Tietoturvakartoituksen hinta vaihtelee Suomessa muutamista sadoista euroista kymmeniin tuhansiin — laajuudesta ja sisällöstä riippuen. Tässä artikkelissa käymme läpi, mitä eri hintaluokissa saa, mistä hintaerot syntyvät ja miten löytää oman yrityksesi tarpeisiin sopiva ratkaisu.
Suoran vastauksen hakijoille: hinnat lyhyesti
| Kartoitustyyppi | Tyypillinen hinta | Sopii |
|---|---|---|
| Kevyt pikakartoitus tai automatisoitu työkalu | 0 – 500 € | Alkutilanteen hahmottaminen |
| Peruskartoitus (pienyritys, 1–20 hlö) | 500 – 1 500 € | Ensikartoitus, perustietoturva |
| Kokonaisvaltainen kartoitus (GDPR, NIS2, AI Act) | 1 000 – 5 000 € | Vaatimustenmukaisuus, useampi raportti |
| Tekninen auditointi ja haavoittuvuuskartoitus | 3 000 – 15 000 € | Syvällinen tekninen analyysi |
| Penetraatiotestaus | 5 000 – 50 000+ € | Suuryritys, kriittinen infrastruktuuri |
Mistä hintaerot johtuvat?
Tietoturvakartoitusten hinnat voivat vaihdella kymmenkertaisesti — ja hyvästä syystä. Kyse ei ole siitä, että halvempi olisi aina huono ja kalliimpi aina hyvä. Kyse on siitä, mitä kartoitus sisältää ja mihin tarpeeseen se vastaa.
1. Laajuus ja syvyys
Suppea kartoitus käy läpi muutamia kymmeniä peruskysymyksiä. Laaja-alainen kartoitus käy systemaattisesti läpi kymmeniä tai satoja kohtia usealta eri osa-alueelta: hallinnollinen tietoturva, tekniset kontrollit, käyttöoikeudet, pilvipalvelut, fyysinen turvallisuus, henkilöstön osaaminen, kumppaniriskit ja lakisääteiset vaatimukset. Mitä enemmän osa-alueita katetaan ja mitä syvemmälle yksityiskohtiin mennään, sitä enemmän asiantuntijatyötä tarvitaan.
2. Automatisoitu työkalu vai asiantuntijahaastattelu?
Työkalupohjaiset kartoitukset ovat nopeita ja edullisia. Ne ajavat automatisoituja skannauksia, tarkistavat tunnettuja haavoittuvuuksia ja tuottavat teknisen raportin nopeasti. Haittapuoli: ne eivät ymmärrä liiketoimintakontekstia, hallinnollisia prosesseja tai inhimillisiä tekijöitä — jotka usein ovat suurin riski.
Asiantuntijahaastatteluun perustuva kartoitus vie enemmän aikaa ja maksaa enemmän, mutta tuottaa oleellisesti syvällisemmän tilannekuvan. Kartoittaja osaa kysyä oikeita kysymyksiä, ymmärtää vastausten taustalla olevan todellisuuden ja priorisoi löydökset juuri kyseisen yrityksen kannalta.
3. Raporttien määrä ja laatu
Yksinkertainen kartoitus tuottaa yhden teknisen raportin. Laadukkaampi kokonaisuus tuottaa useita raportteja eri kohderyhmille: johdon selkokielinen yhteenveto liiketoimintariskeillä, IT-tiimin tekninen raportti, priorisoitu toimenpidelista aikatauluineen sekä vaatimustenmukaisuusraportti. Useamman raportin tuottaminen vaatii enemmän työtä — ja näkyy hinnassa.
4. Sisältääkö kartoitus lakisääteisten vaatimusten arvioinnin?
Pelkkä tekninen tietoturvakartoitus on eri asia kuin kartoitus, joka kattaa myös GDPR:n, NIS2-direktiivin ja AI Actin vaatimukset. Säädösten tuntemus ja niiden soveltaminen yrityksen tilanteeseen vaatii laajempaa asiantuntemusta — mikä nostaa hintaa mutta tuo merkittävästi lisäarvoa.
5. Etänä vai paikan päällä?
Etäkartoitus (Teams, Zoom) on yleensä hieman edullisempi, koska matkakustannukset jäävät pois. Monissa tapauksissa etäkartoitus on täysin riittävä — erityisesti yrityksille, joiden infrastruktuuri on pitkälti pilvipalveluissa.
6. Yrityksen koko ja monimutkaisuus
Kymmenen hengen yritys, joka käyttää muutamia pilvipalveluita, on hyvin erilainen kartoituskohde kuin viisikymmentä henkilöä työllistävä teollisuusyritys omalla palvelinsalillaan ja kymmenillä eri järjestelmäintegraatioilla. Monimutkaisuus lisää työmäärää ja nostaa hintaa.
Mitä eri hintaluokissa saa käytännössä?
Alle 500 € — pikakartoitus tai automatisoitu työkalu
Tässä hintaluokassa saa yleensä automatisoidun kartoituksen tai lyhyen lomakepohjaisen selvityksen yksittäisestä osa-alueesta, kuten sähköpostin tai verkkosivuston tietoturvasta. Joitain palveluita on saatavilla jopa maksutta.
Sopii: Alkutilanteen nopeaan hahmottamiseen tai yksittäisen osa-alueen pikatarkistukseen.
Ei sovi: Kokonaisvaltaiseen tilannekuvaan tai vaatimustenmukaisuuden arviointiin.
500 – 1 500 € — peruskartoitus pk-yritykselle
Tämä on yleisin hintaluokka pienille yrityksille Suomessa. Kartoitukset kattavat perusasiat: verkon, laitteet, pilvipalvelut, käyttöoikeudet ja salasanakäytännöt. Haastatteluaika on tyypillisesti 1–3 tuntia, ja lopputulos on yksi kirjallinen raportti.
Sopii: Pienelle yritykselle, joka haluaa ensimmäisen selvityksen tietoturvan tilasta ja konkreettiset ensiaskeleet.
Ei sovi: Vaatimustenmukaisuuden arviointiin tai tilanteisiin, joissa tarvitaan useita raportteja eri sidosryhmille.
1 000 – 5 000 € — kokonaisvaltainen kartoitus
Tässä hintaluokassa kartoitus kattaa tekniikan lisäksi hallinnolliset prosessit ja lakisääteiset vaatimukset, ja tuottaa useita raportteja eri kohderyhmille. Haastatteluaika on tyypillisesti 2–4 tuntia, ja kartoitus voi kattaa jopa satoja yksittäisiä kohtia.
Tähän hintaluokkaan kuuluu esimerkiksi tietoturvakartoitus.fi:n palvelu, joka lähtee 1 090 eurosta ja sisältää 176 kohdan auditoinnin sekä neljä erillistä raporttia (johdon raportti, tekninen raportti, toimenpidelista ja vakuutusvalmius).
Sopii: Pk-yritykselle, joka haluaa kokonaisvaltaisen kuvan, valmistautuu NIS2- tai GDPR-vaatimusten täyttämiseen tai hakee kybervakuutusta.
Ei sovi: Tilanteisiin, joissa tarvitaan syvällistä teknistä testausta tai penetraatiotestausta.
3 000 – 15 000 € — tekninen auditointi ja haavoittuvuuskartoitus
Tässä hintaluokassa mennään syvemmälle tekniseen analyysiin: haavoittuvuusskannauksiin, pääsyoikeuksien yksityiskohtaiseen läpikäyntiin ja vaatimustenmukaisuuden virallisempaan dokumentaatioon. Hinnoittelu on usein päiväkohtainen tai tuntiperusteinen, ja kokonaistyömäärä riippuu yrityksen infrastruktuurin laajuudesta.
Sopii: Kasvuyritykselle tai NIS2-velvoitteiden piirissä olevalle organisaatiolle, joka tarvitsee syvällisemmän teknisen analyysin tai virallisen auditointiraportin.
5 000 – 50 000+ € — penetraatiotestaus
Penetraatiotestaus on erikoistunut palvelu, jossa asiantuntija simuloi aktiivista hyökkäystä järjestelmiä vastaan. Hinta vaihtelee kohteiden määrän, testauksen laajuuden ja syvyyden mukaan merkittävästi. Tämä ei ole useimpien pk-yritysten ensimmäinen hankinta eikä välttämättä edes tarpeellinen ilman laajempaa tietoturvaohjelmaa sen taustalla.
Hinta suhteessa riskiin
Tietoturvakartoituksen hintaa kannattaa peilata siihen, mitä tietoturvapoikkeama maksaisi. Muutamia konkreettisia lukuja:
- Ransomware-hyökkäys keskeyttää liiketoiminnan tyypillisesti päiviksi tai viikoiksi
- IT-asiantuntijatyö hyökkäyksen jälkihoitoon maksaa satoja euroja tunnilta
- GDPR-rikkomuksesta voidaan määrätä sakko, joka on enimmillään 4 % globaalista liikevaihdosta
- NIS2-laiminlyönneistä voidaan määrätä sakko, joka on keskeisille toimijoille enintään 10 miljoonaa euroa tai 2 % liikevaihdosta
- Kybervakuutuskorvaus voidaan evätä, jos suojeluohjeita ei ole noudatettu
Vasten näitä lukuja muutaman tuhannen euron ennaltaehkäisevä kartoitus on useimmiten hyvin kustannustehokas investointi.
Mitä kannattaa selvittää ennen ostopäätöstä?
Mitä osa-alueita kartoitus kattaa?
Pyydä aina tarkka lista. Sisältyykö GDPR, NIS2 ja AI Act? Kuinka monta raporttia saat ja kenelle ne on suunnattu?
Onko hinta kiinteä vai tuntiperusteinen?
Kiinteä pakettihinta on ennustettava ja riskitön. Tuntiperusteinen voi olla edullisempi pienelle yritykselle, mutta lopullinen lasku voi yllättää.
Sisältääkö hinta toimenpidesuunnitelman?
Raportti ilman priorisointia on vähemmän hyödyllinen. Hyvä kartoitus kertoo paitsi missä mennään pieleen, myös mitä tehdä ensin, mitä seuraavaksi ja millä aikataululla.
Onko vakuutusvalmius mukana?
Jos tavoitteenasi on myös kybervakuutuksen ehtojen täyttäminen, varmista että kartoitus käy läpi nimenomaan ne kohdat, joita vakuutusyhtiöt tarkastavat korvaustilanteessa — kuten MFA:n kattavuus, varmuuskopiointi ja dokumentaatiovalmius.
Yhteenveto: miten valita sopiva kartoitus?
- 1–10 hlö yritys, ei erityisiä regulaatiovelvoitteita → peruskartoitus 500–1 500 €
- 10–50 hlö yritys tai GDPR/NIS2-velvoitteita → kokonaisvaltainen kartoitus 1 000–5 000 €
- Yli 50 hlö tai kriittinen toimiala → laaja auditointi 3 000 € alkaen, harkitse myös teknistä testausta
- Kaikki kokoluokat → vältä ratkaisuja, joissa ei ole selkeää priorisoitua toimenpidesuunnitelmaa