttää, että jäsenvaltio arvioi riskiperusteisesti, mille tasolle asianomainen julkisen sektorin toiminto kuuluu.

Terveydenhuolto kuuluu NIS2-direktiivin kriittisiin sektoreihin 

Terveydenhuolto kuuluu NIS2-direktiivin kriittisiin sektoreihin, joten kriittisimmät terveyssektorin pilvipalvelut kytketään jatkossa tähän arvioon ja sen edellyttämään varmuustasoon. Kaikki julkissektorin käyttämät pilvipalvelut tulee saada vähintään tasolle 1, ja kriittisemmissä terveyspalveluissa vaaditaan tasoja 2, 3 tai 4 tapauskohtaisen arvioinnin perusteella. Nämä tasot edellyttävät riippumatonta auditointia ja portaikon edetessä tiukentuvia vaatimuksia liittyen datan sijaintiin, henkilöstöön ja Euroopan ulkopuolisten toimijoiden määräysvaltaan. Riskiarvion jälkeen palvelu on vaihdettava 12 kuukauden kuluessa, mikäli nykyinen palvelu ei täytä asetettua varmuustasoa. Komissiolla on asetusesityksen mukaan oikeus ohittaa jäsenvaltion riskiarvio yksittäisen järjestelmän osalta.

Korkeampia tasoja 3 ja 4 sovelletaan arkaluontoisimpia tietoja käsitteleviin pilvipalveluihin, ja ne sulkevat käytännössä pois EU:n ulkopuolisen valtion määräysvallassa olevat tarjoajat. Komission omien arvioiden mukaan yhdysvaltalaiset hyperscaler-tarjoajat voivat yltää korkeintaan kolmostasolle, mutta sekin vaatii toimenpiteitä sekä komissiolta että näiltä tarjoajilta. Hankintoja ja investointeja koskeva riski on siis se, että 3 ja 4 tasoja edellyttävien toimintojen osalta vaihdos suvereeniin toimittajaan voi joissain tapauksissa tarkoittaa pakkoa tehdä muutos 12 kuukaudessa.

Komissiolle siirtymä toi säästöjä

Komissio on tehnyt omissa pilvipohjaisissa järjestelmissään siirtymän käyttäen samaa varmuusluokittelua. Siirtymä johti komission tiedonannon mukaan merkittäviin säästöihin suhteessa sitä edeltäneeseen tilanteeseen. Komissio katsoi eurooppalaisten vaihtoehtojen kustannussäästöjen olleen vieläkin suuremmat suhteessa yhdysvaltalaisten tarjoamiin suvereeneihin ratkaisuihin, jotka eivät olisi kuitenkaan täyttäneet komission varmuustasoja ja suvereniteettia koskevaa kriteeristöä. Alueiden voisi olla hyvä käydä komission kanssa dialogia siitä, miten näitä oppeja voitaisiin hyödyntää Suomessa siinä määrin, kuin uusi sääntely sitä edellyttää.

Suvereniteettia koskevien vaatimusten lisäksi asetuksessa määritellään yhteis-eurooppalaisia haasteita ja tavoitteita tekoälyn ja pilvipalveluiden suhteen. Nämä asetetaan myös teknologiarahoituksen painopisteeksi.

Merkittäviä uusia mahdollisuuksia julkisille toimijoille

Vaikka Euroopan komission ehdotus merkitsee julkisille toimijoille uusia velvoitteita ja tiukentuvaa sääntelyä, avaa se samalla merkittäviä uusia mahdollisuuksia. Komission strategisina painopisteinä ovat eurooppalaisen kilpailukyvyn vahvistaminen, innovaatioiden käyttöönoton vauhdittaminen sekä teknologioiden laajamittainen käyttöönotto ja skaalaaminen. Digisuvereniteetti nähdään yhä vahvemmin keinona vahvistaa Euroopan teknologista omavaraisuutta, turvallisuutta ja kilpailukykyä globaalissa toimintaympäristössä.

Konkreettisena esimerkkinä kehityssuunnasta toimii Ranskan valtion ja japanilaisen SoftBankin yhteistyö eurooppalaisen tekoälyekosysteemin rakentamiseksi. Toukokuun 2026 lopussa julkaistujen tiedotteiden mukaan osapuolet käynnistävät 75 miljardin euron investointikokonaisuuden, jonka tavoitteena on vahvistaa Euroopan tekoälyinfrastruktuuria, laskentakapasiteettia ja teknologista kilpailukykyä. Investointipäätöksen yhteydessä korostettiin erityisesti digisuvereniteetin merkitystä sekä tarvetta rakentaa Eurooppaan omia strategisesti kriittisiä teknologia- ja tekoälykyvykkyyksiä. Kehitys osoittaa, että digisuvereniteetti ei ole enää pelkästään sääntelykysymys, vaan yhä vahvemmin myös kasvun, investointien ja eurooppalaisen innovaatiopolitiikan keskeinen mahdollistaja.

DigiFinland jatkaa vaikuttamista alueiden tarpeiden edistämiseksi

Asetusesitys siirtyy seuraavaksi Euroopan parlamentin ja neuvoston käsittelyyn, ja DigiFinland jatkaa vaikuttamista sen sisältöön alueiden tarpeiden edistämiseksi. Asetukseen on mahdollisuus vaikuttamistoimin esittää esimerkiksi lisäjoustoja ja pidempiä siirtymäaikoja sen mukaan, miten alueiden tarpeet näitä edellyttävät. Asetusta koskevat lainsäädäntöneuvottelut voivat kestää kaikkiaan arviolta 1–2 vuotta. Siirtymäajat huomioiden asetuksen velvoitteet alkavat todennäköisesti purra vuosina 2028–2029. Valmistautuminen on syytä aloittaa hyvissä ajoin yhdessä, avoimesti ja koordinoidusti.

Mikko Malmgren
EU-yhteistyö, DigiFinland

Petja Piilola
Partner, Blic