WithSecure vuonna 2024 – Matkalla eurooppalaisen tietoturvan lippulaivaksi

Digitaaliset palvelut ovat olennainen osa yhteiskuntaa, ja niiden odotetaan toimivan saumattomasti ja ilman keskeytyksiä. Kyberturvasta, yhdessä fyysistä turvallisuutta tarjoavien instituutioiden kanssa,on tullut turvallisen yhteiskunnan pilari. Nopeasti kehittyvän teollisen mittakaavan kyberrikollisuuden myötä kyberturvasta on tullut pakollinen asia kaikenkokoisille yrityksille. Kuluneen vuoden aikana WithSecure on keskittänyt strategiansa keskisuurten yritysten kyberturvahaasteiden ratkaisemiseen. Tavoitteemme on tarjota asiakkaillemme valikoima ohjelmistoja ja palveluita, jotka tarjoavat kyberresilienssiä ja luottamusta digitaaliseen yhteiskuntaan, tehokkuutta sekävaatimusten mukaisuutta. Muuttuvassa geopoliittisessa ympäristössä olemme ylpeitä tarjotessamme eurooppalaisen vaihtoehdon kyberturvalle sekä tinkimätöntä luotettavuutta luottamukseen perustuvassa liiketoiminnassa.

Kyberturvaan liittyvien riskien muuttuessa yhä monimutkaisemmiksi asiakkaidemme tehokas suojaus on aina WithSecuren, sen partnereiden ja loppuasiakkaiden yhteistyön tulos. Ylläpidämme jatkuvaa dialogia varmistaaksemme, että tuotteemme sekä kattavat loppuasiakkaidemme kyberturvatarpeet että luovat merkityksellisiä myytäviä tuotteita partnereillemme, jotka voivat myydä niitä osana omaa tuotevalikoimaansa.

Vuonna 2024 Euroopan markkinoiden talouskasvu oli vaatimatonta, ja siihen vaikuttivat edelleen geopoliittiset epävakaudet. Toisaalta, aiempi korkea inflaatio laski ja työttömyysasteet pysyivät matalina. Positiivinen kehitys Euroopan ulkopuolisilla markkinoilla tasapainotti näitä vaikutuksia, mutta WithSecuren päämarkkinat sijaitsevat pääosin Euroopassa. Talouden vastatuulista huolimatta WithSecuren jatkuvien toimintojen liikevaihto kasvoi 7 % vuonna 2024 ja yhtiö oli oikaistulla käyttökatteella mitattuna kannattava päättyneellä tilikaudella.

Laajensimme valikoimaamme vuonna 2024 tärkeällä tuotteella: WithSecuren ennakoiva altistumisten hallinta (Exposure Management) esiteltiin ensimmäisen kerran toukokuussa ja se tuli yleisesti saataville kolmannella vuosineljänneksellä. Tuote tarkkailee jatkuvasti asiakkaan hyökkäyspintaa, arvioi hyökkäysten mahdollisia vaikutuksia ja antaa niihin tekoälyn tuottamat korjaussuositukset. Asiakkaiden mielenkiinto Exposure Management -tuotetta kohtaan on ollut korkeaa, ja odotamme sen olevan kasvava tuote muutamien seuraavien vuosien aikana. Lisäsimme myös identiteetin suojauksen (Identity security) tuoteportfolioomme ja julkistimme Luminen-tekoälyavustajan, joka on tarjonnut neuvojaan kaikille Elements-asiakkaillemme syyskuusta 2024 alkaen.

Pilvipohjaisten Elements -tuotteiden ja palveluiden liikevaihto kasvoi 9 % vuonna 2024 ja oli 83,3 miljoonaa euroa (76,1 milj. eur). Toistuvan vuosilaskutuksen (Annual Recurring Revenue, ARR) kasvu samalla aikavälillä oli 6%. Koko Elements -yhtiö-segmentin liikevaihto kasvoi 4,5% vuonna 2024 ja oli 105,7 miljoonaa euroa (101,1 milj. eur).

Cloud Protection for Salesforce (CPSF) on ohjelmistotuote, joka skannaa ulkopuolisen sisällön haittaohjelmien varalta ennen sisällön lataamista Salesforce-ohjelmaan. CPSF:n tiimin jatkuvat, johdonmukaiset toimet myynnin tehostamiseksi tuottavat hyviä tuloksia. Liiketoiminnan jatkuvan vuosilaskutuksen kasvu oli 52% verrattuna viime vuoden loppuun. Kasvua toivat sekä uudet asiakkuudet – saimme iloksemme toivottaa useita kansainvälisiä suuryrityksiä asiakkaisemme – että lisämyynti nykyisille asiakkaille. Jatkamme CPSF:n kehittämistä itsenäisenä liiketoimintana WithSecuren sisällä, pitäen samalla strategisen tarkastelun vaihtoehdot avoimina.

23.1.2025 WithSecure allekirjoitti sopimuksen kyberturvakonsultoinnnin liiketoimintansa myynnistä. Konsultointi raportoidaan osana lopetettujen toimintojen tulosta vuoden 2024 tilinpäätöksessä. WithSecuren konsultit tarjoavat maailmanluokan ennakoivan tietoturvan konsultointipalveluita joillekin maailman vaativimmista asiakkaista. Olemme iloisia uudesta omistajasta, joka jatkaa liiketoiminnan kehitystä itsenäisenä yrityksenä. Myynnin odotetaan toteutuvan vuoden 2025 toisen vuosineljänneksen aikana.

Viimeisen kahden vuoden aikana WithSecure on keskittynyt kannattavaan kasvuun. Koko yhtiön oikaistu käyttökate (jatkuvat ja lopetetut toiminnot yhteensä) vuonna 2024 oli 3,1 miljoonaa euroa (-16,1 milj. eur). Koko vuoden liiketoiminnan rahavirta ennen rahoituseriä ja veroja oli 2,1 miljoonaa euroa (-19,8 milj. eur). Olemme iloisia raportoidessamme tästä kannattavuuden parantumisesta. Se osoittaa, että kulurakenne on säädetty tasolle, joka kestää myös liikevaihdon vaihtelua.

WithSecure yrityksenä kävi läpi monia muutoksia vuonna 2024. Toimitusjohtaja vaihtui äkillisesti huhtikuussa, kun entinen toimitusjohtaja Juhani Hintikka jätti tehtävänsä. Minut nimitettiin ensin väliaikaiseksi toimitusjohtajaksi ja 1. heinäkuuta 2024 WithSecuren toimitusjohtajaksi. Minulla on ollut ilo tarkastella yritystä uudesta näkökulmasta, ja arvostan tiimiemme ja kumppaniemme monimuotoisuutta, kykyjä ja osaamista. Toukokuussa järjestimme kolmannen SPHERE-tapahtuman asiakkaillemme ja partnereillemme. Tapahtumassa paitsi julkaistiin uusia tuotteita, myös koettiin iloisia kohtaamisia, kuunneltiin inspiroivia puhujia – jopa kyberturvan maailmaan sijoittuva dekkari julkaistiin SPHERE:ssä. Lokakuussa Helsingin tiimimme muutti uuteen Wood City -pääkonttoriimme, joka tarjoaa ympäristöystävällisen ja inspiroivan työskentely-ympäristön.

Ensimmäisen tilikauteni WithSecuren toimitusjohtajana päättyessä haluaisin kiittää henkilöstöämme hienosta työstä ja muuntautumiskyvystä. Haluan myös kiittää WithSecuren partnereita, asiakkaita, osakkeenomistajia ja muita sidosryhmiä yhteistyöstä. Odotamme erinomaista jatkoa yhteistyölle kanssanne vuonna 2025.

Antti Koskela

Sisällys

Hallituksen toimintakertomus

Vuotta 2024 leimasivat maltillinen kasvuvauhti ja taloudellinen epävarmuus WithSecuren tärkeimmillä markkinoilla Euroopassa. Geopoliittinen tilanne oli edelleen jännittynyt ja arvaamaton. Järjestelmien monimutkaistuminen ja uusien teknologioiden esiinmarssi asettavat kyberhyökkäyksiltä puolustautuville toimijoille jatkuvasti uusia haasteita.

Päivitettyään strategiansa lokakuussa 2023 WithSecure on keskittynyt vahvasti keskisuurten yhtiöiden markkinaan varmistamalla kattavan kyberturvallisuustuotteiden ja -palvelujen tarjooman, jonka avulla pienet ja keskisuuret yritykset voivat suojautua monimutkaisilta uhkilta. Lisäksi tarjooma auttaa pk-yrityksiä varmistamaan, että ne ovat valmistautuneita sääntelystä, kuten EU:ssa parhaillaan toimeenpantavasta NIS2-direktiivistä, johtuvien vaatimusten lisääntymiseen.

WithSecuren Elements-yhtiö -segmentin liikevaihto kasvoi 4% edellisvuodesta ja oli 105,7 miljoonaa euroa. Kasvua edistivät pilvipohjaiset tietoturvatuotteet ja -palvelut, joiden vuotuinen kasvuvauhti oli 9%. Paikallisesti hallinnoitujen ja muiden vanhojen tuotteiden liikevaihto laski 12%, mikä vastasi yhtiön odotuksia.

Erillisenä segmenttinä raportoitava Cloud Protection for Salesforce (CPSF) -liiketoiminta koostuu CPSF-ohjelmistotuotteesta, joka varmistaa, että ulkopuolinen sisältö skannataan mahdollisten haittaohjelmien varalta ennen Salesforce-alustaan syöttämistä. Sen asiakkaat ovat pääasiassa suuryrityksiä, jotka hyödyntävät Salesforce-alustoja kattavasti. CPSF-liiketoiminnan myynti kehittyi hyvin vuonna 2024, minkä ansiosta sen liikevaihto kasvoi 14%. WithSecure jatkaa CPSF-liiketoiminnan kehittämistä konsernin sisäisenä itsenäisenä yksikkönä, pitääkseen tulevaisuuden vaihtoehdot avoimina.

WithSecure ilmoitti 23.1.2025 allekirjoittaneensa sopimuksen, jonka tarkoituksena on kyberturvakonsultointiliiketoiminnan myynti. Konsultointiliiketoiminta raportoidaan osana lopetettuja toimintoja vuoden 2024 tilinpäätöksessä. Poikkeuksena tästä säännöstä segmenttiraportointi perustuu vertailukelpoisuuden takaamiseksi vuoden 2024 aikana sovellettuihin laskentasääntöihin.

Markkinakatsaus

Globaali kyberturvamarkkina kehittyy nopeasti, ja kehityksen ajureina toimivat lisääntynyt digitalisaatio, kyberuhkien kasvu sekä pilvipohjaisten teknologioiden yleistyminen. Vuonna 2024 tietoturvatarpeet kasvoivat sekä eri erikoisaloilla että eri sektoreilla. Markkinan laajentumista edistivät muun muassa identiteettiin perustuvista hyökkäyksistä johtuvien tietomurtojen kasvu, haittaohjelmat, sääntelyä koskevien vaatimusten lisääntyminen ja tekoälyn käyttöönoton yleistyminen. Lisäksi globaalit geopoliittiset jännitteet aiheuttavat lisää sekä yksityisiin että julkisiin organisaatioihin kohdistuvia hyökkäyksiä ja uhkia.

Jatkuvasti kehittyvät hyökkäysvektorit edellyttävää jatkuvaa innovointia kaikenkokoisissa organisaatioissa. Yleinen talouden epävarmuus ja IT-budjettien rajoitukset ovat hidastaneet uusimpien kyberturvateknologioiden käyttöönottoa etenkin pk-yrityksissä. Samalla koko toimitusketjuun kohdistuvat kolmannen osapuolen tietomurrot ja globaali pula osaavista kyberturva-asiantuntijoista ovat edelleen ongelmia, jotka vaativat kiireellistä ratkaisua.

Organisaatiot ympäri maailman investoivat kyberturvaan vastatakseen digitalisoidun talouden kasvaneeseen uhkatasoon. Merkittävistä kyberturvainfrastruktuuriin tehdyistä investoinneista johtuen suurin markkinaosuus on Pohjois-Amerikalla, kun taas Euroopassa lisääntynyt tietoisuus sääntelyä koskevista vaatimuksista on edistänyt tasaista kasvua.

Organisaatiot ovat ottaneet yhä enemmän tekoälykyvykkyyksiä käyttöön tuottavuuden parantamiseksi sekä uhkien tunnistamiseen ja niihin vastaamiseen tarvittavan ajan vähentämiseksi. Varastetut tai vaarantuneet käyttäjätunnukset ovat edelleen merkittävin hyökkäysvektori, johon puututaan kehittyvillä identiteetin tietoturvaa koskevilla ratkaisuilla. Pilven tietoturva on yhä nopeasti kasvava segmentti, kun yritykset pyrkivät suojaamaan nykyaikaiset IT-ympäristönsä ja pilvipohjaiset palvelunsa. Organisaatiot ovat alkaneet ymmärtää, että niiden on siirryttävä reaktiivisesta proaktiiviseen tietoturvaan, mikä lisää uusiin altistumisten hallintaratkaisuihin kohdistuvaa kysyntää. Myös IoT-laitteiden ja operatiivisen teknologian suojaamiselle haavoittuvuuksilta ja kyberhyökkäyksiltä on kasvavaa kysyntää. Hallinnoituja tietoturvapalveluja hyödynnetään osaamisvajeiden paikkaamiseen ja resurssipulan ratkaisemiseen myös jatkossa.

Kyberturvallisuusmarkkinalla on edellytykset kestävään kasvuun organisaatioiden asettaessa kyberresilienssin ja vaatimustenmukaisuuden etusijalle. Tekoälyn, pilvinatiivin tietoturvan ja altistumisten hallinnan kehittyessä toimiala kykenee vastaamaan yhä monimutkaisempiin uhkiin sekä tarttumaan uusiin mahdollisuuksiin kehittyvillä sektoreilla.

Liiketoiminta ja keskeiset tunnusluvut

Koko yhtiön jatkuvien toimintojen liikevaihto kasvoi edelisestä vuodesta kasvoi 6% ja oli 116,0 miljoonaa euroa (109,9 milj.eur).

Vuonna 2024 WithSecure alkoi raportoida liikevaihdon jaoteltuna kolmeen segmenttiin. Elements-yhtiö -segmentti jakautuu pilvipohjaiseen, paikallisesti hallinnoituun ja muuhun liikevaihtoon. Cloud Protection for Salesforce-tuote raportoidaan omana segmenttinään.

Kolmas, Kyberturvakonsultointi-segmentti on tässä tilinpäätöksessä esitetty osana lopetettujen toimintojen tulosta, 23.1.2025 allekirjoitetun liiketoiminnan divestointisopimuksen perusteella. Poikkeuksena tästä säännöstä Kyberturvakonsultointi on segmenttiosiossa esitetty aikaisempia laskentaperiaatteita noudattaen.

Pilvipohjaisten Elements-tuotteiden ja -palvelujen liikevaihto kasvoi 9% ja oli 83,3 miljoonaa euroa (EUR 76,1 milj. eur). Kasvua kerryttivät sekä uudet asiakkaat että lisämyynti nykyisille asiakkaille. Lisämyynti on useimmiten Endpoint Detection and Response (EDR)-tuotteen myyntiä. Ennakoiva haavoittuvuuksien hallinta (Exposure Management) ja Identiteetin suojaus (Identity Security) tuotiin osaksi portfoliota vuonna 2024. Pilvipohjaista Elements-alustaa päivitetään säännöllisesti uusilla ominaisuuksilla, jotta asiakkaille pystytään tarjoamaan kattava ja ajantasainen suojaus.

WithSecure raportoi pilvipohjaisille Elements-tuotteille ja -palveluille vuosineljänneksittäin toistuvan vuosilaskutuksen (Annual Recurring Revenue, ARR), tarjotakseen viimeisimmän toistuvan myynnin tilannekuvan. ARR lasketaan kertomalla neljänneksen viimeisen kuukauden toistuva laskutus kahdellatoista. Toistuvasta laskutuksesta on vähennetty kertaluontoiset erät. Vuonna 2024 pilvipohjainen Elements ARR kasvoi 6% edellisestä vuodesta ja oli 83,3 miljoonaa euroa (78,4 milj. eur).

Paikallisesti hallinnoitujen tuotteiden liikevaihto laski 12% ja oli 21,4 miljoonaa euroa (24,4 milj. eur.) Tämä kehitys on odotusten mukaista, se liittyy asiakkaiden siirtymiseen pilvipohjaisiin järjestelmäympäristöihin.

CPSF-tuotteen liikevaihto kasvoi 14% ja oli 9,4 miljoonaa euroa (8,3 milj. eur). ARR kasvoi 52 % ja oli 12,8 miljoonaa euroa (8,4 milj. eur). Liikevaihdon kasvua kerryttivät sekä uudet asiakkaat että lisämyynti nykyisille asiakkaille.

Vuonna 2024 jatkuvien toimintojen bruttokate kasvoi 92,6 miljoonaan euroon (86,8 milj. Eur.) ja oli 79,8 % (79,0 %) liikevaihdosta. Bruttokatteen parantuminen on seurausta hallinnoitujen palvelujen teknologia-alustojen yhdistämisestä ja datan prosessointikustannusten optimoinnista.

Liiketoiminnan kulut ilman vertailukelpoisuuteen vaikuttavia eriä sekä poistoja ja arvonalentumisia laski 92,6 miljoonaan euroon (103,1 milj. Eur.). Kulujen aleneminen on pääosin tulosta WithSecuren säästö- ja tehostamistoimista viimeisen kahden vuoden aikana.

Vertailukelpoisuuteen vaikuttavat erät olivat -0,9 miljoonaa euroa (-9,0 milj. eur). Tästä -0,6 miljoonaa euroa liittyy uudelleenjärjestelykuluihin, -0,5 miljoonaa euroa pääkonttorin muuttoon liittyviin uudelleenjärjestelyihin, -1,0 miljoona euroa strategisiin projekteihin, +0,8 miljoonaa euroa aiemmin divestoitujen liiketoimintojen lisäkauppahinnan arvostukseen ja +0,4 miljoonaa euroa divestointiin tilikaudella.

Jatkuvien toimintojen oikaistu käyttökate oli 2,0 miljoonaa euroa vuonna 2024 (-14,8 milj. eur). Kannattavuuden parannus on osittain seurausta bruttokatteen parannuksesta. Lisäksi WithSecure on tehnyt toimenpiteitä kulujen säästämiseksi ja toiminnan tehokkuuden lisäämiseksi, mahdollistaakseen kannattavan kasvun.

Lopetettujen toimintojen tulos sisältää Kyberturvakonsultointi-segmentin tuloksen, joka on oikaistu liiketoiminnan myyntiä vastaavaksi. Lisäksi tuloksesta on vähennetty liiketoiminnan myyntiin liittyvät kulut ja konsultointiliiketoiminnan liikearvon alaskirjaukset. Tarkempi selvitys segmentin ja lopetettujen toimintojen välisistä eroista on esitetty yhtiön viimeisen vuosineljänneksen katsauksessa.

Liiketoiminnan rahavirta ennen rahoituseriä ja veroja oli 2,1 miljoonaa euroa (-19,9 milj. eur). Vertailukauden negatiivinen rahavirta aiheutui toiminnan tappiollisesta tuloksesta sekä merkittävistä uudelleenjärjestelykuluista. Rahavirran parantuminen on seurausta sekä liikevaihdon kasvusta että tehostamistoimista.

Rahavarojen muutos kokonaisuudessaatn oli -9,4 miljoonaa euroa (-17,9 milj. eur), leasing-sopimuksiin liittyvien vuokranmaksujen jälkeen.

Yrityshankinnat ja rahoitusjärjestelyt

WithSecure ei tehnyt yritysostoja vuonna 2024.

Konsernirakenteen muutokset

WithSecure ei tehnyt muutoksia konsernirakenteeseensa vuonna 2024.

Pääomarakenne (yhdistetyt toiminnot)

Konsernilla oli 27,3 miljoonaa euroa (36,6 milj. eur) likvidejä käteisvaroja. Käteisvarat sisältävät pankkitalletuksia, joiden maturiteetti on alle kolme kuukautta.

Tutkimus ja tuotekehitys

Vuonna 2024 WithSecuren tutkimus- ja tuotekehityskulut olivat 35 miljoonaa euroa, mikä vastasi 30 %:a liikevaihdosta (36,4 milj. eur, 33 %). Aktivoidut kehitysmenot olivat 1,7 miljoonaa euroa (3,0 milj. eur). WithSecure on kyberturvallisuusteknologiayhtiö, jolle kyky luoda uutta on ensiarvoisen tärkeää.

WithSecuren tuotteet saivat vuonna 2024 tunnustusta kolmannen osapuolen arvioinneissa. Uskomme, että tunnustukset johtuvat tietoturvan laadusta, edistyneestä uhkien tunnistuksesta ja torjuntatehokkuudesta sekä korkeasta asiakastyytyväisyydestä. Syyskuussa 2024 WithSecure oli jälleen mukana Gartnerin® johtavia päätelaitteiden suojausalustoja kuvaavassa Magic Quadrant™ for Endpoint Protection Platforms¹ -listauksessa. Vuoden 2024 aikana WithSecure saavutti huipputuloksia suojauksen ja käytettävyyden osalta AV-TESTin toteuttamassa Elements-portfolion jatkuvassa arvioinnissa. Käsityksemme mukaan tämä on vahva osoitus Elementsin tuottamasta arvosta. Ratkaisumme suojaa asiakkaitamme tehokkaasti tarkkuudesta tinkimättä. WithSecure osallistui kuudetta vuotta peräkkäin MITRE:n Engenuityn ATT&CK® Enterprise -arviointiin. Vuonna 2024 arviointi oli aiempaa monimutkaisempi, sillä arviointimenetelmää oli päivitetty ja osallistujia haastettiin useilla erilaisilla simuloiduilla uhkatoimijoilla. WithSecuren suorituskyky oli vaikuttava, ja yhtiö paransi tulostaan merkittävästi edellisvuoteen verrattuna. WithSecure Elements havaitsi uhkatoimijoiden toimintaa tehokkaasti tavalla, joka mahdollisti uhkiin vastaamisen ja minimoi tarpeettomien ja väärien hälytysten määrän sekä varmisti, ettei käyttäjän tuottavuus häiriintynyt.

Johtavana eurooppalaisena kyberturvallisuusyhtiönä WithSecure on sitoutunut monitoroimaan muuttuvaa uhkaympäristöä ja seuraamaan haitallisia toimijoita jatkuvasti. Vuonna 2024 WithSecure saavutti merkittäviä edistysaskelia uhkatoimijoiden paljastamisessa tekemällä KrustyLoader- ja Kapeka-haittaohjelmiin liittyvää uraauurtavaa tutkimusta ja heikensi siten uhkatoimijoiden työkaluja ja toimintaa tehokkaasti. Yhtiö julkaisi myös raportteja, jotka koskivat uhkaympäristön keskeisimpiä näkökulmia, mukaan lukien edge-palvelujen ja -infrastruktuurin massahyväksikäyttäminen, kiristyshaittaohjelmien nykytila ja Pariisin vuoden 2024 olympialaisiin kohdistuneet kyberuhkat. Lisäksi WithSecure on tehnyt kyberturvaan liittyvää menestyksekästä yhteistyötä lainvalvontaviranomaisten kanssa, mikä heijastaa yhtiön vankkaa sitoutumista maailman turvallisuuden parantamiseen. 

WithSecure keskittyi myös laaja-alaisesti suuriin kielimalleihin (Large Language Models, LLM) ja niiden mukanaan tuomiin haasteisiin ja mahdollisuuksiin kyberturvallisuusalalla, mikä johti useisiin erittäin paljon näkyvyyttä saaneisiin julkaisuihin. WithSecuren tiimi on tarjonnut lukuisille korkean profiilin toimijoille ja medioille aiheeseen liittyviä neuvoja, ja yhtiö aikoo edelleen tutkia kyberturvallisuuden ja tekoälyn leikkauspisteessä tapahtuvaa kehitystä. Yhtiön tutkimustuloksia jaetaan säännöllisesti WithSecure™ Labs -verkkosivustolla.

Vuosi 2024 toi mukanaan parannuksia WithSecuren tuote- ja palvelutarjoomaan. Viime vuonna tehtyjen Elements-alustaan liittyvien lanseerausten pohjalta WithSecure jatkoi pilvipohjaisen Elements-alustan yhdistettyjen kyvykkyyksien kehittämistä. WithSecure julkaisi täysin uuden Elements Exposure Management -tuotteen, jonka avulla organisaatiot voivat havaita ja lieventää kyberturvaan liittyviä altistumisia ennakoivasti riskien vähentämiseksi ja vaatimustenmukaisuuden varmistamiseksi. Elements Exposure Management perustuu WithSecuren kyberturvatutkimukseen ja -osaamiseen, joihin yhtiö on panostanut vuosikymmenten ajan. Se hyödyntää uusia teknologioita ja lähestymistapoja, kuten heuristista hyökkäyspolkujen simulaatioteknologiaa, joka jäljittelee aitoa organisaatioon kohdistuvaa kyberhyökkäysyritystä.

WithSecure vahvisti Extended Detection and Response (XDR) -tarjoomaansa entisestään julkaisemalla Elements Identity Security -ratkaisun, joka havaitsee identiteettiin kohdistuvia uhkia ja reagoi niihin. WithSecure julkisti rajalliset kyberturvataidot ja -resurssit omaaville organisaatioille WithSecure Managed Detection and Response (MDR) -ratkaisun, joka on räätälöity sellaisten keskisuurten yritysten tarpeisiin, jotka tukeutuvat paikallisten IT-kumppaneiden ja hallinnoitujen palveluntarjoajien tukeen.

Yksi osoitus WithSecuren jatkuvasta innovoinnista oli edistyksellistä tekoälyä ja suuria kielimalleja hyödyntävän W/Luminen-tekoälyavustajan julkaiseminen. W/Luminen tarjoaa käyttäjille välittömän, kontekstisidonnaisen ja jatkotoimet mahdollistavan analyysin organisaatioon liittyvistä tietoturvatapauksista sekä suosituksia kyberturvauhkien hallitsemiseen ja ennakoivaan lieventämiseen.

1. GARTNER on Gartner, Inc.:n ja/tai sen tytäryhtiöiden rekisteröity tavaramerkki ja palvelumerkki Yhdysvalloissa ja kansainvälisesti. MAGIC QUADRANT on Gartner, Inc.:n ja/tai sen tytäryhtiöiden rekisteröity tavaramerkki, ja niitä käytetään tässä luvalla. Kaikki oikeudet pidätetään. Gartner ei tue mitään toimittajaa, tuotetta tai palvelua, joita sen tutkimusjulkaisuissa kuvataan, eikä suosittele teknologian käyttäjiä valitsemaan vain niitä toimittajia, joilla on korkeimmat arvosanat tai muu luokitus. Gartnerin tutkimusjulkaisut koostuvat Gartnerin tutkimusorganisaation mielipiteistä, eikä niitä tule tulkita tosiasioiksi. Gartner kiistää kaikki ilmaistut tai implisiittiset takuut, jotka koskevat tätä tutkimusta, mukaan lukien kaikki takuut myyntikelpoisuudesta tai soveltuvuudesta tiettyyn tarkoitukseen. Tässä kuvattu Gartnerin sisältö ("Gartnerin sisältö") edustaa Gartner, Inc.:n ("Gartner") julkaisemaa tutkimusmielipidettä tai näkökulmaa osana tilauspalvelua, eikä se ole tosiasioiden esitys. Gartnerin sisältö on voimassa alkuperäisen julkaisupäivänään (eikä tämän vuosikertomuksen päivämääränä), ja Gartnerin sisällössä ilmaistut mielipiteet voivat muuttua ilman ennakkoilmoitusta. 

Henkilöstö ja ylin johto

Vuoden 2024 lopussa WithSecurella oli 961 työntekijää (1 087). Tästä 731 työntekijää (813) kuului jatkuviin toimintoihin ja 230 työntekijää (274) lopetettuihin toimintoihin. Työntekijöiden määrän vähentyminen on osittain seurausta normaalista vähentymisestä, osittain vuoden 2023 lopussa toteutetuista uudelleenjärjestelyistä.

8.4.2024 WithSecuren toimitusjohtaja Juhani Hintikka ilmoitti jättävänsä tehtävänsä yhtiön palveluksessa. Päätös oli seurausta korkeimman oikeuden 5.4.2024 antamasta päätöksestä, jossa Juhani Hintikka tuomittiin sisäpiiritiedon väärinkäytöstä liittyen vuoteen 2014, vuosia ennen kuin hänet palkattiin WithSecureen. Tuotejohtaja Antti Koskela nimitettiin yhtiön väliaikaiseksi toimitusjohtajaksi. 1.7.2024 alkaen Antti Koskela nimitettiin WithSecuren toimitusjohtajaksi. Pilvi Tunturi nimitettiin väliaikaiseksi tuotejohtajaksi.

1.11.2024 alkaen, organisaation päivityksen seurauksena Scott Reiningan tehtävä lakkasi kuulumasta konsernin johtoryhmään.

Tilikauden lopussa konsernin johtoryhmän kokoonpano oli seuraava: Antti Koskela (toimitusjohtaja), Christine Bejerasco (tietoturvajohtaja), Lasse Gerdt (asiakkuuksista vastaava johtaja), Charlotte Guillou (henkilöstöjohtaja), Tom Jansson (talousjohtaja), Tiina Sarhimaa (lakiasiainjohtaja), Pilvi Tunturi (väliaikainen tuotejohtaja) ja Ari Vänttinen (markkinointijohtaja).

1.1.2025 alkaen, organisaation päivityksen seurauksena Charlotte Guillousta tuli henkilöstö- ja kehitysjohtaja, Lasse Gerdtistä tuli kaupallinen johtaja ja Pilvi Tunturista asiakkuuksista vastaava johtaja. Nina Laaksonen ja Artturi Lehtiö jakavat tuotejohtajan vastuut väliaikaisesti. 1.1.2025 Ari Vänttinen jätti yhtiön ja konsernin johtoryhmän.

Osake, osakepääoma ja omat osakkeet

WithSecurella on yksi osakesarja. Yhtiön osakkeiden kokonaismäärä on 176 098 739. Yhtiön rekisteröity osakepääoma on 80 000 euroa. Yhtiön omassa hallussa olevien osakkeiden määrä oli 81 890 tilikauden lopussa.

Yhtiö omistaa omia osakkeitaan käyttääkseen niitä kannustinjärjestelmien, yrityshankintojen tai muiden yhtiön liiketoimintaan kuuluvien järjestelyiden toteuttamiseen, yhtiön rahoitusrakenteen parantamiseen tai luovuttaakseen tai mitätöidäkseen niitä muutoin.

Tammi-joulukuussa Helsingin pörssissä käytiin kauppaa 32 248 332:lla (59 951 540) WithSecuren osakkeella. Korkein kauppahinta oli 1,25 euroa (1,74), ja matalin hinta oli 0,70 euroa (0,74). WithSecuren osakkeiden kaupankäyntimäärillä painotettu keskihinta vuonna 2024 oli 0,95 euroa (1,28). Osakkeen päätöshinta vuoden viimeisenä kaupankäyntipäivänä 31.12.2024 oli 0,76 euroa (1,04). Tähän päätöshintaan perustuen osakkeiden markkina-arvo ilman yhtiön hallussa olevia omia osakkeita oli 133,2 miljoonaa euroa (182,2 milj. eur).

Yhtiöllä on konsernin johtajille ja avainhenkilöstölle suunnattuja osakeperusteisia kannustinohjelmia sekä koko henkilöstölle avoin osakesäästöohjelma. Lisätietoa näistä ohjelmista on annettu tilinpäätöksen liitetiedossa 16 Osakeperusteiset maksut sekä vuoden 2024 Palkitsemisraportissa.

Riskit ja epävarmuudet

WithSecuren toimintoihin liittyy riskejä ja epävarmuustekijöitä, jotka voivat vaikuttaa liiketoimintaan, kannattavuuteen, taloudelliseen tilaan, markkinaosuuteen, maineeseen, osakkeen hintaan tai yhtiön lyhyen tai pitkän aikavälin tavoitteiden saavuttamiseen. Nämä riskit ja epävarmuudet kattavat ainoastaan merkittävimmät yhtiötä koskevat riskit; kyseessä ei ole kattava luettelo riskeistä.

WithSecuren riskienhallinnan tavoitteena on tunnistaa riskit, joilla voi olla vaikutusta liiketoimintaan, sekä toteuttaa tarvittavat toimenpiteet riskien ehkäisemiseksi. WithSecure tarkastelee riskiarvioinnissa kunkin riskin todennäköisyyttä ja mahdollisia vaikutuksia sekä riskin hallintaan ja ehkäisemiseen vaadittavia resursseja. Liiketoiminnan jatkuvuuden varmistaminen riskien realisoituessa on olennainen osa riskienhallintaa. WithSecuren riskienhallintaperiaatteet ja -prosessi on kuvattu yhtiön selvityksessä hallinto- ja ohjausjärjestelmästä. Kestävyyteen liittyvät riskit ja epävarmuudet on käsitelty WithSecuren Kestävyysraportissa. Rahoitukseen liittyvät riskit on käsitelty tarkemmin tilinpäätöksen liitetiedossa 18 Rahoitusriskien hallinta.

Kyberturvallisuusmarkkinaan liittyvät riskit

Kyberturvallisuusmarkkina on jakautunut moniin eri ohjelmistojen ja palvelujen tarjoajiin. Suuret markkinatoimijat investoivat merkittävästi sisäänrakennetun tietoturvan kehittämiseen ja markkinaosuuksiensa kasvattamiseen. On todennäköistä, että tietoturvamarkkinassa tapahtuu konsolidoitumista. WithSecuren täytyy onnistua valitsemassaan strategiassa, ja löytää oikeat yritysostokohteet sekä onnistua ostettujen yhtiöiden integroimisessa yhtiön liiketoimintaan. Yhtenä markkinoiden pienemmistä toimijoista yhtiön on jatkuvasti pysyttävä merkityksellisenä toimijana asiakkaiden näkökulmasta varmistamalla, että sen teknologia on ajantasaista ja palvelut laadukkaita ja oikea-aikaisia. Lisäksi WithSecuren tulee kehittää brändin tunnettuutta kohdeyleisön keskuudessa erottuakseen kilpailijoista.

Geopoliittiset epävarmuudet, kuten esimerkiksi Ukrainan sota, aiheuttavat merkittävästi kohonneen riskin odottamattomille häiriöille maailmantaloudessa ja turvallisuudessa. Yhteiskunnan infrastruktuureihin kohdistuvien terroritekojen todennäköisyys on kasvanut tämän kehityksen myötä. Tällaiset tapahtumat voivat myös vaikuttaa WithSecuren liiketoimintaan. Valtioiden tukemien kyberrikollisten lisääntyvä aktiivisuus tulee aiheuttamaan liiketoiminnan keskeytyksiä myös vuonna 2025.

Yritysvastuullisuussyistä johtuen WithSecure ei harjoita liiketoimia venäläisten tai valkovenäläisten toimijoiden kanssa edes niissä tapauksissa, joissa toiminta olisi voimassa olevien vientivalvontasäännösten mukaan sallittua.

WithSecure toimii useissa eri maissa, ja yhtiöön kohdistuu täten erilaisia maakohtaisia riskejä kussakin toimipisteessä. Muuttuvat olosuhteet ja lainsäädäntö eri toimintamaissa altistaa WithSecuren määräystenmukaisuuteen liittyville riskeille, kuten epäsuotuisille verotuskäytännöille tai vientivalvonnalle kohdemaassa.

WithSecure arvioi ympäristöriskien – erityisesti ilmastonmuutoksen – vaikutuksia liiketoimintaansa osana vastuullisuuden olennaisuusanalyysia. Ohjelmiston- ja palveluntarjoajana yhtiöön ei kohdistu merkittäviä ympäristöriskejä. Liiketoiminnan jatkuvuuteen liittyvä suunnittelu kattaa luonnonmullistuksista ja muista katastrofeista johtuvaan resurssipulaan liittyvät skenaariot, mukaanlukien mahdolliset toimitusketjujen häiriöt.

WithSecuren toimintoihin ja tuotteisiin liittyvät riskit

Osaavan henkilöstön puutteen seurauksena yhtiö ei välttämättä pysty tarjoamaan asiakkaille korkealaatuisia tuotteita ja palveluita. Osaavasta henkilöstöstä käydään kyberturvallisuusalalla yhä kovempaa kilpailua, ja toimialalla vallitsee rakenteellinen osaamisvaje. WithSecure kehittää ja ottaa käyttöön uusia rekrytointimenetelmiä, kehittää omaa osaamisyhteisöään sekä investoi henkilöstön kehittämiseen ja koulutukseen, osaavan henkilöstön houkuttelemiseksi ja sitouttamiseksi.

WithSecuren kyberturvallisuustuotteiden ja -palveluiden markkinamalli on hyvin riippuvainen toimivasta partnerikanavasta ja -verkostosta. Yhtiölle on kriittistä varmistaa, että sillä on oikeat partnerit liiketoiminta-alueilla, että partnerit saavat tarvitsemansa tuen ja että WithSecuren kyberturvallisuustarjonta kohtaa paikallisen kysynnän. Epäonnistuminen partnerien tarpeisiin vastaamisessa voi vaikuttaa negatiivisesti WithSecuren liiketoimintaan.

WithSecure toimii erittäin kilpaillulla markkinalla. Kyberrikollisuus kasvaa ja ammattimaistuu nopeasti, ja rikolliset kehittävät uusia innovaatioita. Suuret toimittajat tekevät merkittäviä investointeja kehitys- ja markkinointitoimintoihinsa. Samalla markkinalle ilmestyy uusia toimittajia, ja käyttöjärjestelmien valmistajat keskittyvät yhä enemmän sisäänrakennettujen tietoturvaominaisuuksien kehittämiseen. WithSecuren tulee myös jatkossa tuntea erittäin tarkasti kyberuhat ja niiden kehittyminen sekä hakkereiden käyttämät tekniikat ja teknologia ja jatkaa uuden puolustusteknologian innovointia.

Investoinnit uusiin teknologioihin ja tuotteisiin aiheuttavat riskin, että yhtiö ei pysty saavuttamaan markkinoiden tulevaisuuden vaatimuksia. WithSecure käyttää ketteriä menetelmiä varmistaakseen, että päätökset tulevaisuuden teknologioista vastaavat parasta tietoa ja odotuksia markkinoiden kehityksestä.

Altistuminen kyberturvan vaaratilanteille voi vaarantaa WithSecuren tuotteiden ja palveluiden luottamuksellisuuden, koskemattomuuden ja saatavuuden. Hyökkäysten ehkäiseminen on tärkeä prioriteetti kaikissa yhtiön toiminnoissa. WithSecure rakentaa kyberresilienssiä kehittämällä jatkuvasti kykyään tunnistaa ja havaita uhat, suojautua niiltä sekä vastata niihin. Yhtiön ja sen asiakkaiden luottamuksellisten tietojen suojaamiseksi tehdään jatkuvia toimenpiteitä.

WithSecure suojaa teknologioitaan ja innovaatioitaan tekijänoikeuksin, patentein, tavaramerkein ja teknologiakumppanuuksin. Vaikka WithSecure käyttää kaikkia mahdollisia suojaustapoja, liiketoimintaan kohdistuu immateriaalioikeuksia koskevien vaateiden riski, erityisesti Yhdysvaltojen markkinoilla.

Taloudelliset riskit

Inflaatio maissa, jossa WithSecure toimii aiheuttaa riskiä kustannusten noususta. Tätä seurataan erittäin tarkasti, ja inflaatio vaatii todennäköisesti myös toimia työvoiman säilyttämiseksi yhtiössä. Kasvavat korot voivat rajoittaa ulkoisia rahoitusmahdollisuuksia.

Yhtiönä, jonka kannattavuus on vielä paranemassa, WithSecuren on keskityttävä tarkasti käteisvarallisuuden suunnitteluun ja saatavien täsmälliseen perimiseen varmistaakseen kaikkien konserniyhtiöiden maksuvalmiuden ja välttääkseen lyhyen aikavälin rahoitustarpeen.

Euroalueen ulkopuolisten toimintojen lisääntyminen altistaa WithSecuren entistä enemmän valuuttakurssien vaihtelusta johtuville riskeille. Pienentääkseen valuuttakurssien vaihtelusta aiheutuvaa vaikutusta konserni voi käyttää termiinisopimuksia eliminoidakseen valuutan vaikutuksen tuleviin rahavirtoihin.

Varsinainen yhtiökokous

WithSecure Oyj:n varsinainen yhtiökokous pidettiin 20.3.2024. Yhtiökokous vahvisti tilinpäätöksen ja konsernitilinpäätöksen tilikaudelta 2023, käsitteli toimielinten palkitsemisraportin sekä myönsi vastuuvapauden hallituksen jäsenille ja toimitusjohtajalle.

Hallituksen ehdotuksen mukaisesti yhtiökokous päätti, että yhtiö ei jaa tilikaudelta 2023 osinkoa tappiollisen tuloksen vuoksi. Yhtiö keskittyy kasvun ja liiketoiminnan kehityksen rahoittamiseen.

Yhtiökokous päätti, että hallituksen palkkiot pidetään ennallaan ja maksetaan seuraavasti: Hallituksen puheenjohtaja 80 000 euroa, valiokuntien puheenjohtajat 48 000 euroa ja hallituksen jäsenet 38 000 euroa sekä hallituksen jäsen, joka on työsuhteessa yhtiöön, 12 667 euroa. Noin 40 % palkkioista maksetaan yhtiön osakkeina.

Hallituksen jäsenten lukumääräksi päätettiin seitsemän. Hallitukseen valittiin uudelleen Risto Siilasmaa, Tuomas Syrjänen, Kirsi Sormunen ja Ciaran Martin. Amanda Bedborough, Niilo Fredrikson ja Harri Ruusinen, joka edustaa WithSecuren henkilöstöä, valittiin hallituksen uusiksi jäseniksi.

Hallitus valitsi järjestäytymiskokouksessaan puheenjohtajaksi Risto Siilasmaan. Henkilöstövaliokunnan puheenjohtajaksi valittiin Tuomas Syrjänen sekä jäseniksi Risto Siilasmaa ja Niilo Fredrikson. Tarkastusvaliokunnan puheenjohtajaksi valittiin Kirsi Sormunen ja jäseniksi Ciaran Martin, Amanda Bedborough ja Harri Ruusinen.

Yhtiön tilintarkastajaksi valittiin uudelleen PricewaterhouseCoopers Oy. Päävastuullisena tilintarkastajana toimii KHT Jukka Karinen. 

Yhtiön kestävvysraportoinnin varmentajaksi valittiin kestävyystarkastusyhteisö PricewaterhouseCoopers Oy. Päävastuullisena kestävyysraportointitarkastajana toimii kestävyysraportointitarkastaja (KRT) Jukka Karinen.

Yhtiökokous valtuutti hallituksen päättämään yhteensä enintään 17 609 870 yhtiön oman osakkeen hankkimisesta. Ehdotettu osakkeiden enimmäismäärä vastaa noin 10 %:ia yhtiön kaikista osakkeista, yhdessä tai useammassa erässä yhtiön vapaalla omalla pääomalla.

Yhtiökokous valtuutti hallituksen päättämään yhteensä enintään 17 609 870 osakkeen antamisesta osakeannilla sekä antamalla osakeyhtiölain 10 luvun 1 §:n mukaisia optio-oikeuksia ja muita osakkeeseen oikeuttavia erityisiä oikeuksia yhdessä tai useammassa erässä. Ehdotettu osakkeiden enimmäismäärä vastaa noin 10 %:ia yhtiön kaikista osakkeista. Valtuutus koskee sekä uusien osakkeiden antamista että yhtiön hallussa olevien omien osakkeiden luovuttamista.

Yhtiökokouksen päätökset sekä samana päivänä pidetyn hallituksen järjestäytymiskokouksen pöytäkirja on julkaistu pörssitiedotteella 20.3.2024

Taloudelliset näkymät 2025

Pilvipohjaisten Elements-tuotteiden ja -palvelujen toistuva vuosilaskutus (Annual Recurring Revenue, ARR) kasvaa 10-20 % edellisestä vuodesta.
Vuoden 2024 lopun pilvipohjaisten Elements-tuotteiden ja -palvelujen ARR oli 83,3 miljoonaa euroa.

Elements-yhtiö -segmentin oikaistu käyttökate on 3-7 % liikevaihdosta.

Cloud Protection for Salesforce (CPSF) -tuotteen toistuva vuosilaskutus (Annual Recurring Revenue, ARR) kasvaa 20-35 % edellisestä vuodesta.
Vuoden 2024 lopun CPSF ARR oli 12,8 miljoonaa euroa.

Kyberturvakonsultoinnin liiketoiminta tullaan divestoimaan vuoden 2025 aikana. Jatkossa Elements-yhtiö- ja CPSF-segmenteille annetaan erillinen ohjeistus. Molemmat ovat toistuvaan, tilauspohjaiseen laskutukseen perustuvia liiketoimintoja, joka on perustana uudelle ohjeistukselle.

Seuraavien kolmen vuoden (2025-2027) aikana WithSecuresta tulee ”Rule of 30+” -yhtiö.

Tavoite muodostuu seuraavista osista:

• vuotuinen liikevaihdon kasvu prosentteina

• oikaistu käyttökate prosentteina liikevaihdosta.

WithSecuren tavoitteena on, että näiden osien summa ylittää 30.

Kestävyysraportointi

WithSecure on laatinut kestävyysraportintidirektiivin (Corporate Sustainability Reporting Directive, CSRD) ja siihen liittyvän suomalaisen lainsäädännön mukaisen kestävyysraportin. Kestävyysraportti kokonaisuudessaan esitetään osana tätä hallituksen toimintakertomusta.

Hallituksen esitys koskien jakokelpoisten varojen käyttöä

WithSecuren osinkopolitiikkana on jakaa noin puolet vuotuisesta voitosta osinkona. Yhtiö voi kuitenkin tilanteen mukaan poiketa tästä käytännöstä. WithSecure Oyj:n voitonjakokelpoiset varat 31.12.2024 olivat 77,5 miljoonaa euroa, josta tilikauden tuloksen osuus oli -44,0 miljoonaa euroa. Yhtiön taloudellisessa tilanteessa ei ole tilikauden päättymisen jälkeen tapahtunut olennaisia muutoksia. WithSecuren hallitus esittää, että yhtiö ei jaa osinkoa vuodelta 2024 tappiollisen tuloksen vuoksi. Yhtiö keskittyy kasvun ja liiketoiminnan kehityksen rahoittamiseen. Tilikauden tappio jätetään osaksi yhtiön omaa pääomaa.

Tilikauden päättymisen jälkeiset tapahtumat

Tilikauden päättymisen jälkeen, 23.1.2025 WithSecure tiedotti myyvänsä kyberturvakonsultoinnin liiketoiminnan ruotsalaiselle sijoitusyhtiö Neqstille. Transaktio toteutetaan myymällä perustettavan WithSecuren konsultointiliiketoiminnan emoyhtiön osakkeet. Konsultointiliiketoiminta siirretään perustettavan yhtiön alaisuuteen ennen transaktion toteutuspäivää. Sopimuksen seurauksena noin 250 työntekijän Suomessa, Isossa-Britanniassa, Ruotsissa, Tanskassa, Singaporessa, Italiassa ja Yhdysvalloissa oletetaan siirtyvän ostajan palvelukseen.

WithSecure luokittelee kyberturvakonsultoinnin liiketoiminnan myytävänä oleviin varoihin ja niihin liittyviin velkoihin vuoden 2024 tilinpäätöksessä. Myytävän liiketoiminnan tulos esitetään lopetettuna toimintona. 

Avainluvut

1. Merkityt luvut vuosille 2024-2023 on oikaistu kuvastamaan vain jatkuvia toimintoja IFRS 5-standardin mukaisesti
2. Merkityt luvut vuosille 2024-2021 on oikaistu kuvastamaan vain jatkuvia toimintoja IFRS 5-standardin mukaisesti
3. Vuodesta 2021 eteenpäin luku on esitetty ilman käyttöoikeusomaisuuseriä.

1. Hallituksen ehdotus

Tunnuslukujen laskentakaavat

Vaihtoehtoisten tunnuslukujen täsmäytys

Oikaisujen luokittelu liiketoiminnan muiden kulujen osalta

Oikaisujen luokittelu liiketoiminnan muiden tuottojen osalta

Osakkeet ja osakkeenomistuksen jakautuminen

Osakkeenomistuksen jakautuminen suuruusluokittain 31.12.2024.

Tiedot suurimmista osakkeenomistajista

Johdon omistus

WithSecure Oyj:n hallituksen ja johtoryhmän jäsenet omistivat 31.12.2024 yhteensä 60 660 847 osakkeita. Nämä vastaavat 34,4 % yhtiön osakkeista ja 34,5 % osakkeiden tuottamasta äänimäärästä.

Yleiset tiedot

BP-1 – Kestävyysraportin yleiset laatimisperusteet

WithSecure noudattaa raportoinnissaan Euroopan unionin yritysten kestävyysraportointidirektiiviä (Corporate Sustainability Reporting Directive, CSRD) (2022/2464), joka ohjaa tämän kestävyysraportin sisältöä. Tähän kestävyysraporttiin viitataan nimellä WithSecuren kestävyysraportti (myös ”raportti”) Suomen kirjanpitolain (1336/1997) mukaisesti. Tämän raportin laatimisessa on soveltuvin osin noudatettu Euroopan tilinpäätösraportoinnin neuvoa-antavan ryhmän (European Financial Reporting Advisory Group, EFRAG) julkaisemia eurooppalaisia kestävyysraportointistandardeja (European Sustainability Reporting Standards, ESRS). Raportti on laadittu Suomen kirjanpitolain luvun 7 mukaisesti.

Raportti on laadittu konsernitietojen perusteella noudattaen samaa laajuutta kuin tilinpäätöstietojen raportoinnissa. Raportissa sovellettuja kirjanpitokäytäntöjä on noudatettu johdonmukaisesti koko tilikauden ja raportissa esitettyjen vertailulukujen osalta, siltä osin, kun ne esitetään.

WithSecuren arvoketjun alku- ja loppupää on huomioitu olennaisia riskejä, vaikutuksia ja mahdollisuuksia koskevissa tiedoissa. Raportissa esitetyt tietopisteet ja kestävyysaiheet on arvioitu kaksoisolennaisuusarvion mukaisesti. Lisätietoa WithSecuren arvoketjusta on osiossa “Liiketoimintamalli ja arvoketju”, ja lisätietoa kaksoisolennaisuusarvioinnissa käytetyistä menetelmistä ja sen tuloksista on osiossa “SBM-3 – Olennaiset kestävyyteen liittyvät vaikutukset, riskit ja mahdollisuudet”.

WithSecure ei ole hyödyntänyt mahdollisuutta jättää pois tietoja, jotka liittyvät immateriaalioikeuksiin, tietotaitoon tai innovoinnin tuloksiin.

WithSecure on päättänyt noudattaa raportin mittareissa vertailutietojen esittämistä koskevaa siirtymäsäännöstä, eikä siksi esitä vertailutietoja. Ainoana poikkeuksena tähän ovat kasvihuonekaasupäästölaskelmat, joiden yhteydessä on esitetty vertailutietoja ja perusvuoden tiedot.

Lisäksi WithSecure jättää pois tietopisteet, jotka koskevat työperäisten terveyshaittojen sekä vammojen, onnettomuuksien, kuolonuhrien ja työperäisten sairauksien vuoksi menetettyjen päivien lukumäärää kestävyysraportin ensimmäiseltä laatimisvuodelta. Yhtiö jättää myös pois tiedot odotetuista taloudellisista vaikutuksista kestävyysraportin ensimmäiseltä vuodelta.

BP-2 – Tiettyjä olosuhteita koskevat tiedot

WithSecure ilmoitti aikomuksen myydä yhtiön konsultointiliiketoiminta tammikuussa 2025. Tämä divestointi on huomioitu tilinpäätöksessä, joka sisältää liiketoiminnan kirjanpidollisen käsittelyn lopetettuina toimintoina. Tämä divestointi ei kuitenkaan merkittävästi vaikuta kestävyysraportissa esitettyihin tietoihin, sillä tunnistettuihin olennaisiin vaikutuksiin, riskeihin ja mahdollisuuksiin ei ole tullut muutoksia. WithSecuren pääliiketoimintamalli pysyy ennallaan. Kestävyysraportissa esitetyt mittarit heijastavat vuoden 2024 lopun tilannetta divestoinnin toteutuessa vuoden 2025 aikana. Poikkeus tähän on osiossa “S1-6 – Yrityksen työsuhteisten työntekijöiden ominaisuudet”, jossa kaikki työntekijöihin liittyvät luvut esitetään erikseen jatkuvien ja lopetettujen toimintojen osalta. Tämä erottelu tehdään, koska nämä luvut vaikuttavat tiettyihin tilinpäätökseen sisältyviin henkilöstöön liittyviin KPI-mittareihin.

Kasvihuonekaasupäästöt esitetään ja kirjataan kokonaisuudessaan koko yhtiön osalta, mukaan lukien lopetetut toiminnot, koska ne ovat toteutuneet ennen divestointia ja muuten ne jäisivät osittain raportoimatta. Henkilöstöön liittyvät mittarit osioissa S4 ja G1, kuten työntekijöiden koulutusasteen mittarit, ovat suhteellisia koko työntekijämäärään nähden, joten muutokset eivät ole merkittäviä, koska ne heijastavat vuoden 2024 tilannetta. Samoin suurin osa S1-mittareista on joko suhteellisia koko työntekijämäärään nähden tai sisältävät arkaluonteista tietoa, mikä tekee käytännössä mahdottomaksi erotella, mihin yksikköön luvut kuuluvat, ilman että se loukkaisi WithSecuren jatkuvien ja lopetettujen toimintojen työntekijöiden yksityisyyttä.

Vaikutusten olennaisuuden ja taloudellisen olennaisuuden arvioinnissa käytetyt aikahorisontit ovat linjassa ESRS-standardeissa määriteltyjen aikahorisonttien kanssa. Lyhyt aikaväli tarkoittaa enintään 1 vuoden, keskipitkä aikaväli 1–5 vuoden ja pitkä aikaväli yli 5 vuoden ajanjaksoa.

Ellei toisin mainita, raportissa esitettyjä mittareita ei varmenneta ulkoisesti tämän raportin varmennusta lukuun ottamatta. Vertailuluvut eivät kuulu tämän varmennuksen piiriin. Jos jokin mittari on ulkoisen varmennuksen alainen, se on selvästi ilmoitettu. Raportissa esitetyt tavoitteet eivät ole tieteeseen perustuvia.

Tässä raportissa olevat tiedot perustuvat pääasiallisesti yhtiön sisäiseen dataan ja kyseiseen dataan pohjautuviin arvioihin. Joidenkin tietopisteiden raportoinnissa käytetään arvioita, joita päivitetään tarvittaessa uudempien arvioiden pohjalta. Muutokset kirjataan sinä ajanjaksona, jolloin arviota on päivitetty. Epäsuoriin lähteisiin perustuvien arvioiden käyttö sekä niihin liittyvät mahdolliset mittausepävarmuudet on kerrottu ja kuvattu kyseisten tietopisteiden yhteydessä. Tässä raportissa tällaista ulkopuolista tietoa käytetään vain kasvihuonekaasupäästöjä koskevissa laskelmissa. Tapaukset, joissa on käytetty epäsuoria lähteitä, on kuvattu yksityiskohtaisemmin kutakin päästökategoriaa koskevan kasvihuonekaasupäästöjen laskentamenetelmän kuvauksessa. Nämä on esitetty omissa osioissaan kohdassa “E1-6 – Kasvihuonekaasujen Scope 1-, Scope 2- ja Scope 3 -bruttopäästöt ja kokonaispäästöt”.

Muuhun lainsäädäntöön tai yleisesti hyväksyttyihin kestävyysraportointia koskeviin säännöksiin perustuvat tiedonannot sisältävät liiketoimintojen analyysin Euroopan unionin taksonomiasääntelyn (2020/852) mukaisesti.

Lisäksi WithSecure on laskenut hiilijalanjälkensä kolmatta vuotta peräkkäin. Scope 1–3 -kasvihuonekaasuja koskevat tietopisteet on raportoitu kasvihuonekaasuprotokollan (Greenhouse Gas Protocol) mukaisesti. WithSecuren strategiaan sisältyvään kestävyysohjelmaan liittyvät tulokset ja suunnitelmat on raportoitu omassa osiossaan.

Taksonomia-analyysin ja kasvihuonekaasulaskelmien tulokset on esitetty Ympäristötiedot-osion kohdissa “EU:n taksonomia” ja “E1-6 – Kasvihuonekaasujen Scope 1-, Scope 2- ja Scope 3 -bruttopäästöt ja kokonaispäästöt”.

Tämä kestävyysraportti ei sisällä tiedonantoja, joissa viitataan WithSecuren vuosikertomuksen muihin osioihin.

GOV-1 – GOV-5 Kestävyyden johtaminen

Tämä kestävyysraportin osio kuvaa kestävyyden johtamista WithSecuressa. Tämä sisältää kuvaukset hallintoprosesseista, valvontatoimista ja menettelyistä, joilla seurataan, hallitaan ja valvotaan kestävyysaiheita. Nämä tiedot kattavat WithSecuren hallinto-, johto- ja valvontaelimet. Lisäksi tässä osiossa kuvataan näiden toimielinten yleiset vastuut, kokoonpano ja monimuotoisuus sekä niihin kuuluvien jäsenten asiaankuuluva kokemus.

WithSecure määritteli kestävyysohjelmansa johtamisperiaatteet vuonna 2022. Vuonna 2023 yhtiö hyväksyi kestävyyspolitiikkansa aseman yhtiön kestävyystyön perustana. Vuonna 2024 WithSecure työskenteli aktiivisesti toteuttaakseen kestävyyspolitiikan tavoitteita yhtiön toiminnoissa.

Olennaiset ESRS-aiheet ja niiden arviointi tunnistettujen olennaisten vaikutusten, riskien ja mahdollisuuksien pohjalta on kuvattu yksityiskohtaisesti osiossa “SBM-3 – Olennaiset kestävyyteen liittyvät vaikutukset, riskit ja mahdollisuudet”. Näiden vaikutusten, riskien ja mahdollisuuksien tarkemmat kuvaukset kunkin ESRS-aiheen osalta löytyvät kutakin ESRS-aihetta koskevan osion alusta. Alla olevassa taulukossa on kuvattu hallinto-, johto- ja valvontaelinten tai niiden asiaankuuluvien valiokuntien käsittelemät olennaiset vaikutukset, riskit ja mahdollisuudet vuonna 2024.

GOV-1, GOV-2 – Hallinto-, johto- ja valvontaelinten rooli, niille toimitettavat tiedot ja niiden käsittelemät kestävyysaiheet

Hallitus ja hallituksen valiokunnat

WithSecuren hallintoelin on yhtiön hallitus. Hallitukseen kuuluu seitsemän jäsentä, joista kuusi on yhtiön toimivaan johtoon kuulumattomia. Yhtiön toimivaan johtoon kuuluva hallituksen jäsen valitaan WithSecuren henkilöstön joukosta.

Hallituksen tarkastusvaliokunta on WithSecuren valvontaelin. Tarkastusvaliokunta ei ole päättävä eikä toimeenpaneva elin. Hallitus valitsee joukostaan tarkastusvaliokunnan jäsenet ja puheenjohtajan. Tarkastusvaliokunnassa on neljä jäsentä, joista kolme on yhtiön johtoon kuulumattomia. Jäsenten riippumattomuus määritetään heidän riippumattomuutensa perusteella yhtiöstä, ei merkittävistä osakkeenomistajista.

Hallituksen roolit ja vastuut huomioiden WithSecuren hallitus on kestävyysasioissa yhtiön ylin hallintoelin. Kestävyysohjelman myötä kestävyys on kiinteä osa WithSecuren strategiaa, joten kestävyysasioita käsitellään vuosittain ennalta sovitun aikataulun mukaisesti hallituksen kokouksissa. Hallitus hyväksyy korkean tason kestävyysprioriteetit ja -tavoitteet. Hallitus hyväksyy kestävyysraportin osana hallituksen toimintakertomuksen hyväksymistä.

Lisäksi hallitus osallistuu tunnistettujen kestävyyteen liittyvien vaikutusten, riskien ja mahdollisuuksien hyväksymiseen sekä sen määrittämiseen, että näiden aiheiden hillitseminen ja hallinta on integroitu yhtiön kestävyysohjelmaan asianmukaisesti. Johtoryhmän jäsenet asettavat ja hyväksyvät kestävyyteen liittyvät tavoitteet operatiivisella tasolla. Tavoitteiden edistymisestä raportoidaan hallitukselle vuosittain. Hallituksella on viimeinen sana näiden tavoitteiden hyväksymisessä, kun he tarkistavat ja hyväksyvät koko vuosikertomuksen. Näin ollen he ovat mukana näiden tavoitteiden asettamisessa.

Vastaavasti, WithSecuren hallitus on yhtiön organisaation ylin taso, joka on vastuussa kestävyyteen liittyvistä toimintaperiaatteista. Näiden toimintaperiaatteiden toteuttamisesta vastaava yhtiön ylin taso on johtoryhmään kuuluvat kunkin liiketoimintayksikön vetäjät, jotka työskentelevät läheisimmin kyseisten toimintaperiaatteiden kanssa. He hyväksyvät toimintaperiaatteisiin tehtävät päivitykset. He myös delegoivat toimintaperiaatteiden toteuttamisen eteenpäin yksittäisille WithSecuren työntekijöille, tiimeille tai toiminnoille.

Tarkastusvaliokunta valvoo tätä edistymistä tarkastelemalla ja seuraamalla yhtiön strategisten kestävyyttä koskevien tavoitteiden toteutumista. Koska tarkastusvaliokunnan jäsenet ovat myös hallituksen jäseniä, he ovat mukana kestävyyteen liittyvien tavoitteiden asettamisessa. Näiden tavoitteiden edistymisen ja kestävyysraportoinnin valvomisen lisäksi tarkastusvaliokunta tarkastelee toimintaperiaatteita ja tekee suosituksia hallitukselle, jolla on toimivalta hyväksyä nämä toimintaperiaatteet.

WithSecuren riskienhallinnan ja sisäisen valvonnan prosessien tavoitteena on varmistaa, että yhtiön liiketoimintaan liittyvät riskit ja niitä koskevat kestävyysaiheet tunnistetaan ja arvioidaan asianmukaisesti, niitä seurataan ja niistä raportoidaan soveltuvan lainsäädännön mukaisesti. Riskiarvioinnit päivitetään säännöllisesti, jotta ne ovat arviointihetkellä tiedossa olevien tietojen mukaisia.

WithSecuren hallitus määrittelee riskienhallinnan, sisäisen valvonnan ja liiketoiminnan harjoittamisen periaatteet, joita noudatetaan yhtiössä. WithSecuren toimitusjohtajan vastuulla on varmistaa, että riskienhallintaperiaatteita noudatetaan ja sovelletaan jatkuvasti ja johdonmukaisesti koko organisaatiossa.

Tarkastusvaliokunta avustaa hallitusta WithSecuren riskienhallinnan valvonnassa. Tarkastusvaliokunnan rooleihin ja vastuisiin kuuluu riskienhallinnan, sisäisten valvontajärjestelmien, IT-strategian ja -käytäntöjen sekä taloudellisen ja kestävyysraportoinnin tarkasteleminen, ohjeistaminen ja arviointi sekä kirjanpidon ja sisäisen tarkastuksen auditointi.

Hallitukselle ja tarkastusvaliokunnalle raportoidaan asiaankuuluvista kestävyyteen liittyvistä aiheista, ja niillä odotetaan olevan kestävyyteen liittyvien asioiden johtamiseen ja valvomiseen tarvittava tietämys. Hallituksen jäsenillä on monimuotoiset taustat sekä erilaista osaamista ja kokemusta, mikä vahvistaa hallituksen suorituskykyä ja edistää pitkän aikavälin arvon luomista. Kestävyysasioihin liittyvä asiantuntemus, jota he joko suoraan omaavat tai voivat hyödyntää, saadaan sekä sisäisten että ulkoisten asiantuntijoiden avulla ja koulutusten kautta. Tämä varmistaa, että jäsenet ovat hyvin varustautuneita hoitamaan nämä vastuut. Tämä kestävyyteen liittyvä asiantuntemus sisältää muun muassa S4 osa-aiheen " Kuluttajia ja loppukäyttäjiä koskevat tietoihin liittyvät vaikutukset".

Lisäksi hallitus tarkastelee säännöllisesti kestävyyteen liittyviä asioita, joita sille esittelevät sekä sisäiset että ulkopuoliset asiantuntijat. Tämän tarkastelun ansiosta hallituksen jäsenten tiedot ja osaaminen pysyvät ajan tasalla. Osiossa "GOV-4 – Selvitys kestävyyttä koskevasta due diligence -prosessista" kuvataan, kuinka WithSecuren hallintorakenne osallistuu kestävyyspyrkimyksiin, mukaan lukien kuinka valvontaelimiä tiedotetaan vastuullisuusvelvoitteiden toteuttamisesta. Tämä kuvaus sisältää myös tunnistettuja olennaisia vaikutuksia, riskejä ja mahdollisuuksia käsittelevien tulosten ja hyväksyttyjen toimintaperiaatteiden, toimien, mittareiden ja tavoitteiden toimivuuden seurannan.

Konsernin toimitusjohtaja ja johtoryhmä

WithSecuren johtoelimen muodostavat konsernin toimitusjohtaja ja johtoryhmä. Johtoryhmä tukee toimitusjohtajaa yhtiön päivittäisessä operatiivisessa johtamisessa. Johtoryhmä koostuu seitsemästä jäsenestä, jotka kaikki ovat WithSecuren henkilöstöön kuuluvia johtajia.

Johtoryhmä vastaa strategian toteuttamisesta ja seurannasta, kestävyysohjelma mukaan luettuna. WithSecuren talousjohtaja valvoo kestävyyden koordinointia ja varmistaa, että kestävyysohjelmalla on asiamukaiset resurssit ja että se keskittyy oikeisiin asioihin ohjelman pääteemoja tukien. Jokaisella ohjelman aiheella on ”kotijoukkue”, joka toteuttaa ohjelmaa osana työnkuvaansa. Kullakin kotijoukkueella on johtoryhmään kuuluva omistaja, joka vastaa kyseisen aihealueen kestävyystavoitteiden saavuttamisesta. Kaikki erityisesti kestävyyteen liittyvät aiheet ovat talousjohtajan vastuualuetta. Johtoryhmä on toimielin, joka on vastuussa kestävyyteen liittyvien toimintaperiaatteiden ja toimenpiteiden toteuttamisesta ja seurannasta.

Johtoryhmä on edustettuna kestävyystiimissä, joka on mukana päivittäisissä kestävyystoiminnoissa. Siten johtoryhmän jäsenillä on aktiivinen rooli sen määrittelemisessä ja valvomisessa, miten tunnistetut olennaiset vaikutukset, riskit ja mahdollisuudet toteutuvat yhtiön perustason toiminnoissa. Tietyistä kestävyysalueista vastaavat johtoryhmän jäsenet ovat osallistuneet kaksoisolennaisuusarviointiin. Lisäksi heidän tehtävänään on seurata sisäistä analyysia siitä, miten kestävyysohjelmaa toteutetaan ja millaisia mahdollisia vaikutuksia ulkoisilla ja sisäisillä kestävyysaiheilla on.

Johtoryhmän jäsenillä on asiaankuuluvaa osaamista ja asiantuntemusta WithSecuren tunnistettuihin vaikutuksiin, riskeihin ja mahdollisuuksiin liittyen. Usealla jäsenellä on aiempaa työkokemusta ja tietämystä, jota he ovat kartuttaneet tunnistettuihin vaikutuksiin, riskeihin ja mahdollisuuksiin liittyviä aiheita käsittelevissä koulutuksissa. Tämän ansiosta he voivat myös toimittaa hallitukselle tietoa asiaankuuluvista aiheista.

GOV-3 – Kestävyyteen liittyvän suorituskyvyn sisällyttäminen kannustinjärjestelmiin

Kestävyyteen liittyvää suorituskykyä – mukaan lukien ilmastoon liittyvät näkökulmat – ei ole sisällytetty WithSecuren kannustinjärjestelmiin. Kannustimiin liittyvien mittareiden ja menetelmien on oltava riittävän toimivia ja palveltava WithSecuren liiketoimintamallia ja toimialaa. WithSecure selvittää mahdollisesti sopivia kestävyyteen liittyviä mittareita ja tapoja sisällyttää kestävyysaiheet kannustinjärjestelmiin.

GOV-4 – Selvitys kestävyyttä koskevasta due diligence -prosessista

WithSecuren hallitus ja toimitusjohtaja ovat vastuussa yhtiön hallinnosta. WithSecuren hallinnointikäytännöt perustuvat sovellettaviin Suomen lakeihin, Helsingin pörssin (NASDAQ Helsinki Oy) sääntöihin, Finanssivalvonnan sääntelyyn ja ohjeisiin sekä yhtiön yhtiöjärjestykseen.

WithSecuren kestävyyttä koskeva due diligence -prosessi varmistaa, että yhtiö tunnistaa WithSecuren todelliset ja mahdolliset kielteiset vaikutukset omiin toimintoihinsa ja arvoketjuunsa, ehkäisee ja vähentää kyseisiä vaikutuksia sekä selittää, miten se käsittelee kyseisiä vaikutuksia.

Due diligence -prosessi on sisällytetty WithSecuren hallinnointiin, strategiaan ja liiketoimintamalliin. Tämä käy ilmi yhtiön hallinto-, johto- ja valvontaelimille ilmoitetuista tiedoista ja niiden käsittelemistä kestävyysaiheista, kuten on yksityiskohtaisemmin kuvattu osiossa “GOV-1, GOV-2 – Hallinto-, johto- ja valvontaelinten rooli, niille toimitettavat tiedot ja niiden käsittelemät kestävyysaiheet”. Lisäksi hallinto-, johto- ja valvontaelimet ovat osallistuneet kaksoisolennaisuusrviointiin, jossa määriteltiin olennaiset vaikutukset, riskit ja mahdollisuudet. Tämä varmistaa, että elimet ovat syvällisesti osallistuneet kestävän liiketoiminnan perustan määrittelemiseen WithSecuressa.

Asianosaisia sidosryhmiä osallistetaan kaikkiin due diligence -prosessin keskeisiin vaiheisiin. Heidän näkemyksensä sisällytettiin kaksoisolennaisuusarviointiin WithSecuren olennaisten vaikutusten, riskien ja mahdollisuuksien tunnistamiseksi. Tämä varmistaa heidän mahdollisuutensa vaikuttaa yhtiön toimintaan. Sidosryhmien näkökulmat huomioidaan jatkuvasti toimintaperiaatteiden päivityksissä. He voivat kertoa näkökulmistaan eri kanavien kautta, kuten sijoittajasuhteiden yhteystiedot, whistleblowing-kanava ja suorat sisäiset yhteystiedot, jotka ovat toimittajien ja kumppaneiden saatavilla.

Osana due diligence -prosessia WithSecure on huolellisesti tunnistanut ihmisiin ja ympäristöön liittyvät vaikutukset, riskit ja mahdollisuudet sekä arvioinut ne osana kaksoisolennaisuusarviointia. Tunnistetut olennaiset vaikutukset ja niiden arviointiprosessit on kuvattu osiossa “IRO-1 – Kuvaus olennaisten vaikutusten, riskien ja mahdollisuuksien tunnistamis- ja arviointiprosesseista“, joka sisältyy osioon “SBM-3 – Olennaiset kestävyyteen liittyvät vaikutukset, riskit ja mahdollisuudet”.

Kaksoisolennaisuusarviossa tunnistettujen riskien lieventämiseksi sekä myönteisten vaikutusten ja mahdollisuuksien korostamiseksi WithSecure toteuttaa useita eri toimia kuhunkin olennaisen aiheeseen, osa-aiheeseen ja osaosa-aiheeseen liittyen. Näiden toimien tehokkuutta seurataan erilaisten mittareiden ja tavoitteiden avulla. Nämä toimet, mittarit ja tavoitteet on kuvattu erikseen kunkin aihekohtaisen standardin kohdalla tässä raportissa.

WithSecuren due diligence -prosessi on jatkuva prosessi, joka mukautuu sekä yhtiön toimintaympäristössä että ympäröivässä ympäristössä ja yhteiskunnassa tapahtuviin muutoksiin. Yhtiö aikoo päivittää kaksoisolennaisuusarvion vuonna 2025 varmistaakseen, että se huomioi mahdollisimman ajantasaiset tiedot ja sidosryhmänäkemykset.

GOV-5 – Riskienhallinta ja sisäinen valvonta kestävyysraportoinnin osalta

Riskienhallinta

WithSecuren riskienhallinnan ja sisäisen valvonnan prosessien tavoitteena on varmistaa, että yhtiön liiketoimintaan liittyvät riskit tunnistetaan ja arvioidaan asianmukaisesti, niitä seurataan ja niistä raportoidaan soveltuvan lainsäädännön mukaisesti.

WithSecuren hallitus määrittelee riskienhallinnan ja sisäisen valvonnan periaatteet, joita noudatetaan yhtiössä. Tarkastusvaliokunta avustaa hallitusta WithSecuren riskienhallinnan valvonnassa. WithSecuren toimitusjohtajan vastuulla on varmistaa, että riskienhallintaperiaatteita noudatetaan ja sovelletaan jatkuvasti ja johdonmukaisesti koko organisaatiossa.

WithSecuren riskienhallintaperiaatteiden ensisijaisena tavoitteena on tarjota organisaatiolle edellytykset tunnistaa ja hallita riskejä aiempaa tehokkaammin. WithSecuren liiketoiminnoista aiheutuvien erilaisten tilanteiden todennäköisyyttä ja mahdollista kielteistä vaikutusta yhtiöön, sen asiakkaisiin tai kumppaneihin seurataan osana riskienhallintaprosessia. Riskienhallinnan toisena tavoitteena on monitoroida jatkuvasti ja hallita ennakoivasti sellaisten WithSecuren liiketoiminnoista aiheutuvien tilanteiden vaikutusta ja/tai todennäköisyyttä, joilla voi olla kielteinen vaikutus WithSecureen, sen asiakkaisiin tai sen kumppaneihin. Ennakoivan monitoroinnin, riskisimulaatioiden ja stressitestauksen avulla WithSecure voi myös kehittää yhtiön ja sen liiketoimintojen strategista resilienssiä. Riskienhallintaa voidaan hyödyntää myös etuja tarjoavien mahdollisuuksien tunnistamiseen.

WithSecure kannustaa henkilöstöään suorittamaan jatkuvaa riskien arviointia. Yhtiön toimitusjohtaja ja johtoryhmä käyvät läpi riskienhallintaprosessissa tunnistettuja keskeisiä operatiivisia riskejä säännöllisesti. Riskienhallinta on keskeinen osa WithSecuren hallintoa ja johtamista, ja yhtiön riskienhallintaprosessi on linjassa ISO 31000 ‑standardin kanssa Tarkastusvaliokunta tarkastelee keskeisimpiä operatiivisia riskejä ja arvioi riskienhallintajärjestelmän tehokkuutta säännöllisesti.

Sisäinen valvonta

Sisäinen valvonta on yhdessä riskienhallinnan kanssa tärkeä osa WithSecuren johtamisjärjestelmää. Yhtiön hallituksen vastuulla on varmistaa, että yhtiö on määritellyt sisäisen valvonnan toimintaperiaatteet ja että yhtiö monitoroi sisäisen valvonnan toimintaa.

WithSecure on määritellyt sisäisen valvonnan tavoitteet maailmanlaajuisesti sovellettujen periaatteiden mukaisesti. Sisäinen valvonta koostuu muun muassa toimintaperiaatteista, prosesseista, toimintatavoista sekä kontrolli- ja valvontatoimenpiteistä. Sisäisen valvonnan tarkoituksena on tarjota korkean tason varmuus sille, että WithSecure saavuttaa seuraavat tavoitteensa:

• Toimintojen vaikuttavuus, tehokkuus ja läpinäkyvyys kaikilla tasoilla WithSecuren strategian mukaisesti

• Taloudellisen ja ei-taloudellisen sekä ulkoisen ja sisäisen raportoinnin kattavuus, luotettavuus, asianmukaisuus ja ajankohtaisuus, mukaan lukien raportointi hallitukselle, johdolle, osakkeenomistajille ja sidosryhmille

• Sovellettavien lakien, säädösten sekä WithSecuren toimintaperiaatteiden ja ohjeiden vaatimusten noudattaminen.

WithSecuren sisäisen valvonnan toimintaperiaatteissa on määritelty sisäisen valvonnan roolit, rakenne ja käytännöt. Toimintaperiaatteissa ohjeistetaan, miten sisäiset kontrollit toteutetaan eri tasoilla, järjestelmissä sekä henkilöstölle ja ulkoistetuille toiminnoille. Taloudellista raportointia koskeva sisäinen valvonta koostuu riskien tunnistamisesta ja arvioinnista, prosesseista, sisäisistä kontrolleista sekä sisäiseen valvontaan liittyvästä monitoroinnista ja raportoinnista.

Kestävyysraportointi

WithSecuren kestävyysraportoinnissa sisäisen valvonnan tärkeänä tehtävänä on varmistaa raportoinnin läpinäkyvyys ja kestävyys. Sisäisen valvonnan katalogi ja toimintaperiaatteet sisältävät erillisiä osioita sen varmistamiseksi, että WithSecuren kestävyysraportointi on ajankohtaista ja täsmällistä ja noudattaa asiaankuuluvaa sääntelyä. Yhtiön hallinto-, johto- ja valvontaelimet käsittelevät kestävyyteen liittyviä aiheita säännöllisesti.

SBM-1 – Strategia, liiketoimintamalli ja arvoketju

Osana strategiaansa WithSecure on laatinut kestävyysohjelman varmistaakseen, että kestävyysaiheet on sisällytetty yhtiön strategiaan. Keskeisin WithSecuren kestävyysohjelman ohjaava periaate on nettovaikutuksen maksimoiminen niin maapallon, ihmisten kuin yhteiskunnankin osalta. Kestävyysohjelman tavoitteena on varmistaa, että kestävyys on sisäänrakennettu yhtiön kaikkeen päätöksentekoon. WithSecure haluaa myös taata, että yhtiön liiketoimintaan liittyvä raportointi on läpinäkyvää.

WithSecure tarjoaa yritysasiakkaille kyberturvallisuustuotteita ja -palveluja maailmanlaajuisesti. WithSecuren tehtävänä on suojella digitaalista yhteiskuntaa ja ehkäistä kyberrikollisuuden aiheuttamia vahinkoja ja menetyksiä, mikä onkin merkittävin tapa, jolla yhtiö edistää entistä kestävämmän maailman rakentamista. Tämän tehtävän myötä WithSecuren liiketoiminnalla on aina merkittävä myönteinen vaikutus yhteiskuntaan. Estämällä kyberhyökkäyksiä WithSecure auttaa yrityksiä välttämään taloudellisia menetyksiä ja tietomurtoja, mikä tukee taloudellista vakautta ja luottamusta digitaaliseen yhteiskuntaan. Hyvin toimiva digitaalinen yhteiskunta on merkittävä kestävyyden mahdollistaja. Toimintansa kautta WithSecure auttaa luomaan turvallisen digitaalisen yhteiskunnan, vähentäen materiaalien ja kuljetuksen tarvetta. Tämä tukee kestävämpää maailmaa. Yritysten muuttuessa yhä datalähtöisemmiksi ja haavoittuvammiksi hyökkäyksille, WithSecuren työ niiden suojelemiseksi on sen tärkein panos kestävyyteen.

WithSecure tähtää kuitenkin pidemmälle. Yhtiö pyrkii varmistamaan, että sen liiketoiminta vaikuttaa positiivisesti planeettaan, ihmisiin ja yhteiskuntaan. WithSecure haluaa jakaa kerryttämäänsä tietämystä ja tukea osapuolia, jotka eivät aina kykene suojaamaan itseään.

Ympäristövaikutusten näkökulmasta WithSecuren hiilijalanjälki ei ole suuri, kuten kohdassa “E1-6 – Kasvihuonekaasujen Scope 1-, Scope 2- ja Scope 3 -bruttopäästöt ja kokonaispäästöt” kerrotaan tarkemmin. Tästä huolimatta WithSecure tiedostaa, että sen on tehtävä oma osansa yhtiön tuotteiden ja omien toimintojen aiheuttamien ympäristövaikutusten minimoimiseksi.

Myös ihmiset ovat WithSecuren kestävyystyön keskiössä. WithSecure työllistää erittäin ammattitaitoisia asiantuntijoita maailmanlaajuisesti ja haluaa tukea heidän hyvinvointiaan ja kasvumahdollisuuksiaan. Yhtiön tavoitteena on saavuttaa kestävyystavoitteensa yhdessä 961 työntekijänsä kanssa, jotka työskentelevät 15 eri toimipisteessä ympäri maailman. Työsuhteisten työntekijöiden määrä ja maantieteellinen jakauma on kuvattu osiossa “S1-6 – Yrityksen työsuhteisten työntekijöiden ominaisuudet”. WithSecuren merkittävimmät toimipisteet sijaitsevat Helsingissä, Lontoossa (Iso-Britannia), Kuala Lumpurissa (Malesia) ja Poznanissa (Puola). Muut toimipisteet sijaitsevat eri puolilla Eurooppaa, Pohjois-Amerikkaa, Japania ja Aasian ja Tyynenmeren aluetta. Kaikki toimipisteet vastaavat WithSecuren kansainvälisten kumppanien, asiakkaiden ja muiden sidosryhmien pyyntöihin.

WithSecure ei toimi fossiilisten polttoaineiden toimialalla eikä kemikaalien tuotannon, kiistanalaisten aseiden tai tupakan viljelyn ja tuotannon parissa.

WithSecuren sisäisten toimintojen on aina oltava korkeiden eettisten standardien mukaisia. Yksikään WithSecuren tuotteista ja palveluista ei ole kielletty yksittäisillä markkinoilla. Yritysvastuullisuussyistä WithSecure on kuitenkin päättänyt olla harjoittamatta liiketoimia venäläisten tai valkovenäläisten toimijoiden kanssa edes niissä tapauksissa, joissa toiminta olisi voimassa olevien vientivalvontasäännösten mukaan sallittua.

WithSecuren kestävyyttä koskevia tavoitteita seurataan konsernitasolla segmenttikohtaisesti samaan tapaan kuin taloudellisessa raportoinnissa. Liiketoiminnan luonteesta johtuen liikevaihtoa tarkastellaan konsernitasolla. Yksittäisille tuote- tai palveluryhmille, asiakaskategorioille, maantieteellisille alueille tai sidosryhmille ei ole asetettu erillisiä kestävyystavoitteita.

Liiketoimintamalli ja arvoketju

WithSecuren liiketoimintamalli perustuu kyberturvallisuusohjelmistojen ja -palveluiden tarjoamiseen asiakkaille. Yhtiön asiakaskunta koostuu muista yhtiöistä – pääosin myyntikumppaneista ja heidän asiakkaistaan, jotka ovat WithSecuren palvelujen loppukäyttäjiä.

Määrittämällä arvoketjunsa WithSecure on varmistanut, että kestävyysaiheet otettiin kaksoisolennaisuusarvioinnissa laaja-alaisesti huomioon koko arvoketjun osalta. Kaikki ESRS-standardien mukaiset aiheet, osa-aiheet ja osaosa-aiheet on kartoitettu WithSecuren koko arvoketjun osalta.

WithSecuren arvoketjun alkupää koostuu laitteiden ja materiaalien tuotannosta, jossa käsitellään esimerkiksi WithSecuren toimittajien laitteisto- ja tiedonsiirtoverkostoja. Arvoketjun seuraava linkki muodostuu WithSecuren toimittajista, jotka toimittavat WithSecurelle ohjelmisto- ja pilvipalveluja, laitteita ja kolmannen osapuolen palveluja, kuten markkinointipalveluja. WithSecuren omien toimintojen, eli digitaalisten tuotteiden suunnittelun ja kyberturvallisuusratkaisujen, jälkeen seuraavana arvoketjun loppua kohden ovat WithSecuren myyntikumppanit. Viimeisenä arvoketjun loppupäässä ovat WithSecuren asiakasyritykset ja loppukäyttäjät, mukaan lukien WithSecuren asiakasyritykset ja niiden työntekijät.

SBM-2 – Sidosryhmien edut ja näkemykset

WithSecure on tunnistanut kuusi eri sidosryhmää. Näistä sidosryhmistä kolme – yhtiön työntekijät, kumppanit sekä sijoittajat ja talousanalyytikot – ovat osallistuneet yhtiön kaksoisolennaisuusarviointiin suoraan. Tämä varmistaa, että heidän näkemyksensä on integroitu WithSecuren olennaisiin vaikutuksiin, riskeihin ja mahdollisuuksiin, jotka liittyvät standardin kohtiin ”ESRS S1 – Oma työvoima” ja ”ESRS S4 – Kuluttajat ja loppukäyttäjät”.

Muiden sidosryhmien näkemykset kerättiin muilla tavoin, kuten kyselyjen ja haastatteluiden avulla. Tietojen keräämisen yhteydessä määriteltiin sidosryhmien WithSecureen kohdistuvat odotukset, arvioitiin heidän vuorovaikutustaan ja mahdollisuuksia vuorovaikuttaa WithSecuren kanssa sekä tunnistettiin heidän odottamansa tulokset ja toimet.

Sidosryhmien osallistaminen WithSecuren kaksoisolennaisuusarvio korostaa yhtiön sitoutumista aktiiviseen keskusteluun ja vuorovaikutukseen sidosryhmiensä kanssa. Yhtiö on jatkuvassa vuorovaikutuksessa sidosryhmien kanssa ymmärtääkseen heidän odotuksiaan ja huolenaiheitaan. Jatkuvan dialogin avulla WithSecure voi viestiä kestävyystyöstään ja -prosesseistaan, varmistaen, että sen kestävyystyö on linjassa sidosryhmien etujen ja näkemysten kanssa.

WithSecuren hallinto-, johto- ja valvontaelimet saavat säännöllisesti tietoa vaikutusten kohteena olevien sidosryhmien eduista ja näkemyksistä, jotka koskevat WithSecuren kestävyyteen liittyviä vaikutuksia. Vaikutusten kohteena olevien sidosryhmien edut ja näkemykset määriteltiin viimeksi osana kaksoisolennaisuusarviota. Sen yhteydessä toteutetut kattavat sidosryhmähaastattelut varmistivat, että sidosryhmien edut ja näkemykset otettiin huomioon. Nämä näkemykset on sisällytetty WithSecuren kestävyysohjelmaan osana olennaisten vaikutusten, riskien ja mahdollisuuksien tunnistamista.

Alla oleva taulukko havainnollistaa WithSecuren eri sidosryhmiä ja niiden WithSecurelle asettamia kestävyyteen liittyviä odotuksia. Lisäksi taulukko kuvaa erilaisia osallistamistapoja sekä esimerkkejä odotetuista kestävyyttä koskevista tuloksista ja WithSecuren toteuttamista toimista. 

SBM-3 – Olennaiset kestävyyteen liittyvät vaikutukset, riskit ja mahdollisuudet

Valmistautuakseen CSRD:n mukaiseen raportointiin ja tunnistaakseen olennaiset kestävyyteen liittyvät vaikutukset, riskit ja mahdollisuudet WithSecure toteutti kaksoisolennaisuusarvioinnin vuonna 2023 EFRAGin standardien mukaisesti. Arviointia ja oletuksia päivitettiin vuonna 2024 uusien tietojen, sidosryhmien palautteen ja sääntely muutosten perusteella. Vuonna 2024 analysoitiin olennaisten ESRS-aiheiden lyhyen aikavälin taloudelliset vaikutukset, eikä merkittäviä vaikutuksia tunnistettu. Kaksoisolennaisuusarvioinnin säännöllinen päivittäminen auttaa WithSecurea hallitsemaan kestävyyteen liittyviä vaikutuksia, riskejä ja mahdollisuuksia paremmin, parantaen yhtiön kestävyyssuoritusta.

WithSecuren kaksoisolennaisuusarviointi sisälsi aiheet, joihin WithSecurella voi olla olennainen vaikutus, sekä aiheet, jotka voivat aiheuttaa yhtiölle taloudellisia riskejä tai tarjota sille taloudellisia mahdollisuuksia. WithSecuren kaksoisolennaisuusarviointi vastaa CSRD:n vaatimuksia, ja yhtiö on sisällyttänyt kestävyysraporttiin vain ne aiheet, joiden katsotaan olevan yhtiön kannalta olennaisia. Yhtiö osallisti kaksoisolennaisuusarviointiprosessiin sekä sisäisiä että ulkoisia sidosryhmiä varmistaakseen, että olennaiset kestävyysaiheet voitiin tunnistaa koko arvoketjun osalta. Vaikutukset on määritelty määrällisesti soveltuvin osin, ja niitä on täydennetty laadullisin arvioin asiaankuuluvissa yhteyksissä. Arvioinnin laajuus kattaa koko WithSecuren henkilöstön. WithSecure on sitoutunut ihmisoikeuksien kunnioittamiseen eikä siedä lapsityövoimaa, pakkotyötä ja muita ihmisoikeusloukkauksia, mukaan lukien ihmiskauppa.

Seuraavassa raportin osiossa on yhteenveto kaksoisolennaisuusarvioinnin tuloksista ja WithSecuren käyttämistä menetelmistä. Näiden vaikutusten, riskien ja mahdollisuuksien tarkemmat kuvaukset kunkin ESRS-aiheen osalta löytyvät kutakin ESRS-aihetta koskevan osion alusta.

WithSecure uskoo, että sen toteuttama kaksoisolennaisuusarviointi kuvaa WithSecuren vaikutuksia, riskejä ja mahdollisuuksia totuudellisesti. “GOV-1 – GOV-5 Kestävyyden johtaminen”-osiossa kuvatun mukaisesti riskienhallinnan ja sisäisen valvonnan prosessien tavoitteena on varmistaa, että kestävyyttä koskevat aiheet ja liiketoiminnan riskit tunnistetaan, arvioidaan, seurataan ja raportoidaan asianmukaisesti. Riskiarvioinnit päivitetään säännöllisesti vastaamaan ajankohtaisia tietoja. Tämä koskee myös kaksoisolennaisuusarviointia, jota kehitetään jatkuvasti parhaita käytäntöjä ja globaalia tilannetta vastaavaksi.

Kaksoisolennaisuusarvioinnin avulla WithSecure tunnisti yhtiön kannalta olennaiset kestävyyteen liittyvät vaikutukset, riskit ja mahdollisuudet. WithSecuren sidosryhmien edut ja näkemykset sisällytettiin tähän arviointiin ja sen tuloksiin. Hallinto- ja valvontaelimet valvovat, että yhtiön operatiivinen strategia sisältää kestävyysohjelmaan liittyvät asianmukaiset toimet. Kestävyystiimillä ja tietyillä johtoryhmän jäsenillä on päivittäinen operatiivinen vastuu varmistaa, että WithSecuren toiminnot ovat kestävyysohjelman mukaisia sekä hallita ja lieventää tunnistettuja vaikutuksia, riskejä ja mahdollisuuksia.

IRO-1 – Kuvaus olennaisten vaikutusten, riskien ja mahdollisuuksien tunnistamis- ja arviointiprosesseista

Taustatietoa

Kaksoisolennaisuusarviointi on toteutettu iteroivana prosessina ulkopuolisten neuvonantajien tuella. Ensimmäinen olennaisuusarviointi suoritettiin vuonna 2022. Vuonna 2023 sen pohjalta tehtiin laajennettu kaksoisolennaisuusarvio, jota täydennettiin vuonna 2024 päivitetyn sääntelyn mukaisesti.

Kaksoisolennaisuusarvioinnin aiheet valittiin kunkin arviointikierroksen toteuttamishetkellä saatavilla olleiden eurooppalaisten kestävyysraportointistandardien (ESRS), voimassa olevien luonnosten ja julkaistujen standardien perusteella.

Ensimmäisenä huomioitiin arvoketjunäkökulma. Tällöin määriteltiin aikahorisontit ja arvioitiin WithSecuren arvoketjun alku- ja loppupää. Tähän arvoketjuarviointiin osallistettiin myös sidosryhmät, mukaan lukien hiljaiset sidosryhmät. Määrittämällä arvoketjunsa WithSecure varmisti, että kestävyysaiheet otettiin kaksoisolennaisuusarvioinnissa laaja-alaisesti huomioon koko arvoketjun osalta. Arvoketjuarviointi kattoi myös WithSecuren omat toiminnot.

Arvoketjun tarkastelemisen jälkeen ESRS-aiheet arvioitiin kokonaisvaltaisesti arvoketjua ja omia toimintoja koskevien arviointien laaja-alaisuuden perusteella mahdollisten olennaisten teemojen tunnistamiseksi. Lisäksi huomioitiin asiaankuuluva laki- ja sääntely-ympäristö.

Arvioinnit, analyysit ja materiaalit käytiin läpi CSRD-vaatimusten ja ESRS-standardien mukaisesti sen varmistamiseksi, että kaikki asiaankuuluvat aiheet ja näkökulmat huomioitiin. Kaksoisolennaisuusarvioinnissa ESRS-aiheita käsiteltiin aihe-, osa-aihe- ja osaosa-aihetasoilla soveltuvin osin.

Käytetyt parametrit ja analyysin laaja-alaisuus

Samaa arviointimenetelmää ja oletuksia käytettiin kaikkien ESRS-aiheiden, mahdollisten vaikutusten, riskien ja mahdollisuuksien sekä niiden olennaisuuden arvioinnissa, kuten tässä osiossa on kuvattu. Osana kaksoisolennaisuusarviointiprosessia hallitus kokoontui keskustelemaan näistä aiheista ja niiden mahdollisista olennaisista vaikutuksista ja ominaisuuksista. Tämä takasi monipuoliset näkökulmat ja strategiset päätökset, jotka sisällyttävät kestävyyden yrityksen hallintoon ja vahvistavat WithSecuren sitoutumista kestäviin liiketoimintakäytäntöihin. Kuten osiossa “SBM-2 – Sidosryhmien edut ja näkemykset” on kuvattu, myös muut sidosryhmät otettiin mukaan arviointiprosessiin.

Riskien ja mahdollisuuksien olennaisuuden arviointia koskeva prosessi on monitahoinen. Ennalta määritelty aikahorisontti kuvaa ajanjaksoa, jolloin tunnistettu riski tai mahdollisuus realisoituu. Taloudellisten riskien tai mahdollisuuksien kohdalla arvioidaan niiden todennäköisyyttä. 25 prosentin todennäköisyys tarkoittaa, että tapahtuma ei todennäköisesti toteudu, kun taas 50 prosenttia osoittaa tapahtumalla olevan 50 prosentin todennäköisyys realisoitua. 75 prosentin todennäköisyys kertoo, että tapahtuman toteutumisen todennäköisyys on suurempi kuin sen toteutumatta jäämisen, ja 100 prosentin todennäköisyys viittaa toteutuneeseen riskiin tai mahdollisuuteen. Todennäköisyys määriteltiin vapaasti tällä vaihteluvälillä. Kolmas muuttuja on riskin tai mahdollisuuden suuruus. Tämä kuvaa, kuinka suuri potentiaalinen vaikutus riskillä tai mahdollisuudella on asiaankuuluvaan liikevaihtoon, kustannuksiin tai konsernin käyttökatteeseen.

Vaikutusten olennaisuutta koskeva prosessi on tätäkin syvällisempi. Vaikutusten olennaisuuden arvioinnissa on aikahorisontin ja todennäköisyyden lisäksi kolme muuta ulottuvuutta – mittakaava, laaja-alaisuus ja korjaamaton luonne. Näiden lisäksi määritellään se arvoketjun osa, jossa vaikutuksen odotetaan toteutuvan.

Mittakaava määrittää, miten merkittävä myönteinen tai kielteinen vaikutus WithSecurella on kyseiseen aiheeseen. Esimerkiksi työolosuhteiden kohdalla vaikutuksen suuruus on pieni, kun huomioidaan työn hetkittäinen stressaavuus ja lyhyet sairauslomat. Korkea suuruus voisi tarkoittaa esimerkiksi pitkiä sairauslomia ja vakavia terveyshaittoja tai työtapaturmia. 

Laaja-alaisuus kertoo, miten laajalle yhtiön vaikutus leviää. Kun vaikutukset eivät ole laaja-alaisia, ne ovat rajallisia ja koskevat vain muutamia arvoketjun osia tai vain joitakin yhtiön osastoja ja toimipisteitä tai vaikuttavat vain harvoihin sidosryhmiin. Hyvin laaja-alaiset vaikutukset puolestaan ilmenevät koko arvoketjussa, kaikissa osastoissa tai vaikuttavat kaikkiin sidosryhmiin. Esimerkiksi saasteet voivat koskea maantieteellisesti hyvin rajallista aluetta tai esiintyä usealla saastuneella alueella.

Korjaamaton luonne kuvaa, missä määrin negatiiviset vaikutukset voidaan korjata ja kohteeksi joutunut ympäristö ennallistaa alkuperäiseen tilaan suhteellisen vaivattomasti tai lyhyessä ajassa. Se voi myös havainnollistaa, ettei vaikutusta voi korjata, vaan se on aiheuttanut esimerkiksi kuolemaan johtaneen onnettomuuden tai luonnonkatastrofin.

WithSecuren ilmastoon liittyvien vaarojen tunnistamisprosessi käyttää yhtä yleistä korkean päästötason skenaariota. Tämä kattaa yhtiön omat toiminnot, sekä arvoketjun alku- ja loppupään. Erillisiä matalan, keskitason ja korkean päästötason skenaarioita ei käytetty. Arviointi kattaa lyhyen ja keskipitkän aikavälin, arvioiden näiden tapahtumien todennäköisyyttä ja muita edellä mainittuja ulottuvuuksia. WithSecure on myös arvioinut, missä määrin sen omaisuus ja liiketoiminta ovat alttiita ja herkkiä siirtymätapahtumille, varmistaen tietoisuuden mahdollisista riskeistä. Mitään merkittäviä ilmastoon liittyviä vaaroja tai riskejä ei tunnistettu.

Käytetty korkean päästön skenaario tarjoaa sopivan perustan mahdollisten vaikutusten arvioinnille. Tämä lähestymistapa varmistaa ilmastoriskien ja -mahdollisuuksien huomioimisen, mikä on linjassa WithSecuren riskienhallintastrategian kanssa. Kestävyysraportti on laadittu konsolidoidusti, noudattaen samoja periaatteita kuin tilinpäätös, kuten osiossa “BP-1 – Kestävyysraportin yleiset laatimisperusteet” on todettu.

WithSecuren ollessa kyberturvallisuusyhtiö, sen liiketoiminnan luonteen, toimialan ja toimistojen sijaintien vuoksi, yhtiön vaikutuksen pilaantumiseen, vesivaroihin ja merten luonnonvaroihin, biologiseen monimuotoisuuteen ja ekosysteemeihin, sekä kiertotalouteen on arvioitu olevan vähäinen. Tämän seurauksena WithSecure ei ole pitänyt konsultaatioita yhteisöjen kanssa mahdollisten merkittävien ympäristövaikutusten osalta, sillä niitä ei ole. WithSecure on myös seulonut toimipaikkojensa sijainnit, jotka kaikki ovat vuokrattuja toimistotiloja suurissa kaupungeissa, ja todennut, että ne eivät sijaitse lähellä biologisen monimuotoisuuden kannalta herkkiä alueita. Samoin, koska mitään merkittäviä negatiivisia vaikutuksia tai riskejä ei ole tunnistettu ympäristöaiheiden osalta, systeemiriskien vaikutuksista WithSecuren toimintaan tai arvoketjuun ei ole tehty lisäanalyysiä.

Tulos

WithSecuren kaksoisolennaisuusarviointi koostuu vaikutusten olennaisuudesta ja taloudellisesta olennaisuudesta. Arvioimalla vaikutusten olennaisuutta WithSecure on tunnistanut ympäristöön ja yhteiskuntaan kohdistuvat vaikutuksensa. Taloudellisen olennaisuuden arviointi kattaa kestävyyteen liittyvät riskit ja mahdollisuudet, joille WithSecure altistuu.

WithSecuren kannalta olennaiset vaikutukset, riskit ja mahdollisuudet kuuluvat seuraavien neljän ESRS-aiheen piiriin: E1 Ilmastonmuutos, S1 Oma työvoima, S4 Kuluttajat ja loppukäyttäjät sekä G1 Liiketoiminnan harjoittaminen. WithSecuren olennaisuuden arviointiprosessissa tunnistettiin seitsemän eri ESRS-osa-aihetta. Nämä osa-aiheet ovat Ilmastonmuutoksen hillintä (E1), Yhdenvertainen kohtelu ja yhtäläiset mahdollisuudet kaikille (S1), Tietoihin liittyvät kuluttajiin ja/tai loppukäyttäjiin kohdistuvat vaikutukset (S4), Yrityskulttuuri (G1), Väärinkäytösten paljastajien suojelu (G1) sekä Suhteet tavaran- ja palveluntoimittajiin, mukaan lukien maksukäytännöt (G1).

Ilmastonmuutoksen hillintä (E1) on WithSecurelle tärkeää. Yhtiö optimoi tuotteidensa energiankulutuksen, mikä hyödyttää yhtiön arvoketjua ja tukee digitaalisia ilmastoratkaisuja. WithSecuren vähäpäästöinen liiketoimintamalli rajoittaa sen ilmastovaikutuksia, ja suurin osa päästöistä on peräisin arvoketjun alkupään Scope 3 -päästöistä. WithSecuren toimintojen kielteiset vaikutukset ja taloudelliset riskit ovat rajallisia, joten niiden ei sellaisenaan ole tunnistettu olevan olennaisia. Tunnistettu olennainen mahdollisuus on jatkuva siirtyminen pilvipohjaisiin IT-ympäristöihin, mikä on linjassa WithSecuren kestävyystavoitteiden kanssa ja tukee digitaalisia ilmastoratkaisuja.

Myös liiketoiminnan harjoittamisen (G1) on arvioitu olevan WithSecuren kannalta olennaista. WithSecure edistää eettisiä liiketoiminnan harjoittamista koskevia toimintaperiaatteita, kuten yrityskulttuuria, väärinkäytösten paljastajien suojelua ja toimittajasuhteiden hallintaa. Tämä vaikuttaa myönteisesti yhtiön arvoketjuun, mukaan lukien toimittajiin ja kumppaneihin. Olennaisia taloudellisia mahdollisuuksia ei tunnistettu. Lyhyellä aikavälillä tunnistetut taloudelliset riskit liittyvät yrityskulttuuriin ja tietosuojaan, kun taas keskipitkällä aikavälillä tunnistetut riskit liittyvät eettisen toimittajanhallinnan kustannuksiin.

Näistä ja muista kuhunkin tunnistettuun kestävyysaiheeseen, -osa-aiheeseen ja -osaosa-aiheeseen liittyvistä olennaisista vaikutuksista, riskeistä ja mahdollisuuksista löytyy lisätietoa niitä koskevista osioista.

WithSecuren arvoketjun alkupään ja kiertotalouden muut ympäristövaikutukset

WithSecure on arvioinut useita eri ympäristövaikutuksia, jotka juontuvat yhtiön arvoketjun alkupäästä ja kiertotaloudesta. ESRS-aiheiden ”E2 Pilaantuminen”, ”E3 Vesivarat ja merten luonnonvarat”, ”E4 Biologinen monimuotoisuus ja ekosysteemit” ja ”E5 Kiertotalous” ei ole tunnistettu olevan yhtiön kannalta olennaisia. Arviointimenetelmä ja oletukset, joita on käytetty kaikkien ESRS-aiheiden, mahdollisten vaikutusten, riskien ja mahdollisuuksien sekä niiden olennaisuuden arvioinnissa, on kuvattu ennen tätä osaa kohdassa "Käytetyt parametrit ja analyysin laaja-alaisuus".

Yhtiö on arvioinut muita ympäristövaikutuksia, kuten pilaantuminen (E2), vesivarat ja merten luonnonvarat (E3) sekä biologinen monimuotoisuus ja ekosysteemit (E4). WithSecuren toimintojen osalta näiden vaikutusten on arvioitu olevan merkittävyyden, laaja-alaisuuden ja toteutumisen todennäköisyyden näkökulmasta pieniä. Vaikka nämä mahdolliset vaikutukset eivät ole helposti korjattavissa, WithSecure voi kuitenkin tuottaa epäsuoria myönteisiä ympäristövaikutuksia varmistamalla, että sen tuotteet valmistetaan tehokkaasti. Tämä puolestaan vähentää uusien laitteiden tarvetta. Nämä myönteiset vaikutukset ovat kuitenkin varsin pieniä ja rajallisia, minkä myötä muut ympäristövaikutuksia koskevat ESRS-aiheet ovat WithSecuren kannalta epäolennaisia.

Myöskään ESRS-aiheen ”E5 Kiertotalous”, joka kattaa WithSecuren kestävän arvoketjun, kierrätyksen ja jätehuollon, ei ole tunnistettu olevan olennainen aihe. Kiertotalouteen liittyvien ympäristövaikutusten on arvioitu olevan merkittävyyden, laaja-alaisuuden ja toteutumisen todennäköisyyden näkökulmasta pieniä. WithSecure voi vaikuttaa vähäisesti kiertotalouteen ja resurssitehokkuuteen varmistamalla, että sen tuotteet valmistetaan tehokkaasti, mikä pidentää käyttäjien laitteiden elinikää ja minimoi datakeskusten käyttöä. Yhtiön koon ja tuotetarjooman vuoksi tämä vaikutus on kuitenkin rajallinen. Resurssitehokkuuteen voi kohdistua kielteisiä vaikutuksia, jos WithSecuren tuotteet edellyttävät aiempaa enemmän resursseja ja energiaa, minkä lisäksi toiminnoista aiheutuva jäte voi vaikuttaa kiertotalouteen kielteisesti, ellei jätehuolto toimi hyvin. Näitä kielteisiä vaikutuksia voidaan lieventää asianmukaisilla tuotesuunnittelua ja kierrätystä koskevilla toimilla.

IRO-2 – Yrityksen kestävyysselvityksessä huomioon otetut ESRS-standardien tiedonantovaatimukset

Olennaisia tiedonantovaatimuksia kuvaava sisältöindeksi

Alla olevat taulukot sisältävät kaikki ESRS 2 -osiossa käsitellyt ESRS-tiedonantovaatimukset sekä ne tunnistetut olennaiset E1-, S1-, S4- ja G1-aiheet, jotka ovat toimineet tämän kestävyysraportin valmistelun pohjana.

Luettelo EU:n lainsäädännöstä johdetuista monialaisten ja aihekohtaisten standardien tietopisteistä

Alla oleva taulukko sisältää kaikki tietopisteet, jotka on johdettu muusta kuin ESRS 2:n liitteen B mukaisesta EU:n lainsäädännöstä. Taulukossa esitetään, mistä tietopiste löytyy tästä raportista ja mitä tietopisteitä ei ole sisällytetty, koska niitä ei ole määritelty olennaisiksi.

Ympäristötiedot

EU:n taksonomia

Yleiset tiedot

WithSecure on tehnyt analyysin Euroopan parlamentin ja neuvoston asetuksesta (EU) (2020/852), komission delegoidusta asetuksesta taksonomian arviointikriteereistä (2021/2139), komission delegoidusta asetuksesta taksonomiaan liittyvistä tiedonantovelvollisuuksista (2021/2178) sekä muusta aiheeseen liittyvästä Euroopan komission ohjeistuksesta, jotka koskevat ilmastonmuutoksen hillintää tai ilmastonmuutokseen sopeutumista merkittävästi edistävien toimintojen raportointia, eli taksonomian mukaisuutta. Tämä tarkastelu sisälsi myös EU:n komission delegoidun asetuksen (2022/1214) (täydentävä ilmastoa koskeva delegoitu asetus), EU:n komission delegoidun asetuksen (2023/2486) (ympäristöä koskeva delegoitu asetus) ja EU:n komission delegoidun asetuksen (2023/2485) (ilmastoa koskevan delegoidun asetuksen muutokset).

Vuonna 2023 EU julkaisi taloudellista toimintaa koskevan delegoidun asetuksen, joka sisälsi neljä uutta tavoitteita. Näitä tavoitteita ovat; ympäristön pilaantumisen ehkäiseminen ja vähentäminen, vesivarojen ja merten luonnonvarojen kestävä käyttö ja suojelu, biologisen monimuotoisuuden ja ekosysteemin suojelu ja ennallistaminen, sekä kiertotalouteen siirtyminen. Muokkaukset ilmastoa koskevaan delegoituun asetukseen hyväksyttiin, mikä johti ilmastonmuutoksen hillitsemisen ja -sopeutumisen ympäristötavoitteiden päivitykseen ja arviointikriteereiden muutoksiin. Vuodesta 2024 eteenpäin näiden toimintojen taksonomiakelpoisuuden lisäksi yhtiöiden tulee raportoida myös toimintojensa taksonomiamukaisuus.

Lyhyesti, EU:n taksonomia on luokittelujärjestelmä, joka määrittelee, mitkä taloudelliset toiminnot ovat ympäristön kannalta kestäviä. WithSecure on soveltanut delegoitujen asetusten osioita analyysissään varmistaakseen taksonomiakelpoisuuden, sekä taksonomiamukaisuuden. Tämä sisälsi WithSecuren toimintojen analysoinnin suhteessa erilaisten delegoitujen asetusten osiin, mukaan lukien esimerkiksi taloudelliset toiminnot, jotka edistävät muita kuin ilmastoon liittyviä kestävyystavoitteita, sekä ydin- ja kaasuenergiaan liittyvät toiminnot. WithSecure ei ole tunnistanut taksonomiakelpoisia taloudellisia toimintoja, joten yhtiö ei myöskään ole tunnistanut toimintoja, joiden taksonomiamukaisuus olisi voitu selvittää.

EU:n taksonomiaa kehitetään jatkuvasti, ja WithSecure seuraa tiiviisti taksonomiaa koskeviin raportointivaatimuksiin liittyviä uusia tietoja. WithSecure ei ole havainnut merkittäviä muutoksia, jotka vaikuttavat yhtiön EU:n taksonomiaa koskevaan analyysiin. Analyysi on tehty yhteistyönä, johon osallistuivat WithSecuren tuotetiimi, talousosasto ja kestävyystiimi.

Kyberturvallisuusohjelmisto edistää useiden toimintojen digitalisaatiota ja vähentää siten fyysisten materiaalien sekä tavaroiden ja ihmisten kuljetuksen tarvetta. Samalla se vähentää kyberrikollisuudesta yhteiskunnalle koituvia kustannuksia. Kyberturvallisuusohjelmiston ei ole kuitenkaan tulkittu olevan mukana taksonomian ilmastonmuutoksen hillintää ja siihen sopeutumista edistävien taloudellisten toimintojen luokittelussa, joten se ei ole taksonomiakelpoinen.

Euroopan komission mukaan nykyisen ilmastoluokitusjärjestelmää koskevan delegoidun asetuksen tarkoituksena on kattaa eniten päästöjä tuottavat sektorit. Koska WithSecure toimii vähäpäästöisellä toimialalla, yhtiön liiketoimintoja ei ole listattu EU:n nykyisessä luokitusjärjestelmässä, eivätkä ne siksi ole taksonomiakelpoisia.

WithSecure seuraa tarkasti taksonomian raportointivaatimuksissa tapahtuvaa kehitystä ja toteuttaa vaatimusten mukaiset arviot, kun uutta lainsäädäntöä julkaistaan tai uutta tietoa sen soveltamisesta tulee saataville. Taksonomian tulevien versioiden uusien ympäristötavoitteiden kriteerien mukaiset uudet toiminnot saattavat olla WithSecurelle olennaisempia ja luoda tarpeen taksonomiakelpoisuuden ja taksonomian mukaisuuden uudelleenarvioinnille.

Taksonomiakelpoinen liikevaihto

Taksonomiakelpoinen liikevaihto määritellään seuraavasti: ”taksonomiakelpoisiin taloudellisiin toimintoihin liittyvistä tuotteista tai palveluista, aineettomat hyödykkeet mukaan luettuina, saadun liikevaihdon osuus”. Liikevaihto on kuvattu tarkemmin tilinpäätöksen osiossa ”1 Segmentti-informaatio”.

Taksonomialuokitukseen tällä hetkellä kuuluvien taloudellisten toimintojen tarkastelun perusteella WithSecuren liiketoiminnot kuuluvat Euroopan komission delegoidun asetuksen (2021/2139) aktiviteettiin 8.2 Tietokoneiden ohjelmointi- ja konsultointipalvelut ja niihin liittyvät palvelut (NACE J 2021/2139). Aktiviteettia 8.2 ei ole määritelty taksonomiassa mahdollistavaksi toiminnaksi. Delegoidun asetuksen (2021/2178) liitteessä I esitetyn liikevaihtoa koskevan määritelmän mukaisesti aktiviteettia ei voi pitää taksonomiakelpoisena eikä taksonomian mukaisena.

Lisäksi aktiviteetti 8.2 on luokiteltu taksonomiassa sopeutetuksi toiminnaksi. Tämä tarkoittaa, että se voi olla taksonomiakelpoista vain, jos raportoiva taho voi osoittaa, että ilmastoriski- ja haavoittuvuusarviointi on tehty ja että on laadittu kustannussuunnitelma sellaisten sopeutumisratkaisujen toteuttamiseksi, jotka hillitsevät toiminnan merkittävimpiä fyysisiä ilmastoriskejä delegoidun asetuksen (2021/2139) liitteen II lisäyksen A mukaisesti.

WithSecuren ensisijainen toiminta ei suoraan edistä delegoidun asetuksen (2021/2178) liitteessä I määriteltyjä ympäristötavoitteita. WithSecuren palvelut keskittyvät digitaalisen infrastruktuurin ja datan suojaamiseen. Vaikka tämä toiminta on yritysten kannalta ratkaisevan tärkeää, se ei vastaa täsmälleen taksonomiassa asetettuja nimenomaisia ympäristökriteerejä. Tämän seurauksena 0 % WithSecuren raportoimasta liikevaihdosta on taksonomiakelpoista. Siten teknisiä arviointikriteerejä ei voida soveltaa eikä liikevaihtoa voida pitää taksonomian mukaisena.

Taksonomiakelpoiset toimintamenot

Taksonomia-arviointiin sisällytettävät toimintamenot (7,78milj. euroa) kattavat suorat pääomittamattomat kustannukset, jotka liittyvät tutkimukseen ja kehittämiseen, rakennusten perusparantamiseen, lyhytaikaisiin vuokrasopimuksiin, kunnossapitoon ja korjauksiin, sekä kaikki muut suorat menot, jotka liittyvät yrityksen suorittamaan tai kolmannelle osapuolelle ulkoistettuun aineellisten käyttöomaisuushyödykkeiden huoltoon ja jotka ovat tarpeen näiden omaisuushyödykkeiden jatkuvan ja tehokkaan toiminnan varmistamiseksi (2021/2178).

Delegoidun asetuksen (2021/2178) mukaan taksonomiakelpoisiksi laskettavien toimintamenojen on täytettävä mikä tahansa seuraavista ehdoista:

(a) se kytkeytyy taksonomian mukaisiin taloudellisiin toimintoihin liittyviin omaisuuseriin tai prosesseihin, mukaan lukien koulutustarpeet ja muut henkilöstöön liittyvät sopeutumistarpeet, ja tutkimuksesta ja kehittämisestä aiheutuviin suoriin pääomittamattomiin kustannuksiin;

(b) se on osa CapEx-suunnitelmaa, jolla on tarkoitus laajentaa taksonomian mukaisia taloudellisia toimintoja tai muuttaa taksonomiakelpoisia taloudellisia toimintoja taksonomian mukaisiksi ennalta määrätyssä määräajassa;

(c) se liittyy tuotosten ostamiseen taksonomian mukaisista taloudellisista toiminnoista sekä yksittäisiin toimenpiteisiin, joiden avulla kohteena olevista toiminnoista voidaan tehdä vähähiilisiä tai voidaan vähentää kasvihuonekaasupäästöjä, ja yksittäisiin rakennusten perusparannustoimiin, jotka yksilöidään asetuksen (EU) 2020/852 10. artiklan 3. kohdan, 11. artiklan 3. kohdan, 12. artiklan 2. kohdan, 13. artiklan 2. kohdan, 14. artiklan 2. kohdan tai 15. artiklan 2. kohdan nojalla annetuissa delegoiduissa asetuksissa, edellyttäen, että tällaiset toimenpiteet pannaan täytäntöön ja käynnistetään 18 kuukauden kuluessa.

WithSecuren toimintamenot on arvioitu näistä kolmesta näkökulmasta. WithSecure on huomioinut laskennassa toimitilojen vuokraamiseen (sisältäen IFRS 16 -standardin mukaiset arvonalentumiset vuokratuista tiloista), tilojen kunnossapitoon sekä muihin käyttöomaisuushyödykkeiden toimintaan liittyvät toimintakulut. Näiden ei katsottu olevan taksonomiakelpoisia. Lisäksi CapEx-suunnitelma ei tällä hetkellä sisällä taksonomian mukaiseen toimintaan liittyviä laajennuksia eikä sellaista taksonomiakelpoista toimintaa, jonka on määrä muuttua taksonomian mukaiseksi tietyllä aikavälillä. WithSecure käyttää Amazon Web Servicesin (AWS) ja Microsoft Azuren kolmannen osapuolen pilvialustoja valtaosassa toiminnoistaan. Pilvipalvelujen kustannuksia ei ole laskettu mukaan taksonomia-arvioinnissa huomioituihin toimintamenoihin. Täten 0 % WithSecuren toimintamenoista on taksonomiakelpoisia.

Taksonomiakelpoiset pääomamenot

Taksonomia-arvioinnissa huomioidut pääomamenot on määritelty seuraavasti: aineellisten ja aineettomien hyödykkeiden lisäykset tilikauden aikana ennen poistoja, kuoletuksia ja uudelleenarvostuksia, mukaan lukien arvostusmuutoksista ja arvonalentumisista johtuvat uudelleenarvostukset kyseisenä tilikautena ja lukuun ottamatta käyvän arvon muutoksia (2021/2178). Pääomamenot on kuvattu tarkemmin tilinpäätöksen osiossa ”Rahavirtalaskelma 1.1.–31.12.2024”.

WithSecuren pääomamenoihin (5,93 milj. euroa) lukeutuvat pitkäkestoisten IT-hankkeiden aktivoinnit sekä uusien tuotteiden tai merkittäviä uusia ominaisuuksia sisältävien tuoteversioiden kehityskulut IAS 38 -standardin mukaisesti.

Delegoidun asetuksen (2021/2178) mukaan taksonomiakelpoisiksi laskettavien pääomamenojen on täytettävä mikä tahansa seuraavista ehdoista:

(a) se kytkeytyy taksonomian mukaisiin taloudellisiin toimintoihin liittyviin omaisuuseriin tai prosesseihin, mukaan lukien koulutustarpeet ja muut henkilöstöön liittyvät sopeutumistarpeet, ja tutkimuksesta ja kehittämisestä aiheutuviin suoriin pääomittamattomiin kustannuksiin;

(b) se on osa CapEx-suunnitelmaa, jolla on tarkoitus laajentaa taksonomian mukaisia taloudellisia toimintoja tai muuttaa taksonomiakelpoisia taloudellisia toimintoja taksonomian mukaisiksi ennalta määrätyssä määräajassa;

(c) se liittyy tuotosten ostamiseen taksonomian mukaisista taloudellisista toiminnoista sekä yksittäisiin toimenpiteisiin, joiden avulla kohteena olevista toiminnoista voidaan tehdä vähähiilisiä tai voidaan vähentää kasvihuonekaasupäästöjä, ja yksittäisiin rakennusten perusparannustoimiin, jotka yksilöidään asetuksen (EU) 2020/852 10. artiklan 3. kohdan, 11. artiklan 3. kohdan, 12. artiklan 2. kohdan, 13. artiklan 2. kohdan, 14. artiklan 2. kohdan tai 15. artiklan 2. kohdan nojalla annetuissa delegoiduissa asetuksissa, edellyttäen, että tällaiset toimenpiteet pannaan täytäntöön ja käynnistetään 18 kuukauden kuluessa.

WithSecuren pääomamenot on arvioitu näistä kolmesta näkökulmasta. Niiden mukaisesti WithSecuren tutkimustyö liittyy taksonomiaraportoinnissa ei-kelpoisiksi katsottujen nykyisten toimintojen kehittämiseen (katso kappale taksonomiakelpoisesta liikevaihdosta yllä). WithSecuren CapEx-suunnitelma ei tällä hetkellä sisällä taksonomian mukaiseen toimintaan liittyviä laajennuksia eikä sellaista taksonomiakelpoista toimintaa, jonka on määrä muuttua taksonomian mukaiseksi tietyllä aikavälillä. Pieni osa pääomamenoista liittyy työntekijöiden käyttämien kannettavien tietokoneiden ja muun laitteiston pääomittamiseen sekä toimitilojen remontointikustannuksiin. Nämä kustannukset eivät kuitenkaan ole taksonomiakelpoisia, sillä ne eivät koske kasvihuonekaasupäästöjen vähentämiseen tähtääviä toimia. Täten 0 % WithSecuren pääomamenoista on taksonomiakelpoisia.

Luokitusjärjestelmän mukaisiin taloudellisiin toimintoihin liittyvistä tuotteista tai palveluista saatu osuus liikevaihdosta – vuotta 2024 koskevat tiedot

Luokitusjärjestelmän mukaisiin taloudellisiin toimintoihin liittyviin tuotteisiin ja palveluihin liittyvä osuus toimintamenoista – vuoden 2024 tiedot

Luokitusjärjestelmän mukaisiin taloudellisiin toimintoihin liittyvien tuotteiden ja palvelujen osuus pääomamenoista – vuoden 2024 tiedot

ESRS E1 – Ilmastonmuutos

SBM-3 – Olennaiset ilmastonmuutokseen liittyvät vaikutukset, riskit ja mahdollisuudet

WithSecure on tunnistanut ilmastonmuutokseen liittyvät olennaiset vaikutukset, riskit ja mahdollisuudet kaksoisolennaisuusarvioinnin perusteella, joka on kuvattu omassa osiossaan. Ilmastonmuutos ja etenkin ilmastonmuutoksen hillintä on tunnistettu yhtiön kannalta olennaiseksi aiheeksi.

WithSecuren liiketoiminnan luonteen ja päästörakenteen vuoksi yhtiön mahdollisuuksia vaikuttaa ilmastonmuutokseen pidetään laajuudeltaan rajallisina. WithSecuren liiketoimintamalli ei ole päästöintensiivinen, mikä on tyypillistä ohjelmistoalan yritykselle. Suurin osa WithSecuren toiminnoista aiheutuvista päästöistä on arvoketjun alkupäässä syntyviä Scope 3 -päästöjä. Suorat Scope 1- ja Scope 2 -päästöt ovat suhteellisen rajallisia.

Samalla WithSecureen kohdistuvat mahdolliset ilmastonmuutokseen liittyvät riskit ovat pieniä suuruudeltaan, todennäköisyydeltään tai molemmista näkökulmista. WithSecure ei ole tunnistanut olevansa altis olennaisille ilmastonmuutokseen liittyville fyysisille tai siirtymäriskeille, joten yhtiöllä ei ole tarvetta ilmastonmuutokseen sopeutumista koskeville toimille. Näin ollen yhtiöllä ei ole omaisuutta, jonka katsotaan altistuvan ilmastonmuutokseen liittyville riskeille.

WithSecure on tunnistanut, että yhtiön asiakkaiden meneillään oleva siirtyminen pilvipohjaisiin IT-ympäristöihin on yhtiölle merkittävä jatkuva mahdollisuus. Tämä taloudellinen mahdollisuus on yhdenmukainen WithSecuren laajemman kestävyysohjelman kanssa. Tarjoamalla kyberturvallisuusohjelmistoja ja -palveluja WithSecure voi epäsuorasti tukea ilmastonmuutoksen hillintää ja siihen sopeutumista edistäviä digitaalisia ratkaisuja ja siten tukea digitaalisen maailman turvallisuutta ja siihen kohdistuvaa luottamusta. Tämän mahdollisuuden arvioidaan realisoituvan keskipitkällä aikavälillä.

WithSecuren tavoitteena on kehittää ilmastonmuutokseen liittyvien vaikutusten, riskien ja mahdollisuuksien hallintaa tulevina vuosina. Yhtiö aikoo päivittää kaksoisolennaisuusarvionsa ja arvioida olennaisia vaikutuksia, riskejä ja mahdollisuuksia uudelleen. WithSecure selvittää mahdollisia seuraavia toimenpiteitä sekä niihin liittyviä mahdollisia tieteeseen perustuvia tavoitteita, jotka olisivat WithSecuren liiketoimintamallin ja vaikutusten kannalta sopivia ja kohtuullisia.

E1-1 – Ilmastonmuutoksen hillintää koskeva siirtymäsuunnitelma

WithSecuren rajallisen ilmastonmuutokseen liittyvän vaikutuksen vuoksi yhtiöllä ei tällä hetkellä ole ilmastonmuutoksen hillintää koskevaa siirtymäsuunnitelmaa. Samasta syystä WithSecure ei ole toteuttanut resilienssianalyysiä osana olennaisten vaikutusten, riskien ja mahdollisuuksien tunnistamisprosessia. Yhtiö on hyödyntänyt yhtä yleistä skenaariota. Alhaisiin, keskisuuriin tai suuriin päästöihin liittyviä erillisiä skenaarioita ei ole hyödynnetty. Ilmastonmuutokseen liittyviä tavoitteita ei ole analysoitu suhteessa Pariisin sopimuksen mukaiseen pyrkimykseen rajoittaa lämpeneminen 1,5°C:seen. WithSecure ei ole suljettu EU:n Pariisin sopimuksen mukaisten vertailuarvojen ulkopuolelle. WithSecure pyrkii edetessään kestävän kehityksen polullaan parantamaan toimintojensa seurantaa ja arviointia. Pyrkimyksenä on parantaa yrityksen noudattamista delegoidun asetuksen (EU 2021/2139 määräyksiin, tukien ilmastonmuutoksen hillitsemistä.

E1-2 – Ilmastonmuutoksen hillintään ja siihen sopeutumiseen liittyvät toimintaperiaatteet

WithSecurella on kestävyyspolitiikka, jossa on huomioitu ilmastonmuutoksen hillintä. Tämä toimintaperiaate on yleisesti saatavilla WithSecuren verkkosivustolla. Sidosryhmien näkemykset selvitettiin huolellisesti, kun olennaiset vaikutukset, riskit ja mahdollisuudet määriteltiin osana kaksoisolennaisuusarviota. Siten sidosryhmät ovat osallistuneet toimintaperiaatteen laatimiseen ja heidän näkemyksensä on sisällytetty toimintaperiaatteeseen. Tämän toimintaperiaatteen toteuttamisesta vastaava yhtiön ylin taso on johtoryhmään kuuluvat kunkin liiketoimintayksikön vetäjät, jotka työskentelevät läheisimmin kyseisen toimintaperiaatteen kanssa.

WithSecuren kestävyyspolitiikan tarkoituksena on määritellä WithSecuren kestävyysaiheisiin liittyvät tavoitteet, havainnollistaa yhtiön sitoutumista kestävään liiketoimintaan sekä määritellä tehokas kestävyyden johtaminen. Toimintaperiaate toimii viitekehyksenä, joka ohjaa WithSecuren suorituskyvyn jatkuvaa kehittämistä ja kestävien käytäntöjen integroimista yhtiön päivittäisiin toimintoihin.

Se myös määrittelee WithSecuren sitoutumista yhtiön planeettaan, ihmisiin ja yhteiskuntaan kohdistuvan nettovaikutuksen maksimoimiseen. WithSecuren tavoitteena on integroida kestävyys yhtiön kaikkiin päätöksentekoprosesseihin ja varmistaa, että sen toiminta on läpinäkyvää kaikkien yhtiön sidosryhmien näkökulmasta.

Kestävyyspolitiikka kattaa WithSecuren omat toiminnot ja kaikki WithSecurella työskentelevät ihmiset kaikissa yhtiön toimipisteissä ympäri maailman.

Toimintaperiaate on yleisesti saatavilla WithSecuren verkkosivustolla.

E1-3 – Ilmastonmuutosta koskeviin toimintaperiaatteisiin liittyvät toimet ja resurssit

WithSecure tekee osansa yhtiön toiminnoissa syntyvän jätteen ja päästöjen vähentämiseksi aina, kun se on kohtuullisesti mahdollista. Yhtiön tärkeimpänä ilmastonmuutokseen liittyvien kielteisten vaikutusten ja riskien hillitsemistoimena WithSecure on sitoutunut pienentämään hiilijalanjälkeään. Samalla yhtiö painottaa myönteisiä toimia koskevia mahdollisuuksia ja tukee myönteisiä vaikutuksia ja mahdollisuuksia.

WithSecuren hiilijalanjäljen analyysi kattaa yhtiön omat toiminnot ja arvoketjun alku- ja loppupään toiminnot. Hiilijalanjäljen pienentämistä koskevien toimien laajuus on yhtiön omat toiminnot ja alkupään toiminnot, sillä loppupään toiminnoissa ei havaittu olennaisia päästöjä. Yksityiskohtaisempi selonteko olennaisista kasvihuonekaasupäästöistä on esitelty osiossa "E1-6 – Kasvihuonekaasujen Scope 1-, Scope 2- ja Scope 3 -bruttopäästöt ja kokonaispäästöt". Hiilijalanjäljen pienentäminen on jatkuva prosessi. Tälle toimelle ei ole varattu merkittäviä menoeriä.

Kestävyyspolitiikka tarjoaa puitteet ja ohjeet toimille, joilla WithSecure vähentää hiilijalanjälkeään. Nämä toimet on suunniteltu kohdistumaan erityisesti niihin alueisiin, joilla yhtiö voi tehdä merkittävimmän vaikutuksen. Hiilijalanjäljen pienentämistä edistetään monien eri toimenpiteiden avulla. Nämä toimenpiteet koskevat muun muassa yhtiön toimistoja, työntekijöiden työmatkoja ja työhön liittyvää matkustamista. Nämä kuuluvat tärkeimpiin tapoihin, joilla WithSecure pienentää hiilijalanjälkeään.

• Toimistot

  WithSecurella on toimipisteitä 15 eri kaupungissa; merkittävimmät toimipisteet sijaitsevat Helsingissä, Lontoossa (Iso-Britannia), Kuala Lumpurissa (Malesia) ja Poznanissa (Puola). WithSecure toimii vuokratuissa toimitiloissa eikä siksi voi täysin hallita vuokranantajien päätöksiä, jotka liittyvät rakennusten energiatehokkuuteen. WithSecure kuitenkin kannustaa vahvasti vuokranantajia toteuttamaan kaikki mahdolliset toimet lämmityksen, viilennyksen, valaistuksen ja jätteiden käsittelyn optimoimiseksi yhtiön toimitiloissa. WithSecure pyrkii minimoimaan yhtiön ekologisen jalanjäljen tarjoamalla kestäviä toimistoja, jotka edistävät yhtiön työntekijöiden hyvinvointia. Tämän saavuttamiseksi WithSecure on laatinut kestävää työpaikkaa koskevan ohjeistuksen, joka on käytössä kaikissa 15 toimipisteessä ympäri maailman. WithSecure uskoo, että rakentamalla uutta tulevaisuutta silmällä pitäen ja ottamalla käyttöön tämän ohjeistuksen yhtiö voi vaikuttaa maapalloon ja henkilöstöönsä myönteisesti.

  Vuonna 2024 Helsingin-pääkonttori muutti uuteen Wood City -kortteliin, jossa toimistorakennuksella on platinatason LEED-sertifiointi ja A-luokan energialuokitus. Tämän muuton tarkkaa vaikutusta ei ole arvioitu lukuun ottamatta kaikkien toimistojen Scope 2 kokonaispäästöjen laskentaa.

• Työmatkaliikenne

  WithSecure tukee työntekijöiden ympäristöystävällisiä työmatkoja usein eri tavoin. WithSecure tarjoaa kolmessa toimipaikassa työntekijöille polkupyöräedun kannustaakseen työmatkapyöräilyyn. Lisäksi WithSecure tukee julkisen liikenteen käyttöä työmatkoihin tarjoamalla työmatkatukea kolmella paikkakunnalla.

• Liikematkat

  WithSecuren matkustamisohjeistuksessa on esitetty yhtenäinen ja yksinkertaistettu matkustusprosessi, joka takaa turvallisen, tehokkaan ja ympäristöystävällisen liikematkustamisen. Se pyrkii vähentämään matkustamisen ilmastovaikutuksia yhtiön kestävyystavoitteiden mukaisesti. Yhtiö kannustaa työntekijöitä käyttämään digitaalisia kokoustyökaluja tehtäessä yhteistyötä sisäisten ja ulkoisten sidosryhmien kanssa, matkustamaan vain tarvittaessa, käyttämään ympäristöystävällisiä matkustustapoja ja yhdistämään useamman liikematkan aina kun mahdollista. WithSecuren liiketoiminnan luonteen ja eri toimipisteissä toimivien tiimien takia yhtiön työ vaatii aina jonkin verran matkustamista.

E1-4 – Ilmastonmuutoksen hillintää ja siihen sopeutumista koskevat tavoitteet

WithSecuren ilmastonmuutoksen hillintään liittyviä toimia mitataan intensiteettimittarilla, joka kuvaa, kuinka monta tonnia kasvihuonekaasupäästöjä WithSecuren toiminnot ja arvoketju aiheuttavat miljoonan euron liikevaihtoa kohden. Kasvihuonekaasupäästöjen laskentamenetelmä on kuvattu osiossa "E1-6 – Kasvihuonekaasujen Scope 1-, Scope 2- ja Scope 3 -bruttopäästöt ja kokonaispäästöt". Liikematkalennoista aiheutuvia päästöjä seurataan kokonaiskasvihuonekaasupäästöistä erillisellä mittarilla. Niiden laskentamenetelmä on myös kuvattu yllä mainitussa osiossa.

Hiilijalanjäljen pienentämiseen liittyvä tavoite kuvaa kasvihuonekaasupäästöjen määrä tonneissa per miljoonan euron liikevaihto, eli tavoite on suhteutettu liikevaihtoon. Mitattu yksikkö on kasvihuonekaasupäästöjen määrä WithSecuren omissa toiminnoissa ja arvoketjussa. Nämä kokonaispäästöt sisältävät lentojen päästöt. Tämä intensiteettitavoite mahdollistaa yhtiön kasvun ilman vastaavan suuruista hiilijalanjäljen kasvua. Liikematkalentoja koskeva tavoite on suhteutettu perusvuoden tasoon. Liikematkalentoihin liittyvät päästöt kattavat WithSecurella työskentelevät henkilöt. Näiden epävirallisten tavoitteiden lisäksi WithSecure selvittää mahdollisuutta asettaa tieteeseen perustuvia tavoitteita, jotka sopivat WithSecuren liiketoimintamalliin ja vaikutuksiin.

Perusvuoden kokonaishiilijalanjälki on 75 tonnia kasvihuonekaasupäästöjä per miljoonan euron liikevaihto. Kasvihuonekaasupäästöjen perusvuosi, mukaan lukien liikematkalennot, on vuosi 2022. WithSecuren kasvihuonekaasupäästöjen vähentämistavoitteet vaikuttavat arvoketjun alkupäähän. Näitä tavoitteita mitataan jatkuvasti ja vähintään vuosittain. Tavoitteet eivät ole tieteeseen perustuvia.

Sidosryhmien näkemykset selvitettiin huolellisesti, kun olennaiset vaikutukset, riskit ja mahdollisuudet määriteltiin osana kaksoisolennaisuusarviota. Siten sidosryhmät ovat osallistuneet ja heidän näkemyksensä on sisällytetty tavoitteiden valitsemiseen ja asettamiseen.

Vuoden 2024 suorituskyky on linjassa tavoitteiden kanssa, sillä kokonaiskasvihuonekaasupäästöt ovat vähentyneet. Verrattuna lähtötason päästöihin, vuoden 2024 päästöt ovat vähentyneet -36% sijaintiperusteisissa päästöissä ja -38% markkinaperusteisissa päästöissä. Vuoteen 2023 verrattuna kokonaispäästöt ovat myös selvästi vähentyneet -14% sekä sijainti- että markkinaperusteisten päästöjen osalta.

WithSecure saavutti tavoitteensa vähentää yrityksen hiilijalanjälki alle 75 tonniin CO2-ekvivalenttia (CO2e) per miljoona euroa liikevaihtoa. Vuoden 2024 kasvihuonekaasujen intensiteetti on 69,2 tCO2eq / MEUR. Liikematkojen päästöt ovat myös vähentyneet lähtötason 1 084 tCO2eq tasosta 891 tCO2eq tasolle vuoden 2024 loppuun mennessä. Näin ollen molemmat tavoitteet on saavutettu.

Mainitut toimenpiteet ovat myötävaikuttaneet hiilijalanjäljen pienentämistä vuoden 2024 aikana. Liikematkojen (lennot) osalta WithSecure on kannustanut virtuaalikokouksiin ja rajoittanut ei-välttämättömiä matkoja, mikä on vähentänyt matkustamiseen liittyviä päästöjä -33%. Työntekijöiden työmatkaliikennettä on kehitetty edistämällä etätyömahdollisuuksia, tukemalla joukkoliikenteen käyttöä ja kannustamalla työntekijöitä pyöräilemään töihin, mikä on johtanut -10% pienempään hiilijalanjälkeen. Nämä toimenpiteet yhdessä ovat myötävaikuttaneet kokonaispäästöjen vähentämiseen, vaikka erityisiä hiilestä irtautumisen keinoja ei ole hyödynnetty.

Kasvihuonekaasupäästöt ja liikelentomatkojen päästöt on kuvattu tarkemmin osiossa "E1-6 – Kasvihuonekaasujen Scope 1-, Scope 2- ja Scope 3 -bruttopäästöt ja kokonaispäästöt".

E1-6 – Kasvihuonekaasujen Scope 1-, Scope 2- ja Scope 3 -bruttopäästöt ja kokonaispäästöt

Perusarvo

WithSecuren hiilijalanjälki muodostuu pääasiassa epäsuorista päästöistä. Valtaosa WithSecuren päästöistä tunnistettiin Scope 3 -ulottuvuuden epäsuoriksi päästöiksi. WithSecuren arvoketjun alkupään vuokrahyödykkeet tunnistettiin vuonna 2024 Scope 2 -päästöiksi (ostoenergian epäsuorat päästöt: sähkö, höyry, lämmitys ja jäähdytys). Yhtiö ei tunnistanut lainkaan Scope 1 -päästöjä (omistetuista toimistoista, ajoneuvoista ja hajapäästöistä).

WithSecuren kasvihuonekaasupäästöjen perusvuosi on 2022, johon tehtiin vuonna 2023 muutoksia sisällyttämällä lämmitysarviot Scope 2 -päästöihin, sekä lisäkulupohjaiset päästöt – erityisesti luokassa 1 Ostetut tavarat ja palvelut – Scope 3:een. Perusvuoden päästöt olivat yhteensä 15 935 tonnia CO2e sijaintiperusteisissa päästöissä ja 15 883 tonnia CO2e markkinaperusteisissa päästöissä.

Scope 2 -päästöjä sopeutettiin hieman vuodelle 2023, kun Helsingin, Poznanin ja Tukholman toimistojen neliömäärät määriteltiin aiempaa tarkemmin. Helsingin muiden vuokralaisten kanssa jaettavan vanhan toimistorakennuksessa päästöjen allokointia tarkennettiin, vastaamaan WithSecuren käytössä olevan alueen päästöjen. Lisäksi Oulun toimistoja koskeva kaukolämpö lisättiin laskelmiin erikseen. Tämä nosti Scope 2-päästöt 564 tonnista CO2e 850 tonniin CO2e. Vuonna 2023 tehtiin myös pieni korjaus Scope 3 -päästöihin, mikä vähensi kokonaispäästöjä Scope 3:ssa 11 080 tonnista CO2e 11 068tonniin CO2e, sillä pilvipalvelut oli alun perin otettu huomioon kahdesti.

Laskentamenetelmät

Laskelmat on toteutettu GHG-protokollan mukaisesti. Kasvihuonekaasujen laskentamenetelmä noudattaa taloudellisen kontrollin konsolidointimenetelmää. GHG-protokollan yhdistelymenetelmässä ei ole tapahtunut muutoksia, eikä organisaatiorakenteeseen ole tehty merkittäviä muutoksia, jotka vaikuttaisivat kasvihuonekaasupäästöjen laskemiseen.

WithSecuren kasvihuonekaasupäästöt lasketaan seuraavasti: vuotuisten kasvihuonekaasupäästöjen kokonaismäärä määritellään laskemalla tammi-marraskuun toteutuneet päästöt ja lisäämällä niihin joulukuun ennustetut päästöt. Pääasiallisesti vuoden lopun kuukausien Scope 2 -päästöt on arvioitu ennusteiden ja aikaisempien päästöjen perusteella, paikallisilta palvelukumppaneilta saatavien tietojen rajallisen luotettavuuden vuoksi. Vertailukelpoisten lukujen laskentaperiaatteet ovat samat. Biomassa tai biogeenisiä kasvihuonekaasupäästöjä ei ole eritelty tai otettu huomioon päästölaskennassa. WithSecuren kasvihuonekaasupäästöjä ei ole varmennettu ulkoisesti lukuun ottamatta tämän raportin varmennusta. Vertailuluvut eivät kuulu tämän varmennuksen piiriin.

Scope 2 – Ostettu sähkö, lämpö ja jäähdytys

Laskentaan sisältyivät sekä sijaintiperusteiset että markkinaperusteiset päästöt GHG-protokollan mukaisesti. Laskentamenetelmänä käytettiin toimipistekohtaista energiankulutusta ja siihen soveltuvaa päästökerrointa.

Päästökerroin kuvaa energiankulutuksen kasvihuonekaasu-intensiteettiä kyseisessä toimipisteessä. Sijaintiperusteisen päästökertoimen osalta sähkön tuotannon kasvihuonekaasupäästöt laskettiin käyttämällä eri toimipisteille soveltuvia kasvihuonekaasupäästökertoimia. Nämä on noudettu Euroopan sijainneille AIB:lta ja Euroopan ulkopuolisille sijainneille paikallisviranomaisten verkkosivuilta, mukaan DEFRA, SEDA, EMA, Climate Transparency, jaEPA.

Markkinaperusteiset päästöt on arvioitu hyödyntämällä niiden yhtiöiden nettisivuillaan julkaisemia päästökertoimia, jotka toimittavat WithSecuren toimipisteissä käytetyn sähkön. Tämä sisältää Helsingin toimistojen sähkönkulutuksen päästöt perusvuodesta 2022 alkaen ja Lontoon toimiston osalta vuodesta 2024 alkaen. Muiden sijaintien kohdalla käytetään samaa jäännösjakauman mukaista kerrointa kuin sijaintipohjaisessa päästölaskennassa, sillä niiden paikalliset sähköntuottajat eivät tarjoa yksilöityä päästökerrointa. WithSecuren Scope 2 -päästöihin ei liity sopimusvelvoitteita tai muita järjestelyitä.

Kohteissa, joissa sähkön kulutuksesta ei ollut saatavilla olevaa tietoa, WithSecure käytti kulutuksen arvioinnin perustana toimistojen keskimääräistä kulutusta per neliömetri. Tilanteissa, joissa WithSecure jakaa toimistotilan ulkoisten toimijoiden kanssa, toimitilan sähkönkulutus vastaa WithSecuren osuutta kyseisestä toimitilasta. Lämmönkulutus sisällytettiin energiankulutukseen sellaisissa maissa sijaitsevissa toimitiloissa, joissa kaukolämmön käyttö on yleistä. Nämä maat ovat Suomi, Ruotsi, Tanska ja Puola. Lämmönkulutuksen arvioinnissa käytettiin tilastollista dataa, ja kulutus laskettiin kuutiometreissä. Toimitilojen jäähdytys sisältyy energiankulutukseen.

Scope 3

Kategoria 1 – Tavarat ja palvelut

Kategoria 1 mukaiset päästötiedot perustuvat toteutuneeseen käyttöön liittyvään jalanjälkeen, ja ne saatiin suoraan palveluntarjoajilta, kuten pilvipalvelujen tuottajilta. Mikäli vastaavaa käyttöön perustuvaa dataa ei ole ollut saatavilla muiden ostojen osalta, WithSecure on käyttänyt GHG-protokollan kulutusperusteista metodia tavaroiden ja palveluiden päästöjen laskemiseen. Ostettujen tavaroiden ja palvelujen taloudellisen arvon laskemisessa hyödynnettiin päästökerrointa (lähteenä Exiobase3). Kulutusperusteinen metodi pohjautuu arvioituihin keskiarvoihin, ja siten siihen liittyy datan tarkkuuden osalta merkittävää epävarmuutta. WithSecuren tarkoituksena on kuitenkin sisällyttää kaikki päästöt hiilijalanjälkilaskelmaan.

Kategoria 5 – Jätteestä aiheutuvat päästöt

WithSecure käytti laskennassa GHG-protokollan keskiarvodatametodia. Ensin yhtiö määritti vuosittain tuotetun jätteen keskimääräisen määrän työntekijää kohden, minkä jälkeen se laski jätteen määrän arvioidun jätteenkäsittelytavan mukaan. Laskennassa käytetyt jätteen käsittelytavat olivat kaatopaikalle toimitus ja jätteenpoltto. Jokaiseen käsittelytavan perusteella määritettyyn jätemäärään käytettiin soveltuvaa maakohtaista päästökerrointa (lähteenä DEFRA). 

Kategoria 6 – Liikematkat (lennot)

Laskennassa käytettiin lennon tyyppiin, pituuteen ja matkustusluokkaan perustuvia soveltuvia päästökertoimia (lähteenä DEFRA). Tiedot kerättiin sisäisistä matkustustiedoista sekä matkatoimistojen toimittamasta kolmannen osapuolen datasta. Kategoria kattaa ainoastaan vuodelle 2024 varatut lennot. Samaa rajanvetoa käytettiin johdonmukaisesti edellisenä vuonna. Muut liikematkakulut, kuten junaliput ja hotellikulut, on sisällytetty kategoriaan 1.   Vuonna 2022 WithSecure käytti laskennassa soveltuvia DEFRA- ja EPA-päästökertoimia. Vuosina 2023 ja 2024 kaikkien lentojen laskennassa käytettiin DEFRA-päästökertoimia.

Kategoria 7 – Työntekijöiden työmatkaliikenne

Työntekijäkohtaisessa laskennassa käytettiin GHG-protokollan etäisyysperusteista laskutapaa. WithSecure määritti matkustustavat (auto, juna, linja-auto, pyöräily ja kävely) ja käytti laskelmissa näihin soveltuvaa päästökerrointa (lähteenä DEFRA). Laskenta kattoi keskimääräisen matkan töihin, lähitöissä vietettyjen päivien arvioidun lukumäärän viikossa ja arvioidun matkustustapajakauman maittain. Polkupyöräetu, autoetu ja julkisen liikenteen edut sekä maakohtaisiin matkustustapoihin liittyvät arviot huomioitiin laskelmissa.

Vuosi 2024

Vuonna 2024 sijaintiperusteiset kokonaispäästöt olivat yhteensä 10 205 tonnia CO2e, mikä vastaa 2 219 tavallisen bensiinikäyttöisen henkilöauton vuotuisia päästöjä. Markkinaperusteiset kokonaispäästöt olivat yhteensä 9 908 tonnia CO2e, mikä vastaa 2 154 tavallisen bensiinikäyttöisen henkilöauton vuotuisia päästöjä. Vuoden 2024 liikevaihdon perusteella kasvihuonekaasujen intensiteetti oli 69,2.

Vuoden 2024 sijaintiperusteiset Scope 2 -päästöt olivat yhteensä 928 tonnia CO2e (9% kaikista sijaintiperusteisista kasvihuonekaasupäästöistä), kun taas markkinaperusteiset päästöt olivat yhteensä 630 tonnia CO2e (6% kaikista markkinaperusteisista kasvihuonekaasupäästöistä). Scope 2 -päästöt sisältävät WithSecuren toimitilojen energiankulutuksen. Lämmityksen päästöt on arvioitu Suomen, Ruotsin, Tanskan ja Puolan toimitilojen osalta. Näissä maissa kaukolämpö kattaa merkittävän osan lämmityksen kokonaismarkkinasta. Toimitilojen jäähdytys sisältyy energiankulutukseen.

Scope 3 -päästöt olivat 9 278 tonnia CO2e (91% kaikista kasvihuonekaasupäästöistä sijaintiperusteisista ja 94% kaikista markkinaperusteisista kasvihuonekaasupäästöistä). Scope 3 alaisia epäsuoria päästöjä tunnistettiin neljässä kategoriassa: Kategoria 1 – Tavarat ja palvelut, Kategoria 5 – Jätteestä aiheutuvat päästöt, Kategoria 6 – Liikematkat (lennot) ja Kategoria 7 – Työntekijöiden työmatkaliikenne. Kuhunkin kategoriaan liittyvä sisältö, laskentatavat ja raportointirajat on kerrottu lyhyesti kunkin kategorian osalta.

WithSecuren hiilijalanjälki ei sisällä arviota asiakkaiden laitteiden energiankäytöstä (Kategoria 11 – Myytyjen tuotteiden käyttö) laskentaoletuksiin liittyvän merkittävän epävarmuuden vuoksi. Arviota asiakkaiden laitteiden energiankäytöstä ei ole sisällytetty laskelmien oletuksiin liittyvien merkittävien vaihteluiden vuoksi. Esimerkiksi laitteiden tyyppien, käyttötapojen ja energiatehokkuuden vaihtelut tekevät tarkan arvion antamisen haastavaksi. Nykyisen analyysin ja oletusten perusteella tämän kategorian päästöjä ei pidetä merkittävinä laitteiden energiankulutus vaihtelee ja niiden osuus kokonaispäästöistä on suhteellisen pieni. Osana WithSecuren kestävyyshankkeita yhtiö pyrkii kuitenkin tuottamaan tarkkaa tietoa päätelaitteiden energiankulutuksesta WithSecuren ohjelmistojen osalta. WithSecure harkitsee Kategorian 11 lisäämistä yhtiön hiilijalanjälkeen, kun luotettavaa mittaustietoa on saatavilla.

Lisäksi WithSecure on jättänyt seuraavat kategoriat kasvihuonekaasupäästölaskelmien ulkopuolelle, koska nämä kategoriat eivät ole sovellettavissa WithSecuren liiketoimintamalliin ja toimintoihin tai koska WithSecurella ei ole näihin kategorioihin luokiteltavia merkittäviä päästöjä:

• Kategoria 2 – Tuotantohyödykkeet

• Kategoria 3 – Polttoaineeseen ja energiaan liittyvät toiminnat

• Kategoria 4 – Tuotantoketjun alkupään kuljetukset ja jakelu

• Kategoria 8 – Tuotantoketjun alkupään vuokratut omaisuuserät

• Kategoria 9 – Tuotantoketjun loppupään kuljetukset ja jakelu

• Kategoria 10 – Myytyjen tuotteiden jalostus

• Kategoria 12 – Myytyjen tuotteiden käsittely käyttöiän lopussa

• Kategoria 13 – Tuotantoketjun loppupään vuokratut omaisuuserät

• Kategoria 14 – Franchising

• Kategoria 15 – Investoinnit

Mittarit, jotka sisältävät arvoketjuun liittyvää dataa ja muuta epäsuorien lähteiden perusteella arvioitua dataa, rajoittuvat kasvihuonekaasupäästöjen laskelmiin. Näihin epäsuoriin lähteisiin sisältyy toimialan keskiarvoja kuvaavaa dataa ja muita lukuja tunnetuista ja luotettavista tietokannoista.

WithSecure on tunnistanut, että kasvihuonekaasujen Scope 3 -päästöjen laskelmia koskeviin määrällisiin mittareihin liittyy mittausepävarmuutta, joka johtuu yhtiön arvoketjun alku- ja loppupäästä sekä yleisesti saatavilla olevista tietokannoista saatavan datan laadusta ja saatavuudesta. WithSecure on riippuvainen siitä, että pyydettyjä tietoja tarjoavat arvoketjun alku- ja loppupään toimijat varmistavat, että arvoketjua koskeva data vastaa yhtiön niille osoittamia tietotarpeita. Mahdollisten dataa koskevien ristiriitojen havaitsemiseksi ja lieventämiseksi WithSecure vertailee ja analysoi arvoketjusta saatavaa dataa sisäisesti sekä päivittää käytettyjä tietokantalähteitä säännöllisesti.

Scope 2 – Ostettu sähkö, lämpö ja jäähdytys

WithSecuren toimipisteiden energiankulutuksen päästöt laskettiin yhtiön kaikkien toimipisteiden osalta. Energiankulutus kattaa 6% - 9% WithSecuren hiilijalanjäljestä, riippuen onko laskennassa käytetty sijainti- vai markkinaperusteisia kasvihuonekaasupäästöjä.

Scope 3

Kategoria 1 – Tavarat ja palvelut

WithSecuren suurin päästökategoria on tavaroiden ja palvelujen hankinta, sillä 78% - 80% yhtiön kokonaispäästöistä muodostui Tavaroista ja palveluista, riippuen onko laskennassa käytetty sijainti- vai markkinaperusteisia kasvihuonekaasupäästöjä. Pilvipohjaisen tietojenkäsittelyn päästöt ovat 0,27% - 0,28% WithSecuren kokonaispäästöistä.

Kategoria 5 – Jätteestä aiheutuvat päästöt

Jätteestä aiheutuvat päästöt muodostavat 0,16% WithSecuren kokonaispäästöistä.

Kategoria 6 – Liikematkat (lennot)

Liikematkat (lennot) kattoivat 9% WithSecuren kokonaispäästöistä. WithSecure käytti GHG-protokollan etäisyyteen perustuvaa menetelmää lentojen päästöjen laskemiseen.

Kategoria 7 – Työntekijöiden työmatkaliikenne

4% - 5% WithSecuren hiilijalanjäljestä syntyy työntekijöiden työmatkaliikenteestä.

Yhteiskunnalliset tiedot

ESRS S1 – Oma työvoima

SBM-3 – Olennaiset omaan työvoimaan liittyvät vaikutukset, riskit ja mahdollisuudet

WithSecure on tunnistanut omaan työvoimaan liittyvät olennaiset vaikutukset, riskit ja mahdollisuudet kaksoisolennaisuusarvioinnin perusteella, joka on kuvattu omassa osiossaan ”SBM-3 – Olennaiset kestävyyteen liittyvät vaikutukset, riskit ja mahdollisuudet”. ESRS-osa-aiheiden ”Työolot” ja ”Yhdenvertainen kohtelu ja yhtäläiset mahdollisuudet kaikille” on tunnistettu olevan WithSecuren kannalta olennaisia aiheita. Näihin aiheisiin liittyen ei tunnistettu olennaisia vaikutuksia, mutta yhtiö tunnisti niihin liittyviä merkittäviä taloudellisia riskejä ja mahdollisuuksia.

* Tämä luku sisältää palkkaeroja, jotka ovat selitettävissä työtehtävän sijainnin tai tason eroilla.

S1-1 – Omaan työvoimaan liittyvät toimintaperiaatteet

WithSecure on ottanut käyttöön alla kuvatut toimintaperiaatteet hallitakseen yhtiön olennaisia omaan työvoimaan kohdistuvia vaikutuksia sekä niihin liittyviä olennaisia riskejä ja mahdollisuuksia tehokkaasti. Nämä toimintaperiaatteet on suunniteltu puuttumaan kriittisen tärkeisiin osa-alueisiin, kuten työntekijöiden hyvinvointiin, ammatilliseen kehitykseen, monimuotoisuuteen, oikeudenmukaisuuteen ja osallisuuteen sekä työturvallisuuteen, jotta yhtiö voi varmistaa kannustavan ja kukoistavan ympäristön kaikille. WithSecure vähentää osaamisvajeen, motivaation puutteen ja työpaikan epäoikeudenmukaisuuden kaltaisia riskejä ennakoivasti sekä hyödyntää mahdollisuuksia parantaa työntekijöiden sitouttamista ja johtamiskyvykkyyksiä. Näin yhtiö varmistaa paitsi työvoiman resilienssin myös sen, että työvoimalla on olennainen rooli yhtiön pitkän aikavälin menestyksen edistämisessä. Näiden toimintaperiaatteiden toteuttamisesta vastaava yhtiön ylin taso on johtoryhmään kuuluvat kunkin liiketoimintayksikön vetäjät, jotka työskentelevät läheisimmin kyseisten toimintaperiaatteiden kanssa.

Lisätietoa on osiossa “G1-1 – Liiketoiminnan harjoittamista koskevat toimintaperiaatteet ja yrityskulttuuri”.

Lisätietoa on osiossa “G1-1 – Liiketoiminnan harjoittamista koskevat toimintaperiaatteet ja yrityskulttuuri”.

Hyvinvointia, osallistamista, monimuotoisuutta ja oikeudenmukaisuutta (WIDE: Wellbeing, Inclusion, Diversity and Equity) koskevan strategian tavoitteena on luoda kannustava, osallistava ja oikeudenmukainen työpaikka. Strategia asettaa etusijalle työntekijöiden hyvinvoinnin, edistää yhteenkuuluvuutta, vaalii monimuotoisuutta sekä varmistaa kaikille yhtäläiset mahdollisuudet. Strategian edistymistä seurataan säännöllisten henkilöstöpalautekyselyjen avulla.

Strategiaa toteutetaan koko organisaation laajuisesti, ja se on yhtiön henkilöstö- ja kehitysjohtajan vastuulla. Tietoisuutta strategiasta lisätään sisäisen viestinnän ja sisäisten koulutusten avulla.

Häirinnän ehkäisemistä koskeva ohjeistus alleviivaa WithSecuren sitoutumista häirinnän ja syrjinnän vastaiseen työympäristöön. Se pyrkii edistämään työympäristöä, joka on kaikkien työntekijöiden näkökulmasta muita kunnioittava, turvallinen ja osallistava toimenkuvasta tai toimipisteestä riippumatta. Ohjeistuksessa on määritelty yhtiön nollatoleranssi häirinnän suhteen, ja se on siten tietoisuuden lisäämisen ja häirinnän ehkäisemisen kannalta keskeinen resurssi.

Tätä ohjeistusta sovelletaan poikkeuksetta kaikkiin WithSecuren työntekijöihin ympäri maailman, mikä takaa yhdenmukaiset standardit kaikissa toimipisteissä. Ohjeistuksen toimeenpanosta vastaa yhtiön henkilöstö- ja kehitysjohtaja.

Epäkohtia koskevat toimintaperiaatteet varmistavat, että työntekijöiden saatavilla on selkeä ja oikeudenmukainen prosessi, joka takaa työtä koskevien huolenaiheiden käsittelyn viipymättä ja oikeudenmukaisesti. Ne edistävät yhdenmukaista ja läpinäkyvää epäkohtien käsittelyä, luottamusta sekä työympäristön oikeudenmukaisuutta.

Toimintaperiaatteita sovelletaan kaikkiin työntekijöihin, mikä varmistaa laajan saavutettavuuden ja oikeudenmukaisuuden. Myös paikalliset lait ja vaatimukset otetaan huomioon, ja toimintaperiaatteet räätälöidään paikallisten tarpeiden mukaan ja kuvataan paikallisissa HR-ohjeissa. Toimintaperiaatteista viestitään sisäisissä kanavissa, jotta työntekijät ymmärtävät prosessin ja omat oikeutensa.

Palkitsemisen periaatteissa on kuvattu WithSecuren sitoutuminen oikeudenmukaisiin, läpinäkyviin ja kilpailukykyisiin palkitsemiskäytäntöihin. Niiden tavoitteena on palkita hyvästä suorituksesta, edistää yhdenvertaisuutta, parantaa työntekijöiden sitoutumista ja varmistaa, että palkitseminen on markkinatason mukaista. Nämä periaatteet vähentävät muun muassa henkilöstön vaihtuvuuteen ja motivaation puutteeseen liittyviä riskejä ja edistävät samalla huippuosaajien houkuttelemiseen ja sitouttamiseen liittyviä mahdollisuuksia. Palkitsemisen monitoroinnissa käytetään jäsenneltyjä prosesseja, kuten yhtiön laajuista palkkojen tarkistusta ja suoritusperusteisten kannustimien arviointia.

Näitä periaatteita sovelletaan maailmanlaajuisesti kaikkiin työntekijöihin, mikä takaa yhdenmukaisuuden eri maissa, liiketoiminnoissa ja yksiköissä. Periaatteiden soveltamiseen ei liity merkittäviä poikkeuksia, sillä ne on räätälöity vastaamaan paikallisia markkinaolosuhteita ja -käytäntöjä. Periaatteiden toimeenpanosta vastaa yhtiön henkilöstö- ja kehitysjohtaja, mikä takaa yhdenmukaisuuden organisaatiotason tavoitteiden kanssa.

Kilpailukyvyn ja oikeudenmukaisuuden varmistamiseksi periaatteet ovat asiaankuuluvien ulkoisten markkinavertailuarvojen ja -standardien mukaisia. Tärkeimpien sidosryhmien edut – kuten työntekijöiden palaute ja markkinadata – ovat keskeisessä asemassa periaatteiden suunnittelussa. Periaatteet ovat kaikkien työntekijöiden saatavilla yhtiön intranetissä, mikä takaa läpinäkyvyyden ja yhteisymmärryksen koko organisaatiossa.

Oppimista koskevat periaatteet painottavat WithSecuren sitoutumista henkilökohtaisen ja ammatillisen kasvun edistämiseen, jonka yhtiö mahdollistaa tarjoamalla monipuolisia ja yhtäläisiä oppimismahdollisuuksia. 70-20-10-mallia noudattavat periaatteet korostavat tosielämän tilanteiden kautta oppimista, yhteistyötä ja strukturoituja ohjelmia. Ne auttavat työntekijöitä kehittämään taitojaan, ylläpitämään kilpailukykyä ja asettamaan organisaation prioriteettien mukaisia henkilökohtaisia tavoitteita. Yhtiö lieventää osaamisvajeen ja motivaation puutteen kaltaisia riskejä sekä parantaa samalla innovointiin ja osaajien sitouttamiseen liittyviä mahdollisuuksia. Edistymistä tukevat suorituskykyä ja kehitystä koskeva suunnittelu, säännölliset tilannekatsaukset ja kattavien oppimisresurssien saatavuus. Periaatteita sovelletaan maailmanlaajuisesti kaikkiin työntekijöihin, mikä takaa osallisuuden maantieteellisestä sijainnista ja roolista riippumatta. Periaatteiden toimeenpanosta vastaa yhtiön henkilöstö- ja kehitysjohtaja, mikä takaa yhdenmukaisuuden organisaation arvojen kanssa. Periaatteet ovat saatavilla yhtiön intranetissä, ja ne tarjoavat selkeää opastusta henkilökohtaiseen kehitykseen liittyviä prosesseja ja saatavilla olevia oppimisresursseja koskien.

WithSecure ei ole tunnistanut työvoimansa keskuudesta yhtäkään tiettyä ryhmää, joka olisi erityisen altis haavoittumiselle. Yhtiön toimintaperiaatteiden ja sitoumusten tarkoituksena on varmistaa oikeudenmukaisuus, inkluusio ja hyvinvointi koko henkilöstön osalta. Tämä edistää ympäristöä, jossa jokaista yksilöä tuetaan ja kohdellaan tasapuolisesti heidän roolistaan, taustastaan ja muista olosuhteista riippumatta. Nämä periaatteet alleviivaavat WithSecuren sitoutumista turvallisen, osallistavan ja kannustavan työpaikan luomiseen.

WithSecuren eettisissä toimintaohjeissa määritellään eettiset periaatteet, jotka ohjaavat yhtiön liiketoimintaa rehellisyyttä, läpinäkyvyyttä ja vastuuta korostaen. Ne asettavat selkeät odotukset työntekijöiden käyttäytymiselle sekä edistävät työpaikkakulttuuria, jossa korostuvat keskinäinen kunnioitus, oikeudenmukaisuus sekä soveltuvien lakien ja säännösten noudattaminen. Nämä periaatteet varmistavat, että yhtiössä vallitsevat työolosuhteet ovat työntekijöiden sitouttamisen, hyvinvoinnin vaalimisen sekä yhdenvertaisen kohtelun ja yhtäläisten mahdollisuuksien edistämisen kannalta edulliset. Eettiset toimintaohjeet on kuvattu yksityiskohtaisesti osiossa “G1-1 – Liiketoiminnan harjoittamista koskevat toimintaperiaatteet ja yrityskulttuuri”.

Ihmisoikeuksien kunnioittaminen on olennaisen tärkeä osa WithSecuren liiketoimintamallia. Eettiset toimintaohjeet sisältävät YK:n yrityksiä ja ihmisoikeuksia koskevat periaatteet (UNGPs), jotka toimivat perustana kaikille yhtiön toimintaperiaatteille. Vaikka niitä ei ole erikseen mainittu eettisissä toimintaohjeissa, WithSecure noudattaa kansainvälisesti hyväksyttyjä ihmisoikeusstandardeja, kuten Kansainvälisen työjärjestön (ILO) julistusta työelämän perusperiaatteista ja -oikeuksista sekä OECD:n monikansallisille yrityksille suunnattuja toimintaohjeita. WithSecure varmistaa, että yhtiö noudattaa työlainsäädäntöä, tarjoaa reilun palkan sekä takaa syrjimättömän ja turvallisen työympäristön.

WithSecure ei suvaitse minkäänlaista lapsi- tai pakkotyövoiman käyttöä eikä muitakaan ihmisoikeusloukkauksia, mukaan lukien ihmiskauppa. WithSecure tukee perustavanlaatuisia ihmisoikeuksia hyviin työolosuhteisiin ja kohtuulliseen työ- ja yksityiselämän tasapainoon. Näiden sitoumusten tukemiseksi yhtiö on ottanut käyttöön muun muassa häirinnän ja syrjinnän vastaisia käytäntöjä koskevat toimintaperiaatteet, paikallisia terveyttä ja turvallisuutta koskevia toimintaperiaatteita, etätyötä koskevat toimintaperiaatteet, WIDE-strategian kaltaisia ohjeistuksia sekä palkitsemiseen ja oppimiseen liittyviä periaatteita varmistaakseen vaatimustenmukaisuuden ja edistääkseen myönteistä työpaikkakulttuuria.

WithSecure on myös ottanut käyttöön työntekijöiden saatavilla olevia palautejärjestelmiä ja valitusmekanismeja tunnistaakseen ihmisoikeuksiin liittyvät riskit ja vähentääkseen niitä. Nämä mekanismit on kuvattu tarkemmin osiossa “S1-3 – Prosessit kielteisten vaikutusten korjaamiseksi ja kanavat omille työntekijöille huolenaiheiden esiin tuomiseksi”, ja niiden ansiosta työntekijät voivat raportoida ongelmista luottamuksellisesti. Lisäksi ne varmistavat oikea-aikaiset ja oikeudenmukaiset päätökset.

WithSecure on sitoutunut ehkäisemään syrjintää kaikissa sen muodoissa, mukaan lukien rajoituksetta rotuun, sukupuoleen, ikään, vammaisuuteen, seksuaaliseen suuntautumiseen, uskontoon ja etnisyyteen perustuva syrjintä. Lisäksi yhtiö edistää yhtäläisiä uramahdollisuuksia, reilua kohtelua ja häirinnältä suojaamista. Yhtiön häirinnän vastaisia käytäntöjä koskeviin toimintaperiaatteisiin sisältyy selkeät raportointimenetelmät. Työntekijät voivat kertoa huolenaiheistaan linjaesihenkilölleen tai HR- tai lakiosaston edustajille, mikä takaa, että tapaukset käsitellään viipymättä. Kurinpidollisiin toimiin ryhdytään aina tarvittaessa, ja WithSecure noudattaa syrjintää ehkäiseviä lisätoimenpiteitä edellyttäviä paikallisia lakeja ja säännöksiä.

Turvallisen ja terveellisen työympäristön vaalimiseksi WithSecure on aloittanut uuden koko yhtiön kattavan terveys- ja turvallisuuspolitiikan kehittämisen, joka sisältää työtapaturmien ehkäisemistä koskevat periaatteet ja hallintajärjestelmän. Kyseinen järjestelmä, joka otetaan käyttöön vuonna 2025, on suunniteltu minimoimaan riskejä, vähentämään työtapaturmia ja varmistamaan turvallinen ympäristö tunnistamalla, hallitsemalla ja lieventämällä vaaroja, jotka voivat johtaa loukkaantumisiin, sairauksiin tai kuolemantapauksiin. Nämä prosessit tukevat työntekijöiden fyysistä ja henkistä hyvinvointia yhdessä etätyötä koskevien toimintaperiaatteiden kanssa.

S1-2 – Prosessit, jotka koskevat yhteydenpitoa vaikutuksista omien työntekijöiden ja heidän edustajiensa kanssa

WithSecure pitää työntekijöihinsä aktiivisesti yhteyttä kaikilla organisaation tasoilla varmistaakseen, että heidän näkemyksensä otetaan huomioon ja sisällytetään päätöksentekoprosesseihin. Yhtiö ylläpitää avoimia keskustelukanavia, jotka kannustavat palautteen antamiseen ja tarjoavat mahdollisuuksia osallistua työolosuhteita ja organisaation tavoitteita koskeviin päätöksentekoprosesseihin merkityksellisellä tavalla.

WithSecure mahdollistaa säännöllisen yhteydenpidon monien eri kanavien kautta:

• Henkilöstön edustajan valitseminen hallituksen jäseneksi: WithSecuren työntekijät voivat vuosittain hakea henkilöstön edustajan paikkaa WithSecuren hallituksessa. Valitulla työntekijällä on mahdollisuus välittää henkilöstön palaute suoraan hallitukselle. Lisäksi valittu edustaja kutsutaan HR-asioista vastaavan päätöksentekoelimen kuukausittaisiin kokouksiin, joissa käsitellään suomalaisia työntekijöitä koskevia asioita.

• Viralliset henkilöstökyselyt: Näiden kyselyiden avulla WithSecure kerää palautetta, joka liittyy kriittisiin työntekijöiden osallistamista koskeviin asioihin, kuten monimuotoisuuteen ja osallisuuteen, urakehitysmahdollisuuksiin ja yleiseen hyvinvointiin. Vuonna 2024 WithSecure toteutti kaksi tällaista kyselyä. Kyselyiden tuloksia käsitellään useissa eri päätöksentekofoorumeissa, joissa myös suunnitellaan asiaankuuluvia toimia. Näitä foorumeita ovat konsernin johtoryhmä, toiminto- ja yksikkökohtaiset johtoryhmät sekä paikalliset johtoryhmät. Lisäksi saatavilla on linjaesihenkilöitä koskeva ohjeistus, joka tukee tuloksia ja suunniteltuja toimia koskevia keskusteluja tiimitasolla. Yhtiön tavoitteita ja keskeisiä tuloksia koskeva OKR-viitekehys tarjoaa läpinäkyvän työkalun, jota käytetään tärkeimpien kehityskohteiden ja toimien dokumentoimiseen.

• Henkilöstöresurssiryhmät (Employee Resource Group, ERG): WithSecuren ERG-ryhmät tarjoavat monimuotoisista taustoista tuleville työntekijöille mahdollisuuden kertoa kokemuksistaan, edistää hankkeita yhdessä sekä ehdottaa työpaikkakulttuuriin ja toimintaperiaatteisiin liittyviä parannuksia. Vuonna 2024 yhtiössä oli kaksi aktiivista ryhmää, joista toinen keskittyi hyvinvointiin, osallisuuteen, monimuotoisuuteen ja oikeudenmukaisuuteen (WIDE) liittyviin asioihin ja toinen erityisesti mielenterveyteen.

• Palautekanavat: Virallisten kyselyjen lisäksi WithSecuren neljännesvuosittain pidettävät koko yhtiön laajuiset kokoontumiset ja kuukausittaiset toiminto- ja yksikkökohtaiset kokoontumiset tarjoavat säännöllisen mahdollisuuden esittää kysymyksiä ja jakaa huolia, ehdotuksia ja ideoita. Näiden lisäksi linjaesihenkilöille järjestetään kuukausittaisia tapaamisia, joissa voi käsitellä huolenaiheita, esittää kysymyksiä ja jakaa palautetta. Nämä tapaamiset tallennetaan, ja ne ovat katsottavissa jälkeenpäin.

Osana WithSecuren jatkuvaa sitoutumista kestävän ja osallistavan työympäristön vaalimiseen, erinomaisten työolosuhteiden tarjoamiseen ja huippuosaajien sitouttamiseen yhtiö on lisäksi käynnistänyt yhtiökohtaista työehtosopimusta koskevan kehityshankkeen Suomessa vuonna 2024. Työehtosopimus heijastaa WithSecuren sitoutumista reiluihin työkäytäntöihin ja varmistaa, että yhtiön työntekijöiden kohtelu on kunnioittavaa, oikeudenmukaista ja läpinäkyvää.

Käymällä avointa keskustelua henkilöstön edustajien kanssa WithSecure on räätälöinyt sopimuksen vastaamaan yhtiön työvoiman erityistarpeita sekä teknologia-alan standardeja. Tämä hanke paitsi takaa reilut palkkaneuvottelut myös edistää työ- ja yksityiselämän tasapainoa, henkilökohtaista oppimista ja kehitystä sekä entistä selkeämpiä työolosuhteita.

Yhteistyöhön perustuvan lähestymistavan kautta WithSecure pyrkii vaalimaan keskinäiseen luottamukseen pohjautuvaa kulttuuria, varmistamaan työsääntöjen noudattamisen ja edistämään työvoiman kestävyyttä pitkällä aikavälillä. Työehtosopimus on merkittävä virstanpylväs WithSecuren sitoutumisessa luotettavan työpaikan tarjoamiseen ja yhtiön tavoitteessa olla teknologia-alan osaajien ensisijainen työnantaja.

WithSecuren henkilöstö- ja kehitysjohtajalla on operatiivinen vastuu työvoiman osallistamisen varmistamisesta ja kyselytulosten integroimisesta yhtiön lähestymistapaan, minkä lisäksi hän on ylin tästä osa-alueesta vastaava johtaja. Henkilöstö- ja kehitysjohtaja johtaa toimintojen erinomaisuudesta vastaavaa Operational Excellence -toimintoa. Sen tehtävänä on edistää hankkeita, jotka pyrkivät ylläpitämään merkityksellistä dialogia työvoiman kanssa ja takaamaan, että henkilöstöltä saatu palaute huomioidaan strategisissa päätöksissä ja toimintaperiaatteissa vaikuttavasti.

S1-3 – Prosessit kielteisten vaikutusten korjaamiseksi ja kanavat omille työntekijöille huolenaiheiden esiin tuomiseksi

WithSecure on sitoutunut tarjoamaan työvoimalleen kannustavan ja läpinäkyvän ympäristön sekä varmistamaan, että työntekijöihin kohdistuviin kielteisiin vaikutuksiin puututaan nopeasti ja tehokkaasti. WithSecure tiedostaa, että on tärkeää luoda selkeät prosessit yhtiön liiketoiminnasta työntekijöille aiheutuvien mahdollisten kielteisten vaikutusten korjaamiseksi sekä tarjota työntekijöille helppokäyttöiset kanavat huolenaiheiden esiin tuomiseksi.

WithSecuren yleinen lähestymistapa ongelmien korjaamiseen kattaa sellaisten tapausten tutkimisen ja käsittelemisen, joissa yhtiön toiminta on joko suoraan tai epäsuorasti aiheuttanut olennaisia työvoimaan kohdistuvia kielteisiä vaikutuksia. Tähän prosessiin sisältyy virallisen tutkinnan suorittaminen ongelman taustalla olevien syiden ja ongelman laajuuden ymmärtämiseksi. Tämä sisältää yhteydenpidon vaikutuksen kohteena olevien työntekijöiden kanssa, asiaankuuluvien tietojen keräämisen sekä asiaankuuluvien sidosryhmien konsultoimisen sopivan menettelytavan määrittämiseksi. Korjaavien toimien vaikuttavuuden varmistamiseksi ja tuloksia koskevan tyytyväisyyden arvioimiseksi WithSecure kerää palautetta vaikutuksen kohteena olevilta henkilöiltä. 

WithSecure tarjoaa työvoimalleen kaksi eri kanavaa, joiden kautta he voivat tuoda esiin huolenaiheita luottamuksellisesti ja ilman pelkoa vastatoimista. Nämä kanavat ovat yhteyden ottaminen linjaesihenkilöön ja HR-osastoon sekä whistleblowing-kanava. Työntekijöitä rohkaistaan ensisijaisesti ottamaan suoraan yhteyttä linjaesihenkilöönsä tai HR-edustajaan huolenaiheiden ja tarpeiden esiin tuomiseksi. Yhtiö on ottanut käyttöön kolmannen osapuolen tarjoaman whistleblowing-kanavan, jonka kautta työntekijät voivat ilmoittaa epäeettisestä, laittomasta tai haitallisesta toiminnasta nimettömästi ja ilman pelkoa vastatoimista. Lisätietoa whistleblowing-kanavasta ja -politiikasta on kohdassa “Väärinkäytösten paljastajien suojelu” osiossa "G1-1 – Liiketoiminnan harjoittamista koskevat toimintaperiaatteet ja yrityskulttuuri".

Whistleblowing-kanavan lisäksi WithSecure kehittää parhaillaan uutta mekanismia, jonka nimenomaisena tehtävänä on tarjota työntekijöille mahdollisuus tuoda esiin entistä moninaisempia huolenaiheita. Tämä mekanismi tarjoaa työntekijöille jäsennellyn ja läpinäkyvän tavan kertoa huolenaiheista, minkä lisäksi se varmistaa huolenaiheiden välittömän käsittelyn. Lisäksi uusi kanava auttaa yhtiötä seuraamaan ja käsittelemään esiin tuotuja huolenaiheita aiempaa järjestelmällisemmin. Uusi kanava on määrä avata vuoden 2025 aikana.

Saatavilla olevat kanavat on suunniteltu helppokäyttöisiksi koko henkilöstölle.

S1-4 – Toimien toteuttaminen omaan työvoimaan kohdistuvien olennaisten vaikutusten suhteen ja toimintatavat omaan työvoimaan liittyvien olennaisten riskien hallitsemiseksi ja olennaisten mahdollisuuksien hyödyntämiseksi sekä kyseisten toimien vaikuttavuus

Yhtiö on toteuttanut kokonaisvaltaisia toimia, joiden tarkoituksena on sitouttaa työntekijöitä, parantaa heidän hyvinvointiaan, edistää monimuotoisuutta, yhdenvertaisuutta ja osallisuutta sekä tarjota yhtäläiset mahdollisuudet jatkuvaan oppimiseen ja johtamisen kehittämiseen. Näihin toimiin kuuluu yhtäläisten mahdollisuuksien luominen jatkuvaan oppimiseen ja johtajuuden kehittämiseen, sekä strategiset investoinnit osallistavan ja oikeudenmukaisen työpaikan rakentamiseksi.

Nämä aloitteet kattavat eri toimintoja laajalti, mukaan lukien koulutusohjelmia, johtajuuden kehittämisen, sekä hyvinvointi- ja DEI-aloitteet. Ne ulottuvat kaikkiin WithSecuren toimipisteisiin maailmanlaajuisesti varmistaen, että työntekijät kaikilla alueilla hyötyvät näistä aloitteista. Tämä maailmanlaajuinen toteutus varmistaa yhtenäisen lähestymistavan henkilöstön kouluttamiseen, johtajuuden kehittämiseen sekä DEI-aloitteisiin-, samalla mahdollistaen alueelliset mukautukset paikallisten tarpeiden täyttämiseksi. Näiden toimien laajuus kattaa WithSecuren oman toiminnan.

WithSecuren tavoitteena on kasvattaa oppimiseen käytettyjen tuntien kokonaismäärää edellisvuoteen verrattuna ja havainnollistaa siten yhtiön sitoutumista jatkuvan kasvun edistämiseen, merkityksellisten kehittymismahdollisuuksien tarjoamiseen sekä osaajien sitouttamiseen.

Vuonna 2024 WithSecure otti käyttöön kaikkien työntekijöiden saatavilla olevan LinkedIn Learning -alustan, mikä vahvistaa yhtiön sitoutumista jatkuvaan kasvuun ja kehittymiseen. Alusta tarjoaa yhtiön strategisiin kyvykkyyksiin tunnistettuja ja valittuja sisältöjä ja tukee työntekijöitä liiketoiminnan menestyksen kannalta kriittisten taitojen kehittämisessä. Monitoroimalla sisältöjen hyödyntämistä säännöllisesti yhtiö varmistaa, että alusta on aktiivisesti käytössä. WithSecure pyrkii lisäämään alustan käyttöä vuonna 2025.

Johtamisen kehittäminen on edelleen yksi painopistealueista tällä saralla. Yksi sen kulmakivistä on arvopohjaista johtamista koskeva koulutusohjelma, jota täydentää laajeneva johtamisen kehittämisen portfolio.

Näiden toimien tehokkuutta arvioidaan henkilöstökyselyjen avulla. Toimet kattavat koko työvoiman, ja ne on integroitu yleisiin toimintoihin. Niiden toteuttamiselle ei ole kohdennettu merkittäviä menoeriä.

WithSecuren tavoitteena on, että 90% sen työntekijöistä on määrittänyt ja dokumentoinut henkilökohtaista kehitystä koskevat tavoitteet. Näin yhtiö edistää henkilökohtaisia kasvumahdollisuuksia. Linjaesihenkilöitä tuetaan resursseilla ja koulutuksilla, jotka auttavat pitämään merkityksellisiä kahdenkeskisiä kehityskeskusteluja työntekijöiden kanssa. Muodolliset kahdesti vuodessa käytävät keskustelut takaavat yhtäläiset kasvumahdollisuudet ja vastaavat työntekijöiden henkilökohtaisiin tarpeisiin.

Tämän toimen tehokkuutta arvioidaan keräämällä työntekijöiltä palautetta liittyen kehityskeskusteluihin, jotka käydään osana henkilökohtaiseen kehityssuunnitelmaan liittyvää prosessia. Toimi kattaa koko työvoiman, ja se on integroitu yleisiin toimintoihin. Sen toteuttamiselle ei ole kohdennettu merkittäviä menoeriä.

Yhtiö keskittyy kasvattamaan naispuolisten johtajien osuutta linjaesihenkilöiden joukossa sekä ylläpitämään sukupuolten tasapuolista edustusta ja kansalaisuuksien monimuotoisuutta ylemmän johdon keskuudessa.[AS1] Näiden tavoitteiden saavuttamiseksi WithSecure on kehittänyt WIDE-strategiaansa uudella monimuotoisuutta, yhdenvertaisuutta ja osallisuutta (Diversity, Equity and Inclusion, DEI) havainnollistavalla raportoinnilla, jonka ansiosta yhtiön johto voi käydä dataan pohjautuvia keskusteluja monimuotoisuuden edistämiseksi kaikilla yhtiön tasoilla. Lisäksi DEI-asioihin paneutunut työryhmä organisoi vuoden aikana erilaisia hankkeita DEI-tietoisuuden ja -toimien vahvistamiseksi.

Tämän toimen tehokkuutta mitataan neljännesvuosittain toteutettavan seurannan avulla, mikä varmistaa sekä edistymisen että yhdenmukaisuuden tavoitteiden kanssa. Toimi kattaa koko työvoiman, ja se on integroitu yleisiin toimintoihin. Se ei vaadi merkittäviä lisäkuluja.

WithSecure on asettanut tavoitteen, jonka mukaan yhtiö pyrkii pienentämään sukupuolten välisen palkkaeron enintään 5% vuoden 2027 loppuun mennessä. Tavoitteen saavuttamiseksi yhtiö toteuttaa sukupuolten välistä palkkaeroa koskevan kattavan analyysin osana vuoden 2025 normaalia palkkojen tarkistusprosessia. Täsmällisen ja oikeudenmukaisen menettelyn varmistamiseksi analyysissa huomioidaan maantieteelliset erot ja työtehtävien luokittelun rakenteet. Toimi kattaa koko työvoiman, ja se on integroitu yleisiin toimintoihin. Se ei vaadi merkittäviä lisäkuluja.

WithSecure on sitoutunut edistämään myönteisiä tuloksia järjestelmällisesti näiden toimien avulla, lieventämään mahdollisia riskejä sekä vähentämään mahdollisia kielteisiä vaikutuksia kestävän edistymisen varmistamiseksi.

S1-5 – Tavoitteet, jotka liittyvät olennaisten kielteisten vaikutusten hallintaan, myönteisten vaikutusten edistämiseen sekä olennaisten riskien ja mahdollisuuksien hallintaan

Näiden oppimis- ja kehityshankkeiden vaikuttavuutta arvioidaan henkilöstön osallistamista kartoittavien kyselyiden avulla sekä seuraamalla mielenterveyteen ja oppimiseen liittyvien resurssien käyttöasteita. Kyselyjen ja muiden kanavien kautta kerättyä palautetta käytetään oikea-aikaisten ja kohdennettujen toimien tunnistamiseen ja toteuttamiseen läpi vuoden. Lisätietoja siitä, kuinka WithSecure pitää yhteyttä suoraan omaan työvoimaansa tai työntekijöiden edustajiin, koskien yrityksen toiminnan seurantaa tavoitteiden valossa ja toiminnan tuloksena mahdollisesti saatujen kokemusten tai parannusten yksilöintiä, löytyy osiosta “S1-2 – Prosessit, jotka koskevat yhteydenpitoa vaikutuksista omien työntekijöiden ja heidän edustajiensa kanssa”.

Uusi monimuotoisuutta ja osallisuutta havainnollistava raportointi tarjoaa tietoa eri viiteryhmien edustusta kuvaavista mittareista ja mahdollistaa jatkuvan edistymisen seurannan sekä hyödynnettävien lisämahdollisuuksien tunnistamisen. Se myös auttaa yhtiötä tunnistamaan mahdollisia palkkaamiseen ja ylennyksiin liittyviä puutteita vähentäen siten epäoikeudenmukaisuuden riskiä.

Vuonna 2025 WithSecure on sitoutunut jatkamaan työntekijöiden sitouttamisen kehittämistä priorisoimalla entistä parempia työolosuhteita ja edistämällä yhdenvertaista kohtelua ja yhtäläisiä mahdollisuuksia kaikille. WIDE-työryhmällä on edelleen keskeinen asema hyvinvointi- ja DEI-hankkeiden edistämisessä. Vuodelle 2025 on suunniteltu esimerkiksi hyvinvointia koskeva webinaarisarja, jonka tarkoituksena on tukea WithSecuren koko työvoimaa.

Lisäksi WithSecure on tunnistanut osaamisen kehittämisellä olevan kriittinen rooli kilpailukyvyn säilyttämisessä, ja yhtiö on siksi sitoutunut paikkaamaan osaamisvajeita ja kehittämään potentiaalisia johtajia koko organisaatiossa. Vuonna 2025 yhtiö aikoo julkistaa SaaS Academy -hankkeen, jolla on keskeinen rooli jatkuvan muutoksen tukemisessa. Akatemia keskittyy työntekijöiden uudelleenkoulutukseen ja osaamisen kehittämiseen sekä varmistaa, että yhtiön henkilöstöllä on tarvittavat kyvykkyydet linjassa WithSecuren strategian kanssa.

Näihin toimiin liittyvä tavoite on oppimiseen käytettyjen tuntien kokonaismäärän kasvattaminen edellisvuoteen verrattuna. Lisäksi yhtiö monitoroi, että 90% työntekijöistä on määritellyt ja dokumentoinut henkilökohtaista kehitystä koskevat tavoitteet.

WithSecure on myös määrittänyt selkeät, tuloskeskeiset ja aikasidonnaiset tavoitteet kielteisten vaikutusten vähentämiseksi, myönteisten vaikutusten edistämiseksi ja olennaisten riskien ja mahdollisuuksien hallitsemiseksi työvoimansa keskuudessa. Nämä tavoitteet heijastavat yhtiön sitoutumista oppimiskulttuurin vaalimiseen, monimuotoisuuden edistämiseen ja yhtäläisten mahdollisuuksien varmistamiseen kaikille työntekijöille.

Näiden tavoitteiden perusarvot ovat vuoden 2024 raportoitavat luvut. Tavoitteiden määrittämisessä ei käytetty skenaarioita. Nämä tavoitteet eivät ole tieteeseen perustuvia.

Sukupuolten tasapuolinen edustus linjaesihenkilöiden keskuudessa: WithSecuren tavoitteena on lisätä naispuolisten linjaesihenkilöiden määrää koko yhtiössä vuoteen 2027 mennessä. Tämä tavoite heijastaa yhtiön sitoutumista sukupuolten tasa-arvoon johtotehtävissä sekä varmistaa, että päätöksentekoprosesseissa huomioidaan monimuotoiset näkökulmat.

Ylemmän johdon monimuotoisuus: WithSecure on sitoutunut ylemmän johdon monimuotoisuuden ylläpitämiseen keskittyen erityisesti sekä edustettujen kansallisuuksien että naispuolisten johtajien osuuden säilyttämiseen tässä viiteryhmässä perusvuoden tasolla. Tämä tavoite korostaa kulttuurisen ja sukupuolten moninaisuuden merkitystä innovoinnin edistämisessä ja johtamisnäkökulmien laajentamisessa.

Sukupuolten välinen palkkaero: Yhtiö on sitoutunut pienentämään sukupuolten välisen palkkaeron enintään 5% vuoden 2027 loppuun mennessä, keskittyen erityisesti poistamaan kaikki perusteettomat palkkaerot. Tämä tavoite alleviivaa WithSecuren sitoutumista oikeudenmukaisiin palkitsemiskäytäntöihin.

Näiden tavoitteiden asettamista koskevaan prosessiin osallistui yhtiön ylemmän johdon jäseniä, ja tavoitteiden tunnistamisessa ja vahvistamisessa konsultoitiin WIDE-työryhmää. Henkilöstön palautekanavista saatuja näkemyksiä hyödynnettiin sen varmistamisessa, että tavoitteet heijastavat työvoiman prioriteetteja ja odotuksia.

WithSecuren edistymistä näissä tavoitteissa seurataan neljännesvuosittaisen raportoinnin kautta, ja yhtiö arvioi edistymistään säännöllisesti tunnistaakseen kehityskohteet. Yhtiön suorituksesta saatuja oppeja hyödynnetään tulevien tavoitteiden asettamisessa jatkuvan edistymisen varmistamiseksi.

Nämä aloitteet heijastavat WithSecuren sitoutumista yhtiön työvoimaan kohdistuvien myönteisten vaikutusten edistämiseen, kielteisten vaikutusten vähentämiseen sekä työvoimaan liittyvien olennaisten riskien ja mahdollisuuksien hallintaan WithSecuren laajemman kestävyysstrategian mukaisesti.

S1-6 – Yrityksen työsuhteisten työntekijöiden ominaisuudet

Alla oleva data kuvastaa työsuhteisten työntekijöiden (jatkossa myös ”työntekijät”) ominaisuuksia raportointikauden lopussa työntekijöiden määrällä mitattuna riippumatta siitä, onko työntekijä vakituinen vai osa-aikainen.

Raportointikauden aikana yhteensä 270 työntekijää lähti yhtiöstä, jolloin vaihtuvuus oli 26,5 %. Vaihtelevuusaste lasketaan jakamalla raportointijakson aikana lähteneiden työntekijöiden kokonaismäärä samalla ajanjaksolla työskennelleiden työntekijöiden keskimääräisellä määrällä. Vapaaehtoinen henkilöstön vaihtelevuusaste on 16,2 %. Korkeampi kokonaisvaihtelevuusaste johtuu yhtiön toimintamallin muutoksesta ja siihen liittyvästä uudelleenorganisoitumisesta vuoden 2023 loppupuolella.

Ilmoitetut työntekijöiden kokonaislukumäärää koskevat luvut vastaavat niitä lukuja, jotka on esitetty työvoimaa parhaiten kuvaavassa osiossa WithSecuren raportointikauden tilinpäätöksessä. Tämä takaa kestävyysraportoinnin ja taloudellisen raportoinnin yhdenmukaisuuden.

Työsuhteiset työntekijät eriteltynä sopimustyypin mukaan ja jaoteltuna sukupuolen mukaan (lukumäärä)

Työsuhteisten työntekijöiden lukumäärä maissa, joissa yhtiöllä on vähintään 50 työsuhteista työntekijää, joiden osuus on vähintään 10 prosenttia sen työsuhteisten työntekijöiden kokonaismäärästä.

S1-7 – Yrityksen omaan työvoimaan kuuluvien muiden kuin työsuhteisten työntekijöiden ominaisuudet

WithSecure luokittelee muut kuin työsuhteessa olevat työntekijät kolmeen ryhmään roolien ja sopimusten perusteella.

• Tilapäiset työntekijät ovat itsenäisiä ammatinharjoittajia, jotka toimivat oman yrityksensä kautta ja tarjoavat palveluja WithSecuren standardien mukaisten räätälöityjen sopimusten nojalla.

• Puitesopimusten puitteissa työskentelevät konsultit ovat ammattilaisia konsernitason sopimuksen solmineiden suurempien yhtiöiden palveluksessa. He tarjoavat resursseja ja osaamista ja noudattavat WithSecuren toimintaperiaatteita.

• Ei-tietotyöläiset (joilla ei ole IT-käyttöoikeuksia) ovat konsernitason sopimusten piiriin kuuluvia työntekijöitä, jotka suorittavat operatiivisen tason tehtäviä joihin ei tarvitse IT-työkaluja. Heitä ohjaavat turvallisuuteen keskittyneet sopimukset.

Raportointikauden lopussa WithSecuren työvoimaan kuului yhteensä 158 muuta kuin työsuhteista työntekijää. Tämä luku perustuu kyseisen ajankohdan muiden kuin työsuhteisten työntekijöiden kokonaismäärään. Kuukausittaisen seurannan perusteella muiden kuin työsuhteisten työntekijöiden lukumäärä oli vähimmillään 104 ja enimmillään 160 vuonna 2024, perustuen kunkin kuukauden lopun tilanteeseen.

S1-8 – Työehtosopimusneuvottelujen kattavuus ja työmarkkinaosapuolten vuoropuhelu

WithSecure on sitoutunut varmistamaan, että työvoimaa koskevien työsuhteen ehtojen muokkaamisessa noudatetaan oikeudenmukaisia ja osallistavia prosesseja, mikä edistää myönteistä työympäristöä ja kestäviä liiketoimintakäytänteitä.

Raportointikauden aikana työehtosopimukset kattoivat 42,6 % WithSecuren kaikista työntekijöistä. Tämä prosenttiosuus juontaa Suomessa voimassa olevasta työehtosopimuksesta, jonka kattavuus on 92,7 %. Muiden sijaintien työntekijät eivät kuulu työehtosopimusten piiriin. WithSecure tukee työntekijöiden oikeuksia järjestäytyä ja osallistua työehtosopimusneuvotteluihin paikallisten lakien ja käytäntöjen mukaisesti.

WithSecure noudattaa kansainvälisesti tunnustettuja työstandardeja ja pyrkii aktiivisesti ylläpitämään avointa vuoropuhelua työntekijöiden edustajien kanssa työpaikka-asioiden käsittelemiseksi yhteistyössä. Yhtiö ei kuitenkaan kerää tietoja siitä, ovatko sen työntekijät minkään ammattiliiton jäseniä kunnioittaakseen heidän yksityisyyttään ja ylläpitääkseen syrjimättömyyden ja puolueettomuuden periaatteita ammattiliittojen jäsenyyden suhteen.

WithSecure ei ole solminut sopimuksia työntekijöiden edustuksesta, josta huolehtii eurooppalainen yritysneuvosto, eurooppayhtiön (Societas Europaea, SE) yritysneuvosto tai eurooppaosuuskunnan (Societas Cooperativa Europaea, SCE) yritysneuvosto.

Osiossa S1-1 kuvatun mukaisesti WithSecure vahvistaa työehtosopimusneuvottelujen kattavuutta ja työmarkkinaosapuolten vuoropuhelua edistääkseen kestävää ja osallistavaa työympäristöä. Vuonna 2024 WithSecure ryhtyi valmistelemaan Suomessa yhtiökohtaista yleistä työehtosopimusta, joka takaa työntekijöille oikeudenmukaiset työkäytännöt sekä kunnioittavan ja läpinäkyvän kohtelun. Yhteistyössä henkilöstön edustajien kanssa yhtiö on räätälöinyt sopimuksen työvoiman tarpeiden ja alan käytäntöjen mukaisesti ottaen huomioon muun muassa palkan, työ- ja yksityiselämän tasapainon ja urakehityksen. Tämä aloite tukee keskinäistä luottamusta, sääntelyn noudattamista ja työvoimaan liittyvää kestävyyttä pitkällä aikavälillä vahvistaen samalla WithSecuren sitoutumista yhtiön pyrkimykseen olla teknologia-alan osaajien luotettu ja ensisijainen työnantaja.

Työehtosopimusneuvottelujen kattavuus ja työmarkkinaosapuolten vuoropuhelu

S1-9 – Monimuotoisuuden mittarit

WithSecure on sitoutunut vaalimaan monimuotoista ja osallistavaa työvoimaa.

WithSecuren ylempään johtoon kuuluvat yhtiön toimitusjohtaja ja kaksi suoraan toimitusjohtajan alapuolella olevaa organisaatiotasoa sekä johtajia, joilla on tietyntasoisia työtehtäviä. Ylempään johtoon kuuluu 45 henkilöä, joista 33,3 % on naisia ja 64,4 % miehiä. Nämä luvut lasketaan ylempään johtoon kuuluvien henkilöiden kokonaismäärän ja heidän sukupuolijakaumansa perusteella.

Koko työvoiman osalta 15,1 % työntekijöistä on alle 30-vuotiaita, 70,0 % 30–50-vuotiaita ja 14,9 % yli 50-vuotiaita. Nämä prosenttiosuudet johdetaan työntekijöiden kokonaismäärästä ja heidän ikäryhmistään.

S1-10 – Riittävä palkka

Kaikille WithSecuren työntekijöille maksetaan riittävää palkkaa, joka on linjassa sovellettavien vertailuarvojen kanssa. Yhtiö suorittaa vuosittain palkkakatsauksia, hyödyntäen asiaankuuluvia ulkoisia maailmanlaajuisia vertailuarvoja arvioidakseen ja toteuttaakseen tarvittavat muutokset. Tämä prosessi varmistaa, että kaikkien työntekijöiden palkat ovat riittäviä ja markkinakäytäntöjen mukaisia ja että palkkoja sopeutetaan jatkuvasti muuttuvien taloudellisten olosuhteiden mukaisesti, mikä takaa oikeudenmukaisen palkan koko työvoimalle.

S1-11 – Sosiaalinen suojelu

WithSecure varmistaa, että kaikille sen työntekijöille tarjotaan sosiaalista suojelua tilanteissa, joissa tulonmenetys johtuu sairaudesta, työttömyydestä, työssä saadusta vammasta tai työkyvyttömyydestä tai vanhempainvapaasta. Tämä saavutetaan joko julkisten sosiaalista suojelua koskevien ohjelmien tai yhtiön tarjoamien etuuksien avulla.

• Sairaus: Sairastapausten varalta kaikki työntekijät kuuluvat terveydenhuollon ja tuen piiriin.

• Työttömyys: Jos työntekijä joutuu työttömäksi, WithSecure on sitoutunut tukemaan uudelleentyöllistymistä, mikä kattaa yhteistyön ulkoisten organisaatioiden kanssa yrityksen uudelleenjärjestelyn yhteydessä.

• Työssä saatu vamma ja työkyvyttömyys: Työntekijät kuuluvat sellaisten vakuutusohjelmien ja asiaankuuluvien sosiaalitukiohjelmien piiriin, jotka takaavat ansioturvan työssä saadun vamman tai työkyvyttömyyden varalta.

• Vanhempainvapaa: WithSecure tarjoaa vanhempainvapaata kaikille työntekijöille tukeakseen heitä perheeseen liittyvissä tilanteissa.

• Eläkkeelle siirtyminen: Kaikille työntekijöille taataan ansioturva eläkkeelle siirtymisen yhteydessä joko julkisen eläkejärjestelmän tai työnantajan tarjoaman yksityisen eläkevakuutusjärjestelmän kautta maasta riippuen.

WithSecure on sitoutunut takaamaan kaikille työntekijöilleen kattavan sosiaalisen suojelun sekä vaalimaan taloudellista turvaa ja hyvinvointia kriittisissä elämäntilanteissa. Tarjoamalla sosiaalista suojelua julkisten ohjelmien tai yhtiön omien etuuksien kautta WithSecure kantaa vastuunsa työntekijöiden tukemisessa kaikilla alueilla.

S1-12 – Vammaiset henkilöt

WithSecure ei kerää työntekijöiden vammoihin liittyviä tietoja, mikä kuvastaa yhtiön sitoutumista syrjimättömyyteen. Tämä lähestymistapa on linjassa yleisen tietosuoja-asetuksen (GDPR) kanssa, joka korostaa henkilötietojen ja yksityisyyden suojaa.

Pidättäytymällä keräämästä arkaluonteisia tietoja, kuten vammoihin liittyviä tietoja, WithSecure vähentää mahdollisia näihin tietoihin liittyviä riskejä ja varmistaa GDPR:n mukaisten periaatteiden noudattamisen kuten tietojen minimointi ja käyttötarkoituksen rajoittaminen. Sen sijaan yhtiö edistää inklusiivista työympäristöä aktiivisten aloitteiden ja toimintaperiaatteiden avulla, jotka tukevat monimuotoisuutta ja yhdenvertaisia mahdollisuuksia.

S1-13 – Koulutusta ja taitojen kehittämistä koskevat mittarit

WithSecure tarjoaa kaikille yhtäläiset oppimis-, kasvu- ja menestysmahdollisuudet keskittyen vahvasti työntekijöiden osallistamisen lisäämiseen ja huippuosaajien sitouttamiseen. Tämä sitoumus on ratkaisevan tärkeää sekä osaajien houkuttelemisen ja sitouttamisen että korkean osaamistason ylläpitämisen näkökulmasta. WithSecure uskoo, että jatkuva oppiminen ja ammatillinen kehitys ovat ensiarvoisen tärkeitä niin yhtiön kuin yksilön menestyksen kannalta.

WithSecuren oppimista koskevat periaatteet perustuvat 70-20-10-malliin, jonka on laajasti tunnustettu olevan tehokas malli uuden osaamisen hankkimiseen. Tämän mallin avulla yhtiö tarjoaa työntekijöilleen mahdollisuuden dynaamiseen oppimiseen, mikä edistää ympäristöä, joka priorisoi jäsennellyn oppimisen ohella oppimista tosielämän tilanteissa ja yhteistyössä.

Vuonna 2024 WithSecure korosti erityisesti yhtiön strategisten kyvykkyyksien mukaisia, osaamisen kehittämiseen liittyviä toimia. Näitä painopistealueita olivat johtamisen kehittäminen, tekoäly, ohjelmisto palveluna, asiakkuuksien hallinta ja kumppanuuksien hallinta. Kehittämällä näitä olennaisia taitoja WithSecure valmentaa työvoimaansa alan muuttuvien vaatimusten varalle ja varmistaa, että yhtiön työntekijät kykenevät selviytymään nykypäivän monimutkaisessa liiketoimintaympäristössä.

Kohentaakseen oppimismahdollisuuksia entisestään WithSecure on ottanut käyttöön LinkedIn Learning -palvelun, joka on kaikkien työntekijöiden saatavilla oleva arvokas resurssi. Tämä oppimisalusta on myös muiden kuin työsuhteisten työntekijöiden saatavilla, jos heillä on pääsy yhtiön resursseihin. LinkedIn Learning tarjoaa laajan valikoiman eri aiheisiin keskittyneitä kursseja, minkä ansiosta WithSecuren työvoima voi syventyä omiin mielenkiinnon kohteisiinsa ja kehittää uusia taitoja omaan tahtiin. Palvelussa on tuhansia eri oppimismoduuleja, joten yhtiön työntekijät voivat räätälöidä oman oppimispolkunsa, mikä edistää itseohjautuvaan kasvuun ja jatkuvaan itsensä kehittämiseen perustuvaa kulttuuria.

Lisäksi WithSecure on sitoutunut yhtiön arvopohjaisen johtamisen ohjelmaan, joka on suunniteltu kehittämään johtajia, jotka paitsi menestyvät rooleissaan myös vaalivat WithSecuren kannalta olennaisia arvoja ja periaatteita. Keskittymällä arvopohjaiseen johtamiseen WithSecure muovaa yhteenkuuluvuutta edistäviä ja motivoituneita johtajia, jotka inspiroivat ja ohjaavat yhtiön työntekijöitä kohti tavoitteitaan.

Urakehityksen tukeminen on toinen tärkeä näkökulma, ja WithSecure tiedostaa, että linjaesihenkilöillä on tässä prosessissa ratkaiseva rooli. Tästä syystä yhtiö on kouluttanut heitä käymään merkityksellisiä kehityskeskusteluja tiiminsä jäsenten kanssa. Nämä keskustelut kannustavat työntekijöitä asettamaan henkilökohtaiseen kehitykseen liittyviä tavoitteita ja laatimaan omien pyrkimystensä mukaisia henkilökohtaisia suunnitelmia. Vaalimalla avointa viestintää ja tarjoamalla ohjeistusta WithSecure varmistaa, että sen työntekijät tuntevat saavansa tukea uransa kehittämiseen ja voivansa saavuttaa täyden potentiaalinsa.

Raportointijakson aikana WithSecure noudatti yhtiön johdon suunnitelmia suorittamalla sekä suoritusarvioinnin että urakehitysarvioinnin jokaiselle työntekijälle. 75,9 % työntekijöistä osallistui vuosittaiseen suoritusarviointiin, joka toteutettiin vuoden ensimmäisellä neljänneksellä. Tämä osallistumisprosentti sukupuolen mukaan jaoteltuna oli 74,8 % naisilla ja 76,5 % miehillä. 78,8 % työntekijöistä osallistui vuosittaiseen urakehitysarvointiin, joka toteutettiin vuoden kolmannella neljänneksellä. Tämä osallistumisprosentti sukupuolen mukaan jaoteltuna oli 72,9 % naisilla ja 81,4 % miehillä. Osallistumisprosentit lasketaan työntekijöiden esihenkilöiden suoritusarviointityökalussa suorittamien arviointitehtävien perusteella, suhteuttaen ne raportointijakson lopun työntekijämäärään.

Tukeakseen työntekijöiden kehitystä entisestään yhtiö tarjosi keskimäärin 6,3tuntia koulutusta työntekijää kohden. Naiset suorittivat keskimäärin 6,4 koulutustuntia ja miehet 6,3. Nämä luvut sisältävät sekä oppimisen hallintajärjestelmään kirjatut verkko- ja muilla kursseilla suoritetut koulutustunnit että muilla saatavilla olevien oppimisalustojen parissa vietetyt tunnit. Lisäksi WithSecure kannustaa jatkuvaan oppimiseen tarjoamalla sekä yksittäisille työntekijöille että tiimeille mahdollisuuksia osallistua ulkoisiin koulutusohjelmiin. Näiden ulkoisten koulutusmahdollisuuksien parissa käytetyt tunnit eivät sisälly raportoituihin keskiarvoihin.

Yksi WithSecuren kehitysohjelmien vaikuttavuuden arvioinnissa käytetty tärkeä mittari on työntekijöiden käsitys yhtiön heille tarjoamista oppimis- ja kasvumahdollisuuksista. Tuoreimmassa henkilöstökyselyssä 73% vastaajista oli samaa tai vahvasti samaa mieltä sen väitteen kanssa, että heillä on riittävät oppimis- ja kasvumahdollisuudet.

Koulutusta ja taitojen kehittämistä koskevat mittarit

S1-14 – Terveyttä ja turvallisuutta koskevat mittarit

WithSecure on erittäin sitoutunut työvoimansa terveyteen, turvallisuuteen ja hyvinvointiin, ja yhtiö tiedostaa, että sen menestys on olennaisesti sidoksissa yhtiön työntekijöiden hyvinvointiin. Yhtiö noudattaa kaikkia paikallisia määräyksiä ja vaatimuksia tiukasti kaikissa toimintamaissaan sekä varmistaa, että sillä on kattava, vankka ja tehokas terveyden ja turvallisuuden hallintajärjestelmä. Tällä hetkellä koko henkilökunta on paikallisten terveys- ja turvallisuuskäytäntöjen piirissä. Tätä sitoumusta vahvistetaan uudella yhtiön laajuisella terveys- ja turvallisuuspolitiikalla, joka julkaistaan vuoden 2025 alussa. Tämä toimintaperiaate varmistaa, että 100% työntekijöistä kuuluu terveyden ja turvallisuuden hallintajärjestelmän piiriin, jota tarkistetaan ja päivitetään säännöllisesti sen tehokkuuden varmistamiseksi ja jatkuvan parantamisen takaamiseksi. Paikalliset toimintaperiaatteet noudattavat sovellettavia paikallisia lakeja ja lainsäädäntöä. Tämä heijastaa WithSecuren ennakoivaa lähestymistapaa turvallisen, kannustavan ja osallistavan työpaikan edistämiseen, ylittäen pelkän lakisääteisten vaatimusten noudattamisen.

WithSecuren WIDE-strategia kattaa paitsi fyysiseen terveyteen ja turvallisuuteen liittyvät toimet myös mielenterveyttä tukevia ohjelmia työntekijöiden kokonaisvaltaisen hyvinvoinnin varmistamiseksi. Nämä ohjelmat tarjoavat itsehoitovinkkejä, pääsyn yhteisön tukiverkostoihin ja resursseja mielenterveyshaasteiden ratkaisemiseen. Siten mielenterveys on kiinteä osa yhtiön terveyttä ja turvallisuutta koskevaa viitekehystä.

Raportointijakson aikana ilmoitettiin kolme työpaikkatapaturmaa. Tiedot kerättiin työntekijöiltä, jotka ovat vastuussa työtapaturmien kirjaamisesta omilla vastuualueillaan. Kaikki raportoidut tapaukset tarkistettiin ja tutkittiin sisäisesti, ja tarvittavat toimenpiteet toteutettiin turvallisuusmääräysten noudattamisen varmistamiseksi. Tämä prosessi tukee työturvallisuuden tarkkaa dokumentointia ja kattavaa analysointia.

ESRS-standardin mukaisesti WithSecure on käyttänyt siirtymäsäännöstä jättää pois tiedot jotka koskevat työperäisten terveyshaittojen sekä vammojen, onnettomuuksien, kuolonuhrien ja työperäisten sairauksien vuoksi menetettyjen päivien lukumäärää kestävyysraportin ensimmäiseltä laatimisvuodelta.

Terveyteen ja turvallisuuteen liittyvät tapaukset

* WithSecure on päättänyt hyödyntää siirtymäsäännöstä jättää pois tietopisteet, jotka koskevat työperäisten terveyshaittojen sekä vammojen, onnettomuuksien, kuolonuhrien ja työperäisten sairauksien vuoksi menetettyjen päivien lukumäärää kestävyysraportin ensimmäiseltä laatimisvuodelta.

S1-15 – Työ- ja yksityiselämän tasapainoa koskevat mittarit

WithSecure on sitoutunut tukemaan työntekijöidensä työ- ja yksityiselämän tasapainoa ja varmistamaan, että kaikilla työntekijöillä on mahdollisuus pitää perhevapaata ja että heidän käytettävissään on perhe-elämän tarpeisiin vastaavia etuuksia. Yhtiö tarjoaa oikeuden erilaisiin perhevapaisiin, mukaan lukien vanhempainvapaa, palkallinen perhesyistä myönnetty vapaa ja joustavat työjärjestelyt, jotka ovat olennainen osa WithSecuren tapaa luoda kannustava ja osallistava työympäristö.

Oikeus perhevapaaseen

Kaikilla WithSecuren työntekijöillä on oikeus pitää perhevapaata, mukaan lukien vanhempainvapaa, läheisen perhejäsenen kuolemasta johtuva palkallinen perhevapaa sekä joustavat työjärjestelyt. Perhevapaaseen oikeutettujen ja sitä käyttäneiden työntekijöiden prosenttiosuus lasketaan HR-järjestelmän tietojen perusteella, jota käytetään kaikkien poissaolojen dokumentointiin.

WithSecure tarjoaa joustavia työjärjestelyitä, kuten joustavia työtunteja ja etätyömahdollisuuksia, joiden avulla työntekijät voivat hallita perhe-elämään liittyviä asioitaan. Lisäksi yhtiöllä on sekä kotimaassa että ulkomailla tapahtuvaa etätyötä koskevat toimintaperiaatteet, jotka tarjoavat työntekijöille lisätukea työ- ja yksityiselämän velvoitteiden tasapainottamisessa.

Perhevapaan hyödyntäminen

WithSecure varmistaa, että kaikilla työntekijöillä on oikeus pitää perhevapaata, ja yhtiö on sitoutunut vaalimaan työympäristöä, jossa kaikki tuntevat saavansa tasapuolista tukea näiden etuuksien hyödyntämisessä.

Työ- ja yksityiselämän tasapainoa koskevat mittarit

S1-16 – Ansiotuloa koskevat mittarit (palkkaero ja kokonaisansiot)

WithSecure on sitoutunut edistämään samapalkkaisuutta ja vähentämään palkkaeroja työvoiman keskuudessa. Lisätäkseen läpinäkyvyyttä ja varmistaakseen oikeudenmukaisuutta koskevien periaatteiden noudattamisen, yhtiö alkaa seurata keskeisiä palkitsemista koskevia mittareita vuonna 2025, mukaan lukien sukupuolten välinen palkkaero sekä korkeinta ansiotuloa saavan henkilön ja yhtiön muiden työntekijöiden mediaaniansion välinen suhde. WithSecure hyödyntää ennakoivaa lähestymistapaa palkkahallinnan toteuttamisessa ja oikeudenmukaisuuden varmistamisessa koko henkilöstönsä keskuudessa. Yhtiö arvioi ja mukauttaa palkitsemista säännöllisesti hyödyntämällä globaaleja vertailuarvoja ja alan käytäntöjä.

Sukupuolten välinen palkkaero

WithSecure laskee sukupuolten välisen palkkaeron määrittämällä nais- ja miespuolisten työntekijöiden keskimääräisten palkkatasojen eron ilmaistuna prosenttiosuutena miespuolisten työntekijöiden keskimääräisestä palkkatasosta. Vertailtavuuden varmistamiseksi osa-aikaisten työntekijöiden vuosipalkat on esitetty kokoaikavastaaviksi luvuiksi oikaistuna. Peruspalkan lisäksi analyysi sisältää lyhyen aikavälin kannustimet ja myyntikannustimet niiden tavoitetasoille niille työntekijöille, jotka ovat oikeutettuja niihin. Lyhyen aikavälin kannustinohjelma on tarjolla tasapuolisesti kaikille tietyillä työn vaativuustasoilla oleville työntekijöille, kun taas myynnin kannustinohjelma koskee kaikkia myyntitehtävissä toimivia. Pitkän aikavälin kannustinohjelmia ei ole sisällytetty tähän laskelmaan. Viimeisimmän raportointikauden mukaan WithSecuren sukupuolten välinen palkkaero on 16,2 %. Yhtiö on johdonmukaisesti asettanut mahdollisten sukupuolten välisten palkkaerojen korjaamisen etusijalle huomioiden muun muassa maantieteelliset erot ja työtehtävien luokittelun rakenteet. WithSecure on yhä sitoutunut edistämään samapalkkaisuutta arvioimalla ja kehittämällä palkitsemiskäytäntöjään säännöllisesti oikeudenmukaisuuden ja osallisuuden tukemiseksi.

Kokonaisansiota koskeva suhdeluku

WithSecure julkistaa myös kokonaisansiota koskevan suhdeluvun, joka on yhtiön korkeinta ansiota saavan henkilön ja kaikille työntekijöille (pois lukien korkeinta ansiota saava henkilö) maksettujen kokonaisansioiden mediaanin välinen suhde. Raportointikauden aikana tämä suhdeluku oli 7,2. Vuotuinen kokonaisansio lasketaan yhdistämällä peruspalkka sekä lyhyen aikavälin kannustimien (STI) ja myyntikannustimien tavoitetason suoritus, jos ne ovat sovellettavissa. Lisäksi laskelmaan sisältyy vuonna 2024 aikana maksettujen pitkän aikavälin kannustimien (LTI) todellinen rahallinen arvo. Laskelma perustuu 961 työntekijään, jotka edustavat WithSecuren koko omaa työvoimaa vuoden 2024 lopussa. Mediaanipalkka määritetään laskemalla keskiarvo kahden työntekijän kokonaispalkasta, jotka sijaitsevat palkkajakauman keskikohdassa.

S1-17 – Tapaukset, valitukset ja vakavat ihmisoikeusvaikutukset

WithSecure on sitoutunut ylläpitämään työympäristöä, joka on kaikkien työntekijöiden näkökulmasta kunnioittava, osallistava ja turvallinen. Yhtiö ottaa kaikki syrjintää, häirintää tai mitä tahansa työpaikalle sopimatonta käytöstä koskevat valitukset vakavasti. Lisäksi yhtiö on ottanut käyttöön valitusmekanismeja varmistaakseen, että kaikilla työntekijöillä on mahdollisuus kertoa huolenaiheista turvallisella ja luottamuksellisella tavalla.

Raportointikauden aikana näiden mekanismien kautta jätettiin viisi (5) valitusta, jotka käsiteltiin huolellisesti ja WithSecuren toimintaperiaatteiden mukaisesti. Tämä luku perustuu henkilöstöosaston ylläpitämiin tietoihin ja sisältää kaikki virallisten mekanismien kautta vastaanotetut valitukset. Kaikki valitukset tutkittiin perusteellisesti WithSecuren sisäisten valitusmenettelyjen mukaisesti, ja asianmukaiset toimenpiteet toteutettiin esitettyjen huolenaiheiden ratkaisemiseksi. Tutkintaprosessi sisältää yksityiskohtaisen tarkastelun jokaisesta valituksesta henkilöstötiimin toimesta, haastattelut asianomaisten osapuolten kanssa sekä löydösten ja toteutettujen toimenpiteiden dokumentoinnin. Raportointijakson aikana ei raportoitu syrjintätapauksia, mukaan lukien häirintä, ei vakavia ihmisoikeusloukkauksia havaittu eikä määrätty sakkoja, rangaistuksia tai korvausmaksuja. WithSecure on sitoutunut jatkuvasti seuraamaan, parantamaan ja vahvistamaan toimintaperiaatteitaan ja menettelyjään kunnioittavan, osallistavan ja eettisen työympäristön edistämiseksi.

Syrjintää ja ihmisoikeustapauksia koskevat mittarit

ESRS S4 – Kuluttajat ja loppukäyttäjät

SBM-3 – Olennaiset kuluttajiin ja loppukäyttäjiin liittyvät vaikutukset, riskit ja mahdollisuudet

WithSecuren liiketoiminta keskittyy ohjelmistopalvelujen ja niihin liittyvien kyberturvallisuuspalvelujen tarjoamiseen. WithSecure on tunnistanut liiketoiminnan harjoittamiseen liittyvät olennaiset vaikutukset, riskit ja mahdollisuudet kaksoisolennaisuusarvioinnin perusteella, joka on kuvattu omassa osiossaan “SBM-3 – Olennaiset kestävyyteen liittyvät vaikutukset, riskit ja mahdollisuudet”. ESRS-osa-aiheen ”Kuluttajia ja loppukäyttäjiä koskevat dataan liittyvät vaikutukset” ja erityisesti osaosa-aiheen ”Tietosuoja” on tunnistettu olevan yhtiön kannalta tärkeä.

WithSecure tarjoaa palveluja muille yrityksille, joten S4-standardi kattaa WithSecuren ohjelmistojen ja palvelujen loppukäyttäjät, koska WithSecurella ei ole kuluttajille suunnattua tarjoomaa. Näiden loppukäyttäjien on tunnistettu olevan WithSecuren asiakasyritysten työntekijöitä.

Tunnistettujen loppukäyttäjien kautta WithSecuren toiminnoilla on merkittävä myönteinen vaikutus yhteiskuntaan. WithSecuren ydinliiketoimintaa on toimivan digitaalisen yhteiskunnan mahdollistaminen, jonka myönteiset seuraukset ja niihin liittyvät tietosuoja- ja kyberturvallisuusnäkökulmat ovat merkittäviä. Myönteisten vaikutusten on arvioitu toteutuvan arvoketjun loppupäässä lyhyellä aikavälillä.

Toisaalta näihin samoihin aiheisiin liittyy WithSecuren näkökulmasta myös taloudellisia riskejä ja mahdollisuuksia. Yhtiö on arvioinut, että sekä loppukäyttäjien tarpeisiin vastaamiseen liittyvä mahdollisuus että kehittyvästä sääntelystä aiheutuva lisääntyviin investointitarpeisiin liittyvä riski toteutuvat lyhyellä aikavälillä. Vahinkoa aiheuttavan toiminnan kohteeksi joutumisen riskin puolestaan katsotaan toteutuvan keskipitkällä aikavälillä.

Koska WithSecure toimii kyberturvallisuusalalla, yhtiön käsiin luotettuja loppukäyttäjien henkilötietoja koskeva tietosuoja ja -turva ovat ensiarvoisen tärkeitä. Loppukäyttäjiin kohdistuvien merkittävien vaikutusten vähentäminen on integroitu WithSecuren strategiaan ja liiketoimintamalliin siten, että yhtiö parantaa tietosuoja- ja tietoturvakyvykkyyksiään jatkuvasti minimoidakseen tietomurtoihin liittyvän riskin. Samalla vahva kyberturvallisuus on WithSecuren kannalta olennaisen tärkeää, ja siksi WithSecuren omilla asiaankuuluvilla prosesseilla ja omaisuudella on olennainen rooli yhtiön sisäisen tietoturvan parantamisessa. Lisäksi on tärkeää tunnistaa, että tietoturva on edellytys tietosuojalle, sillä tietosuojan toteuttamiseen tarvitaan tietoturvaa.

Nämä aiheet liittyvät vahvasti WithSecuren ydinliiketoimintaan. WithSecuren loppukäyttäjien edut, näkemykset ja oikeudet ohjaavat yhtiön strategiaa. WithSecuren liiketoimintamalli perustuu yhtiön loppukäyttäjien tarpeiden ymmärtämiseen ja niihin vastaamiseen. Priorisoimalla nämä näkökohdat WithSecure varmistaa, että sen tuotteet ja palvelut ovat niiden käyttäjien odotusten ja vaatimusten mukaisia. Tämä paitsi parantaa asiakastyytyväisyyttä myös vahvistaa yhtiön markkina-asemaa ja pitkän aikavälin kestävyyttä.

S4-1 – Kuluttajiin ja loppukäyttäjiin liittyvät toimintaperiaatteet

WithSecuren tietoihin liittyvän vaikutuksen takia loppukäyttäjät ovat WithSecuren tietosuoja- ja tietoturvaprosessien keskiössä. Tämän vaikutuksen vuoksi WithSecure on asettanut toimintaperiaatteita, jotka ohjaavat yhtiön tietoihin liittyvää toimintaa. Yhtiöllä on erilliset toimintaperiaatteet kyberturvallisuus- ja tietosuoja-asioihin liittyen. Näiden toimintaperiaatteiden toteuttamisesta vastaava yhtiön ylin taso on johtoryhmään kuuluvat kunkin liiketoimintayksikön vetäjät, jotka työskentelevät läheisimmin kyseisten toimintaperiaatteiden kanssa.

WithSecuren tietosuojaa koskevat periaatteet ja henkilötietopolitiikka muodostavat yhdessä yhtiön tietosuojakäytäntöjen peruspilarit. WithSecuren tietosuojaa koskevat periaatteet ovat saatavilla yhtiön verkkosivustolla.

WithSecuren ensisijainen tietosuojaa koskeva periaate mukailee datan minimoimista koskevaa periaatetta, jonka mukaan yhtiö pyytää asiakkailta vain niitä henkilötietoja, joita se tarvitsee palvellakseen heitä. Lisäksi WithSecure tekee yhteistyötä sellaisten palveluntarjoajien kanssa, jotka ovat yhtä sitoutuneita tietosuojaan ja tietoturvaan kuin yhtiö itse on. Nämä periaatteet toimivat muistutuksena WithSecuren liiketoiminnan kannalta olennaisista, perustavanlaatuisista tietosuojaperiaatteista, ja viime kädessä ne varmistavat yhdenmukaisuuden asiaankuuluvien sovellettavien lakien ja säännösten kanssa. Lisäksi ne takaavat, että tietosuojaan suhtaudutaan perustavanlaatuisena oikeutena, varmistaen WithSecuren loppukäyttäjien oikeuden yksityisyyteen. WithSecure noudattaa myös GDPR:ssä määriteltyjä tietosuojaperiaatteita. Varmistaakseen, että tietosuoja huomioidaan jo suunnitteluvaiheessa, WithSecure on sisällyttänyt nämä periaatteet myös yhtiön henkilötietopolitiikkaan.

Tietosuojaan liittyvät toimintaperiaatteet on suunniteltu siten, että ne kunnioittavat WithSecuren loppukäyttäjien tietosuojaa mahdollistaen samalla henkilötietojen käyttämisen yhtiön palveluiden tarjoamisessa. WithSecure ei esimerkiksi ota käyttöön mitään työkaluja tai tarjoa mitään palveluja suorittamatta kattavaa tietosuojavaikutusten arviointia, jos työkalua tai palvelua hyödynnetään henkilötietojen käsittelemisessä. WithSecuren henkilötietopolitiikka tarkistetaan vähintään vuosittain ja päivitetään tarvittaessa. WithSecuren tietosuojastrategian mukaisesti tietosuojaprosessien ja -dokumentaation tarkoituksena on olla mahdollisimman yksinkertaisia vaatimustenmukaisuuden skaalautuvuuden maksimoimiseksi. Siten kukin yksittäinen työntekijä voi pitää yllä kyberturvallisuusyhtiön työntekijöiltä edellytettävää tietosuojan tasoa.

WithSecuren kuluttajiin ja loppukäyttäjiin liittyvät toimintaperiaatteet varmistavat, että WithSecuren omat ja arvoketjun toiminnot ovat linjassa yhtiön sitoutumisen kanssa kestävyyteen, tietosuojaan ja ihmisoikeuksiin. Integroimalla nämä periaatteet arvoketjun sekä alku- että loppupään toimintoihin WithSecure pyrkii luomaan positiivisen vaikutuksen koko arvoketjuunsa, edistäen vastuullisuuden ja eettisen liiketoiminnan kulttuuria.

Arvoketjun alkupään vaikutusten osalta WithSecure suorittaa toimittaja-arviointeja ja tarkastuksia varmistaakseen, että toimittajat noudattavat WithSecuren liiketoimintakäytäntöjä. Tämä on kuvattu tarkemmin osiossa “G1-2 – Toimittajasuhteiden hallinta”. Omien toimintojen osalta WithSecure tarjoaa työntekijöille kattavia koulutuksia tietosuojasta ja tietoturvasta varmistaakseen, että he käsittelevät tietoa vastuullisesti. Arvoketjun loppupään toiminnot sisältävät palvelujen toimittamisen loppukäyttäjille, tietosuoja- ja tietoturvakäytäntöjen ylläpitämisen sekä vuorovaikutuksen asiakkaiden kanssa heidän huolenaiheidensa käsittelemiseksi. Tukeakseen arvoketjun sekä alku- että loppupään toimintoja WithSecure tarkistaa ja päivittää tietosuoja- ja tietoturvakäytäntöjään säännöllisesti vastaamaan uusimpia sääntelyvaatimuksia ja alan parhaita käytäntöjä.

Sidosryhmien näkemykset selvitettiin huolellisesti, kun olennaiset vaikutukset, riskit ja mahdollisuudet määriteltiin osana kaksoisolennaisuusarviota. WithSecure on ottanut huomioon keskeisten sidosryhmien, kuten työntekijöiden, asiakkaiden, toimittajien ja sijoittajien, edut toimintaperiaatteidensa laatimisessa. Tämä saavutettiin esimerkiksi keskustelujen avulla, joissa kerättiin heidän näkemyksiään ja varmistettiin, että heidän huolenaiheensa käsitellään ja otetaan huomioon. WithSecure järjesti mm. tapaamisia sidosryhmien kanssa kerätäkseen palautetta tietosuoja- ja tietoturvakäytännöistä, jotka sitten sisällytettiin toimintaperiaatteiden kehitysprosesseihin. Siten sidosryhmät ovat osallistuneet toimintaperiaatteiden laatimiseen ja heidän näkemyksensä on sisällytetty toimintaperiaatteisiin.

WithSecure varmistaa, että kaikki sen työntekijät ovat tietoisia sen sisäisistä toimintaperiaatteista ja noudattavat niitä sisällyttämällä ne osaksi pakollista perehdytysprosessiin ja pakollisia koulutuksia. Kaikki toimintaperiaatteet ovat WithSecuren työntekijöiden saatavilla esimerkiksi WithSecuren intranetissä, ja kaikki muutokset niihin viestitään koko yhtiölle. Tietyt toimintaperiaatteet ovat myös julkisesti saatavilla. Erityisesti vaikutuksen kohteena olevia sidosryhmiä koskevat toimintaperiaatteet, kuten eettiset toimintaohjeet ja whistleblowing-kanava, ovat helposti saatavilla WithSecuren verkkosivuilla. Lisätietoja näistä löytyy osiossa “G1-1 – Liiketoiminnan harjoittamista koskevat toimintaperiaatteet ja yrityskulttuuri”. Kolmansien osapuolten osalta WithSecure varmistaa sisäisten toimintaperiaatteiden noudattamisen sisällyttämällä ne sopimuskehyksiin sopimusten liitteinä. Kaikkia WithSecuren toimintaperiaatteita tarkastellaan ja valvotaan säännöllisesti noudattamisen varmistamiseksi ja parannuskohteiden tunnistamiseksi. Näillä toimenpiteillä edesautetaan tietoisuuden lisäämistä ja toimintaperiaatteiden noudattamista.

Ihmisoikeuksien osalta WithSecure on yleisesti ottaen toimintaperiaatteissaan sitoutunut kunnioittamaan kansainvälisesti tunnustettuja ihmisoikeusstandardeja yhtiön eettisten toimintaohjeiden mukaisesti. WithSecuren omiin toimintoihin liittyen ei ole raportoitu vakavia WithSecuren loppukäyttäjiin liittyviä ihmisoikeusongelmia tai ihmisoikeusloukkauksia, joissa olisi laiminlyöty yritystoimintaa ja ihmisoikeuksia koskevia YK:n ohjaavia periaatteita, Kansainvälisen työjärjestön (ILO) julistusta työelämän perusperiaatteista ja -oikeuksista tai OECD:n toimintaohjeita monikansallisille yrityksille.

Ohjelmistojen ja palvelujen tarjoajana WithSecurella on rajallinen kyky vaikuttaa yhtiön loppukäyttäjien ihmisoikeuksiin. Tämä johtuu ensisijaisesti siitä, että WithSecuren tuotteet ja palvelut on suunniteltu ennemminkin tukemaan yritysten liiketoimintoja kuin olemaan vuorovaikutuksessa yksittäisten käyttäjien kanssa tavalla, joka voisi vaikuttaa heidän perustavanlaatuisiin oikeuksiinsa.

Jos arvoketjun loppupäässä havaitaan asiaan liittyen ristiriitoja, loppukäyttäjät voivat olla WithSecureen yhteydessä erilaisten julkisten ja sisäisten kanavien kautta. Nämä kanavat on kuvattu osiossa “S4-2 – Prosessit, jotka koskevat yhteydenpitoa kuluttajien ja loppukäyttäjien kanssa”.

WithSecure arvioi tietosuojasääntelyn vaikutusta sen toimintoihin ja tunnistaa niihin liittyviä tärkeitä sääntelyvaatimuksia jatkuvasti. Nämä vaatimukset huomioidaan tässä toimintaperiaatteessa ottamalla käyttöön asiaankuuluvia vaatimustenmukaisuutta koskevia prosesseja ja valvontamenetelmiä. 

Tietosuojaperiaatteiden noudattaminen varmistetaan esimerkiksi tietosuojavaikutusten arviointiprosessin avulla.

Tätä toimintaperiaatetta sovelletaan kaikkiin WithSecuren ja sen tytäryhtiöiden työntekijöihin ja alihankkijoihin. Tämä toimintaperiaate tarkistetaan vuosittain sidosryhmien näkemykset ja palaute huomioiden.

Tämän dokumentin tavoitteena on määrittää WithSecuren tietosuojan hallintatoimien painopistealueet sekä yhteinen tavoitetaso ja riskinottohalukkuus WithSecuren kaikille tietosuojaan liittyville toimille.

Tämä toimintaperiaate on ensisijaisesti suunnattu kaikille työntekijöille, joiden työtehtävät edellyttävät yhtiön strategisten tietosuojatavoitteiden ymmärtämistä.

Tämä toimintaperiaate tarkistetaan säännöllisesti sidosryhmien näkemykset ja palaute huomioiden.

Tämä prosessi kuvaa, miten epäillyistä henkilötietojen tietoturvaloukkauksista raportoidaan, miten niitä tutkitaan ja miten niistä ilmoitetaan viranomaisille ja asianosaisille henkilöille.

Kaikki WithSecuren työntekijät kuuluvat tämän toimintaperiaatteen piiriin. Tämä toimintaperiaate tarkistetaan vuosittain sidosryhmien näkemykset ja palaute huomioiden.

Tämän dokumentin tarkoituksena on kuvata WithSecuren sisäistä, rekisteröityjen henkilöiden tekemien pyyntöjen käsittelyä koskevaa prosessia, jonka myötä yhtiö täyttää velvollisuutensa ja varmistaa, että rekisteröityjen henkilöiden oikeudet toteutuvat GDPR:n mukaisesti.

Kaikkien WithSecuren työntekijöiden on oltava tietoisia tästä prosessista. Seuraavien toimintojen/tiimien tulee noudattaa tätä prosessia: asiakkuuksien hoito, GDPR-koordinaattorit, järjestelmien omistajat ja esihenkilöt.

Kyberturvallisuusperiaatteissa on määritelty kyberturvallisuuden hallinnan tavoitteet, roolit ja vastuut sekä tavoitteiden toteuttamista koskevat periaatteet. Tämä dokumentti koskee kaikkia työntekijöitä ja kolmansia osapuolia, joilla on pääsy WithSecuren dataan. 

WithSecuren kyberturvallisuustavoitteiden saavuttamisen varmistamiseksi tietoturvan hallinta kuuluu WithSecuren tietoturvajohtajan tehtäviin. Tietoturvajohtaja raportoi yhtiön toimitusjohtajalle ja hallituksen tarkastusvaliokunnalle. Ohjelmistojen tietoturvaa hallitsee pääohjelmistoarkkitehti, joka raportoi tuotejohtajalle. Tietosuojaa johtaa tietosuojavaltuutettu, joka raportoi lakiasiainjohtajalle.

Kyberturvallisuusperiaatteet tarkistetaan, kun yhtiön suunnassa, strategiassa tai organisaatiossa tapahtuu merkittäviä muutoksia.

Elinkaaripolitiikka varmistaa, että kaikki tuotteet ja palvelut vastaavat tietosuoja- ja tietoturvavaatimuksia niiden elinkaaren kaikissa vaiheissa, mukaan lukien suunnittelu-, kehitys- ja käyttövaiheet.

Tämä toimintaperiaate sisältää vaatimuksia, kuten pakollinen käyttöoikeuksien hallinnan analyysi, uhkamallinnus ja tietosuojavaikutusten analyysi (jos järjestelmässä käsitellään henkilötietoja).

Tämä toimintaperiaate koskee kaikkia WithSecuren käyttämiä ja myymiä järjestelmiä, tuotteita ja palveluja. Tämä toimintaperiaate tarkistetaan vuosittain sidosryhmien näkemykset ja palaute huomioiden.

Tietojen turvaluokitusta koskeva toimintaperiaate kuvaa vaatimuksia, jotka koskevat tietojenkäsittelyä tietojen koko elinkaaren aikana. Se määrittää, miten tiedot luokitellaan ja miten niitä käytetään, säilytetään, siirretään ja tuhotaan luokituksen mukaisesti. Luokituksessa on neljä tasoa: julkiset, sisäiset, luottamukselliset ja rajoitetun käyttöoikeuden (”public, internal, confidential and restricted access”) dokumentit.

Tämä toimintaperiaate koskee kaikkia WithSecuren palveluksessa tai sen puolesta työskenteleviä työsuhteisia työntekijöitä, määräaikaisia työntekijöitä, konsultteja, urakoitsijoita ja toimittajia, joilla on pääsy yhtiön tietoihin. Toimintaperiaatetta sovelletaan maailmanlaajuisesti ja kaikissa toimipaikoissa, joissa tietovarantoja säilytetään tai joista tietovarantoihin voidaan päästä käsiksi.

Kaikilla yhtiön tietovarannoilla on omistaja. Omistaja on vastuussa tietojen asianmukaisesta luokituksesta. Omistajuus ja omistajan asema vaihtelee tiedosta riippuen. Tämä toimintaperiaate tarkistetaan vuosittain sidosryhmien näkemykset ja palaute huomioiden.

Tietojen hyväksyttyä käyttöä koskevat käytännöt asettaa rajat yrityksen tietojen ja muiden omaisuuserien hyväksytylle käytölle. Ne sisältävät tietoturvavaatimukset, jotka koskevat esimerkiksi etä- ja liikkuvaa työtä, poistettavan median käyttöä, omaisuuden viemistä toimipisteen ulkopuolelle, ulkoisten palvelujen käyttöä sekä puhtaan pöydän ja näytön toimintaperiaatteita.

Tämä toimintaperiaate koskee kaikkia WithSecuren palveluksessa tai sen puolesta työskenteleviä työsuhteisia työntekijöitä, määräaikaisia työntekijöitä, konsultteja, urakoitsijoita ja toimittajia, joilla on pääsy yhtiön tietojärjestelmiin ja -varantoihin. Toimintaperiaatetta sovelletaan maailmanlaajuisesti ja kaikissa toimipaikoissa, joissa tietovarantoja säilytetään tai joista tietovarantoihin voidaan päästä käsiksi.

Yhtiön henkilöstö on vastuussa laitteiden ja yhtiön tietojärjestelmien ja -varantojen turvallisuuden varmistamisesta. Tämä toimintaperiaate tarkistetaan vuosittain sidosryhmien näkemykset ja palaute huomioiden.

Tässä toimintaperiaatteessa on määritelty sovellusten, järjestelmien, laitteiden, verkkojen, toimitilojen ja tietojen käyttöoikeuksia koskevat säännöt liiketoimintavaatimusten mukaisesti. Toimintaperiaate kuvaa, miten käyttäjät varmentavat henkilöllisyytensä kirjautuessaan WithSecuren järjestelmiin ja palveluihin sekä miten salasanoja hallitaan. Käyttöoikeuksien hallinta perustuu pienimmän valtuuden periaatteeseen ja tarpeellisuusperiaatteeseen.

Tämä toimintaperiaate koskee kaikkia työntekijöitä, jotka osallistuvat yhtiön sovellusten, järjestelmien, verkkojen tai palveluiden käyttöoikeuksien suunnitteluun, ylläpitämiseen ja/tai jakamiseen. Toimintaperiaatetta sovelletaan maailmanlaajuisesti. Jokaisen WithSecuren työntekijän on noudatettava käyttöoikeuksien hallintaa koskevaa toimintaperiaatetta järjestelmien hallinnassa ja käytössä. Käyttöoikeuksien hallinta perustuu pienimmän valtuuden periaatteeseen ja tarpeellisuusperiaatteeseen.

Tämä toimintaperiaate tarkistetaan vuosittain sidosryhmien näkemykset ja palaute huomioiden.

Perustason turvallisuutta koskeva toimintaperiaate kuvaa järjestelmätoimintoja koskevia vaatimuksia. Toimintaperiaatteessa on määritelty muun muassa seuraavia asioita koskevat vaatimukset: toimintojen turvallisuus (esim. haavoittuvuuksien hallinta, häirinnän havaitseminen, haittaohjelmien torjuntajärjestelmä, järjestelmien tietoturvan vahvistaminen, varmuuskopiot), käyttäjien käyttöoikeuksien hallinta (esim. istuntojen tietoturva) ja käyttöoikeuksien hallinta (esim. hallintakäyttöliittymien käyttöoikeuksien rajoittaminen), kryptografian käyttö (esim. salatut yhteydet), tietosuoja (esim. pseudonymisointi) sekä rekisteröinti ja monitorointi.

Toimintaperiaate koskee kaikkia WithSecuren palveluksessa tai sen puolesta työskenteleviä työsuhteisia työntekijöitä, määräaikaisia työntekijöitä, konsultteja, urakoitsijoita ja toimittajia, joilla on pääsy yhtiön tietoihin. Toimintaperiaatetta sovelletaan maailmanlaajuisesti. Tämä toimintaperiaate tarkistetaan vuosittain sidosryhmien näkemykset ja palaute huomioiden.

Liiketoiminnan jatkuvuuden hallintaa koskeva toimintaperiaate määrittelee WithSecuren liiketoiminnan jatkuvuuden hallintaa koskevat periaatteet, mukaan lukien roolit, vastuut ja tavoitteet. Lisäksi se kuvaa liiketoiminnan jatkuvuuden hallintaa koskevaa viitekehystä, joka pohjautuu yhtiön riskienhallintaan, riskienhallintatoimista johtuvien keskeisten toimien liiketoiminta-analyysiin sekä liiketoiminnan jatkuvuutta ja toipumissuunnitelmia koskeviin valmisteleviin toimenpiteisiin. Lisäksi toimintaperiaatteessa on määritelty elvytyssuunnitelmiin liittyvää vuosittaista tarkastelua/koulutusta/testausta koskevat vaatimukset.

Tämä toimintaperiaate on suunnattu työntekijöille, jotka ovat vastuussa liiketoiminnan jatkuvuuden hallinnasta ja elvytyssuunnitelmista sekä näihin liittyvien käytäntöjen toimeenpanemisesta. Tämä toimintaperiaate tarkistetaan vuosittain sidosryhmien näkemykset ja palaute huomioiden.

S4-2 – Prosessit, jotka koskevat yhteydenpitoa kuluttajien ja loppukäyttäjien kanssa

WithSecuren loppukäyttäjien näkemykset on integroitu vaikutusten, riskien ja mahdollisuuksien hallintaan kokonaisvaltaisesti. WithSecuren ohjelmistojen ja palveluiden loppukäyttäjiä haastateltiin osana kaksoisolennaisuusarvion yhteydessä toteutettuja sidosryhmähaastatteluja.

Loppukäyttäjät ovat osallistuneet ja heidän näkemyksensä on sisällytetty heitä koskevien olennaisten vaikutusten, riskien ja mahdollisuuksien tunnistamiseen sekä näiden näkökohtien hallintaan. WithSecuren kumppaneiden ja asiakkaiden näkökulmat analysoitiin kattavasti osana kaksoisolennaisuusarviota. Sidosryhmien näkemykset ja palaute käytiin läpi huolellisesti ja integroitiin WithSecuren toimintoihin. Nämä näkökulmat sisälsivät luontaisesti sidosryhmien edustamien loppukäyttäjien näkemykset.

WithSecuren ja loppukäyttäjien välistä jatkuvaa vuorovaikutusta ajatellen yhtiön käytössä on palaute- ja vuorovaikutuskanavia, joiden kautta esimerkiksi kumppanit voivat olla yhteydessä yhtiöön tai ohjelmistojen ja palvelujen loppukäyttäjät voivat lähettää palautetta. WithSecuren myyntitoiminto on erityisen sitoutunut jakamaan loppukäyttäjiltä saatua palautetta ja varmistamaan, että loppukäyttäjien huolenaiheisiin ja tarpeisiin vastataan.

Julkisesti saatavilla olevat tietosuojatoimintaperiaatteet tarjoavat pääsyn tukikanaviin. Tiettyjä tietosuojaan ja kyberturvallisuuteen liittyviä sisäisiä toimintaperiaatteita varten WithSecurella on Trust Center -verkkosivusto, jonka kautta loppukäyttäjät voivat tehdä tietoturvaan liittyviä tietopyyntöjä. Lisäksi loppukäyttäjien saatavilla on erilliset yhteystiedot, joiden avulla he voivat olla suoraan yhteydessä WithSecuren tietosuojavaltuutettuun. Tietosuojaa ajatellen WithSecurella on käytössään tietosuojaan ja rekisteröityihin henkilöihin liittyviä pyyntöjä koskeva tukikanava sekä rekisteröityjen henkilöiden käyttöoikeuksia koskeva prosessi, joka kuvaa loppukäyttäjien tai heidän edustajiensa tekemiin pyyntöihin liittyvää prosessia. WithSecuren whistleblowing-kanava on myös kaikkien saatavilla, mukaan lukien yhtiön loppukäyttäjät.

S4-3 – Prosessit kielteisten vaikutusten korjaamiseksi ja kanavat kuluttajille ja loppukäyttäjille huolenaiheiden esiin tuomiseksi

WithSecurella on käytössään asiakkuuksien hoitoon ja asiakastukeen liittyvä kanava, jonka avulla yhtiö pyrkii korjaamaan loppukäyttäjiin kohdistuvia kielteisiä vaikutuksia tilanteissa, joissa loppukäyttäjät ovat ilmaisseet huolenaiheensa. Nämä kanavat mahdollistavat oikea-aikaisen reagoinnin WithSecuren loppukäyttäjien esiin nostamiin huolenaiheisiin.

Vastuu loppukäyttäjäpalautteen vastaanottamisen ja dialogin varmistamisesta on jaettu WithSecuressa eri tahoille ja osastoille. Näihin lukeutuvat rajoituksetta yhtiön myynti- ja asiakaspalvelutoiminnot sekä tietyt tietosuoja- ja muille asioille nimetyt yhteyshenkilöt. Tämä lähestymistapa varmistaa, että loppukäyttäjien osallistaminen on kattavaa ja että tärkeät tiedot toimitetaan WithSecuren loppukäyttäjille oikea-aikaisesti, mahdollistaen oikea-aikaisen sisäisen päätöksenteon.

Yhtiö järjestää kuukausittaisia tietoturvan hallintajärjestelmää koskevia kokoontumisia, joissa raportoidaan asiaankuuluvista tietoturva- ja tietosuoja-asioista yhtiön ylemmälle johdolle. Tämä prosessi varmistaa, että asianmukaiset ja oikea-aikaiset toimet voidaan tehdä WithSecuren loppukäyttäjiin kohdistuvien mahdollisten kielteisten vaikutusten korjaamiseksi.

Näihin toimenpiteisiin osallistuu lukuisia sisäisten toimintojen ja ylemmän johdon edustajia. Yhtiön tietoturvajohtajan edustaja esimerkiksi tarjoaa kuukausittaisen operatiivisen yhteenvedon, jossa arvioidaan kuukausittaisia tietosuojaan liittyviä raportteja, huolenaiheita ja toimia. Tietoturvajohtaja raportoi yhtiön hallituksen tarkastusvaliokunnalle kahdesti vuodessa. Tällöin tietoturvajohtaja tarjoaa yhteenvedon nykytilanteesta, mukaan lukien mahdolliset olennaiset tietoturvaan ja tietosuojaan vaikuttavat tapaukset ja riskit. Yhtiön tietosuojavaltuutettu toimittaa tietoturvan ohjausryhmälle tietosuojaa koskevan yhteenvedon (mukaan lukien WithSecuren tietosuojakyvykkyyden nykytila) kerran vuodessa. Ohjausryhmään kuuluu konsernin johtoryhmä, ja se kokoontuu neljännesvuosittain.

WithSecure pyrkii jatkuvasti lisäämään loppukäyttäjien tietoisuutta WithSecuren tietosuojatoimista ja sitoutumisesta läpinäkyvyyteen ja kasvattamaan heidän luottamustaan näihin toimiin. Osana tätä pyrkimystä yhtiö on määrittänyt osallistamistapoja, jotka ovat julkisesti saatavilla yhtiön tietosuojatoimintaperiaatteissa ja yksityisyysperiaatteissa. Luottamuksen lisäämiseksi WithSecuren käytössä on kolmannen osapuolen hallinnoima whistleblowing-kanava. Tämä takaa vastatoimilta suojaamisen. Lisätietoa whistleblowing-kanavasta ja -politiikasta on kohdassa “Väärinkäytösten paljastajien suojelu” osiossa “G1-1 – Liiketoiminnan harjoittamista koskevat toimintaperiaatteet ja yrityskulttuuri”.

S4-4 – Kuluttajiin ja loppukäyttäjiin kohdistuviin olennaisiin riskeihin liittyviin toimiin ryhtyminen ja lähestymistavat kuluttajiin ja loppukäyttäjiin kohdistuvien olennaisten riskien hallitsemiseksi ja olennaisten mahdollisuuksien hyödyntämiseksi sekä kyseisten toimien tehokkuus

Tietoisuuden lisääminen sisäisesti ja ulkoisesti sekä valikoitujen toimintaperiaatteiden ja sertifiointien pitäminen ajan tasalla ovat tärkeimpiä toimia, joilla WithSecure voi vähentää mahdollisia kielteisiä vaikutuksia ja riskejä ja ylläpitää samalla myönteisten vaikutusten ja mahdollisuuksien mahdollisia ulkoisvaikutuksia. Yksi näiden toimien tavoitteista on välttää WithSecuren loppukäyttäjiin yhtiön omien käytäntöjen kautta kohdistuvien kielteisten vaikutusten aiheuttaminen tai niiden edistäminen. Nämä vaikutukset voidaan minimoida pitämällä yllä henkilöstön tietoisuutta ja ajantasaisia operatiivisia käytäntöjä. Koska WithSecure toimii kyberturvallisuusalalla, näiden asioiden asianmukainen hallinta on koko liiketoiminnan etujen mukaista ja linkittyy samalla tiiviisti WithSecuren loppukäyttäjien ja muiden sidosryhmien etuihin.

WithSecure on sitoutunut tietosuojatietoisuuden lisäämiseen sekä kumppaneiden ja loppukäyttäjien tukemiseen tietosuojaan ja kyberturvallisuuteen liittyvissä asioissa. Tämä kattaa WithSecuren oman työvoiman tietosuoja- ja kyberturvallisuustietoisuuden ylläpitämisen. Tietoisuutta lisätään jatkuvasti asiaankuuluvien koulutusten avulla. Tietosuoja- ja kyberturvallisuustietoisuutta koskevat pakolliset koulutukset ovat osa uusien työntekijöiden perehdyttämistä. Kaikkien työntekijöiden tulee suorittaa kyberturvallisuustietoisuutta koskeva koulutus kerran vuodessa. Näille koulutuksille ei ole kohdennettu merkittäviä menoeriä, sillä niiden katsotaan olevan osa yleistä toimintaa.

Yhtiön tietosuojavaltuutettu järjestää WithSecuren työntekijöille tietosuojaa koskevaa sisäistä lisäkoulutusta tarpeen mukaan keskittyen tiettyihin liiketoimintayksiköihin tai sisäisiin toimintoihin. Tietosuojavaikutusten arviointia koskevan koulutuksen suorittaminen on pakollista kaikille WithSecuren työntekijöille, jotka hallitsevat henkilötietojen käsittelyssä käytettäviä työkaluja, tuotteita tai palveluita. Näiden koulutusten suorittamista seurataan vaatimustenmukaisuuden varmistamiseksi.

Kuten todettua, sisäisten kontrollien ja toimintaperiaatteiden pitäminen ajan tasalla on yksi keinoista, joilla WithSecure hallitsee tunnistettuja vaikutuksia, riskejä ja mahdollisuuksia. Tämä kattaa WithSecuren omat toiminnot. Sisäisiä kontrolleja ja toimintaperiaatteita hallitaan jatkuvasti. Ne tarkistetaan tarvittaessa ja suurin osa vähintään kerran vuodessa. WithSecure ylläpitää tietosuojaa ja tietoturvaa koskevaa dokumentaatiota, mukaan lukien sisäiset toimintaperiaatteet ja prosessit, joita päivitetään ja tarkastellaan säännöllisesti. WithSecurella on henkilökohtaisen tietomurron hallintaa koskeva prosessi, jotta yhtiö voi tunnistaa tarvittavat toimet epäillyn tietomurron ilmetessä. Tietoisuuden lisäämiselle ja tiettyjen toimintaperiaatteiden ja sertifiointien pitämiselle ajan tasalla ei ole kohdennettu merkittäviä menoeriä, sillä niiden katsotaan olevan osa yleistä toimintaa.

S4-5 – Olennaisten kielteisten vaikutusten hallintaan, myönteisten vaikutusten edistämiseen ja olennaisten riskien ja mahdollisuuksien hallintaan liittyvät tavoitteet

Tietosuojakoulutuksen suorittamisastetta koskeva tavoite on 90% kaikkien työntekijöiden osalta ja 95% uusien työntekijöiden osalta. Vuosittain suoritettavan pakollisen kyberturvallisuustietoisuuskoulutuksen suorittamisastetta koskeva tavoite on samoin 90% kaikkien työntekijöiden osalta ja 95% uusien työntekijöiden osalta. Täyttä 100% :n suorittamisastetta ei ole mahdollista saavuttaa, sillä tilastoihin ja raportointijärjestelmiin liittyvistä mahdollisista ongelmista sekä henkilöstön vaihtuvuudesta ja virkavapaista johtuen tietty virhemarginaali on aina otettava huomioon.

Tietosuoja- ja kyberturvallisuustietoisuuden lisäämistä mitataan seuraamalla niihin liittyvien koulutusten suorittamisastetta. Näitä mittareita koskeva tavoite havainnollistaa, kuinka suuri osa työntekijöistä on saanut tietoa tietosuoja- ja kyberturvallisuustietoisuudesta sekä vaatimustasosta, jota WithSecuren työntekijöiltä edellytetään. Tavoitetta kuvaa prosenttiluku, joka on suhteessa yhtiön työsuhteisten työntekijöiden lukumäärään. Mitattava yksikkö on koulutuksen suorittaneiden työntekijöiden lukumäärä.

Tavoitteeseen lasketaan mukaan kaikki WithSecuren palveluksessa työskentelevät henkilöt kaikissa yhtiön toimintamaissa. Näitä tavoitteita mitataan jatkuvasti ja vähintään vuosittain. Kyberturvallisuustietoisuutta koskevan koulutuksen suorittamisasteesta raportoidaan sisäisesti kuukausittain. Nämä suorittamisasteet ovat saatavilla suoraan koulutusalustalta. Sidosryhmien näkemykset selvitettiin huolellisesti, kun olennaiset vaikutukset, riskit ja mahdollisuudet määriteltiin osana kaksoisolennaisuusarviota. Siten sidosryhmät ovat osallistuneet ja heidän näkemyksensä on sisällytetty tavoitteiden valitsemiseen ja asettamiseen.

Näiden tavoitteiden perusarvot ovat vuoden 2024 raportoitavat luvut. Välitavoitteisiin ja välietappeihin kuuluu ilmoitettujen tavoitesuoritusasteiden jatkuva tarkastelu. Tavoitteet pyritään saavuttamaan vähintään vuosittain, ja suoritusasteita ylläpidetään tavoitteiden tasolla tai niiden yläpuolella myös seuraavina vuosina. Tietosuojakoulutuksen osalta suoritusasteet vuonna 2024 olivat 93%uusille työntekijöille ja 92% kaikille työntekijöille. Kyberturvallisuustietoisuuskoulutuksen osalta suoritusasteet vuonna 2024 olivat 100% uusille työntekijöille ja 96%kaikille työntekijöille. Suorituskyky on linjassa kyberturvallisuustietoisuuskoulutuksen tavoitteiden kanssa, ja lähellä tietosuojakoulutuksen tavoitetta. Koulutusten suoritusasteet ovat pysyneet asianmukaisella tasolla. Tämä osoittaa, että WithSecuren pyrkimykset ylläpitää korkeita koulutuksen suoritusasteita ovat tehokkaita, mikä parantaa tietoturva- ja kyberturvatietoisuutta yrityksessä. WithSecure selvittää tapoja kohottaa tietosuojakoulutuksen suoritusasteita vuoden 2025 aikana.

Sisäisten kontrollien ja toimintaperiaatteiden pitämistä ajan tasalla mitataan pitämällä kirjaa WithSecuren vuoden aikana kohtaamista merkittävistä tietoturvatapauksista sekä arvioimalla, onko WithSecure säilyttänyt saavuttamansa kyberturvallisuussertifioinnit ja -varmennukset. Tietoturvatapaukset luokitellaan merkittäviksi EU:n NIS2-direktiivin vaatimusten mukaisesti.

Tavoite havainnollistaa, miten hyvin yhtiö on kyennyt välttämään merkittävät tietoturvatapaukset, ja heijastaa asianmukaista kyberturvallisuuden hallintaa ja siihen liittyviä toimia. Mitattava yksikkö on WithSecuren tilikauden aikana kohtaamien merkittävien tietoturvatapausten absoluuttinen lukumäärä. Tavoite kattaa WithSecuren omat toiminnot. Tavoitetta mitataan jatkuvasti ja vähintään vuosittain. Sidosryhmien näkemykset selvitettiin huolellisesti, kun olennaiset vaikutukset, riskit ja mahdollisuudet määriteltiin osana kaksoisolennaisuusarviota. Siten sidosryhmät ovat osallistuneet ja heidän näkemyksensä on sisällytetty tavoitteiden valitsemiseen ja asettamiseen. Tavoitteena on, ettei tapahdu yhtäkään merkittävää tietoturvatapausta. Suorituskyky on linjassa tavoitteen kanssa, sillä vuonna 2024 ei tapahtunut merkittäviä turvallisuuspoikkeamia. Tapaukset luokitellaan merkittäviksi NIS2-direktiivin vaatimusten mukaisesti.

Kyberturvallisuussertifiointia koskevan toimen osalta mitataan sitä, onko saavutettu sertifiointi kyetty säilyttämään. Odotuksena on, että WithSecure saa globaalisti tunnustetun ISO 27001 -sertifioinnin, joka varmennetaan vuosittain ulkoisen tahon toimesta. Tavoite kuvaa, miten hyvin WithSecuren liiketavat vastaavat kansainvälisesti tunnustettua ISO 27001 -sertifiointia ja missä määrin yhtiö noudattaa tietyn tietoturvan hallintajärjestelmiä koskevan standardin vaatimuksia. Tavoitteena on saavuttaa ISO 27001 -sertifiointi joka vuosi. Tätä mitataan sillä, onko yhtiö saavuttanut sertifioinnin vai ei. Tavoite koskee valikoituja WithSecuren toimintoja, ja sitä monitoroidaan jatkuvasti ja tarkastellaan vähintään vuosittain. Sidosryhmien näkemykset selvitettiin huolellisesti, kun olennaiset vaikutukset, riskit ja mahdollisuudet määriteltiin osana kaksoisolennaisuusarviota. Siten sidosryhmät ovat osallistuneet ja heidän näkemyksensä on sisällytetty tavoitteiden valitsemiseen ja asettamiseen. Suorituskyky on linjassa suhteessa tavoitteeseen. ISO 27001 -sertifiointi säilytettiin myös vuonna 2024.

Hallintotapatiedot

ESRS G1 – Liiketoiminnan harjoittaminen

SBM-3 – Olennaiset liiketoiminnan harjoittamiseen liittyvät vaikutukset, riskit ja mahdollisuudet

WithSecure on tunnistanut liiketoiminnan harjoittamiseen liittyvät olennaiset vaikutukset, riskit ja mahdollisuudet kaksoisolennaisuusarvioinnin perusteella, joka on kuvattu omassa osiossaan “SBM-3 – Olennaiset liiketoiminnan harjoittamiseen liittyvät vaikutukset, riskit ja mahdollisuudet”. Yhtiön kannalta olennaisiksi aiheiksi tunnistettiin seuraavat ESRS-osa-aiheet: “Yrityskulttuuri”, “Väärinkäytösten paljastajien suojelu” ja ”Toimittajasuhteiden hallinta, mukaan lukien maksukäytännöt”.

Vaikutusten näkökulmasta WithSecure vaikuttaa myönteisesti liiketoiminnan harjoittamiseen yhtiön hyvin hallittujen liiketapojen ja whistleblowing-kanavan kaltaisten turvamekanismien kautta. WithSecurella on myönteinen vaikutus toimittajien hallintaan, sillä yhtiö painottaa eettisten liiketapojen merkitystä. Kumpikin näistä myönteisistä vaikutuksista heijastuu koko arvoketjussa, ja niiden on tunnistettu toteutuvan lyhyellä aikavälillä.

WithSecure ei ole tunnistanut olennaisia liiketoiminnan harjoittamiseen liittyviä taloudellisia mahdollisuuksia. Yhtiö uskoo, että sen liiketoiminnan harjoittamisen myönteiset vaikutukset ovat pääasiassa ulkoisia, kuten olennaiset myönteiset vaikutukset havainnollistavat.

Yhtiö uskoo, että sen liiketoiminnan harjoittamisen myönteiset vaikutukset ovat pääasiassa ulkoisia, kuten tunnistetut olennaiset myönteiset vaikutukset havainnollistavat.

Yhtiöön kohdistuvat mahdolliset liiketoiminnan harjoittamiseen liittyvät taloudelliset riskit koskevat yrityskulttuuria ja toimittajien hallintaa. Yhtiön toimialasta johtuen tietosuojariskin seuraukset ja niiden vaikutus WithSecuren maineeseen ovat korostetun suuria. Tietosuojariski vaikuttaa yhtiöön lyhyellä aikavälillä. Toinen olennainen taloudellinen riski liittyy toimittajien hallintaan sekä asianmukaisten ja eettisten toimittajia koskevien käytäntöjen edellyttämiin investointeihin. Tämän riskin on arvioitu toteutuvan keskipitkällä aikavälillä.

G1-1 – Liiketoiminnan harjoittamista koskevat toimintaperiaatteet ja yrityskulttuuri

WithSecure on määrittänyt joukon toimintaperiaatteita, joita sovelletaan yhtiön liiketoiminnan harjoittamiseen ja noudatetaan tunnistettujen olennaisten riskien lieventämisessä sekä tunnistettujen myönteisten vaikutusten korostamisessa. Yhtiön hallinto- ja valvontaelimet tarkistavat ja hyväksyvät nämä keskeiset toimintaperiaatteet, kun yhtiön johtoelimen edustajat ovat tarkistaneet ja hyväksyneet ne. Mikäli tiettyjen toimintaperiaatteiden toteuttaminen on tietyn ylimmän johdon edustajan vastuulla, asiasta kerrotaan toimintaperiaatteiden kuvauksessa. Aiheen “Yleiset tiedot” osio “GOV-1 – GOV-5 Kestävyyden johtaminen” sisältää kattavan kuvauksen hallinto-, johto- ja valvontaelinten yleisestä roolista ja osaamisesta.

Monet näistä toimintaperiaatteista ovat julkisesti saatavilla sen varmistamiseksi, että WithSecuren sidosryhmät pääsevät käsiksi tietoihin, jotka ohjaavat WithSecuren liiketoiminnan harjoittamista koskevia käytäntöjä.

Sidosryhmien näkemykset selvitettiin huolellisesti, kun olennaiset vaikutukset, riskit ja mahdollisuudet määriteltiin osana kaksoisolennaisuusarviota. Siten sidosryhmät ovat osallistuneet toimintaperiaatteiden laatimiseen ja heidän näkemyksensä on sisällytetty toimintaperiaatteisiin.

Näiden toimintaperiaatteiden toteuttamisesta vastaava yhtiön ylin taso on johtoryhmään kuuluvat kunkin liiketoimintayksikön vetäjät, jotka työskentelevät läheisimmin kyseisten toimintaperiaatteiden kanssa.

WithSecure ei ole tunnistanut yhtään riskialtista toimintoa. Kaikille WithSecuren uusille työntekijöille suoritetaan kolmannen osapuolen toteuttama taustojen tarkistusprosessi. Taustojen tarkistuksen laajuus määritellään roolin ja siihen kuuluvien oikeuksien mukaan.

Varmistaakseen eettisen liiketoiminnan harjoittamisen mahdollisimman kokonaisvaltaisesti WithSecure hyödyntää liiketoiminnan harjoittamiseen liittyvien tapausten tutkimisessa samoja menettelytapoja kuin whistleblowing-kanavaa koskevissa tapauksissa. Lisätietoa whistleblowing-kanavasta ja -politiikasta on kohdassa “Väärinkäytösten paljastajien suojelu”.

Epäeettisen liiketoiminnan harjoittamiseen liittyviä tapauksia, kuten korruptio- ja lahjontatapauksia tai epäeettistä toimintaa koskevia whistleblowing-raportteja, koskevat tiedot välitetään WithSecuren hallitukselle tuloksia koskevissa yhteenvedoissa kuukausittain tai tarvittaessa useammin. Prosessi koostuu samoista menettelytavoista ja suositelluista toimista kuin whistleblowing-tapauksia koskeva prosessi. Reagointia vaativien tapausten varalta WithSecurella on tapausten tutkimista koskeva prosessi. Prosessiin ei kuulu tutkinnasta vastaavaa sisäistä elintä, vaan epäilyttävää toimintaa havaittuaan WithSecure käynnistää auditointi- ja varmennusprosessit yhdessä ulkoisten palveluntarjoajien kanssa.

Jotta yhtiö voi tutkia liiketoiminnan harjoittamiseen liittyvät tapaukset viipymättä, itsenäisesti ja objektiivisesti, WithSecuren hallituksen tarkastusvaliokunta arvioi sisäisen tarkastuksen tarvetta ja sopivuutta säännöllisesti.  Tähän mennessä tarkastusvaliokunta on todennut, että yhtiön koon, organisaatiorakenteen ja pääasiassa keskitetysti valvotun taloushallinnon vuoksi erilliselle sisäiselle tarkastukselle ei ole tarvetta. Sisäisten tarkastusten välillä yhtiö tarkistaa säännöllisesti kirjanpitoa, raportointia, dokumentaatiota, valtuutusta, riskienhallintaa, sisäistä valvontaa ja muita olennaisia asioita koskevat kirjalliset ohjeet ja toimintaperiaatteet kaikissa osastoissa. Tähän liittyvät kontrollit myös testataan vuosittain. Ohjeistuksia ja toimintaperiaatteita koordinoi yhtiön talousosasto, joka saa aktiivisesti apua lakiasiainosastolta.

WithSecuren käytössä on myös erityisiä korruption ja lahjonnan ehkäisemiseen tarkoitettuja mekanismeja. Yksi mekanismeista on kuluihin liittyvien tietojen monitorointi. Yhtiöllä on käytössään kattavat laskutuksen ja maksujen hallintaprosessit mahdollisten väärinkäytösyritysten havaitsemiseksi. Asianmukaisella ja kattavalla laskutuksen hallinnalla on tässä tärkeä rooli. Toinen mahdollisen korruption tai lahjonnan ehkäisemiseen, havaitsemiseen ja tutkimiseen käytetty mekanismi on yhtiön whistleblowing-kanava, josta on lisätietoa alempana osiossa “Väärinkäytösten paljastajien suojelu”.

Vuonna 2024 ei ollut yhtään vahvistettua korruptio- tai lahjontatapausta tai niihin liittyviä tuomioita tai sakkoja.

Tietoisuuden lisääminen sekä sisäisesti oman henkilöstön että ulkoisesti sidosryhmien ja muiden kiinnostuneiden tahojen keskuudessa on tärkein toimi, jonka avulla WithSecure lieventää ja vähentää tunnistettuja olennaisia riskejä edistäen ja korostaen samalla myönteisiä vaikutuksia. Tämä kattaa sekä eettisen liiketoiminnan harjoittamiseen että väärinkäytösten paljastajien suojeluun liittyvät tiedot. Näiden toimien odotettu tulos on luoda hyvin informoitu työvoima, joka ymmärtää ja noudattaa eettisiä liiketoimintakäytäntöjä, vähentäen siten yhtiön riskejä ja lisäten positiivisia vaikutuksia. Tietoisuuden lisääminen on jatkuva prosessi, joka ilmenee lyhyellä, keskipitkällä ja pitkällä aikavälillä. WithSecure ylläpitää näitä toimia erilaisilla keinoilla.

Yrityskulttuurin ja väärinkäytösten paljastajien suojelun osalta yksi tärkeimpiä keinoja lisätä tietoisuutta on yhtiön eettiset toimintaohjeet ja niihin liittyvä pakollinen koulutus. Eettisissä toimintaohjeissa on asetettu yhtiön noudattamat eettistä liiketoimintaa koskevat standardit sekä korkean tason tavoitteet. Lisäksi ne sisältävät whistleblowing-politiikkaa ja -kanavaa koskevan osion, jonka tarkoituksena on lisätä tietoisuutta väärinkäytösten paljastajien suojelusta. Eettisiä toimintaohjeita ja niihin liittyvää koulutusta päivitettiin vuonna 2024. 

Koska tietosuoja liittyy myös olennaisiin vaikutuksiin, riskeihin ja mahdollisuuksiin, WithSecure on ottanut käyttöön kaikille työntekijöille pakollisen tietosuojakoulutuksen. Lisätietoa pakollisesta tietosuojakoulutuksesta on osiossa ”S4-4 – Kuluttajiin ja loppukäyttäjiin kohdistuviin olennaisiin riskeihin liittyviin toimiin ryhtyminen ja lähestymistavat kuluttajiin ja loppukäyttäjiin kohdistuvien olennaisten riskien hallits”.

Näiden koulutusten suorittamista edellytetään kaikilta työntekijöiltä. Myös yhtiön hallitus suorittaa eettisiä toimintaohjeita koskevan koulutuksen. Lisäksi yhtiö tarjoaa tietyille toiminnoille tai ryhmille lisäkoulutusta vientivalvontapolitiikkaa ja muita asiaankuuluvia toimintaperiaatteita koskien. Näiden toimien rahoitus on osa yhtiön yleistä toimintaa, eikä kestävyyteen ole kohdennettu erillisiä merkittäviä menoeriä. Muut käytetyt resurssit sisältävät WithSecuren sisäisten asiantuntijoiden työaikaa ja osaamista. Kustannukset sisältyvät kokonaisuudessaan operatiiviseen budjettiin, eikä niitä eritellä kestävyyden osalta.

Eettisiä liiketapoja ja whistleblowing-kanavaa koskevan tietoisuuden lisäämistä mitataan seuraamalla eettisiä toimintaohjeita ja tietosuojaa koskevien pakollisten koulutusten suorittamisasteita. Näiden koulutusten suorittamisasteet ovat saatavilla suoraan koulutusalustassa. Koulutusten suorittamisasteet lasketaan erikseen uusille ja kaikille työntekijöille. Näiden koulutusten odotettu tulos on laaja koulutuksen kattavuus kaikilla organisaation tasoilla. Tämä osoittaisi laajalle levinnyttä tietoisuutta ja ymmärrystä yrityksen eettisistä ja tietosuojastandardeista varmistaen, että kaikilla yhtiössä on tarvittavat tiedot yrityksen toiminnan tason ylläpitämiseksi.

Tuleviin toimiin kuuluu koulutusmateriaalien säännöllinen päivitys sekä jatkuva yhteistyö työntekijöiden ja sidosryhmien kanssa, jotta heidän tietoisuutensa ja eettisten periaatteiden noudattaminen varmistetaan. Tämä sisältää eettisten toimintaohjeiden ja muiden asiaankuuluvien toimintaperiaatteiden säännöllisen tarkastelun sekä niihin liittyvien koulutusmateriaalien päivitykset. Näillä toimilla pyritään vastaamaan uusiin sääntely- ja sisäisiin toimintaperiaatemuutoksiin, mikä edesauttaa ylläpitämään eettisen toiminnan korkeita standardeja.

Jatkuva toimenpide työntekijöiden sitoutumisen osalta on koulutuksen suoritusasteiden säännöllinen seuranta korkean osallistumis- ja noudattamistason varmistamiseksi. Lisäksi WithSecure pyrkii parantamaan sisäisiä viestintästrategioita pitääkseen yrityksen työntekijät ajan tasalla toimintaperiaatteiden ja koulutusmateriaalien päivityksistä ja muutoksista. Näillä suunnitelluilla toimilla on tarkoitus tukea toimintaperiaatteiden tavoitteiden saavuttamista varmistamalla, että kaikki työntekijät saavat jatkuvasti tietoa yhtiön eettisistä standardeista ja voivat kouluttautua näiden aiheiden tiimoilta.

Säännölliset päivitykset ja tarkastelut auttavat yhtiötä sopeutumaan uusiin haasteisiin ja sääntelyvaatimuksiin. Kohdennetut koulutustilaisuudet puolestaan käsittelevät erityisiä riskejä ja vaatimustenmukaisuustarpeita, samalla parantaen WithSecuren liiketoimintakäytännöillään saavuttamia positiivisia vaikutuksia. Näiden toimien avulla WithSecure pyrkii edistämään jatkuvan parantamisen ja ennakoivan riskienhallinnan kulttuuria, tukien toimintaperiaatteiden tavoitteiden saavuttamista.

Muita tarjottavia korjaustoimenpiteitä ovat negatiivisten vaikutusten perusteellinen tutkiminen ja niihin reagoiminen. Tähän voi sisältää suojelua, mahdollisia korvauksia ja korjaustoimenpiteitä niille, joihin vaikutukset kohdistuvat, esimerkiksi ulkoisesti hallinnoidun whistleblowing-prosessin kautta.

WithSecure tekee yhteistyötä toimittajien ja kumppaneiden kanssa arvoketjun alkupäässä varmistaakseen, että he ovat tietoisia ja noudattavat yhtiön eettisiä standardeja ja tietosuojakäytäntöjä ja hallinnoidakseen näiden toimien kattavuutta läpi yhtiön arvoketjun. Tämä sisältää resurssien, kuten WithSecuren toimintaperiaatteiden, tarjoamisen toimittajille tukeakseen heidän toimintansa vaatimustenmukaisuutta ja vähentääkseen riskejä toimitusketjussa. Monet näistä toimintaperiaatteista sisältävät yksityiskohtaiset ohjeet asianmukaisista ja hyväksyttävistä liiketoimintakäytännöistä. Arvoketjun loppupään osalta WithSecure varmistaa selkeän viestinnän ja yhteydenottokanavien kautta, että loppukäyttäjät ovat tietoisia yrityksen eettisistä standardeista ja tietosuojakäytännöistä. Yhteydenottokanaviin kuuluvat esimerkiksi tietosuojakysymyksistä vastaavat yhteyshenkilöt. Näillä toimilla pyritään laajentamaan WithSecuren toimintaperiaatteiden positiivisia vaikutuksia organisaation ulkopuolelle.

Yksi tapa, jolla WithSecure seuraa liiketoimintakäytäntöihinsä liittyvien toimintaperiaatteiden ja toimien tehokkuutta erityisesti materiaalisten vaikutusten, riskien ja mahdollisuuksien osalta, on eettisten toimintaohjeiden koulutuksen ja tietosuojakoulutuksen suoritusasteiden seuranta. Yritys käyttää kvantitatiivisia indikaattoreita edistymisen arvioimiseksi. Tehokkuuden seurannan määritellyt tavoitteet on asetettu jatkuvan parantamisen ja alan parhaiden käytäntöjen mukaisesti.

Näiden tavoitteiden määrittelyssä käytetyt menetelmät sisältävät aikaisempien vuosien koulutuksien suoritusasteiden analysoinnin ja sisäisten sidosryhmien kuulemisen. Merkittäviä oletuksia, joita tehtiin tavoitteiden asettamisprosessin aikana, ovat koulutusresurssien saatavuus, työntekijöiden sitoutumistasot ja koulutusalustojen luotettavuus. Tavoitteiden määrittelyssä ei käytetty tiettyjä kestävyysskenaarioita.

Nämä tavoitteet ovat linjassa kansallisten, EU:n ja kansainvälisten toimintaperiaatetavoitteiden kanssa edistämällä eettistä liiketoimintakäytäntöä ja tietosuojaa, jotka ovat keskeisiä osia kansainvälisissä sääntelykehyksissä, kuten EU:n GDPR:ssä. Tavoitteet ottavat myös huomioon kestävän kehityksen laajemman kontekstin varmistamalla, että kaikilla yhtiön työntekijöillä on tiedot WithSecuren eettisten standardien ja tietosuojakäytäntöjen noudattamiseksi, mikä osaltaan edistää vastuullisempaa ja kestävämpää liiketoimintaympäristöä.

WithSecure monitoroi, että suorittamisaste molempien koulutusten kohdalla on uusien työntekijöiden osalta 95% ja kaikkien työntekijöiden osalta 90% . Täyttä 100%:n suorittamisastetta ei ole mahdollista saavuttaa, sillä tilastoihin ja raportointijärjestelmiin liittyvistä mahdollisista ongelmista sekä henkilöstön vaihtuvuudesta ja virkavapaista johtuen tietty virhemarginaali on aina otettava huomioon.

Tavoite havainnollistaa, missä määrin työntekijöille on kerrottu eettisistä toimintaohjeista ja WithSecuren eettisen liiketoiminnan harjoittamista koskevista periaatteista. Tavoitetta kuvaa prosenttiluku, joka on suhteessa yhtiön työsuhteisten työntekijöiden lukumäärään. Mitattava yksikkö on eettisiä toimintaohjeita ja tietosuojaa koskevien koulutusten suorittaneiden työntekijöiden lukumäärä. Tavoitteeseen lasketaan mukaan kaikki WithSecuren palveluksessa työskentelevät henkilöt kaikissa yhtiön toimipisteissä. Tavoitetta mitataan jatkuvasti, ja suorittamisastetta tarkastellaan vähintään vuosittain. Nämä suorittamisasteet ovat saatavilla suoraan koulutusalustalta.

Sidosryhmien näkemykset selvitettiin huolellisesti, kun olennaiset vaikutukset, riskit ja mahdollisuudet määriteltiin osana kaksoisolennaisuusarviota. Siten sidosryhmät ovat osallistuneet ja heidän näkemyksensä on sisällytetty tavoitteiden valitsemiseen ja asettamiseen.

Näiden tavoitteiden perusarvot ovat vuoden 2024 raportoitavat luvut. Välitavoitteisiin ja välietappeihin kuuluu ilmoitettujen tavoitesuoritusasteiden jatkuva tarkastelu. Tavoitteet pyritään saavuttamaan vähintään vuosittain, ja suoritusasteita ylläpidetään tavoitteiden tasolla tai niiden yläpuolella myös seuraavina vuosina. Eettisten toimintaohjeiden koulutuksen osalta suoritusasteet vuonna 2024 olivat 100% uusille työntekijöille ja 95% kaikille työntekijöille. Tietosuojakoulutuksen osalta suoritusasteet vuonna 2024 olivat 93% uusille työntekijöille ja 92% kaikille työntekijöille. Suorituskyky on linjassa eettisten toimintaohjeiden koulutuksen osalta tavoitteiden kanssa, ja lähellä tietosuojakoulutuksen tavoitetta. Koulutuksen suoritusasteet ovat pysyneet asianmukaisella tasolla. Tämä osoittaa, että WithSecuren pyrkimykset ylläpitää korkeita koulutuksen suoritusasteita ovat tehokkaita, osaltaan edistää hyvin informoitua ja vaatimustenmukaista työvoimaa ja tukee eettistä liiketoimintakäytäntöä. WithSecure selvittää tapoja kohottaa tietosuojakoulutuksen suoritusasteita vuoden 2025 aikana.

Yrityskulttuuri

Eettisten toimintaohjeiden lisäksi WithSecurella on myös useita muita yhtiön laajuisia ja eri työtehtäviin mukautettuja vaatimustenmukaisuuskoulutuksia, ohjeita ja käytäntöjä, jotka tukevat päätöksentekoa eri tilanteissa. Näistä resursseista seuraavien toimintaperiaatteiden on tunnistettu olevan WithSecuren yrityskulttuurin kannalta tärkeitä tunnistettujen olennaisten vaikutusten, riskien ja mahdollisuuksien näkökulmasta:

WithSecuren eettisten toimintaohjeiden tarkoituksena on edistää eettistä toimintaa tukevaa kulttuuria. Kaikki WithSecuren toiminta perustuu eettisiin toimintaohjeisiin; ne ohjaavat kaikkea yhtiössä tehtävää työtä. Eettiset toimintaohjeet kuvastavat yhtiön liiketoimintakulttuuria, jossa korostetaan eettisen toiminnan tärkeyttä. Ne asettavat selkeät vaatimukset liiketoiminnalle ja tarjoavat ohjeistusta osa-alueille, joihin liittyy kriittisiä riskejä.

WithSecuren eettiset toimintaohjeet kattavat seuraavat alueet:

• Digitaalisen luottamuksen ja oikeudenmukaisuuden rakentaminen ja ylläpitäminen

• Tietosuoja ja turvallisuus

• Immateriaalioikeudet ja luottamuksellisuus

• A.I.:n vastuullinen käyttö

• WIDE-strategia (hyvinvointi, osallistaminen, monimuotoisuus ja oikeudenmukaisuus)

• Ihmisoikeuksien suojelu

• Kestävyys

• Lahjonnan ja korruption ehkäiseminen

• Eturistiriitojen ehkäiseminen

• Arvopaperimarkkinoiden sääntöjen noudattaminen

• Kaupankäynnin sääntöjen noudattaminen

• Reilu kilpailu

• Yhteistyö vastuullisten toimittajien kanssa

• Whistleblowing

Eettisiä toimintaohjeita sovelletaan koko työvoimaan, mukaan lukien työsuhteiset työntekijät, urakoitsijat ja liiketoimintakumppanit, mikä takaa, että tiukimpia eettisiä standardeja noudatetaan johdonmukaisesti. Eettisiä toimintaohjeita koskevat koulutukset ja säännölliset päivitykset ovat pakollisia sen varmistamiseksi, että kaikki ymmärtävät omat vastuunsa ja toimintaohjeiden noudattamatta jättämisen seuraukset.

Eettiset toimintaohjeet ovat yleisesti saatavilla WithSecuren verkkosivustolla.

Lisätietoa on osiossa “S4-1 – Kuluttajiin ja loppukäyttäjiin liittyvät toimintaperiaatteet”

Eettisten liiketapojen edistämiseksi WithSecure on sitoutunut korruption ja lahjonnan vastaisiin toimiin. Yhtiön lahjonnan vastainen toimintaperiaate on yhdenmukainen YK:n korruption vastaisen yleissopimuksen kanssa.

Lahjonnan vastainen toimintaperiaate määrittelee, että WithSecuren työntekijät eivät voi antaa tai ottaa vastaan lahjoja tai vieraanvaraisuutta, jonka rahallinen arvo ylittää tietyn, korruptioksi luettavan tason. Toimintaperiaatteessa on määritelty hyväksyttävä rahallinen arvo.

Lahjonnan vastainen toimintaperiaate koskee kaikkia WithSecurelle työskenteleviä henkilöitä kaikissa yhtiön toimintamaissa. Toimintaperiaate on saatavilla sisäisesti.

WithSecure on laatinut sisäpiiriohjeet, jotka noudattavat Nasdaq Helsingin sisäpiiriohjetta. Sisäpiiritieto on määritelty seuraavasti: ”Sisäpiiritieto on luonteeltaan täsmällistä ja julkistamatonta tietoa, joka liittyy suoraan tai välillisesti yhteen tai useampaan listayhtiöön taikka yhteen tai useampaan rahoitusvälineeseen. Tällaisella tiedolla olisi, jos se julkistettaisiin, todennäköisesti huomattava vaikutus kyseisten rahoitusvälineiden hintoihin tai niihin liittyvien rahoitusjohdannaisten hintaan.”

Sisäpiiriohjeet koskevat kaikkia sisäpiiriläisiä. Kaikki sisäpiiritietoa hallussaan pitävät ovat sisäpiiriläisiä riippumatta siitä, miten kyseinen tieto on hankittu, tai siitä, onko kyseinen henkilö lisätty tiettyyn sisäpiiriluetteloon. Sisäpiiriohjeet ovat saatavilla sisäisesti.

Työperäisen ihmiskaupan vastaisen lausunnon myötä WithSecure on sitoutunut varmistamaan, että sen toimitusketjuissa, työllistämiskäytännöissä tai missään sen liiketoiminnassa ei esiinny työperäistä tai muuta ihmiskauppaa. Tämä käy ilmi myös eettisissä toimintaohjeissa, joita kaikkien toimittajien on noudatettava, ja joissa todetaan, että WithSecure ei siedä lapsityövoiman käyttöä, minkäänlaista pakkotyötä tai muita ihmisoikeusloukkauksia. Vaikka toimintaperiaate edellyttää toimittajien edellyttävän sopimusvaatimuksia alihankkijoiltaan, ei WithSecurella ole keinoja valvoa alihankkijoiden tai toimittajien toimittajien toimintaa suoraan.

Työntekijöiden saatavilla oleva lausunto heijastaa yhtiön sitoutumista eettisiin liiketoimintasuhteisiin sekä sellaisten tehokkaiden valvontatoimien toimeenpanemiseen, jotka varmistavat, ettei minkäänlaista pakkotyötä tai ihmiskauppaa esiinny.

Lausunto koskee kaikkia WithSecuren palveluksessa tai sen puolesta työskenteleviä työntekijöitä, määräaikaista henkilöstöä, konsultteja, urakoitsijoita ja toimittajia. Toimintaperiaatetta sovelletaan maailmanlaajuisesti. Se on työntekijöiden, sekä sisäisten ja ulkoisten sidosryhmien saatavilla. Lausunnon on hyväksynyt WithSecuren isobritannialaisen tytäryhtiön WithSecure Limitedin hallitus.

WithSecuren palkitsemispolitiikka kuvaa yhtiön hallituksen ja toimitusjohtajan palkitsemista sekä toimintaperiaatteen luomisen ja toteuttamisen periaatteita. WithSecuren palkitsemispolitiikka noudattaa Suomen pörssiyhtiöitä koskevan hallinnointikoodin suosituksia, osakkeenomistajien oikeuksia koskevaa lainsäädäntöä sekä muita palkitsemista koskevia säännöksiä ja ohjeita, joita sovelletaan julkisesti noteerattuihin yhtiöihin.

Johdon palkitseminen on suunniteltu edistämään yhtiön taloudellisten tavoitteiden saavuttamista ja pitkän aikavälin kannattavuutta. Yhtiön tavoitteena on palkita suoritukseen ja osaamiseen perustuen.  Palkitseminen on suunniteltu olemaan kilpailukykyistä, lisäämään sitoutumista yhtiöön sekä olemaan johdonmukaista koko yhtiössä. WithSecuren tavoitteena on maksaa keskimäärin vähintään markkinatason mukaisia peruspalkkoja, jotta yhtiö kykenee houkuttelemaan ja pitämään tarvittavaa osaamista. Kannustinjärjestelmät on suunniteltu varmistamaan yhtiön vahva suorituskyky ja pitkän aikavälin arvonnousu yhdistämällä avaintyöntekijöiden ja osakkeenomistajien edut.

Yhtiön koko henkilöstön palkitsemista arvioidaan säännöllisesti palkitsemisen kilpailukyvyn varmistamiseksi työntekijöiden henkilökohtainen suoriutuminen ja osaaminen huomioon ottaen. Toimitusjohtajan palkitseminen noudattaa samoja perusperiaatteita kuin yhtiön muiden työntekijöiden palkitseminen.

Palkitsemispolitiikkaa sovelletaan kaikkiin WithSecuren työntekijöihin ja yhtiön hallitukseen. Toimintaperiaate on työntekijöiden sekä sisäisten ja ulkoisten sidosryhmien saatavilla, sillä se on julkaistu WithSecuren verkkosivustolla. Palkitsemispolitiikan hyväksyy yhtiökokous, joka järjestetään yleensä kerran vuodessa varsinaisena yhtiökokouksena.

WithSecure Oyj on rekisteröity Suomessa, joten sen teknologiaa ja ratkaisuja viedään asiakkaille ja loppukäyttäjille pääasiassa Suomesta käsin. Siten WithSecurea koskevat ensisijaisesti Euroopan unionin vientivalvontasäännöt. Lisäksi monissa tilanteissa WithSecuren toimintaan sovelletaan myös Yhdysvaltain vientivalvontasääntelyä ja -määräyksiä mukaan lukien tilanteet, joissa tuotteita myydään yhdysvaltalaisten sovelluskauppojen tai muiden Yhdysvaltoihin liittyvien jakelukanavien kautta.

Sovellettavan vientivalvontalainsäädännön ja -sääntelyn keskeisimmät rajoitukset koskevat kaksoiskäyttötuotteita ja -määräyksiä. Euroopan unionin vientivalvontalait sääntelevät kaksoiskäyttötuotteiden jakelua Euroopan unionin ulkopuolelle (”vienti”) sekä joissakin tapauksissa myös Euroopan unionin sisällä. Yhdysvalloissa sijaitsevien toimijoiden ja palvelimien kautta tapahtuvaan rajoja ylittävään jakeluun puolestaan sovelletaan Yhdysvaltain vientivalvontalakeja, ja Yhdysvalloissa kehitetyt ohjelmistot kuuluvat yleensä Yhdysvaltain vientivalvontalainsäädännön piiriin koko elinkaarensa ajan.  WithSecuren liiketoimintoihin sovelletaan erityisesti Euroopan parlamentin ja neuvoston asetusta (EU) 2021/821 (”EU:n vientivalvonta-asetus”) ja Yhdysvaltain vientivalvontamääräysten artiklan 15 kohtaa 730 ja sen jälkeisiä kohtia (”U.S. Export Administration Regulations, EAR”). Euroopan unioni ja Yhdysvallat ovat panneet toimeen rajoittavia toimia (pakotteita), jotka kieltävät kaupankäynnin tai rajoittavat sitä sellaisten maiden, yritysten, ryhmien, organisaatioiden tai henkilöiden kanssa, jotka osallistuvat haitalliseen toimintaan, kuten aseellisiin hyökkäyksiin, sisäiseen sortoon, ihmisoikeusloukkauksiin tai kyberhyökkäyksiin. Näihin pakotteisiin voi kuulua aseiden viesti- ja tuontikieltoja, matkustuskieltoja, omaisuuden jäädyttämistä tai muita taloudellisia toimia, kuten vienti- ja tuontirajoituksia, mukaan lukien erilaisten ohjelmistotuotteiden ja niihin liittyvien palvelujen vienti ja tuonti.

Tämä toimintaperiaate koskee kaikkia WithSecuren työsuhteisia työntekijöitä, määräaikaisia työntekijöitä ja alihankkijoita maailmanlaajuisesti. Kaikkien myynnin, tuotehallinnan, teknisen tuotehallinnan, kehitys- ja tutkimustyön sekä IT- ja tuotantojärjestelmien parissa työskentelevien tulee huomioida tämä toimintaperiaate erityisen tarkasti. WithSecure arvioi vientivalvonnan ja pakotemääräysten vaikutusta sen toimintoihin ja tunnistaa niihin liittyviä tärkeitä sääntelyvaatimuksia jatkuvasti. Nämä vaatimukset huomioidaan tässä toimintaperiaatteessa ottamalla käyttöön asiaankuuluvia vaatimustenmukaisuutta koskevia prosesseja ja valvontamenetelmiä. Toimintaperiaate on saatavilla sisäisesti.

Väärinkäytösten paljastajien suojelu

Toisena olennaisena osa-aiheena tunnistettiin väärinkäytösten paljastajien suojelu, mistä johtuen WithSecuren whistleblowing-politiikka on olennainen osa yhtiön eettiseen liiketoimintaan liittyviä toimintaperiaatteita, ottaen huomioon erityisesti yhtiön mahdollisen myönteisen vaikutuksen yhteiskuntaan. Whistleblowing-kanava toimii pääasiallisena laittoman toiminnan raportoimiseen ja liiketoiminnan harjoittamiseen liittyvien tapausten hallitsemiseen käytettävänä mekanismina.  Kanava on sekä sisäisten että ulkoisten sidosryhmien saatavilla.

Whistleblowing-kanavaan liittyvää kattavaa tietoa on helposti saatavilla yhtiön intranetissä, ja se kuuluu olennaisena osana eettisiä toimintaohjeita koskevaan koulutukseen. Yhtiö ei monitoroi työntekijöiden luottamusta kanavaan aktiivisesti, mutta se varmistaa, että väärinkäytösten paljastajia suojellaan vahvasti.

Whistleblowing-kanava

WithSecuren whistleblowing-kanavan pääperiaatteet asettavat etusijalle ilmoitusten luottamuksellisuuden, nimettömyyden ja käsittelyn puolueettomuuden. Työntekijöitä rohkaistaan ilmoittamaan kaikesta epäeettisestä, laittomasta tai haitallisesta toiminnasta ilman pelkoa vastatoimista, sillä kanava takaa täyden anonymiteetin ilmoittajille, jotka haluavat pysyä tunnistamattomina. Riippumaton tiimi käsittelee kaikki ilmoitukset ankaran luottamuksellisesti, mikä takaa, että ilmoittajan henkilöllisyys suojataan koko prosessin ajan. Järjestelmä varmistaa oikeudenmukaisen ja läpinäkyvän tutkinnan, johon sisältyy myös jatkotoimet sen varmistamiseksi, että asiaankuuluvat toimet toteutetaan, taaten ilmoittajalle samalla yksityisyydensuojan.

Sidosryhmät voivat ilmoittaa epäillystä väärinkäytöksestä ja siihen mahdollisesti syyllistyneestä henkilöstä WithSecuren whistleblowing-kanavan kautta.

Kaikki whistleblowing-kanavan kautta tehdyt ilmoitukset ovat luottamuksellisia, mikä tarkoittaa, että WithSecure suojelee ilmoittajan ja ilmoituksessa mahdollisesti mainittujen kolmansien osapuolten henkilöllisyyden ja pitää ne luottamuksellisina. Ilmoituskanava on täysin yhtiöstä riippumaton, mikä takaa, että ilmoituksen tekijän henkilöllisyyttä on mahdoton selvittää.

Kun palveluntarjoaja on vastaanottanut ja käsitellyt ilmoituksen, sillä on mahdollisuus ilmoittaa tapauksesta vähintään kahdelle (2) WithSecuren whistleblowing-politiikassa määritellylle WithSecuren edustajalle. Palveluntarjoaja päättää, edellyttääkö ilmoitus lisätutkintaa ja kenelle WithSecuren edustajalle tapauksesta on ilmoitettava siten, ettei tilanteessa synny minkäänlaista eturistiriitaa valitun edustajan, ilmoittajan ja ilmoituksessa mainittujen henkilöiden välillä tai ilmoituksessa mainittuihin mahdollisiin väärinkäytöksiin liittyen.

Valitut WithSecuren edustajat päättävät tarvittavista jatkotutkimuksista ja WithSecuren vastuulla olevista jatkotoimista. Kaikki tällaiset tutkimukset ja mahdolliset jatkotoimet suoritetaan huolellisesti ja luottamuksellisuus säilyttäen. Mikäli tutkimuksissa paljastuu rikollista toimintaa, WithSecure ilmoittaa asiasta poliisille. Hallituksen tarkastusvaliokunta saa myös säännöllisesti tietoa whistleblowing-prosessista, mukaan lukien tilastot ja ilmoitettuihin aiheisiin liittyvät yleiset tiedot. Tapauksesta riippuen tarkastusvaliokunta voi osallistua yksittäisten tapausten tarkastelemiseen, kun sen katsotaan olevan tarpeen.

WithSecuren whistleblowing-politiikalla on tärkeä rooli korruption, laittoman toiminnan ja muun ei-toivotun käytöksen tunnistamisessa. WithSecure kannustaa yksilöitä kertomaan epäilemistään tai todistamistaan väärinkäytöksistä. WithSecure ottaa kaikki tämän toimintaperiaatteen nojalla tehdyt ilmoitukset vakavasti.

Tässä toimintaperiaatteessa määritellään, miten WithSecure tarjoaa yksittäisille henkilöille tehokkaan, objektiivisen, luottamuksellisen ja turvallisen whistleblowing-raportointikanavan, jonka kautta he voivat tuoda esiin huolenaiheensa tai epäilynsä avoimesti ja turvallisesti. Whistleblowing-kanavalla käyttäjiä myös ohjeistetaan ilmoituksen tekemisessä sekä jatkotoimiin ja väärinkäytösten paljastajien suojeluun liittyvissä asioissa. WithSecure tarkistaa tämän toimintaperiaatteen ja whistleblowing-kanavan ajoittain varmistaakseen niiden ajantasaisuuden, asiaankuuluvuuden ja luotettavan toiminnan.

Whistleblowing-kanavan kautta ilmoitettaviin väärinkäytöksiin lukeutuvat todelliset tai mahdolliset rikokset, vakavat laiminlyönnit tai rikkomukset sekä muut sovellettavien lakien ja säännösten rikkomiset.

Whistleblowing-politiikkaa sovelletaan kaikkiin sisäisiin ja ulkoisiin henkilöihin. Yksilöllä on rajoittamaton oikeus tehdä ilmoitus whistleblowing-kanavan kautta, eikä tätä oikeutta voi esimerkiksi perua tai luovuttaa sopimuksen, toimintaperiaatteen tai lomakkeen tai työsuhteen ehtojen nojalla. Whistleblowing-kanavaa hallinnoiva kolmas osapuoli raportoi yhteenvedot kanavan kautta tehdyistä ilmoituksista yhtiön lakiasiainjohtajalle. Whistleblowing-politiikka on julkisesti saatavilla WithSecuren verkkosivustolla.

Vastatoimilta suojaaminen

Kun whistleblowing-politiikan ehdot täyttyvät, väärinkäytösten paljastajia suojataan vastatoimilta, eli kielteisiltä seurauksilta, uhkauksilta ja vastatoimiyrityksiltä, joita ilmoituksen tekemisestä voi seurata.

Suojelun ehdot täyttävien väärinkäytösten paljastajien suojaaminen kattaa seuraavat asiat:

• henkilöllisyyden suojaaminen;

• vastatoimilta suojaaminen ja todistustaakan mahdollinen kääntäminen, jos vastatoimiin liittyvää vaatimusta käsitellään oikeudessa tai muiden viranomaisten toimesta;

• mahdolliset korvaukset ja oikeussuoja esimerkiksi vastatoimiin liittyen; ja

• mahdollinen suoja siviilioikeudelliselta, rikos- ja hallinnolliselta vastuulta.

Väärinkäytösten paljastajien suojaamisen lisäksi WithSecure tarjoaa suojaa myös henkilöille, joita epäillään väärinkäytöksistä. Tällainen suoja tarkoittaa muun muassa sitä, että kyseistä henkilöä kohdellaan tasapuolisesti ja syrjimättä ja että väärinkäytöksen seuraukset perustuvat WithSecuren toimintaperiaatteisiin ja sovellettavaan lainsäädäntöön. Tällaiselle henkilölle tarjotaan myös mahdollisuus tarkastella ja kommentoida epäiltyä väärinkäytöstä ja siihen liittyvää materiaalia. Lisäksi tällaiset henkilöt voivat olla oikeutettuja korvauksiin tahallisesti tehdyn virheellisen ilmoituksen seurauksena,

Varmistaakseen, että WithSecuren työntekijät ovat tietoisia whistleblowing-kanavasta, yhtiö on sisällyttänyt whistleblowing-kanavaa ja -politiikkaa koskevan osion yhtiön pakolliseen eettisiä toimintaohjeita koskevaan koulutukseen.

G1-2 – Toimittajasuhteiden hallinta

Toimittajasuhteiden hallinta tunnistettiin aiheeksi, johon WithSecurella on myönteinen vaikutus ja johon liittyy samalla mahdollinen taloudellinen riski. WithSecure on sitoutunut eettisiin toimittajia koskeviin käytäntöihin. Yhtiö odottaa toimittajilta samojen eettisten standardien noudattamista.

WithSecuren toimittajasuhteiden hallinnan keskiössä ovat minimivaatimukset, jotka kaikkien toimittajien on täytettävä ja jotka sisältyvät yrityksen hankintakäsikirjaan. WithSecure edellyttää, että kaikki yhtiön toimittajat ovat rekisteröityjä yrityksiä, jotka noudattavat paikallisia lakeja. Lisätoimenpiteenä yrityksiltä edellytetään myös WithSecuren eettisten toimintaohjeiden noudattamista sekä muiden tapauskohtaisesti päätettävien – esimerkiksi tietosuojaa ja tietoturvaa koskevien – vaatimusten täyttämistä. Kolmansien osapuolten standardien ja aloitteiden osalta, joihin WithSecure on sitoutunut, yhtiön eettiset toimintaohjeet sisältävät sitoutumisen paikallisiin lakeihin ja asetuksiin sekä YK:n Global Compactin kymmeneen periaatteeseen, jotka kattavat muun muassa ihmisoikeudet, työelämän standardit, ympäristönsuojelun ja korruption vastaisen toiminnan.

Yrityksen hankintakäsikirja määrittelee, miten toimittajasuhteita hallitaan, ja kuvaa toimittajia koskevaa tarvearviointia yksityiskohtaisesti.

Siinä määritellään hankintaan liittyvät periaatteet sekä henkilöt ja tiimit, jotka voivat auttaa tietyissä tapauksissa. WithSecuren tavoitteena on varmistaa, että yhtiön markkinoilta ostamista materiaaleista, tuotteista ja palveluista saadaan paras mahdollinen arvo (hinta, laatu, palvelu). Lisäksi yhtiö haluaa pitää yllä eettisiä standardeja ja kestävyyttä toimittajasuhteissa.

Toimintaperiaatteen soveltamisala kattaa kaikki hankintatoimet WithSecuren omassa toiminnassa. Tämä käsittää kaikki toimittajaluokat riippumatta toimittajien toimialasta tai maantieteellisestä sijainnista. Toimintaperiaate koskee kaikkia hankintapäätöksiin osallistuvia sidosryhmiä, mukaan lukien toimittajat, kumppanit ja sisäiset tiimit. Toimintaperiaatteessa ei mainita erityisiä poikkeuksia, mikä varmistaa hankintapäätösten kattavuuden. Vaikka toimintaperiaate edellyttää toimittajien edellyttävän sopimusvaatimuksia alihankkijoiltaan, ei WithSecurella ole keinoja valvoa alihankkijoiden tai toimittajien toimittajien toimintaa suoraan. Toimintaperiaatetta tarkistetaan vuosittain, jolloin sidosryhmiltä saadun palautteen perusteella mahdolliset päivitykset, esimerkiksi strategisesti merkittävien toimittajien kanssa pidettävien säännöllisten toimittajahallinnan tarkastelujen kautta, voidaan sisällyttää muokkaukseen.

Liiketoimintojen edustajilla on suora vastuu toimittajilta tehdyistä hankinnoista. Heidän päätöksensä perustuvat yrityksen hankintakäsikirjaan. Liiketoimintojen edustajien tekemän ensiarvion jälkeen on suoritettava tietyt taloudesta ja lakiasioista vastaavia osastoja koskevat vaiheet ennen kuin hankintapäätös voidaan tehdä. Suuret hankintapäätökset edellyttävät myös sisäisen lomakkeen täyttämistä. 

Yrityksen hankintakäsikirja on sisäisesti kaikkien WithSecuren työntekijöiden saatavilla, mikä mahdollistaa toimittajasuhteiden laadukkaan ja jatkuvan hallinnan. Hankintakäsikirja sitoo kaikkia työntekijöitä.

WithSecure käyttää toimittajiin liittyvien kestävyysriskien arviointiin useita eri alustoja. Muita WithSecuren tekemiä riskien vähentämistoimia ovat yhteydenpidon rajoittaminen sellaisiin toimittajiin, jotka ovat läpäisseet sisäisen kyberturvallisuusarvion, ja asiaankuuluvan liiketoiminnan harjoittamisen yleinen tarkastelu. WithSecuren tapauksessa tämä tarkoittaa, ettei yhtiö ole yhteydessä toimittajiin, jotka eivät vastaa WithSecuren tietosuojaa ja tietoturvaa koskevia vaatimuksia. WithSecure varmistaa, että tietylle määrälle toimittajia on tehty tietoturva-auditointi. Toimittajiin liittyviä taloudellisia riskejä seurataan jatkuvasti.

WithSecure ei ole toistaiseksi ottanut käyttöön toimittajien sisäisessä valinnassa yhteiskuntaan ja ympäristöön liittyviä virallisia kriteerejä lukuun ottamatta sitä, että toimittajien on noudatettava WithSecuren eettisiä toimintaohjeita ja kaikkia paikallisia lainsäädäntöön nojaavia vaatimuksia. Yhteiskuntaan liittyvien kriteerien osalta tämä kattaa työlainsäädännön ja ihmisoikeusstandardien noudattamisen sekä sitoutumisen monimuotoisuuteen, oikeudenmukaisuuteen, osallistamiseen ja eettisiin liiketoimintatapoihin. Vastaavasti ympäristöä koskevat kriteerit muodostuvat kestävien käytäntöjen toimeenpanemisesta, ympäristösääntelyn noudattamisesta sekä energiatehokkaiden ja ympäristöystävällisten materiaalien ja prosessien käyttämisestä. Toimittajien arviointi näiden vaatimusten perusteella on liiketoimintojen edustajien sekä heitä tukevien talous- ja lakiosastojen harkinnan varassa osana toimittajien valintaa koskevaa prosessia.

Vuoden 2024 aikana WithSecure on kehittänyt toimittajasuhteiden hallintaa koskevia sisäisiä riskiarviointiprosesseja entisestään. Lisäksi WithSecure kehittää parhaillaan toimittajasuhteiden hallintaa koskevia toimintaperiaatteita parantaakseen toimittajiin liittyvien riskien tunnistamista ja hallintaa.

WithSecure on tunnistanut, että toimittajasuhteiden eettistä hallintaa koskevan tietoisuuden lisääminen, etenkin toimittajien kanssa työskentelevien omien työntekijöiden keskuudessa, on tehokas keino vähentää toimittajasuhteiden hallintaan liittyviä riskejä ja korostaa siihen liittyviä myönteisiä vaikutuksia. Tälle toimelle ei ole kohdennettu merkittäviä menoeriä, sillä sen katsotaan olevan osa yleistä toimintaa. Näiden toimien odotettu tulos on luoda hyvin informoitu työvoima, joka ymmärtää ja noudattaa eettistä toimittajasuhteiden hallintaa. Tietoisuuden lisääminen on jatkuva prosessi, joka ilmenee lyhyellä, keskipitkällä ja pitkällä aikavälillä.

Toimittajasuhteiden eettistä hallintaa koskevan tietoisuuden lisäämistä mitataan tarkastelemalla toimittajasuhteiden hallintaa ajoittain yhdessä merkittävien toimittajien kanssa.

Näiden toimien arvoketjun kattavuuden osalta WithSecure tekee suoraan yhteistyötä toimittajien kanssa arvoketjun alkupäässä. WithSecurelle tämä tarkoittaa varmistamista, että toimittajat noudattavat yrityksen eettisiä liiketoimintakäytäntöjä ja tietosuojakäytäntöjä. Samanaikaisesti toimittajien kanssa säännöllisesti toteutettavat haastattelut varmistavat, että heidän näkemyksensä kuullaan ja niihin vastataan. Nämä haastattelut tarjoavat toimittajille alustan ilmaista huolensa, jakaa palautetta ja keskustella mahdollisista haasteista, joita he saattavat kohdata. Osallistumalla tähän vuoropuheluun WithSecure voi paremmin ymmärtää toimittajien tarpeita ja tukea yhteistyösuhteen rakentamisessa. Lisäksi nämä haastattelut auttavat tunnistamaan korjausta vaativia ongelmia, jolloin WithSecure voi ryhtyä asianmukaisiin toimenpiteisiin, kuten toimintaperiaatteiden tarkistuksiin juurisyiden käsittelemiseksi tai korjaaviin toimenpiteisiin ongelmien korjaamiseksi, valitusten käsittelemiseksi ja riskien vähentämiseksi.

WithSecure seuraa toimittajasuhteiden hallintaan liittyvien toimintaperiaatteiden ja toimien tehokkuutta erityisesti materiaalisten vaikutusten, riskien ja mahdollisuuksien osalta seuraamalla strategisesti merkittävien toimittajien kanssa tehtyjä toimittajasuhteiden tarkasteluita. Yhtiö käyttää laadullisia indikaattoreita edistymisen arvioimiseksi. Tehokkuuden seurannan määritellyt tavoitteet on asetettu jatkuvan parantamisen ja vahvempien, yhteistyöhön perustuvien toimittajasuhteiden edistämiseksi.

Tavoitteiden näkökulmasta WithSecure varmistaa, että näitä tarkasteluja tehdään vähintään vuosittain. Tavoite kuvastaa, että toimittajasuhteiden eettistä hallintaa pidetään merkittävänä osa-alueena. Tavoite on suhteessa siihen, kuinka monta strategisesti merkittävää toimittajaa yhtiö on tunnistanut. Tavoitteen osalta seurataan sitä, että yhtiö on haastatellut strategisesti merkittäviä toimittajia toimittajasuhteiden hallintaan liittyen vähintään kerran vuodessa. Tavoite koskee strategisesti merkittäviä toimittajia. Strategisesti merkittävät toimittajat määritellään sen perusteella, miten merkittäviä he ja heidän vaikutuksensa ja aiheuttamansa riskit ovat WithSecuren toimintojen kannalta ottaen huomioon asiakkaille suunnatut järjestelmät ja sisäiset toiminnot, sekä arvioimalla toimittajayrityksen kykyä harjoittaa liiketoimintaa keskeytyksettä.

Sidosryhmien näkemykset selvitettiin huolellisesti, kun olennaiset vaikutukset, riskit ja mahdollisuudet määriteltiin osana kaksoisolennaisuusarviota. Siten sidosryhmät ovat osallistuneet ja heidän näkemyksensä on sisällytetty tavoitteiden valitsemiseen ja asettamiseen. Tämä sisälsi yhteistyötä eri sidosryhmien, kuten toimittajien kanssa. Toimittajasuhteiden hallinta on näiden määritysten perustana. Esimerkiksi osana WithSecuren ISAE 3000 -sertifikaatin varmennus- ja auditointiprosessia yhtiöllä on oltava prosessi palvelun piiriin kuuluvien päätoimittajien hallintatoimille. WithSecure on saavuttanut tämän sertifikaatin vuodelle 2024. Näin ollen sidosryhmät ovat olleet mukana, ja heidän näkemyksensä on otettu huomioon tavoitteiden asettamisessa.

Tämän tavoitteen perusarvo on vuoden 2024 tilanne. Välitavoitteisiin ja välietappeihin kuuluu ilmoitetun säännöllisen toimittajasuhteidenhallinnan tarkastelu, jotta vuosittainen vähimmäishallintatavoite saavutetaan ja ylläpidetään seuraavina vuosina. Vuonna 2024 toimittajahallinnan tarkasteluja pidettiin strategisesti merkittävien toimittajien kanssa. Suoritus on linjassa tavoitteen kanssa. Tämä osoittaa, että WithSecure saavuttaa tehokkaasti tavoitteensa toimittajasuhteidenhallinnassa, varmistaen toimittajien tarpeiden oikea-aikaisen tarkastelun. Se osoittaa WithSecuren sitoutumisen vahvoihin, yhteistyöhön perustuvien suhteiden ylläpitämiseen keskeisten toimittajien kanssa ja toimittajahallintakäytäntöjen jatkuvaan parantamiseen. Toimittajahallinnan tarkasteluja on pidetty strategisesti merkittävien toimittajien kanssa.

G1-6 – Maksukäytännöt

WithSecure noudattaa oikeudenmukaisia maksukäytäntöjä - joka on Yrityksen hankintakäsikirja - koskevia toimintaperiaatteita varmistaakseen läpinäkyvät, oikeudenmukaiset ja kestävät maksukäytännöt, jotka tukevat WithSecuren toimittajien, erityisesti pienten ja keskisuurten yritysten, taloudellista vakautta ja kasvua kaikissa hankintakategorioissa ja toimittajasegmenteissä. Yhtiö suorittaa maksut 30 päivän kuluessa sitovan laskun vastaanottamisesta, ellei toisin ole kirjallisesti sovittu.

Maksuehtoa sovelletaan johdonmukaisesti eri toimittajaluokkiin ja maantieteellisiin alueisiin, mikä varmistaa ehtojen oikeudenmukaisuuden ja läpinäkyvyyden. Pieniä ja keskisuuria yrityksiä koskien ei ole erillisiä toimintaperiaatteita, mutta pienten yritysten maksuehtojen osalta käytetään tiettyä harkintaa tapauskohtaisesti. Maksuehtona on tavanomaiset 30 päivää. Laskun maksamiseen kuluva keskimääräinen aika siitä hetkestä, kun sopimuksen mukainen maksuaika alkaa, on keskimäärin noin 25 päivää kaikille laskuille ja 24 päivää pois lukien yhtiön sisäiset laskut.

58,52% maksuista suoritetaan maksuehtojen mukaisesti. Tämä luku johtuu WithSecuren asetetusta maksuaikataulusta, jossa laskut maksetaan kerran viikossa tiettynä päivänä. 70,76% laskuista maksettiin eräpäivään mennessä tai viikon kuluessa eräpäivästä. Jotkin laskut maksettiin myöhässä erilaisten viivästysten, kuten myöhäisen vastaanoton tai hyväksymisprosessin viivästysten, vuoksi. Nämä prosenttiosuudet sisältävät myös konsernin sisäiset laskut, jotka maksetaan harvemmin maksuehtojen mukaisesti, mikä vaikuttaa kokonaisprosenttiin. Lisäksi WithSecure työskentelee raportointiprosessin ja tämän luvun tarkkuuden parantamiseksi. Yhtiö ei ole osallisena myöhästyneitä maksuja koskevissa ratkaisemattomissa oikeusmenettelyissä.

Maksuehtojen mukaisesti suoritettujen maksujen prosenttiosuus voidaan johtaa vuoden laskujen hallintatiedoista. Rajattua otantaa ei tarvittu, koska vuoden 2024 tilikauden täydet tiedot voitiin analysoida. Nämä sisältävät yksityiskohtaiset tiedot vastaanotetuista laskuista, niiden tiloista ja maksuaikatauluista. Näiden tietojen perusteella voidaan määrittää 30 päivän kuluessa suoritettujen maksujen osuus.

Laaja tuloslaskelma 1.1.–31.12.2024