1. Køber
1.1.
Køber
Officielt navn: HUS-yhtymä
Køberens retlige status: Regional myndighed
Den ordregivende myndigheds aktivitet: Sundhed
2. Procedure
2.1.
Procedure
Titel: Tietoturvatestauspalvelut
Beskrivelse: HUS-yhtymä (jäljempänä myös tilaaja tai hankintayksikkö) pyytää tarjouksia tietoturvatestauspalveluista tämän tarjouspyynnön ja sen liitteiden ehtojen mukaisesti. Tietoturvatestauksessa käytetään pääsääntöisesti määrämuotoista tietoturvamallia. Testaus noudattaa tarvittavia ja yleisesti hyväksyttyjä viitekehyksiä ja standardeja kuten CC (Common Criteria for Information Technology Security Evaluation), OWASP (Open Web Application Security Project) mukaan lukien OWASP ASVS ja OWASP LLM, WASC (Web Application Security Consortium), NIST sekä soveltuvin osin ISO IEC 27001 ja ISO IEC 27002 sekä EAL (Evaluation Assurance Level) -määrityksiä. Testaus voi sisältää tietoturvan vaatimustason määrittelyn, tietoturva-arkkitehtuurin ja keskitettyjen kontrollien läpikäynnin prosessi- ja tietojärjestelmätasolla. Testauksen perusteella laaditaan selkeät ja priorisoidut muutosehdotukset löydettyjen tietoturvapuutteiden korjaamiseksi. Tietoturvatestaus kohdistuu tietojärjestelmien lisäksi rajapintoihin, integraatioihin, pilviympäristöihin (IaaS, PaaS, SaaS), identiteetin ja pääsynhallintaratkaisuihin (IAM), mobiilisovelluksiin sekä tarvittaessa lääkintälaitteisiin liittyviin tietojärjestelmäkokonaisuuksiin. Tietoturvatestauksen sisältö voi olla esimerkiksi: - käyttöönottotarkastuksia, tietoturva-arviointeja ja kvanttivalmiuden arviointeja - toistuvia haavoittuvuusskannauksia ja haavoittuvuudenhallintaa - penetraatiotestausta (ml. web-, mobiili-, infra- ja API-testaukset sekä tarvittaessa red team -harjoitukset) - palvelunestohyökkäysten simulointia sovitussa laajuudessa - konfiguraatioiden ja tietoturva-asetusten tarkastuksia (baseline compliance) - ohjelmistokomponenttien ja riippuvuuksien tietoturvan arviointia (supply chain) - testauksen suunnittelu, toteutus, hallinta ja ylläpitotehtäviä Tekoäly- ja LLM-ratkaisujen osalta testaus kattaa erityisesti: - syötteiden ja promptien manipulointiin liittyvät riskit (prompt injection) - tietovuotoriskit ja mallien kautta tapahtuvan tiedon paljastumisen - mallien väärinkäytön ja ohittamisen riskit - käyttöoikeuksien, rajapintojen ja integraatioiden turvallisuuden - tekoälyjärjestelmien liitynnät muihin tietojärjestelmiin Testaus toteutetaan tilaajan kanssa sovittujen menettelytapojen mukaisesti. Näihin sisältyvät muun muassa testauksen rajaukset, aikataulutus, hyväksytyt testausmenetelmät, tuotantoympäristöön kohdistuvien testien erityisjärjestelyt, häiriötilanteiden hallinta sekä tietoturvallinen tietojen käsittely testauksen aikana. Lisäksi sovitaan palvelun tuottamiseen osallistuvista asiantuntijoista. Toimittaja vastaa dokumentaatiosta, joka sisältää vähintään: - testaussuunnitelman - testauksen aikaiset väliraportit - testitulokset ja havaintokohtaiset kuvaukset - loppuraportin johtopäätöksin. Raportoinnin tulee sisältää havaintojen selkeä riskiluokittelu (kriittinen, korkea, keskitaso, matala), vaikutusten arviointi sekä konkreettiset korjaussuositukset. Raporttiin tulee sisältyä myös yhteenveto sekä tekninen yksityiskohtainen kuvaus havainnoista ja testausmenetelmistä. Hankinnan kohteena oleva palvelu voi sisältää myös tietoturvatestauksen jatkuvien toimintamallien kehittämistä ja käyttöönottoa sekä testauksen integroimista osaksi ohjelmistokehityksen elinkaarta (DevSecOps). Toimittajan edellytetään sitoutuvan tilaajan tietoturva- ja tietosuojavaatimuksiin sekä huomioivan sosiaali- ja terveydenhuollon toimintaympäristön erityispiirteet, mukaan lukien potilastietojen käsittelyyn liittyvät vaatimukset.
Identifikator for proceduren: 5cc0f0cd-5b49-4473-8ae3-ec6aa6e4b4f4
Intern ID: HUS 045-2026
Udbudsprocedure: Offentligt udbud
Proceduren er en hasteprocedure: nej
Hovedpunkterne i proceduren: Hankintayksikkö valitsee tässä hankintamenettelyssä puitejärjestelyyn kolme (3) toimittajaa, jollei soveltuvuusvaatimukset täyttäviä tarjoajia tai hyväksyttäviä tarjouksia ole vähemmän. Puitejärjestelyyn valitut toimittajat asetetaan tarjousvertailun perusteella etusijajärjestykseen. Puitejärjestelyyn perustuvat hankinnat tehdään etusijajärjestyksen mukaisesti ilman kilpailuttamista tarjouspyynnön liitteessä 1 kuvatun mukaisesti.
2.1.1.
Formål
Kontraktens hovedformål: Tjenesteydelser
Primær klassifikation (cpv): 72800000 Revision og testning af computer
Supplerende klassifikation (cpv): 72000000 It-tjenester: rådgivning, programmeludvikling, internet og support, 72220000 Konsulentvirksomhed i forbindelse med systemer og teknik, 72222100 Strategisk gennemgang af informationssystemer eller -teknologi
2.1.2.
Udførelsessted
Landsdel (NUTS): Helsinki-Uusimaa (FI1B1)
Land: Finland
Yderligere oplysninger: Tilaaja voi edellyttää sopimuksen kohteena olevan palvelun tuottamista tilaajan tiloissa.
2.1.3.
Værdi
Anslået værdi eksklusiv moms: 800 000,00 EUR
Rammeaftalens maksimumværdi: 800 000,00 EUR
2.1.4.
Generelle oplysninger
Retsgrundlag:
Direktiv 2014/24/EU
2.1.6.
Udelukkelsesgrunde
Kilder til grundlag for udelukkelse: Fælles europæisk udbudsdokument (ESPD), Udbudsdokument
5. Delkontrakt
5.1.
Delkontrakt: LOT-0000
Titel: Tietoturvatestauspalvelut
Beskrivelse: HUS-yhtymä (jäljempänä myös tilaaja tai hankintayksikkö) pyytää tarjouksia tietoturvatestauspalveluista tämän tarjouspyynnön ja sen liitteiden ehtojen mukaisesti. Tietoturvatestauksessa käytetään pääsääntöisesti määrämuotoista tietoturvamallia. Testaus noudattaa tarvittavia ja yleisesti hyväksyttyjä viitekehyksiä ja standardeja kuten CC (Common Criteria for Information Technology Security Evaluation), OWASP (Open Web Application Security Project) mukaan lukien OWASP ASVS ja OWASP LLM, WASC (Web Application Security Consortium), NIST sekä soveltuvin osin ISO IEC 27001 ja ISO IEC 27002 sekä EAL (Evaluation Assurance Level) -määrityksiä. Testaus voi sisältää tietoturvan vaatimustason määrittelyn, tietoturva-arkkitehtuurin ja keskitettyjen kontrollien läpikäynnin prosessi- ja tietojärjestelmätasolla. Testauksen perusteella laaditaan selkeät ja priorisoidut muutosehdotukset löydettyjen tietoturvapuutteiden korjaamiseksi. Tietoturvatestaus kohdistuu tietojärjestelmien lisäksi rajapintoihin, integraatioihin, pilviympäristöihin (IaaS, PaaS, SaaS), identiteetin ja pääsynhallintaratkaisuihin (IAM), mobiilisovelluksiin sekä tarvittaessa lääkintälaitteisiin liittyviin tietojärjestelmäkokonaisuuksiin. Tietoturvatestauksen sisältö voi olla esimerkiksi: - käyttöönottotarkastuksia, tietoturva-arviointeja ja kvanttivalmiuden arviointeja - toistuvia haavoittuvuusskannauksia ja haavoittuvuudenhallintaa - penetraatiotestausta (ml. web-, mobiili-, infra- ja API-testaukset sekä tarvittaessa red team -harjoitukset) - palvelunestohyökkäysten simulointia sovitussa laajuudessa - konfiguraatioiden ja tietoturva-asetusten tarkastuksia (baseline compliance) - ohjelmistokomponenttien ja riippuvuuksien tietoturvan arviointia (supply chain) - testauksen suunnittelu, toteutus, hallinta ja ylläpitotehtäviä Tekoäly- ja LLM-ratkaisujen osalta testaus kattaa erityisesti: - syötteiden ja promptien manipulointiin liittyvät riskit (prompt injection) - tietovuotoriskit ja mallien kautta tapahtuvan tiedon paljastumisen - mallien väärinkäytön ja ohittamisen riskit - käyttöoikeuksien, rajapintojen ja integraatioiden turvallisuuden - tekoälyjärjestelmien liitynnät muihin tietojärjestelmiin Testaus toteutetaan tilaajan kanssa sovittujen menettelytapojen mukaisesti. Näihin sisältyvät muun muassa testauksen rajaukset, aikataulutus, hyväksytyt testausmenetelmät, tuotantoympäristöön kohdistuvien testien erityisjärjestelyt, häiriötilanteiden hallinta sekä tietoturvallinen tietojen käsittely testauksen aikana. Lisäksi sovitaan palvelun tuottamiseen osallistuvista asiantuntijoista. Toimittaja vastaa dokumentaatiosta, joka sisältää vähintään: - testaussuunnitelman - testauksen aikaiset väliraportit - testitulokset ja havaintokohtaiset kuvaukset - loppuraportin johtopäätöksin. Raportoinnin tulee sisältää havaintojen selkeä riskiluokittelu (kriittinen, korkea, keskitaso, matala), vaikutusten arviointi sekä konkreettiset korjaussuositukset. Raporttiin tulee sisältyä myös yhteenveto sekä tekninen yksityiskohtainen kuvaus havainnoista ja testausmenetelmistä. Hankinnan kohteena oleva palvelu voi sisältää myös tietoturvatestauksen jatkuvien toimintamallien kehittämistä ja käyttöönottoa sekä testauksen integroimista osaksi ohjelmistokehityksen elinkaarta (DevSecOps). Toimittajan edellytetään sitoutuvan tilaajan tietoturva- ja tietosuojavaatimuksiin sekä huomioivan sosiaali- ja terveydenhuollon toimintaympäristön erityispiirteet, mukaan lukien potilastietojen käsittelyyn liittyvät vaatimukset.
Intern ID: HUS 045-2026
5.1.1.
Formål
Kontraktens hovedformål: Tjenesteydelser
Primær klassifikation (cpv): 72800000 Revision og testning af computer
Supplerende klassifikation (cpv): 72000000 It-tjenester: rådgivning, programmeludvikling, internet og support, 72220000 Konsulentvirksomhed i forbindelse med systemer og teknik, 72222100 Strategisk gennemgang af informationssystemer eller -teknologi
5.1.2.
Udførelsessted
Landsdel (NUTS): Helsinki-Uusimaa (FI1B1)
Land: Finland
Yderligere oplysninger: Tilaaja voi edellyttää sopimuksen kohteena olevan palvelun tuottamista tilaajan tiloissa.
5.1.3.
Anslået varighed
Varighed: 48 Måneder
5.1.5.
Værdi
Anslået værdi eksklusiv moms: 800 000,00 EUR
Rammeaftalens maksimumværdi: 800 000,00 EUR
5.1.6.
Generelle oplysninger
Reserveret deltagelse:
Deltagelse uden forbehold.
Navnene på og de faglige kvalifikationer for det personale, der skal udføre kontrakten, skal angives: Krav til tilbud
Indkøbsprojekt, der ikke finansieres med EU-midler
Udbuddet er omfattet af aftalen om offentlige udbud (GPA): ja
Dette udbud er også egnet for små og mellemstore virksomheder (SMV'er): ja
5.1.7.
Strategiske udbud
Socialt mål, som fremmes: Retfærdige arbejdsforhold
5.1.9.
Udvælgelseskriterier
Kilder til udvælgelseskriterier: Fælles europæisk udbudsdokument (ESPD), Udbudsdokument
5.1.10.
Tildelingskriterier
Kriterium:
Type: Pris
Navn: Hinta
Beskrivelse: Asiantuntijatyön hinta
Kategori for tildelingskriteriet vægt: Vægtning (procentdel, præcis)
Tildelingskriterium talværdi: 60
Kriterium:
Type: Kvalitet
Navn: Laatu
Beskrivelse: Asiantuntijoiden kokemus ja osaaminen
Kategori for tildelingskriteriet vægt: Vægtning (procentdel, præcis)
Tildelingskriterium talværdi: 40
5.1.11.
Tilbudsdokumenter
Frist for anmodning om yderligere oplysninger: 05/08/2026 09:00:00 (UTC+00:00) vesteuropæisk tid, GMT
5.1.12.
Tilbudsvilkår
Vilkår for proceduren:
Der kræves sikkerhedsgodkendelse
Beskrivelse: Turvallisuusselvitystä voidaan vaatia.
Vilkår for indgivelse:
Elektronisk indgivelse: Påkrævet
Sprog, som tilbud og ansøgninger om deltagelse kan indgives på: finsk
Elektronisk katalog: Ikke tilladt
Alternative tilbud: Ikke tilladt
Tilbudsgivere kan indgive mere end ét tilbud: Ikke tilladt
Frist for modtagelse af tilbud: 19/08/2026 09:00:00 (UTC+00:00) vesteuropæisk tid, GMT
Varighed, hvor tilbuddet skal forblive gyldigt: 4 Måneder
Oplysninger om offentlig iværksættelse:
Åbningsdato: 19/08/2026 09:15:00 (UTC+00:00) vesteuropæisk tid, GMT
Betingelser for kontraktens udførelse:
Udførelsen af kontrakten skal ske inden for rammerne af programmer for beskyttet beskæftigelse: Nej
Der kræves en fortrolighedsaftale: ja
Yderligere oplysninger om fortrolighedsaftalen: Salassapitosopimusta (NDA) voidaan vaatia.
Elektronisk fakturering: Påkrævet
Der vil blive anvendt elektronisk bestilling: ja
Der vil blive anvendt elektronisk betaling: ja
5.1.15.
Teknikker
Rammeaftale:
Rammeaftale uden fornyet iværksættelse af konkurrence
Det maksimale antal deltagere: 3
Oplysninger om det dynamiske indkøbssystem:
Intet dynamisk indkøbssystem
5.1.16.
Yderligere oplysninger, mægling og gennemgang
Organisation med ansvar for klager: Markkinaoikeus
Oplysninger om klagefrister: Muutoksenhakumenettelyjen määräaikoihin sovelletaan julkisista hankinnoista ja käyttöoikeussopimuksista annettua lakia (1397/2016).
Organisation, der leverer yderligere oplysninger om klageprocedurerne: HUS-yhtymä
8. Organisationer
8.1.
ORG-0001
Officielt navn: Markkinaoikeus
Registreringsnummer: 3006157-6
Postadresse: Radanrakentajantie 5
By: Helsinki
Postnummer: 00520
Landsdel (NUTS): Helsinki-Uusimaa (FI1B1)
Land: Finland
Telefon: +358 295643300
Denne organisations roller:
Organisation med ansvar for klager
8.1.
ORG-0002
Officielt navn: HUS-yhtymä
Registreringsnummer: 1567535-0
Postadresse: PL 445 (Uutistie 5, 01770 Vantaa)
By: HUS
Postnummer: 00029
Landsdel (NUTS): Helsinki-Uusimaa (FI1B1)
Land: Finland
Enhed: ICT-hankintakategoria
Telefon: +358 947111
Denne organisations roller:
Køber
Organisation, der leverer yderligere oplysninger om klageprocedurerne
8.1.
ORG-0003
Officielt navn: Hansel Oy (Hilma)
Registreringsnummer: FI09880841
Postadresse: Mannerheiminaukio 1a
By: Helsinki
Postnummer: 00100
Landsdel (NUTS): Helsinki-Uusimaa (FI1B1)
Land: Finland
Enhed: eSender
Telefon: 029 55 636 30
Denne organisations roller:
TED eSender
Bekendtgørelsens ID: 13a3a3b7-7d3d-49c1-93e4-70158c578c2b - 01
Formulartype: Konkurrencevilkår
Bekendtgørelsestype: Udbuds- eller koncessionsbekendtgørelse – standardordningen
Bekendtgørelsesundertype: 16
Afsendelsesdato for bekendtgørelsen: 08/07/2026 14:59:43 (UTC+00:00) vesteuropæisk tid, GMT
Dato for afsendelse af bekendtgørelsen (eSender): 08/07/2026 14:59:44 (UTC+00:00) vesteuropæisk tid, GMT
Bekendtgørelsens officielle sprog: finsk
Bekendtgørelsesnummer: 476317-2026
EUT-S-nummer: 131/2026
Offentliggørelsesdato: 10/07/2026