1. Buyer
1.1.
Buyer
Official name: HUS-yhtymä
Legal type of the buyer: Regional authority
Activity of the contracting authority: Health
2. Procedure
2.1.
Procedure
Title: Tietoturvatestauspalvelut
Description: HUS-yhtymä (jäljempänä myös tilaaja tai hankintayksikkö) pyytää tarjouksia tietoturvatestauspalveluista tämän tarjouspyynnön ja sen liitteiden ehtojen mukaisesti. Tietoturvatestauksessa käytetään pääsääntöisesti määrämuotoista tietoturvamallia. Testaus noudattaa tarvittavia ja yleisesti hyväksyttyjä viitekehyksiä ja standardeja kuten CC (Common Criteria for Information Technology Security Evaluation), OWASP (Open Web Application Security Project) mukaan lukien OWASP ASVS ja OWASP LLM, WASC (Web Application Security Consortium), NIST sekä soveltuvin osin ISO IEC 27001 ja ISO IEC 27002 sekä EAL (Evaluation Assurance Level) -määrityksiä. Testaus voi sisältää tietoturvan vaatimustason määrittelyn, tietoturva-arkkitehtuurin ja keskitettyjen kontrollien läpikäynnin prosessi- ja tietojärjestelmätasolla. Testauksen perusteella laaditaan selkeät ja priorisoidut muutosehdotukset löydettyjen tietoturvapuutteiden korjaamiseksi. Tietoturvatestaus kohdistuu tietojärjestelmien lisäksi rajapintoihin, integraatioihin, pilviympäristöihin (IaaS, PaaS, SaaS), identiteetin ja pääsynhallintaratkaisuihin (IAM), mobiilisovelluksiin sekä tarvittaessa lääkintälaitteisiin liittyviin tietojärjestelmäkokonaisuuksiin. Tietoturvatestauksen sisältö voi olla esimerkiksi: - käyttöönottotarkastuksia, tietoturva-arviointeja ja kvanttivalmiuden arviointeja - toistuvia haavoittuvuusskannauksia ja haavoittuvuudenhallintaa - penetraatiotestausta (ml. web-, mobiili-, infra- ja API-testaukset sekä tarvittaessa red team -harjoitukset) - palvelunestohyökkäysten simulointia sovitussa laajuudessa - konfiguraatioiden ja tietoturva-asetusten tarkastuksia (baseline compliance) - ohjelmistokomponenttien ja riippuvuuksien tietoturvan arviointia (supply chain) - testauksen suunnittelu, toteutus, hallinta ja ylläpitotehtäviä Tekoäly- ja LLM-ratkaisujen osalta testaus kattaa erityisesti: - syötteiden ja promptien manipulointiin liittyvät riskit (prompt injection) - tietovuotoriskit ja mallien kautta tapahtuvan tiedon paljastumisen - mallien väärinkäytön ja ohittamisen riskit - käyttöoikeuksien, rajapintojen ja integraatioiden turvallisuuden - tekoälyjärjestelmien liitynnät muihin tietojärjestelmiin Testaus toteutetaan tilaajan kanssa sovittujen menettelytapojen mukaisesti. Näihin sisältyvät muun muassa testauksen rajaukset, aikataulutus, hyväksytyt testausmenetelmät, tuotantoympäristöön kohdistuvien testien erityisjärjestelyt, häiriötilanteiden hallinta sekä tietoturvallinen tietojen käsittely testauksen aikana. Lisäksi sovitaan palvelun tuottamiseen osallistuvista asiantuntijoista. Toimittaja vastaa dokumentaatiosta, joka sisältää vähintään: - testaussuunnitelman - testauksen aikaiset väliraportit - testitulokset ja havaintokohtaiset kuvaukset - loppuraportin johtopäätöksin. Raportoinnin tulee sisältää havaintojen selkeä riskiluokittelu (kriittinen, korkea, keskitaso, matala), vaikutusten arviointi sekä konkreettiset korjaussuositukset. Raporttiin tulee sisältyä myös yhteenveto sekä tekninen yksityiskohtainen kuvaus havainnoista ja testausmenetelmistä. Hankinnan kohteena oleva palvelu voi sisältää myös tietoturvatestauksen jatkuvien toimintamallien kehittämistä ja käyttöönottoa sekä testauksen integroimista osaksi ohjelmistokehityksen elinkaarta (DevSecOps). Toimittajan edellytetään sitoutuvan tilaajan tietoturva- ja tietosuojavaatimuksiin sekä huomioivan sosiaali- ja terveydenhuollon toimintaympäristön erityispiirteet, mukaan lukien potilastietojen käsittelyyn liittyvät vaatimukset.
Procedure identifier: 5cc0f0cd-5b49-4473-8ae3-ec6aa6e4b4f4
Internal identifier: HUS 045-2026
Type of procedure: Open
The procedure is accelerated: no
Main features of the procedure: Hankintayksikkö valitsee tässä hankintamenettelyssä puitejärjestelyyn kolme (3) toimittajaa, jollei soveltuvuusvaatimukset täyttäviä tarjoajia tai hyväksyttäviä tarjouksia ole vähemmän. Puitejärjestelyyn valitut toimittajat asetetaan tarjousvertailun perusteella etusijajärjestykseen. Puitejärjestelyyn perustuvat hankinnat tehdään etusijajärjestyksen mukaisesti ilman kilpailuttamista tarjouspyynnön liitteessä 1 kuvatun mukaisesti.
2.1.1.
Purpose
Main nature of the contract: Services
Main classification (cpv): 72800000 Computer audit and testing services
Additional classification (cpv): 72000000 IT services: consulting, software development, Internet and support, 72220000 Systems and technical consultancy services, 72222100 Information systems or technology strategic review services
2.1.2.
Place of performance
Country subdivision (NUTS): Helsinki-Uusimaa (FI1B1)
Country: Finland
Additional information: Tilaaja voi edellyttää sopimuksen kohteena olevan palvelun tuottamista tilaajan tiloissa.
2.1.3.
Value
Estimated value excluding VAT: 800 000,00 EUR
Maximum value of the framework agreement: 800 000,00 EUR
2.1.4.
General information
Legal basis:
Directive 2014/24/EU
2.1.6.
Grounds for exclusion
Sources of grounds for exclusion: European Single Procurement Document (ESPD), Procurement Document
5. Lot
5.1.
Lot: LOT-0000
Title: Tietoturvatestauspalvelut
Description: HUS-yhtymä (jäljempänä myös tilaaja tai hankintayksikkö) pyytää tarjouksia tietoturvatestauspalveluista tämän tarjouspyynnön ja sen liitteiden ehtojen mukaisesti. Tietoturvatestauksessa käytetään pääsääntöisesti määrämuotoista tietoturvamallia. Testaus noudattaa tarvittavia ja yleisesti hyväksyttyjä viitekehyksiä ja standardeja kuten CC (Common Criteria for Information Technology Security Evaluation), OWASP (Open Web Application Security Project) mukaan lukien OWASP ASVS ja OWASP LLM, WASC (Web Application Security Consortium), NIST sekä soveltuvin osin ISO IEC 27001 ja ISO IEC 27002 sekä EAL (Evaluation Assurance Level) -määrityksiä. Testaus voi sisältää tietoturvan vaatimustason määrittelyn, tietoturva-arkkitehtuurin ja keskitettyjen kontrollien läpikäynnin prosessi- ja tietojärjestelmätasolla. Testauksen perusteella laaditaan selkeät ja priorisoidut muutosehdotukset löydettyjen tietoturvapuutteiden korjaamiseksi. Tietoturvatestaus kohdistuu tietojärjestelmien lisäksi rajapintoihin, integraatioihin, pilviympäristöihin (IaaS, PaaS, SaaS), identiteetin ja pääsynhallintaratkaisuihin (IAM), mobiilisovelluksiin sekä tarvittaessa lääkintälaitteisiin liittyviin tietojärjestelmäkokonaisuuksiin. Tietoturvatestauksen sisältö voi olla esimerkiksi: - käyttöönottotarkastuksia, tietoturva-arviointeja ja kvanttivalmiuden arviointeja - toistuvia haavoittuvuusskannauksia ja haavoittuvuudenhallintaa - penetraatiotestausta (ml. web-, mobiili-, infra- ja API-testaukset sekä tarvittaessa red team -harjoitukset) - palvelunestohyökkäysten simulointia sovitussa laajuudessa - konfiguraatioiden ja tietoturva-asetusten tarkastuksia (baseline compliance) - ohjelmistokomponenttien ja riippuvuuksien tietoturvan arviointia (supply chain) - testauksen suunnittelu, toteutus, hallinta ja ylläpitotehtäviä Tekoäly- ja LLM-ratkaisujen osalta testaus kattaa erityisesti: - syötteiden ja promptien manipulointiin liittyvät riskit (prompt injection) - tietovuotoriskit ja mallien kautta tapahtuvan tiedon paljastumisen - mallien väärinkäytön ja ohittamisen riskit - käyttöoikeuksien, rajapintojen ja integraatioiden turvallisuuden - tekoälyjärjestelmien liitynnät muihin tietojärjestelmiin Testaus toteutetaan tilaajan kanssa sovittujen menettelytapojen mukaisesti. Näihin sisältyvät muun muassa testauksen rajaukset, aikataulutus, hyväksytyt testausmenetelmät, tuotantoympäristöön kohdistuvien testien erityisjärjestelyt, häiriötilanteiden hallinta sekä tietoturvallinen tietojen käsittely testauksen aikana. Lisäksi sovitaan palvelun tuottamiseen osallistuvista asiantuntijoista. Toimittaja vastaa dokumentaatiosta, joka sisältää vähintään: - testaussuunnitelman - testauksen aikaiset väliraportit - testitulokset ja havaintokohtaiset kuvaukset - loppuraportin johtopäätöksin. Raportoinnin tulee sisältää havaintojen selkeä riskiluokittelu (kriittinen, korkea, keskitaso, matala), vaikutusten arviointi sekä konkreettiset korjaussuositukset. Raporttiin tulee sisältyä myös yhteenveto sekä tekninen yksityiskohtainen kuvaus havainnoista ja testausmenetelmistä. Hankinnan kohteena oleva palvelu voi sisältää myös tietoturvatestauksen jatkuvien toimintamallien kehittämistä ja käyttöönottoa sekä testauksen integroimista osaksi ohjelmistokehityksen elinkaarta (DevSecOps). Toimittajan edellytetään sitoutuvan tilaajan tietoturva- ja tietosuojavaatimuksiin sekä huomioivan sosiaali- ja terveydenhuollon toimintaympäristön erityispiirteet, mukaan lukien potilastietojen käsittelyyn liittyvät vaatimukset.
Internal identifier: HUS 045-2026
5.1.1.
Purpose
Main nature of the contract: Services
Main classification (cpv): 72800000 Computer audit and testing services
Additional classification (cpv): 72000000 IT services: consulting, software development, Internet and support, 72220000 Systems and technical consultancy services, 72222100 Information systems or technology strategic review services
5.1.2.
Place of performance
Country subdivision (NUTS): Helsinki-Uusimaa (FI1B1)
Country: Finland
Additional information: Tilaaja voi edellyttää sopimuksen kohteena olevan palvelun tuottamista tilaajan tiloissa.
5.1.3.
Estimated duration
Duration: 48 Months
5.1.5.
Value
Estimated value excluding VAT: 800 000,00 EUR
Maximum value of the framework agreement: 800 000,00 EUR
5.1.6.
General information
Reserved participation:
Participation is not reserved.
The names and professional qualifications of the staff assigned to perform the contract must be given: Tender requirement
Procurement Project not financed with EU Funds.
The procurement is covered by the Government Procurement Agreement (GPA): yes
This procurement is also suitable for small and medium-sized enterprises (SMEs): yes
5.1.7.
Strategic procurement
Social objective promoted: Fair working conditions
5.1.9.
Selection criteria
Sources of selection criteria: European Single Procurement Document (ESPD), Procurement Document
5.1.10.
Award criteria
Criterion:
Type: Price
Name: Hinta
Description: Asiantuntijatyön hinta
Category of award weight criterion: Weight (percentage, exact)
Award criterion number: 60
Criterion:
Type: Quality
Name: Laatu
Description: Asiantuntijoiden kokemus ja osaaminen
Category of award weight criterion: Weight (percentage, exact)
Award criterion number: 40
5.1.11.
Procurement documents
Deadline for requesting additional information: 05/08/2026 09:00:00 (UTC+00:00) Western European Time, GMT
5.1.12.
Terms of procurement
Terms of the procedure:
Security clearance is required
Description: Turvallisuusselvitystä voidaan vaatia.
Terms of submission:
Electronic submission: Required
Languages in which tenders or requests to participate may be submitted: Finnish
Electronic catalogue: Not allowed
Variants: Not allowed
Tenderers may submit more than one tender: Not allowed
Deadline for receipt of tenders: 19/08/2026 09:00:00 (UTC+00:00) Western European Time, GMT
Duration during which the tender must remain valid: 4 Months
Information about public opening:
Opening date: 19/08/2026 09:15:00 (UTC+00:00) Western European Time, GMT
Terms of contract:
The execution of the contract must be performed within the framework of sheltered employment programmes: No
A non-disclosure agreement is required: yes
Additional information about the non-disclosure agreement: Salassapitosopimusta (NDA) voidaan vaatia.
Electronic invoicing: Required
Electronic ordering will be used: yes
Electronic payment will be used: yes
5.1.15.
Techniques
Framework agreement:
Framework agreement, without reopening of competition
Maximum number of participants: 3
Information about the dynamic purchasing system:
No dynamic purchase system
5.1.16.
Further information, mediation and review
Review organisation: Markkinaoikeus
Information about review deadlines: Muutoksenhakumenettelyjen määräaikoihin sovelletaan julkisista hankinnoista ja käyttöoikeussopimuksista annettua lakia (1397/2016).
Organisation providing more information on the review procedures: HUS-yhtymä
8. Organisations
8.1.
ORG-0001
Official name: Markkinaoikeus
Registration number: 3006157-6
Postal address: Radanrakentajantie 5
Town: Helsinki
Postcode: 00520
Country subdivision (NUTS): Helsinki-Uusimaa (FI1B1)
Country: Finland
Telephone: +358 295643300
Roles of this organisation:
Review organisation
8.1.
ORG-0002
Official name: HUS-yhtymä
Registration number: 1567535-0
Postal address: PL 445 (Uutistie 5, 01770 Vantaa)
Town: HUS
Postcode: 00029
Country subdivision (NUTS): Helsinki-Uusimaa (FI1B1)
Country: Finland
Contact point: ICT-hankintakategoria
Telephone: +358 947111
Roles of this organisation:
Buyer
Organisation providing more information on the review procedures
8.1.
ORG-0003
Official name: Hansel Oy (Hilma)
Registration number: FI09880841
Postal address: Mannerheiminaukio 1a
Town: Helsinki
Postcode: 00100
Country subdivision (NUTS): Helsinki-Uusimaa (FI1B1)
Country: Finland
Contact point: eSender
Telephone: 029 55 636 30
Roles of this organisation:
TED eSender
Notice identifier/version: 13a3a3b7-7d3d-49c1-93e4-70158c578c2b - 01
Form type: Competition
Notice type: Contract or concession notice – standard regime
Notice subtype: 16
Notice dispatch date: 08/07/2026 14:59:43 (UTC+00:00) Western European Time, GMT
Notice dispatch date (eSender): 08/07/2026 14:59:44 (UTC+00:00) Western European Time, GMT
Languages in which this notice is officially available: Finnish
Notice publication number: 476317-2026
OJ S issue number: 131/2026
Publication date: 10/07/2026