476317-2026 - Licitación
Finlandia – Servicios de ensayo y auditoría informáticos – Tietoturvatestauspalvelut
OJ S 131/2026 10/07/2026
Anuncio de contrato o de concesión. Régimen normal
Servicios
1. Comprador
1.1.
Comprador
Denominación oficialHUS-yhtymä
Correo electrónicokilpailutus.ict@hus.fi
Naturaleza jurídica del compradorAutoridad regional
Actividad del poder adjudicadorSalud
2. Procedimiento
2.1.
Procedimiento
TítuloTietoturvatestauspalvelut
DescripciónHUS-yhtymä (jäljempänä myös tilaaja tai hankintayksikkö) pyytää tarjouksia tietoturvatestauspalveluista tämän tarjouspyynnön ja sen liitteiden ehtojen mukaisesti. Tietoturvatestauksessa käytetään pääsääntöisesti määrämuotoista tietoturvamallia. Testaus noudattaa tarvittavia ja yleisesti hyväksyttyjä viitekehyksiä ja standardeja kuten CC (Common Criteria for Information Technology Security Evaluation), OWASP (Open Web Application Security Project) mukaan lukien OWASP ASVS ja OWASP LLM, WASC (Web Application Security Consortium), NIST sekä soveltuvin osin ISO IEC 27001 ja ISO IEC 27002 sekä EAL (Evaluation Assurance Level) -määrityksiä. Testaus voi sisältää tietoturvan vaatimustason määrittelyn, tietoturva-arkkitehtuurin ja keskitettyjen kontrollien läpikäynnin prosessi- ja tietojärjestelmätasolla. Testauksen perusteella laaditaan selkeät ja priorisoidut muutosehdotukset löydettyjen tietoturvapuutteiden korjaamiseksi. Tietoturvatestaus kohdistuu tietojärjestelmien lisäksi rajapintoihin, integraatioihin, pilviympäristöihin (IaaS, PaaS, SaaS), identiteetin ja pääsynhallintaratkaisuihin (IAM), mobiilisovelluksiin sekä tarvittaessa lääkintälaitteisiin liittyviin tietojärjestelmäkokonaisuuksiin. Tietoturvatestauksen sisältö voi olla esimerkiksi: - käyttöönottotarkastuksia, tietoturva-arviointeja ja kvanttivalmiuden arviointeja - toistuvia haavoittuvuusskannauksia ja haavoittuvuudenhallintaa - penetraatiotestausta (ml. web-, mobiili-, infra- ja API-testaukset sekä tarvittaessa red team -harjoitukset) - palvelunestohyökkäysten simulointia sovitussa laajuudessa - konfiguraatioiden ja tietoturva-asetusten tarkastuksia (baseline compliance) - ohjelmistokomponenttien ja riippuvuuksien tietoturvan arviointia (supply chain) - testauksen suunnittelu, toteutus, hallinta ja ylläpitotehtäviä Tekoäly- ja LLM-ratkaisujen osalta testaus kattaa erityisesti: - syötteiden ja promptien manipulointiin liittyvät riskit (prompt injection) - tietovuotoriskit ja mallien kautta tapahtuvan tiedon paljastumisen - mallien väärinkäytön ja ohittamisen riskit - käyttöoikeuksien, rajapintojen ja integraatioiden turvallisuuden - tekoälyjärjestelmien liitynnät muihin tietojärjestelmiin Testaus toteutetaan tilaajan kanssa sovittujen menettelytapojen mukaisesti. Näihin sisältyvät muun muassa testauksen rajaukset, aikataulutus, hyväksytyt testausmenetelmät, tuotantoympäristöön kohdistuvien testien erityisjärjestelyt, häiriötilanteiden hallinta sekä tietoturvallinen tietojen käsittely testauksen aikana. Lisäksi sovitaan palvelun tuottamiseen osallistuvista asiantuntijoista. Toimittaja vastaa dokumentaatiosta, joka sisältää vähintään: - testaussuunnitelman - testauksen aikaiset väliraportit - testitulokset ja havaintokohtaiset kuvaukset - loppuraportin johtopäätöksin. Raportoinnin tulee sisältää havaintojen selkeä riskiluokittelu (kriittinen, korkea, keskitaso, matala), vaikutusten arviointi sekä konkreettiset korjaussuositukset. Raporttiin tulee sisältyä myös yhteenveto sekä tekninen yksityiskohtainen kuvaus havainnoista ja testausmenetelmistä. Hankinnan kohteena oleva palvelu voi sisältää myös tietoturvatestauksen jatkuvien toimintamallien kehittämistä ja käyttöönottoa sekä testauksen integroimista osaksi ohjelmistokehityksen elinkaarta (DevSecOps). Toimittajan edellytetään sitoutuvan tilaajan tietoturva- ja tietosuojavaatimuksiin sekä huomioivan sosiaali- ja terveydenhuollon toimintaympäristön erityispiirteet, mukaan lukien potilastietojen käsittelyyn liittyvät vaatimukset.
Identificador del procedimiento5cc0f0cd-5b49-4473-8ae3-ec6aa6e4b4f4
Identificador internoHUS 045-2026
Tipo de procedimientoAbierto
El procedimiento está aceleradono
Principales características del procedimientoHankintayksikkö valitsee tässä hankintamenettelyssä puitejärjestelyyn kolme (3) toimittajaa, jollei soveltuvuusvaatimukset täyttäviä tarjoajia tai hyväksyttäviä tarjouksia ole vähemmän. Puitejärjestelyyn valitut toimittajat asetetaan tarjousvertailun perusteella etusijajärjestykseen. Puitejärjestelyyn perustuvat hankinnat tehdään etusijajärjestyksen mukaisesti ilman kilpailuttamista tarjouspyynnön liitteessä 1 kuvatun mukaisesti.
2.1.1.
Finalidad
Naturaleza del contratoServicios
Clasificación principal (cpv): 72800000 Servicios de ensayo y auditoría informáticos
Clasificación adicional (cpv): 72000000 Servicios TI: consultoría, desarrollo de software, Internet y apoyo, 72220000 Servicios de consultoría en sistemas y consultoría técnica, 72222100 Servicios de revisión estratégica de sistemas de información o de tecnología de la información
2.1.2.
Lugar de ejecución
Subdivisión del país (NUTS)Helsinki-Uusimaa (FI1B1)
PaísFinlandia
Información complementariaTilaaja voi edellyttää sopimuksen kohteena olevan palvelun tuottamista tilaajan tiloissa.
2.1.3.
Valor
Valor estimado, IVA excluido800 000,00 EUR
Valor máximo del acuerdo marco800 000,00 EUR
2.1.4.
Información general
Base jurídica
Directiva 2014/24/UE
2.1.6.
Motivos de exclusión
Fuentes de los motivos de exclusiónDocumento europeo único de contratación (DEUC)Documento de contratación
5. Lote
5.1.
LoteLOT-0000
TítuloTietoturvatestauspalvelut
DescripciónHUS-yhtymä (jäljempänä myös tilaaja tai hankintayksikkö) pyytää tarjouksia tietoturvatestauspalveluista tämän tarjouspyynnön ja sen liitteiden ehtojen mukaisesti. Tietoturvatestauksessa käytetään pääsääntöisesti määrämuotoista tietoturvamallia. Testaus noudattaa tarvittavia ja yleisesti hyväksyttyjä viitekehyksiä ja standardeja kuten CC (Common Criteria for Information Technology Security Evaluation), OWASP (Open Web Application Security Project) mukaan lukien OWASP ASVS ja OWASP LLM, WASC (Web Application Security Consortium), NIST sekä soveltuvin osin ISO IEC 27001 ja ISO IEC 27002 sekä EAL (Evaluation Assurance Level) -määrityksiä. Testaus voi sisältää tietoturvan vaatimustason määrittelyn, tietoturva-arkkitehtuurin ja keskitettyjen kontrollien läpikäynnin prosessi- ja tietojärjestelmätasolla. Testauksen perusteella laaditaan selkeät ja priorisoidut muutosehdotukset löydettyjen tietoturvapuutteiden korjaamiseksi. Tietoturvatestaus kohdistuu tietojärjestelmien lisäksi rajapintoihin, integraatioihin, pilviympäristöihin (IaaS, PaaS, SaaS), identiteetin ja pääsynhallintaratkaisuihin (IAM), mobiilisovelluksiin sekä tarvittaessa lääkintälaitteisiin liittyviin tietojärjestelmäkokonaisuuksiin. Tietoturvatestauksen sisältö voi olla esimerkiksi: - käyttöönottotarkastuksia, tietoturva-arviointeja ja kvanttivalmiuden arviointeja - toistuvia haavoittuvuusskannauksia ja haavoittuvuudenhallintaa - penetraatiotestausta (ml. web-, mobiili-, infra- ja API-testaukset sekä tarvittaessa red team -harjoitukset) - palvelunestohyökkäysten simulointia sovitussa laajuudessa - konfiguraatioiden ja tietoturva-asetusten tarkastuksia (baseline compliance) - ohjelmistokomponenttien ja riippuvuuksien tietoturvan arviointia (supply chain) - testauksen suunnittelu, toteutus, hallinta ja ylläpitotehtäviä Tekoäly- ja LLM-ratkaisujen osalta testaus kattaa erityisesti: - syötteiden ja promptien manipulointiin liittyvät riskit (prompt injection) - tietovuotoriskit ja mallien kautta tapahtuvan tiedon paljastumisen - mallien väärinkäytön ja ohittamisen riskit - käyttöoikeuksien, rajapintojen ja integraatioiden turvallisuuden - tekoälyjärjestelmien liitynnät muihin tietojärjestelmiin Testaus toteutetaan tilaajan kanssa sovittujen menettelytapojen mukaisesti. Näihin sisältyvät muun muassa testauksen rajaukset, aikataulutus, hyväksytyt testausmenetelmät, tuotantoympäristöön kohdistuvien testien erityisjärjestelyt, häiriötilanteiden hallinta sekä tietoturvallinen tietojen käsittely testauksen aikana. Lisäksi sovitaan palvelun tuottamiseen osallistuvista asiantuntijoista. Toimittaja vastaa dokumentaatiosta, joka sisältää vähintään: - testaussuunnitelman - testauksen aikaiset väliraportit - testitulokset ja havaintokohtaiset kuvaukset - loppuraportin johtopäätöksin. Raportoinnin tulee sisältää havaintojen selkeä riskiluokittelu (kriittinen, korkea, keskitaso, matala), vaikutusten arviointi sekä konkreettiset korjaussuositukset. Raporttiin tulee sisältyä myös yhteenveto sekä tekninen yksityiskohtainen kuvaus havainnoista ja testausmenetelmistä. Hankinnan kohteena oleva palvelu voi sisältää myös tietoturvatestauksen jatkuvien toimintamallien kehittämistä ja käyttöönottoa sekä testauksen integroimista osaksi ohjelmistokehityksen elinkaarta (DevSecOps). Toimittajan edellytetään sitoutuvan tilaajan tietoturva- ja tietosuojavaatimuksiin sekä huomioivan sosiaali- ja terveydenhuollon toimintaympäristön erityispiirteet, mukaan lukien potilastietojen käsittelyyn liittyvät vaatimukset.
Identificador internoHUS 045-2026
5.1.1.
Finalidad
Naturaleza del contratoServicios
Clasificación principal (cpv): 72800000 Servicios de ensayo y auditoría informáticos
Clasificación adicional (cpv): 72000000 Servicios TI: consultoría, desarrollo de software, Internet y apoyo, 72220000 Servicios de consultoría en sistemas y consultoría técnica, 72222100 Servicios de revisión estratégica de sistemas de información o de tecnología de la información
5.1.2.
Lugar de ejecución
Subdivisión del país (NUTS)Helsinki-Uusimaa (FI1B1)
PaísFinlandia
Información complementariaTilaaja voi edellyttää sopimuksen kohteena olevan palvelun tuottamista tilaajan tiloissa.
5.1.3.
Duración estimada
Duración48 Meses
5.1.5.
Valor
Valor estimado, IVA excluido800 000,00 EUR
Valor máximo del acuerdo marco800 000,00 EUR
5.1.6.
Información general
Participación reservada
La participación no está reservada.
Deben indicarse los nombres y las cualificaciones profesionales del personal encargado de ejecutar el contratoRequisito en oferta
Proyecto de contratación pública no financiado con fondos de la UE
La contratación pública está cubierta por el Acuerdo sobre Contratación Pública (ACP)
Esta contratación también es adecuada para las pequeñas y medianas empresas (pymes)
5.1.7.
Contratación estratégica
Objetivo social promovidoCondiciones de trabajo justas
5.1.9.
Criterios de selección
Fuentes de los criterios de selecciónDocumento europeo único de contratación (DEUC)Documento de contratación
5.1.10.
Criterios de adjudicación
Criterio
TipoPrecio
NombreHinta
DescripciónAsiantuntijatyön hinta
Categoría del criterio de adjudicación de pesoPonderación (porcentaje, exacto)
Criterio de adjudicación: número60
Criterio
TipoCalidad
NombreLaatu
DescripciónAsiantuntijoiden kokemus ja osaaminen
Categoría del criterio de adjudicación de pesoPonderación (porcentaje, exacto)
Criterio de adjudicación: número40
5.1.11.
Pliegos de contratación
Plazo para solicitar información complementaria05/08/2026 09:00:00 (UTC+00:00) Hora de Europa Occidental, GMT
Dirección de los pliegos de contrataciónhttps://tarjouspalvelu.fi/huslogistiikka?id=614344&tpk=e3ca2628-15f9-4666-8803-d42a6748fb82
5.1.12.
Condiciones de la contratación pública
Condiciones del procedimiento
Se requiere una habilitación de seguridad
DescripciónTurvallisuusselvitystä voidaan vaatia.
Condiciones de presentación
Presentación electrónicaObligatoria
Dirección para la presentaciónhttps://tarjouspalvelu.fi/huslogistiikka?id=614344&tpk=e3ca2628-15f9-4666-8803-d42a6748fb82
Lenguas en las que pueden presentarse las ofertas o solicitudes de participaciónfinés
Catálogo electrónicoNo autorizada
VariantesNo autorizada
Los licitadores pueden presentar más de una ofertaNo autorizada
Plazo de recepción de ofertas19/08/2026 09:00:00 (UTC+00:00) Hora de Europa Occidental, GMT
Duración durante la cual la oferta debe permanecer válida4 Meses
Información sobre la apertura pública
Fecha de apertura19/08/2026 09:15:00 (UTC+00:00) Hora de Europa Occidental, GMT
Condiciones del contrato
La ejecución del contrato debe realizarse en el marco de programas de empleo protegidoNo
Es necesario un acuerdo de confidencialidad
Información adicional sobre el acuerdo de confidencialidadSalassapitosopimusta (NDA) voidaan vaatia.
Facturación electrónicaObligatoria
Se utilizarán pedidos electrónicos
Se utilizará el pago electrónico
5.1.15.
Técnicas
Acuerdo marco
Acuerdo marco sin convocatoria de nueva licitación
Número máximo de participantes3
Información sobre el sistema dinámico de adquisición
Ningún sistema dinámico de adquisición
5.1.16.
Información adicional, mediación y recurso
Organización encargada de los procedimientos de recursoMarkkinaoikeus
Información sobre los plazos de revisión: Muutoksenhakumenettelyjen määräaikoihin sovelletaan julkisista hankinnoista ja käyttöoikeussopimuksista annettua lakia (1397/2016).
Organización que proporciona más información sobre los procedimientos de recursoHUS-yhtymä
8. Organizaciones
8.1.
ORG-0001
Denominación oficialMarkkinaoikeus
Número de registro3006157-6
Dirección postalRadanrakentajantie 5
LocalidadHelsinki
Código postal00520
Subdivisión del país (NUTS)Helsinki-Uusimaa (FI1B1)
PaísFinlandia
Correo electrónicomarkkinaoikeus@oikeus.fi
Teléfono+358 295643300
Dirección de internethttp://www.oikeus.fi/markkinaoikeus
Funciones de esta organización
Organización encargada de los procedimientos de recurso
8.1.
ORG-0002
Denominación oficialHUS-yhtymä
Número de registro1567535-0
Dirección postalPL 445 (Uutistie 5, 01770 Vantaa)
LocalidadHUS
Código postal00029
Subdivisión del país (NUTS)Helsinki-Uusimaa (FI1B1)
PaísFinlandia
Punto de contactoICT-hankintakategoria
Correo electrónicokilpailutus.ict@hus.fi
Teléfono+358 947111
Dirección de internethttp://www.hus.fi
Funciones de esta organización
Comprador
Organización que proporciona más información sobre los procedimientos de recurso
8.1.
ORG-0003
Denominación oficialHansel Oy (Hilma)
Número de registroFI09880841
Dirección postalMannerheiminaukio 1a
LocalidadHelsinki
Código postal00100
Subdivisión del país (NUTS)Helsinki-Uusimaa (FI1B1)
PaísFinlandia
Punto de contactoeSender
Correo electrónicotekninen@hankintailmoitukset.fi
Teléfono029 55 636 30
Dirección de internethttp://hankintailmoitukset.fi
Funciones de esta organización
TED eSender
Información del anuncio
Identificador/versión del anuncio13a3a3b7-7d3d-49c1-93e4-70158c578c2b  -  01
Tipo de formularioLicitación
Tipo de anuncioAnuncio de contrato o de concesión. Régimen normal
Subtipo de anuncio16
Fecha de envío del anuncio08/07/2026 14:59:43 (UTC+00:00) Hora de Europa Occidental, GMT
Anuncio: fecha de envío (por parte del eSender)08/07/2026 14:59:44 (UTC+00:00) Hora de Europa Occidental, GMT
Lenguas en las que este anuncio está disponible oficialmentefinés
Número de publicación del anuncio476317-2026
Número de la edición del DO S131/2026
Fecha de publicación10/07/2026