476317-2026 - Competition
Finland – Computer audit and testing services – Tietoturvatestauspalvelut
OJ S 131/2026 10/07/2026
Contract or concession notice – standard regime
Services
1. Buyer
1.1.
Buyer
Official nameHUS-yhtymä
Emailkilpailutus.ict@hus.fi
Legal type of the buyerRegional authority
Activity of the contracting authorityHealth
2. Procedure
2.1.
Procedure
TitleTietoturvatestauspalvelut
DescriptionHUS-yhtymä (jäljempänä myös tilaaja tai hankintayksikkö) pyytää tarjouksia tietoturvatestauspalveluista tämän tarjouspyynnön ja sen liitteiden ehtojen mukaisesti. Tietoturvatestauksessa käytetään pääsääntöisesti määrämuotoista tietoturvamallia. Testaus noudattaa tarvittavia ja yleisesti hyväksyttyjä viitekehyksiä ja standardeja kuten CC (Common Criteria for Information Technology Security Evaluation), OWASP (Open Web Application Security Project) mukaan lukien OWASP ASVS ja OWASP LLM, WASC (Web Application Security Consortium), NIST sekä soveltuvin osin ISO IEC 27001 ja ISO IEC 27002 sekä EAL (Evaluation Assurance Level) -määrityksiä. Testaus voi sisältää tietoturvan vaatimustason määrittelyn, tietoturva-arkkitehtuurin ja keskitettyjen kontrollien läpikäynnin prosessi- ja tietojärjestelmätasolla. Testauksen perusteella laaditaan selkeät ja priorisoidut muutosehdotukset löydettyjen tietoturvapuutteiden korjaamiseksi. Tietoturvatestaus kohdistuu tietojärjestelmien lisäksi rajapintoihin, integraatioihin, pilviympäristöihin (IaaS, PaaS, SaaS), identiteetin ja pääsynhallintaratkaisuihin (IAM), mobiilisovelluksiin sekä tarvittaessa lääkintälaitteisiin liittyviin tietojärjestelmäkokonaisuuksiin. Tietoturvatestauksen sisältö voi olla esimerkiksi: - käyttöönottotarkastuksia, tietoturva-arviointeja ja kvanttivalmiuden arviointeja - toistuvia haavoittuvuusskannauksia ja haavoittuvuudenhallintaa - penetraatiotestausta (ml. web-, mobiili-, infra- ja API-testaukset sekä tarvittaessa red team -harjoitukset) - palvelunestohyökkäysten simulointia sovitussa laajuudessa - konfiguraatioiden ja tietoturva-asetusten tarkastuksia (baseline compliance) - ohjelmistokomponenttien ja riippuvuuksien tietoturvan arviointia (supply chain) - testauksen suunnittelu, toteutus, hallinta ja ylläpitotehtäviä Tekoäly- ja LLM-ratkaisujen osalta testaus kattaa erityisesti: - syötteiden ja promptien manipulointiin liittyvät riskit (prompt injection) - tietovuotoriskit ja mallien kautta tapahtuvan tiedon paljastumisen - mallien väärinkäytön ja ohittamisen riskit - käyttöoikeuksien, rajapintojen ja integraatioiden turvallisuuden - tekoälyjärjestelmien liitynnät muihin tietojärjestelmiin Testaus toteutetaan tilaajan kanssa sovittujen menettelytapojen mukaisesti. Näihin sisältyvät muun muassa testauksen rajaukset, aikataulutus, hyväksytyt testausmenetelmät, tuotantoympäristöön kohdistuvien testien erityisjärjestelyt, häiriötilanteiden hallinta sekä tietoturvallinen tietojen käsittely testauksen aikana. Lisäksi sovitaan palvelun tuottamiseen osallistuvista asiantuntijoista. Toimittaja vastaa dokumentaatiosta, joka sisältää vähintään: - testaussuunnitelman - testauksen aikaiset väliraportit - testitulokset ja havaintokohtaiset kuvaukset - loppuraportin johtopäätöksin. Raportoinnin tulee sisältää havaintojen selkeä riskiluokittelu (kriittinen, korkea, keskitaso, matala), vaikutusten arviointi sekä konkreettiset korjaussuositukset. Raporttiin tulee sisältyä myös yhteenveto sekä tekninen yksityiskohtainen kuvaus havainnoista ja testausmenetelmistä. Hankinnan kohteena oleva palvelu voi sisältää myös tietoturvatestauksen jatkuvien toimintamallien kehittämistä ja käyttöönottoa sekä testauksen integroimista osaksi ohjelmistokehityksen elinkaarta (DevSecOps). Toimittajan edellytetään sitoutuvan tilaajan tietoturva- ja tietosuojavaatimuksiin sekä huomioivan sosiaali- ja terveydenhuollon toimintaympäristön erityispiirteet, mukaan lukien potilastietojen käsittelyyn liittyvät vaatimukset.
Procedure identifier5cc0f0cd-5b49-4473-8ae3-ec6aa6e4b4f4
Internal identifierHUS 045-2026
Type of procedureOpen
The procedure is acceleratedno
Main features of the procedureHankintayksikkö valitsee tässä hankintamenettelyssä puitejärjestelyyn kolme (3) toimittajaa, jollei soveltuvuusvaatimukset täyttäviä tarjoajia tai hyväksyttäviä tarjouksia ole vähemmän. Puitejärjestelyyn valitut toimittajat asetetaan tarjousvertailun perusteella etusijajärjestykseen. Puitejärjestelyyn perustuvat hankinnat tehdään etusijajärjestyksen mukaisesti ilman kilpailuttamista tarjouspyynnön liitteessä 1 kuvatun mukaisesti.
2.1.1.
Purpose
Main nature of the contractServices
Main classification (cpv): 72800000 Computer audit and testing services
Additional classification (cpv): 72000000 IT services: consulting, software development, Internet and support, 72220000 Systems and technical consultancy services, 72222100 Information systems or technology strategic review services
2.1.2.
Place of performance
Country subdivision (NUTS)Helsinki-Uusimaa (FI1B1)
CountryFinland
Additional informationTilaaja voi edellyttää sopimuksen kohteena olevan palvelun tuottamista tilaajan tiloissa.
2.1.3.
Value
Estimated value excluding VAT800 000,00 EUR
Maximum value of the framework agreement800 000,00 EUR
2.1.4.
General information
Legal basis
Directive 2014/24/EU
2.1.6.
Grounds for exclusion
Sources of grounds for exclusionEuropean Single Procurement Document (ESPD)Procurement Document
5. Lot
5.1.
LotLOT-0000
TitleTietoturvatestauspalvelut
DescriptionHUS-yhtymä (jäljempänä myös tilaaja tai hankintayksikkö) pyytää tarjouksia tietoturvatestauspalveluista tämän tarjouspyynnön ja sen liitteiden ehtojen mukaisesti. Tietoturvatestauksessa käytetään pääsääntöisesti määrämuotoista tietoturvamallia. Testaus noudattaa tarvittavia ja yleisesti hyväksyttyjä viitekehyksiä ja standardeja kuten CC (Common Criteria for Information Technology Security Evaluation), OWASP (Open Web Application Security Project) mukaan lukien OWASP ASVS ja OWASP LLM, WASC (Web Application Security Consortium), NIST sekä soveltuvin osin ISO IEC 27001 ja ISO IEC 27002 sekä EAL (Evaluation Assurance Level) -määrityksiä. Testaus voi sisältää tietoturvan vaatimustason määrittelyn, tietoturva-arkkitehtuurin ja keskitettyjen kontrollien läpikäynnin prosessi- ja tietojärjestelmätasolla. Testauksen perusteella laaditaan selkeät ja priorisoidut muutosehdotukset löydettyjen tietoturvapuutteiden korjaamiseksi. Tietoturvatestaus kohdistuu tietojärjestelmien lisäksi rajapintoihin, integraatioihin, pilviympäristöihin (IaaS, PaaS, SaaS), identiteetin ja pääsynhallintaratkaisuihin (IAM), mobiilisovelluksiin sekä tarvittaessa lääkintälaitteisiin liittyviin tietojärjestelmäkokonaisuuksiin. Tietoturvatestauksen sisältö voi olla esimerkiksi: - käyttöönottotarkastuksia, tietoturva-arviointeja ja kvanttivalmiuden arviointeja - toistuvia haavoittuvuusskannauksia ja haavoittuvuudenhallintaa - penetraatiotestausta (ml. web-, mobiili-, infra- ja API-testaukset sekä tarvittaessa red team -harjoitukset) - palvelunestohyökkäysten simulointia sovitussa laajuudessa - konfiguraatioiden ja tietoturva-asetusten tarkastuksia (baseline compliance) - ohjelmistokomponenttien ja riippuvuuksien tietoturvan arviointia (supply chain) - testauksen suunnittelu, toteutus, hallinta ja ylläpitotehtäviä Tekoäly- ja LLM-ratkaisujen osalta testaus kattaa erityisesti: - syötteiden ja promptien manipulointiin liittyvät riskit (prompt injection) - tietovuotoriskit ja mallien kautta tapahtuvan tiedon paljastumisen - mallien väärinkäytön ja ohittamisen riskit - käyttöoikeuksien, rajapintojen ja integraatioiden turvallisuuden - tekoälyjärjestelmien liitynnät muihin tietojärjestelmiin Testaus toteutetaan tilaajan kanssa sovittujen menettelytapojen mukaisesti. Näihin sisältyvät muun muassa testauksen rajaukset, aikataulutus, hyväksytyt testausmenetelmät, tuotantoympäristöön kohdistuvien testien erityisjärjestelyt, häiriötilanteiden hallinta sekä tietoturvallinen tietojen käsittely testauksen aikana. Lisäksi sovitaan palvelun tuottamiseen osallistuvista asiantuntijoista. Toimittaja vastaa dokumentaatiosta, joka sisältää vähintään: - testaussuunnitelman - testauksen aikaiset väliraportit - testitulokset ja havaintokohtaiset kuvaukset - loppuraportin johtopäätöksin. Raportoinnin tulee sisältää havaintojen selkeä riskiluokittelu (kriittinen, korkea, keskitaso, matala), vaikutusten arviointi sekä konkreettiset korjaussuositukset. Raporttiin tulee sisältyä myös yhteenveto sekä tekninen yksityiskohtainen kuvaus havainnoista ja testausmenetelmistä. Hankinnan kohteena oleva palvelu voi sisältää myös tietoturvatestauksen jatkuvien toimintamallien kehittämistä ja käyttöönottoa sekä testauksen integroimista osaksi ohjelmistokehityksen elinkaarta (DevSecOps). Toimittajan edellytetään sitoutuvan tilaajan tietoturva- ja tietosuojavaatimuksiin sekä huomioivan sosiaali- ja terveydenhuollon toimintaympäristön erityispiirteet, mukaan lukien potilastietojen käsittelyyn liittyvät vaatimukset.
Internal identifierHUS 045-2026
5.1.1.
Purpose
Main nature of the contractServices
Main classification (cpv): 72800000 Computer audit and testing services
Additional classification (cpv): 72000000 IT services: consulting, software development, Internet and support, 72220000 Systems and technical consultancy services, 72222100 Information systems or technology strategic review services
5.1.2.
Place of performance
Country subdivision (NUTS)Helsinki-Uusimaa (FI1B1)
CountryFinland
Additional informationTilaaja voi edellyttää sopimuksen kohteena olevan palvelun tuottamista tilaajan tiloissa.
5.1.3.
Estimated duration
Duration48 Months
5.1.5.
Value
Estimated value excluding VAT800 000,00 EUR
Maximum value of the framework agreement800 000,00 EUR
5.1.6.
General information
Reserved participation
Participation is not reserved.
The names and professional qualifications of the staff assigned to perform the contract must be givenTender requirement
Procurement Project not financed with EU Funds.
The procurement is covered by the Government Procurement Agreement (GPA)yes
This procurement is also suitable for small and medium-sized enterprises (SMEs)yes
5.1.7.
Strategic procurement
Social objective promotedFair working conditions
5.1.9.
Selection criteria
Sources of selection criteriaEuropean Single Procurement Document (ESPD)Procurement Document
5.1.10.
Award criteria
Criterion
TypePrice
NameHinta
DescriptionAsiantuntijatyön hinta
Category of award weight criterionWeight (percentage, exact)
Award criterion number60
Criterion
TypeQuality
NameLaatu
DescriptionAsiantuntijoiden kokemus ja osaaminen
Category of award weight criterionWeight (percentage, exact)
Award criterion number40
5.1.11.
Procurement documents
Deadline for requesting additional information05/08/2026 09:00:00 (UTC+00:00) Western European Time, GMT
Address of the procurement documentshttps://tarjouspalvelu.fi/huslogistiikka?id=614344&tpk=e3ca2628-15f9-4666-8803-d42a6748fb82
5.1.12.
Terms of procurement
Terms of the procedure
Security clearance is required
DescriptionTurvallisuusselvitystä voidaan vaatia.
Terms of submission
Electronic submissionRequired
Address for submissionhttps://tarjouspalvelu.fi/huslogistiikka?id=614344&tpk=e3ca2628-15f9-4666-8803-d42a6748fb82
Languages in which tenders or requests to participate may be submittedFinnish
Electronic catalogueNot allowed
VariantsNot allowed
Tenderers may submit more than one tenderNot allowed
Deadline for receipt of tenders19/08/2026 09:00:00 (UTC+00:00) Western European Time, GMT
Duration during which the tender must remain valid4 Months
Information about public opening
Opening date19/08/2026 09:15:00 (UTC+00:00) Western European Time, GMT
Terms of contract
The execution of the contract must be performed within the framework of sheltered employment programmesNo
A non-disclosure agreement is requiredyes
Additional information about the non-disclosure agreementSalassapitosopimusta (NDA) voidaan vaatia.
Electronic invoicingRequired
Electronic ordering will be usedyes
Electronic payment will be usedyes
5.1.15.
Techniques
Framework agreement
Framework agreement, without reopening of competition
Maximum number of participants3
Information about the dynamic purchasing system
No dynamic purchase system
5.1.16.
Further information, mediation and review
Review organisationMarkkinaoikeus
Information about review deadlines: Muutoksenhakumenettelyjen määräaikoihin sovelletaan julkisista hankinnoista ja käyttöoikeussopimuksista annettua lakia (1397/2016).
Organisation providing more information on the review proceduresHUS-yhtymä
8. Organisations
8.1.
ORG-0001
Official nameMarkkinaoikeus
Registration number3006157-6
Postal addressRadanrakentajantie 5
TownHelsinki
Postcode00520
Country subdivision (NUTS)Helsinki-Uusimaa (FI1B1)
CountryFinland
Emailmarkkinaoikeus@oikeus.fi
Telephone+358 295643300
Internet addresshttp://www.oikeus.fi/markkinaoikeus
Roles of this organisation
Review organisation
8.1.
ORG-0002
Official nameHUS-yhtymä
Registration number1567535-0
Postal addressPL 445 (Uutistie 5, 01770 Vantaa)
TownHUS
Postcode00029
Country subdivision (NUTS)Helsinki-Uusimaa (FI1B1)
CountryFinland
Contact pointICT-hankintakategoria
Emailkilpailutus.ict@hus.fi
Telephone+358 947111
Internet addresshttp://www.hus.fi
Roles of this organisation
Buyer
Organisation providing more information on the review procedures
8.1.
ORG-0003
Official nameHansel Oy (Hilma)
Registration numberFI09880841
Postal addressMannerheiminaukio 1a
TownHelsinki
Postcode00100
Country subdivision (NUTS)Helsinki-Uusimaa (FI1B1)
CountryFinland
Contact pointeSender
Emailtekninen@hankintailmoitukset.fi
Telephone029 55 636 30
Internet addresshttp://hankintailmoitukset.fi
Roles of this organisation
TED eSender
Notice information
Notice identifier/version13a3a3b7-7d3d-49c1-93e4-70158c578c2b  -  01
Form typeCompetition
Notice typeContract or concession notice – standard regime
Notice subtype16
Notice dispatch date08/07/2026 14:59:43 (UTC+00:00) Western European Time, GMT
Notice dispatch date (eSender)08/07/2026 14:59:44 (UTC+00:00) Western European Time, GMT
Languages in which this notice is officially availableFinnish
Notice publication number476317-2026
OJ S issue number131/2026
Publication date10/07/2026