476317-2026 - Wettbewerb
Finnland – Computerrevision und -prüfung – Tietoturvatestauspalvelut
OJ S 131/2026 10/07/2026
Auftrags- oder Konzessionsbekanntmachung – Standardregelung
Dienstleistungen
1. Beschaffer
1.1.
Beschaffer
Offizielle BezeichnungHUS-yhtymä
E-Mailkilpailutus.ict@hus.fi
Rechtsform des ErwerbersRegionale Gebietskörperschaft
Tätigkeit des öffentlichen AuftraggebersGesundheit
2. Verfahren
2.1.
Verfahren
TitelTietoturvatestauspalvelut
BeschreibungHUS-yhtymä (jäljempänä myös tilaaja tai hankintayksikkö) pyytää tarjouksia tietoturvatestauspalveluista tämän tarjouspyynnön ja sen liitteiden ehtojen mukaisesti. Tietoturvatestauksessa käytetään pääsääntöisesti määrämuotoista tietoturvamallia. Testaus noudattaa tarvittavia ja yleisesti hyväksyttyjä viitekehyksiä ja standardeja kuten CC (Common Criteria for Information Technology Security Evaluation), OWASP (Open Web Application Security Project) mukaan lukien OWASP ASVS ja OWASP LLM, WASC (Web Application Security Consortium), NIST sekä soveltuvin osin ISO IEC 27001 ja ISO IEC 27002 sekä EAL (Evaluation Assurance Level) -määrityksiä. Testaus voi sisältää tietoturvan vaatimustason määrittelyn, tietoturva-arkkitehtuurin ja keskitettyjen kontrollien läpikäynnin prosessi- ja tietojärjestelmätasolla. Testauksen perusteella laaditaan selkeät ja priorisoidut muutosehdotukset löydettyjen tietoturvapuutteiden korjaamiseksi. Tietoturvatestaus kohdistuu tietojärjestelmien lisäksi rajapintoihin, integraatioihin, pilviympäristöihin (IaaS, PaaS, SaaS), identiteetin ja pääsynhallintaratkaisuihin (IAM), mobiilisovelluksiin sekä tarvittaessa lääkintälaitteisiin liittyviin tietojärjestelmäkokonaisuuksiin. Tietoturvatestauksen sisältö voi olla esimerkiksi: - käyttöönottotarkastuksia, tietoturva-arviointeja ja kvanttivalmiuden arviointeja - toistuvia haavoittuvuusskannauksia ja haavoittuvuudenhallintaa - penetraatiotestausta (ml. web-, mobiili-, infra- ja API-testaukset sekä tarvittaessa red team -harjoitukset) - palvelunestohyökkäysten simulointia sovitussa laajuudessa - konfiguraatioiden ja tietoturva-asetusten tarkastuksia (baseline compliance) - ohjelmistokomponenttien ja riippuvuuksien tietoturvan arviointia (supply chain) - testauksen suunnittelu, toteutus, hallinta ja ylläpitotehtäviä Tekoäly- ja LLM-ratkaisujen osalta testaus kattaa erityisesti: - syötteiden ja promptien manipulointiin liittyvät riskit (prompt injection) - tietovuotoriskit ja mallien kautta tapahtuvan tiedon paljastumisen - mallien väärinkäytön ja ohittamisen riskit - käyttöoikeuksien, rajapintojen ja integraatioiden turvallisuuden - tekoälyjärjestelmien liitynnät muihin tietojärjestelmiin Testaus toteutetaan tilaajan kanssa sovittujen menettelytapojen mukaisesti. Näihin sisältyvät muun muassa testauksen rajaukset, aikataulutus, hyväksytyt testausmenetelmät, tuotantoympäristöön kohdistuvien testien erityisjärjestelyt, häiriötilanteiden hallinta sekä tietoturvallinen tietojen käsittely testauksen aikana. Lisäksi sovitaan palvelun tuottamiseen osallistuvista asiantuntijoista. Toimittaja vastaa dokumentaatiosta, joka sisältää vähintään: - testaussuunnitelman - testauksen aikaiset väliraportit - testitulokset ja havaintokohtaiset kuvaukset - loppuraportin johtopäätöksin. Raportoinnin tulee sisältää havaintojen selkeä riskiluokittelu (kriittinen, korkea, keskitaso, matala), vaikutusten arviointi sekä konkreettiset korjaussuositukset. Raporttiin tulee sisältyä myös yhteenveto sekä tekninen yksityiskohtainen kuvaus havainnoista ja testausmenetelmistä. Hankinnan kohteena oleva palvelu voi sisältää myös tietoturvatestauksen jatkuvien toimintamallien kehittämistä ja käyttöönottoa sekä testauksen integroimista osaksi ohjelmistokehityksen elinkaarta (DevSecOps). Toimittajan edellytetään sitoutuvan tilaajan tietoturva- ja tietosuojavaatimuksiin sekä huomioivan sosiaali- ja terveydenhuollon toimintaympäristön erityispiirteet, mukaan lukien potilastietojen käsittelyyn liittyvät vaatimukset.
Kennung des Verfahrens5cc0f0cd-5b49-4473-8ae3-ec6aa6e4b4f4
Interne KennungHUS 045-2026
VerfahrensartOffenes Verfahren
Das Verfahren wird beschleunigtnein
Zentrale Elemente des VerfahrensHankintayksikkö valitsee tässä hankintamenettelyssä puitejärjestelyyn kolme (3) toimittajaa, jollei soveltuvuusvaatimukset täyttäviä tarjoajia tai hyväksyttäviä tarjouksia ole vähemmän. Puitejärjestelyyn valitut toimittajat asetetaan tarjousvertailun perusteella etusijajärjestykseen. Puitejärjestelyyn perustuvat hankinnat tehdään etusijajärjestyksen mukaisesti ilman kilpailuttamista tarjouspyynnön liitteessä 1 kuvatun mukaisesti.
2.1.1.
Zweck
Art des AuftragsDienstleistungen
Haupteinstufung (cpv): 72800000 Computerrevision und -prüfung
Zusätzliche Einstufung (cpv): 72000000 IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung, 72220000 Systemberatung und technische Beratung, 72222100 Strategische Prüfung von Informationssystemen oder -technologie
2.1.2.
Erfüllungsort
Land, Gliederung (NUTS)Helsinki-Uusimaa (FI1B1)
LandFinnland
Zusätzliche InformationenTilaaja voi edellyttää sopimuksen kohteena olevan palvelun tuottamista tilaajan tiloissa.
2.1.3.
Wert
Geschätzter Wert ohne MwSt.800 000,00 EUR
Höchstwert der Rahmenvereinbarung800 000,00 EUR
2.1.4.
Allgemeine Informationen
Rechtsgrundlage
Richtlinie 2014/24/EU
2.1.6.
Ausschlussgründe
Quellen der AusschlussgründeEinheitliche Europäische Eigenerklärung (EEE)Auftragsunterlagen
5. Los
5.1.
LosLOT-0000
TitelTietoturvatestauspalvelut
BeschreibungHUS-yhtymä (jäljempänä myös tilaaja tai hankintayksikkö) pyytää tarjouksia tietoturvatestauspalveluista tämän tarjouspyynnön ja sen liitteiden ehtojen mukaisesti. Tietoturvatestauksessa käytetään pääsääntöisesti määrämuotoista tietoturvamallia. Testaus noudattaa tarvittavia ja yleisesti hyväksyttyjä viitekehyksiä ja standardeja kuten CC (Common Criteria for Information Technology Security Evaluation), OWASP (Open Web Application Security Project) mukaan lukien OWASP ASVS ja OWASP LLM, WASC (Web Application Security Consortium), NIST sekä soveltuvin osin ISO IEC 27001 ja ISO IEC 27002 sekä EAL (Evaluation Assurance Level) -määrityksiä. Testaus voi sisältää tietoturvan vaatimustason määrittelyn, tietoturva-arkkitehtuurin ja keskitettyjen kontrollien läpikäynnin prosessi- ja tietojärjestelmätasolla. Testauksen perusteella laaditaan selkeät ja priorisoidut muutosehdotukset löydettyjen tietoturvapuutteiden korjaamiseksi. Tietoturvatestaus kohdistuu tietojärjestelmien lisäksi rajapintoihin, integraatioihin, pilviympäristöihin (IaaS, PaaS, SaaS), identiteetin ja pääsynhallintaratkaisuihin (IAM), mobiilisovelluksiin sekä tarvittaessa lääkintälaitteisiin liittyviin tietojärjestelmäkokonaisuuksiin. Tietoturvatestauksen sisältö voi olla esimerkiksi: - käyttöönottotarkastuksia, tietoturva-arviointeja ja kvanttivalmiuden arviointeja - toistuvia haavoittuvuusskannauksia ja haavoittuvuudenhallintaa - penetraatiotestausta (ml. web-, mobiili-, infra- ja API-testaukset sekä tarvittaessa red team -harjoitukset) - palvelunestohyökkäysten simulointia sovitussa laajuudessa - konfiguraatioiden ja tietoturva-asetusten tarkastuksia (baseline compliance) - ohjelmistokomponenttien ja riippuvuuksien tietoturvan arviointia (supply chain) - testauksen suunnittelu, toteutus, hallinta ja ylläpitotehtäviä Tekoäly- ja LLM-ratkaisujen osalta testaus kattaa erityisesti: - syötteiden ja promptien manipulointiin liittyvät riskit (prompt injection) - tietovuotoriskit ja mallien kautta tapahtuvan tiedon paljastumisen - mallien väärinkäytön ja ohittamisen riskit - käyttöoikeuksien, rajapintojen ja integraatioiden turvallisuuden - tekoälyjärjestelmien liitynnät muihin tietojärjestelmiin Testaus toteutetaan tilaajan kanssa sovittujen menettelytapojen mukaisesti. Näihin sisältyvät muun muassa testauksen rajaukset, aikataulutus, hyväksytyt testausmenetelmät, tuotantoympäristöön kohdistuvien testien erityisjärjestelyt, häiriötilanteiden hallinta sekä tietoturvallinen tietojen käsittely testauksen aikana. Lisäksi sovitaan palvelun tuottamiseen osallistuvista asiantuntijoista. Toimittaja vastaa dokumentaatiosta, joka sisältää vähintään: - testaussuunnitelman - testauksen aikaiset väliraportit - testitulokset ja havaintokohtaiset kuvaukset - loppuraportin johtopäätöksin. Raportoinnin tulee sisältää havaintojen selkeä riskiluokittelu (kriittinen, korkea, keskitaso, matala), vaikutusten arviointi sekä konkreettiset korjaussuositukset. Raporttiin tulee sisältyä myös yhteenveto sekä tekninen yksityiskohtainen kuvaus havainnoista ja testausmenetelmistä. Hankinnan kohteena oleva palvelu voi sisältää myös tietoturvatestauksen jatkuvien toimintamallien kehittämistä ja käyttöönottoa sekä testauksen integroimista osaksi ohjelmistokehityksen elinkaarta (DevSecOps). Toimittajan edellytetään sitoutuvan tilaajan tietoturva- ja tietosuojavaatimuksiin sekä huomioivan sosiaali- ja terveydenhuollon toimintaympäristön erityispiirteet, mukaan lukien potilastietojen käsittelyyn liittyvät vaatimukset.
Interne KennungHUS 045-2026
5.1.1.
Zweck
Art des AuftragsDienstleistungen
Haupteinstufung (cpv): 72800000 Computerrevision und -prüfung
Zusätzliche Einstufung (cpv): 72000000 IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung, 72220000 Systemberatung und technische Beratung, 72222100 Strategische Prüfung von Informationssystemen oder -technologie
5.1.2.
Erfüllungsort
Land, Gliederung (NUTS)Helsinki-Uusimaa (FI1B1)
LandFinnland
Zusätzliche InformationenTilaaja voi edellyttää sopimuksen kohteena olevan palvelun tuottamista tilaajan tiloissa.
5.1.3.
Geschätzte Dauer
Laufzeit48 Monate
5.1.5.
Wert
Geschätzter Wert ohne MwSt.800 000,00 EUR
Höchstwert der Rahmenvereinbarung800 000,00 EUR
5.1.6.
Allgemeine Informationen
Vorbehaltene Teilnahme
Teilnahme ist nicht vorbehalten.
Die Namen und beruflichen Qualifikationen des zur Auftragsausführung eingesetzten Personals sind anzugebenErforderlich für das Angebot
Auftragsvergabeprojekt nicht aus EU-Mitteln finanziert
Die Beschaffung fällt unter das Übereinkommen über das öffentliche Beschaffungswesenja
Diese Auftragsvergabe ist auch für kleine und mittlere Unternehmen (KMU) geeignetja
5.1.7.
Strategische Auftragsvergabe
Gefördertes soziales ZielFaire Arbeitsbedingungen
5.1.9.
Eignungskriterien
Quellen der AuswahlkriterienEinheitliche Europäische Eigenerklärung (EEE)Auftragsunterlagen
5.1.10.
Zuschlagskriterien
Kriterium
ArtPreis
BezeichnungHinta
BeschreibungAsiantuntijatyön hinta
Kategorie des Gewicht-ZuschlagskriteriumsGewichtung (Prozentanteil, genau)
Zuschlagskriterium — Zahl60
Kriterium
ArtQualität
BezeichnungLaatu
BeschreibungAsiantuntijoiden kokemus ja osaaminen
Kategorie des Gewicht-ZuschlagskriteriumsGewichtung (Prozentanteil, genau)
Zuschlagskriterium — Zahl40
5.1.11.
Auftragsunterlagen
Frist für die Anforderung zusätzlicher Informationen05/08/2026 09:00:00 (UTC+00:00) Westeuropäische Zeit, GMT
Internetadresse der Auftragsunterlagenhttps://tarjouspalvelu.fi/huslogistiikka?id=614344&tpk=e3ca2628-15f9-4666-8803-d42a6748fb82
5.1.12.
Bedingungen für die Auftragsvergabe
Verfahrensbedingungen
Sicherheitsüberprüfung ist erforderlich
BeschreibungTurvallisuusselvitystä voidaan vaatia.
Bedingungen für die Einreichung
Elektronische EinreichungErforderlich
Adresse für die Einreichunghttps://tarjouspalvelu.fi/huslogistiikka?id=614344&tpk=e3ca2628-15f9-4666-8803-d42a6748fb82
Sprachen, in denen Angebote oder Teilnahmeanträge eingereicht werden könnenFinnisch
Elektronischer KatalogNicht zulässig
VariantenNicht zulässig
Die Bieter können mehrere Angebote einreichenNicht zulässig
Frist für den Eingang der Angebote19/08/2026 09:00:00 (UTC+00:00) Westeuropäische Zeit, GMT
Dauer, während der das Angebot gültig bleiben muss4 Monate
Informationen über die öffentliche Angebotsöffnung
Eröffnungstermin19/08/2026 09:15:00 (UTC+00:00) Westeuropäische Zeit, GMT
Auftragsbedingungen
Die Auftragsausführung muss im Rahmen von Programmen für geschützte Beschäftigungsverhältnisse erfolgenNein
Es ist eine Geheimhaltungsvereinbarung erforderlichja
Zusätzliche Angaben zur GeheimhaltungsvereinbarungSalassapitosopimusta (NDA) voidaan vaatia.
Elektronische RechnungsstellungErforderlich
Aufträge werden elektronisch erteiltja
Zahlungen werden elektronisch geleistetja
5.1.15.
Techniken
Rahmenvereinbarung
Rahmenvereinbarung ohne erneuten Aufruf zum Wettbewerb
Höchstzahl der Teilnehmer3
Informationen über das dynamische Beschaffungssystem
Kein dynamisches Beschaffungssystem
5.1.16.
Weitere Informationen, Schlichtung und Nachprüfung
ÜberprüfungsstelleMarkkinaoikeus
Informationen über die Überprüfungsfristen: Muutoksenhakumenettelyjen määräaikoihin sovelletaan julkisista hankinnoista ja käyttöoikeussopimuksista annettua lakia (1397/2016).
Organisation, die weitere Informationen für die Nachprüfungsverfahren bereitstelltHUS-yhtymä
8. Organisationen
8.1.
ORG-0001
Offizielle BezeichnungMarkkinaoikeus
Registrierungsnummer3006157-6
PostanschriftRadanrakentajantie 5
StadtHelsinki
Postleitzahl00520
Land, Gliederung (NUTS)Helsinki-Uusimaa (FI1B1)
LandFinnland
E-Mailmarkkinaoikeus@oikeus.fi
Telefon+358 295643300
Internetadressehttp://www.oikeus.fi/markkinaoikeus
Rollen dieser Organisation
Überprüfungsstelle
8.1.
ORG-0002
Offizielle BezeichnungHUS-yhtymä
Registrierungsnummer1567535-0
PostanschriftPL 445 (Uutistie 5, 01770 Vantaa)
StadtHUS
Postleitzahl00029
Land, Gliederung (NUTS)Helsinki-Uusimaa (FI1B1)
LandFinnland
KontaktpersonICT-hankintakategoria
E-Mailkilpailutus.ict@hus.fi
Telefon+358 947111
Internetadressehttp://www.hus.fi
Rollen dieser Organisation
Beschaffer
Organisation, die weitere Informationen für die Nachprüfungsverfahren bereitstellt
8.1.
ORG-0003
Offizielle BezeichnungHansel Oy (Hilma)
RegistrierungsnummerFI09880841
PostanschriftMannerheiminaukio 1a
StadtHelsinki
Postleitzahl00100
Land, Gliederung (NUTS)Helsinki-Uusimaa (FI1B1)
LandFinnland
KontaktpersoneSender
E-Mailtekninen@hankintailmoitukset.fi
Telefon029 55 636 30
Internetadressehttp://hankintailmoitukset.fi
Rollen dieser Organisation
TED eSender
Informationen zur Bekanntmachung
Kennung/Fassung der Bekanntmachung13a3a3b7-7d3d-49c1-93e4-70158c578c2b  -  01
FormulartypWettbewerb
Art der BekanntmachungAuftrags- oder Konzessionsbekanntmachung – Standardregelung
Unterart der Bekanntmachung16
Datum der Übermittlung der Bekanntmachung08/07/2026 14:59:43 (UTC+00:00) Westeuropäische Zeit, GMT
Bekanntmachung — eSender-Übermittlungsdatum08/07/2026 14:59:44 (UTC+00:00) Westeuropäische Zeit, GMT
Sprachen, in denen diese Bekanntmachung offiziell verfügbar istFinnisch
Veröffentlichungsnummer der Bekanntmachung476317-2026
ABl. S – Nummer der Ausgabe131/2026
Datum der Veröffentlichung10/07/2026