476317-2026 - Konkurrencevilkår
Finland – Revision og testning af computer – Tietoturvatestauspalvelut
OJ S 131/2026 10/07/2026
Udbuds- eller koncessionsbekendtgørelse – standardordningen
Tjenesteydelser
1. Køber
1.1.
Køber
Officielt navnHUS-yhtymä
E-mailkilpailutus.ict@hus.fi
Køberens retlige statusRegional myndighed
Den ordregivende myndigheds aktivitetSundhed
2. Procedure
2.1.
Procedure
TitelTietoturvatestauspalvelut
BeskrivelseHUS-yhtymä (jäljempänä myös tilaaja tai hankintayksikkö) pyytää tarjouksia tietoturvatestauspalveluista tämän tarjouspyynnön ja sen liitteiden ehtojen mukaisesti. Tietoturvatestauksessa käytetään pääsääntöisesti määrämuotoista tietoturvamallia. Testaus noudattaa tarvittavia ja yleisesti hyväksyttyjä viitekehyksiä ja standardeja kuten CC (Common Criteria for Information Technology Security Evaluation), OWASP (Open Web Application Security Project) mukaan lukien OWASP ASVS ja OWASP LLM, WASC (Web Application Security Consortium), NIST sekä soveltuvin osin ISO IEC 27001 ja ISO IEC 27002 sekä EAL (Evaluation Assurance Level) -määrityksiä. Testaus voi sisältää tietoturvan vaatimustason määrittelyn, tietoturva-arkkitehtuurin ja keskitettyjen kontrollien läpikäynnin prosessi- ja tietojärjestelmätasolla. Testauksen perusteella laaditaan selkeät ja priorisoidut muutosehdotukset löydettyjen tietoturvapuutteiden korjaamiseksi. Tietoturvatestaus kohdistuu tietojärjestelmien lisäksi rajapintoihin, integraatioihin, pilviympäristöihin (IaaS, PaaS, SaaS), identiteetin ja pääsynhallintaratkaisuihin (IAM), mobiilisovelluksiin sekä tarvittaessa lääkintälaitteisiin liittyviin tietojärjestelmäkokonaisuuksiin. Tietoturvatestauksen sisältö voi olla esimerkiksi: - käyttöönottotarkastuksia, tietoturva-arviointeja ja kvanttivalmiuden arviointeja - toistuvia haavoittuvuusskannauksia ja haavoittuvuudenhallintaa - penetraatiotestausta (ml. web-, mobiili-, infra- ja API-testaukset sekä tarvittaessa red team -harjoitukset) - palvelunestohyökkäysten simulointia sovitussa laajuudessa - konfiguraatioiden ja tietoturva-asetusten tarkastuksia (baseline compliance) - ohjelmistokomponenttien ja riippuvuuksien tietoturvan arviointia (supply chain) - testauksen suunnittelu, toteutus, hallinta ja ylläpitotehtäviä Tekoäly- ja LLM-ratkaisujen osalta testaus kattaa erityisesti: - syötteiden ja promptien manipulointiin liittyvät riskit (prompt injection) - tietovuotoriskit ja mallien kautta tapahtuvan tiedon paljastumisen - mallien väärinkäytön ja ohittamisen riskit - käyttöoikeuksien, rajapintojen ja integraatioiden turvallisuuden - tekoälyjärjestelmien liitynnät muihin tietojärjestelmiin Testaus toteutetaan tilaajan kanssa sovittujen menettelytapojen mukaisesti. Näihin sisältyvät muun muassa testauksen rajaukset, aikataulutus, hyväksytyt testausmenetelmät, tuotantoympäristöön kohdistuvien testien erityisjärjestelyt, häiriötilanteiden hallinta sekä tietoturvallinen tietojen käsittely testauksen aikana. Lisäksi sovitaan palvelun tuottamiseen osallistuvista asiantuntijoista. Toimittaja vastaa dokumentaatiosta, joka sisältää vähintään: - testaussuunnitelman - testauksen aikaiset väliraportit - testitulokset ja havaintokohtaiset kuvaukset - loppuraportin johtopäätöksin. Raportoinnin tulee sisältää havaintojen selkeä riskiluokittelu (kriittinen, korkea, keskitaso, matala), vaikutusten arviointi sekä konkreettiset korjaussuositukset. Raporttiin tulee sisältyä myös yhteenveto sekä tekninen yksityiskohtainen kuvaus havainnoista ja testausmenetelmistä. Hankinnan kohteena oleva palvelu voi sisältää myös tietoturvatestauksen jatkuvien toimintamallien kehittämistä ja käyttöönottoa sekä testauksen integroimista osaksi ohjelmistokehityksen elinkaarta (DevSecOps). Toimittajan edellytetään sitoutuvan tilaajan tietoturva- ja tietosuojavaatimuksiin sekä huomioivan sosiaali- ja terveydenhuollon toimintaympäristön erityispiirteet, mukaan lukien potilastietojen käsittelyyn liittyvät vaatimukset.
Identifikator for proceduren5cc0f0cd-5b49-4473-8ae3-ec6aa6e4b4f4
Intern IDHUS 045-2026
UdbudsprocedureOffentligt udbud
Proceduren er en hasteprocedurenej
Hovedpunkterne i procedurenHankintayksikkö valitsee tässä hankintamenettelyssä puitejärjestelyyn kolme (3) toimittajaa, jollei soveltuvuusvaatimukset täyttäviä tarjoajia tai hyväksyttäviä tarjouksia ole vähemmän. Puitejärjestelyyn valitut toimittajat asetetaan tarjousvertailun perusteella etusijajärjestykseen. Puitejärjestelyyn perustuvat hankinnat tehdään etusijajärjestyksen mukaisesti ilman kilpailuttamista tarjouspyynnön liitteessä 1 kuvatun mukaisesti.
2.1.1.
Formål
Kontraktens hovedformålTjenesteydelser
Primær klassifikation (cpv): 72800000 Revision og testning af computer
Supplerende klassifikation (cpv): 72000000 It-tjenester: rådgivning, programmeludvikling, internet og support, 72220000 Konsulentvirksomhed i forbindelse med systemer og teknik, 72222100 Strategisk gennemgang af informationssystemer eller -teknologi
2.1.2.
Udførelsessted
Landsdel (NUTS)Helsinki-Uusimaa (FI1B1)
LandFinland
Yderligere oplysningerTilaaja voi edellyttää sopimuksen kohteena olevan palvelun tuottamista tilaajan tiloissa.
2.1.3.
Værdi
Anslået værdi eksklusiv moms800 000,00 EUR
Rammeaftalens maksimumværdi800 000,00 EUR
2.1.4.
Generelle oplysninger
Retsgrundlag
Direktiv 2014/24/EU
2.1.6.
Udelukkelsesgrunde
Kilder til grundlag for udelukkelseFælles europæisk udbudsdokument (ESPD)Udbudsdokument
5. Delkontrakt
5.1.
DelkontraktLOT-0000
TitelTietoturvatestauspalvelut
BeskrivelseHUS-yhtymä (jäljempänä myös tilaaja tai hankintayksikkö) pyytää tarjouksia tietoturvatestauspalveluista tämän tarjouspyynnön ja sen liitteiden ehtojen mukaisesti. Tietoturvatestauksessa käytetään pääsääntöisesti määrämuotoista tietoturvamallia. Testaus noudattaa tarvittavia ja yleisesti hyväksyttyjä viitekehyksiä ja standardeja kuten CC (Common Criteria for Information Technology Security Evaluation), OWASP (Open Web Application Security Project) mukaan lukien OWASP ASVS ja OWASP LLM, WASC (Web Application Security Consortium), NIST sekä soveltuvin osin ISO IEC 27001 ja ISO IEC 27002 sekä EAL (Evaluation Assurance Level) -määrityksiä. Testaus voi sisältää tietoturvan vaatimustason määrittelyn, tietoturva-arkkitehtuurin ja keskitettyjen kontrollien läpikäynnin prosessi- ja tietojärjestelmätasolla. Testauksen perusteella laaditaan selkeät ja priorisoidut muutosehdotukset löydettyjen tietoturvapuutteiden korjaamiseksi. Tietoturvatestaus kohdistuu tietojärjestelmien lisäksi rajapintoihin, integraatioihin, pilviympäristöihin (IaaS, PaaS, SaaS), identiteetin ja pääsynhallintaratkaisuihin (IAM), mobiilisovelluksiin sekä tarvittaessa lääkintälaitteisiin liittyviin tietojärjestelmäkokonaisuuksiin. Tietoturvatestauksen sisältö voi olla esimerkiksi: - käyttöönottotarkastuksia, tietoturva-arviointeja ja kvanttivalmiuden arviointeja - toistuvia haavoittuvuusskannauksia ja haavoittuvuudenhallintaa - penetraatiotestausta (ml. web-, mobiili-, infra- ja API-testaukset sekä tarvittaessa red team -harjoitukset) - palvelunestohyökkäysten simulointia sovitussa laajuudessa - konfiguraatioiden ja tietoturva-asetusten tarkastuksia (baseline compliance) - ohjelmistokomponenttien ja riippuvuuksien tietoturvan arviointia (supply chain) - testauksen suunnittelu, toteutus, hallinta ja ylläpitotehtäviä Tekoäly- ja LLM-ratkaisujen osalta testaus kattaa erityisesti: - syötteiden ja promptien manipulointiin liittyvät riskit (prompt injection) - tietovuotoriskit ja mallien kautta tapahtuvan tiedon paljastumisen - mallien väärinkäytön ja ohittamisen riskit - käyttöoikeuksien, rajapintojen ja integraatioiden turvallisuuden - tekoälyjärjestelmien liitynnät muihin tietojärjestelmiin Testaus toteutetaan tilaajan kanssa sovittujen menettelytapojen mukaisesti. Näihin sisältyvät muun muassa testauksen rajaukset, aikataulutus, hyväksytyt testausmenetelmät, tuotantoympäristöön kohdistuvien testien erityisjärjestelyt, häiriötilanteiden hallinta sekä tietoturvallinen tietojen käsittely testauksen aikana. Lisäksi sovitaan palvelun tuottamiseen osallistuvista asiantuntijoista. Toimittaja vastaa dokumentaatiosta, joka sisältää vähintään: - testaussuunnitelman - testauksen aikaiset väliraportit - testitulokset ja havaintokohtaiset kuvaukset - loppuraportin johtopäätöksin. Raportoinnin tulee sisältää havaintojen selkeä riskiluokittelu (kriittinen, korkea, keskitaso, matala), vaikutusten arviointi sekä konkreettiset korjaussuositukset. Raporttiin tulee sisältyä myös yhteenveto sekä tekninen yksityiskohtainen kuvaus havainnoista ja testausmenetelmistä. Hankinnan kohteena oleva palvelu voi sisältää myös tietoturvatestauksen jatkuvien toimintamallien kehittämistä ja käyttöönottoa sekä testauksen integroimista osaksi ohjelmistokehityksen elinkaarta (DevSecOps). Toimittajan edellytetään sitoutuvan tilaajan tietoturva- ja tietosuojavaatimuksiin sekä huomioivan sosiaali- ja terveydenhuollon toimintaympäristön erityispiirteet, mukaan lukien potilastietojen käsittelyyn liittyvät vaatimukset.
Intern IDHUS 045-2026
5.1.1.
Formål
Kontraktens hovedformålTjenesteydelser
Primær klassifikation (cpv): 72800000 Revision og testning af computer
Supplerende klassifikation (cpv): 72000000 It-tjenester: rådgivning, programmeludvikling, internet og support, 72220000 Konsulentvirksomhed i forbindelse med systemer og teknik, 72222100 Strategisk gennemgang af informationssystemer eller -teknologi
5.1.2.
Udførelsessted
Landsdel (NUTS)Helsinki-Uusimaa (FI1B1)
LandFinland
Yderligere oplysningerTilaaja voi edellyttää sopimuksen kohteena olevan palvelun tuottamista tilaajan tiloissa.
5.1.3.
Anslået varighed
Varighed48 Måneder
5.1.5.
Værdi
Anslået værdi eksklusiv moms800 000,00 EUR
Rammeaftalens maksimumværdi800 000,00 EUR
5.1.6.
Generelle oplysninger
Reserveret deltagelse
Deltagelse uden forbehold.
Navnene på og de faglige kvalifikationer for det personale, der skal udføre kontrakten, skal angivesKrav til tilbud
Indkøbsprojekt, der ikke finansieres med EU-midler
Udbuddet er omfattet af aftalen om offentlige udbud (GPA)ja
Dette udbud er også egnet for små og mellemstore virksomheder (SMV'er)ja
5.1.7.
Strategiske udbud
Socialt mål, som fremmesRetfærdige arbejdsforhold
5.1.9.
Udvælgelseskriterier
Kilder til udvælgelseskriterierFælles europæisk udbudsdokument (ESPD)Udbudsdokument
5.1.10.
Tildelingskriterier
Kriterium
TypePris
NavnHinta
BeskrivelseAsiantuntijatyön hinta
Kategori for tildelingskriteriet vægtVægtning (procentdel, præcis)
Tildelingskriterium talværdi60
Kriterium
TypeKvalitet
NavnLaatu
BeskrivelseAsiantuntijoiden kokemus ja osaaminen
Kategori for tildelingskriteriet vægtVægtning (procentdel, præcis)
Tildelingskriterium talværdi40
5.1.11.
Tilbudsdokumenter
Frist for anmodning om yderligere oplysninger05/08/2026 09:00:00 (UTC+00:00) vesteuropæisk tid, GMT
Adresse på udbudsdokumenternehttps://tarjouspalvelu.fi/huslogistiikka?id=614344&tpk=e3ca2628-15f9-4666-8803-d42a6748fb82
5.1.12.
Tilbudsvilkår
Vilkår for proceduren
Der kræves sikkerhedsgodkendelse
BeskrivelseTurvallisuusselvitystä voidaan vaatia.
Vilkår for indgivelse
Elektronisk indgivelsePåkrævet
Indgivelsesadressehttps://tarjouspalvelu.fi/huslogistiikka?id=614344&tpk=e3ca2628-15f9-4666-8803-d42a6748fb82
Sprog, som tilbud og ansøgninger om deltagelse kan indgives påfinsk
Elektronisk katalogIkke tilladt
Alternative tilbudIkke tilladt
Tilbudsgivere kan indgive mere end ét tilbudIkke tilladt
Frist for modtagelse af tilbud19/08/2026 09:00:00 (UTC+00:00) vesteuropæisk tid, GMT
Varighed, hvor tilbuddet skal forblive gyldigt4 Måneder
Oplysninger om offentlig iværksættelse
Åbningsdato19/08/2026 09:15:00 (UTC+00:00) vesteuropæisk tid, GMT
Betingelser for kontraktens udførelse
Udførelsen af kontrakten skal ske inden for rammerne af programmer for beskyttet beskæftigelseNej
Der kræves en fortrolighedsaftaleja
Yderligere oplysninger om fortrolighedsaftalenSalassapitosopimusta (NDA) voidaan vaatia.
Elektronisk faktureringPåkrævet
Der vil blive anvendt elektronisk bestillingja
Der vil blive anvendt elektronisk betalingja
5.1.15.
Teknikker
Rammeaftale
Rammeaftale uden fornyet iværksættelse af konkurrence
Det maksimale antal deltagere3
Oplysninger om det dynamiske indkøbssystem
Intet dynamisk indkøbssystem
5.1.16.
Yderligere oplysninger, mægling og gennemgang
Organisation med ansvar for klagerMarkkinaoikeus
Oplysninger om klagefrister: Muutoksenhakumenettelyjen määräaikoihin sovelletaan julkisista hankinnoista ja käyttöoikeussopimuksista annettua lakia (1397/2016).
Organisation, der leverer yderligere oplysninger om klageprocedurerneHUS-yhtymä
8. Organisationer
8.1.
ORG-0001
Officielt navnMarkkinaoikeus
Registreringsnummer3006157-6
PostadresseRadanrakentajantie 5
ByHelsinki
Postnummer00520
Landsdel (NUTS)Helsinki-Uusimaa (FI1B1)
LandFinland
E-mailmarkkinaoikeus@oikeus.fi
Telefon+358 295643300
Internetadressehttp://www.oikeus.fi/markkinaoikeus
Denne organisations roller
Organisation med ansvar for klager
8.1.
ORG-0002
Officielt navnHUS-yhtymä
Registreringsnummer1567535-0
PostadressePL 445 (Uutistie 5, 01770 Vantaa)
ByHUS
Postnummer00029
Landsdel (NUTS)Helsinki-Uusimaa (FI1B1)
LandFinland
EnhedICT-hankintakategoria
E-mailkilpailutus.ict@hus.fi
Telefon+358 947111
Internetadressehttp://www.hus.fi
Denne organisations roller
Køber
Organisation, der leverer yderligere oplysninger om klageprocedurerne
8.1.
ORG-0003
Officielt navnHansel Oy (Hilma)
RegistreringsnummerFI09880841
PostadresseMannerheiminaukio 1a
ByHelsinki
Postnummer00100
Landsdel (NUTS)Helsinki-Uusimaa (FI1B1)
LandFinland
EnhedeSender
E-mailtekninen@hankintailmoitukset.fi
Telefon029 55 636 30
Internetadressehttp://hankintailmoitukset.fi
Denne organisations roller
TED eSender
Oplysninger om bekendtgørelsen
Bekendtgørelsens ID13a3a3b7-7d3d-49c1-93e4-70158c578c2b  -  01
FormulartypeKonkurrencevilkår
BekendtgørelsestypeUdbuds- eller koncessionsbekendtgørelse – standardordningen
Bekendtgørelsesundertype16
Afsendelsesdato for bekendtgørelsen08/07/2026 14:59:43 (UTC+00:00) vesteuropæisk tid, GMT
Dato for afsendelse af bekendtgørelsen (eSender)08/07/2026 14:59:44 (UTC+00:00) vesteuropæisk tid, GMT
Bekendtgørelsens officielle sprogfinsk
Bekendtgørelsesnummer476317-2026
EUT-S-nummer131/2026
Offentliggørelsesdato10/07/2026