1. Hankija
1.1.
Hankija
Ametlik nimi: HUS-yhtymä
Hankija õiguslik vorm: Piirkondlik omavalitsus
Hankija tegevus: Tervishoid
2. Menetlus
2.1.
Menetlus
Pealkiri: Tietoturvatestauspalvelut
Kirjeldus: HUS-yhtymä (jäljempänä myös tilaaja tai hankintayksikkö) pyytää tarjouksia tietoturvatestauspalveluista tämän tarjouspyynnön ja sen liitteiden ehtojen mukaisesti. Tietoturvatestauksessa käytetään pääsääntöisesti määrämuotoista tietoturvamallia. Testaus noudattaa tarvittavia ja yleisesti hyväksyttyjä viitekehyksiä ja standardeja kuten CC (Common Criteria for Information Technology Security Evaluation), OWASP (Open Web Application Security Project) mukaan lukien OWASP ASVS ja OWASP LLM, WASC (Web Application Security Consortium), NIST sekä soveltuvin osin ISO IEC 27001 ja ISO IEC 27002 sekä EAL (Evaluation Assurance Level) -määrityksiä. Testaus voi sisältää tietoturvan vaatimustason määrittelyn, tietoturva-arkkitehtuurin ja keskitettyjen kontrollien läpikäynnin prosessi- ja tietojärjestelmätasolla. Testauksen perusteella laaditaan selkeät ja priorisoidut muutosehdotukset löydettyjen tietoturvapuutteiden korjaamiseksi. Tietoturvatestaus kohdistuu tietojärjestelmien lisäksi rajapintoihin, integraatioihin, pilviympäristöihin (IaaS, PaaS, SaaS), identiteetin ja pääsynhallintaratkaisuihin (IAM), mobiilisovelluksiin sekä tarvittaessa lääkintälaitteisiin liittyviin tietojärjestelmäkokonaisuuksiin. Tietoturvatestauksen sisältö voi olla esimerkiksi: - käyttöönottotarkastuksia, tietoturva-arviointeja ja kvanttivalmiuden arviointeja - toistuvia haavoittuvuusskannauksia ja haavoittuvuudenhallintaa - penetraatiotestausta (ml. web-, mobiili-, infra- ja API-testaukset sekä tarvittaessa red team -harjoitukset) - palvelunestohyökkäysten simulointia sovitussa laajuudessa - konfiguraatioiden ja tietoturva-asetusten tarkastuksia (baseline compliance) - ohjelmistokomponenttien ja riippuvuuksien tietoturvan arviointia (supply chain) - testauksen suunnittelu, toteutus, hallinta ja ylläpitotehtäviä Tekoäly- ja LLM-ratkaisujen osalta testaus kattaa erityisesti: - syötteiden ja promptien manipulointiin liittyvät riskit (prompt injection) - tietovuotoriskit ja mallien kautta tapahtuvan tiedon paljastumisen - mallien väärinkäytön ja ohittamisen riskit - käyttöoikeuksien, rajapintojen ja integraatioiden turvallisuuden - tekoälyjärjestelmien liitynnät muihin tietojärjestelmiin Testaus toteutetaan tilaajan kanssa sovittujen menettelytapojen mukaisesti. Näihin sisältyvät muun muassa testauksen rajaukset, aikataulutus, hyväksytyt testausmenetelmät, tuotantoympäristöön kohdistuvien testien erityisjärjestelyt, häiriötilanteiden hallinta sekä tietoturvallinen tietojen käsittely testauksen aikana. Lisäksi sovitaan palvelun tuottamiseen osallistuvista asiantuntijoista. Toimittaja vastaa dokumentaatiosta, joka sisältää vähintään: - testaussuunnitelman - testauksen aikaiset väliraportit - testitulokset ja havaintokohtaiset kuvaukset - loppuraportin johtopäätöksin. Raportoinnin tulee sisältää havaintojen selkeä riskiluokittelu (kriittinen, korkea, keskitaso, matala), vaikutusten arviointi sekä konkreettiset korjaussuositukset. Raporttiin tulee sisältyä myös yhteenveto sekä tekninen yksityiskohtainen kuvaus havainnoista ja testausmenetelmistä. Hankinnan kohteena oleva palvelu voi sisältää myös tietoturvatestauksen jatkuvien toimintamallien kehittämistä ja käyttöönottoa sekä testauksen integroimista osaksi ohjelmistokehityksen elinkaarta (DevSecOps). Toimittajan edellytetään sitoutuvan tilaajan tietoturva- ja tietosuojavaatimuksiin sekä huomioivan sosiaali- ja terveydenhuollon toimintaympäristön erityispiirteet, mukaan lukien potilastietojen käsittelyyn liittyvät vaatimukset.
Menetluse tunnus: 5cc0f0cd-5b49-4473-8ae3-ec6aa6e4b4f4
Sisemine tunnus: HUS 045-2026
Menetluse liik: Avatud
Kiirendatud menetlus: ei
Menetluskorra kirjeldus: Hankintayksikkö valitsee tässä hankintamenettelyssä puitejärjestelyyn kolme (3) toimittajaa, jollei soveltuvuusvaatimukset täyttäviä tarjoajia tai hyväksyttäviä tarjouksia ole vähemmän. Puitejärjestelyyn valitut toimittajat asetetaan tarjousvertailun perusteella etusijajärjestykseen. Puitejärjestelyyn perustuvat hankinnat tehdään etusijajärjestyksen mukaisesti ilman kilpailuttamista tarjouspyynnön liitteessä 1 kuvatun mukaisesti.
2.1.1.
Eesmärk
Lepingu olemus: Teenused
Peamine liigitus (cpv): 72800000 Arvutisüsteemide audititeenused ja arvuti testimisteenused
Täiendav liigitus (cpv): 72000000 IT-teenused: nõuande-, tarkvaraarendus-, Interneti- ja tugiteenused, 72220000 Süsteemialased ja tehnilised nõustamisteenused, 72222100 Infosüsteemide ja tehnoloogilise strateegia retsenseerimisteenused
2.1.2.
Lepingu täitmise koht
Riik – jaotus (NUTS): Helsinki-Uusimaa (FI1B1)
Riik: Soome
Lisateave: Tilaaja voi edellyttää sopimuksen kohteena olevan palvelun tuottamista tilaajan tiloissa.
2.1.3.
Maksumus
Eeldatav maksumus käibemaksuta: 800 000,00 EUR
Raamlepingu maksimaalne maksumus: 800 000,00 EUR
2.1.4.
Üldine teave
Õiguslik alus:
Direktiiv 2014/24/EL
2.1.6.
Kõrvaldamise alused
Väljajätmise aluste allikad: Euroopa ühtne hankedokument (ESPD), Hankedokument
5. Osa
5.1.
Osa: LOT-0000
Pealkiri: Tietoturvatestauspalvelut
Kirjeldus: HUS-yhtymä (jäljempänä myös tilaaja tai hankintayksikkö) pyytää tarjouksia tietoturvatestauspalveluista tämän tarjouspyynnön ja sen liitteiden ehtojen mukaisesti. Tietoturvatestauksessa käytetään pääsääntöisesti määrämuotoista tietoturvamallia. Testaus noudattaa tarvittavia ja yleisesti hyväksyttyjä viitekehyksiä ja standardeja kuten CC (Common Criteria for Information Technology Security Evaluation), OWASP (Open Web Application Security Project) mukaan lukien OWASP ASVS ja OWASP LLM, WASC (Web Application Security Consortium), NIST sekä soveltuvin osin ISO IEC 27001 ja ISO IEC 27002 sekä EAL (Evaluation Assurance Level) -määrityksiä. Testaus voi sisältää tietoturvan vaatimustason määrittelyn, tietoturva-arkkitehtuurin ja keskitettyjen kontrollien läpikäynnin prosessi- ja tietojärjestelmätasolla. Testauksen perusteella laaditaan selkeät ja priorisoidut muutosehdotukset löydettyjen tietoturvapuutteiden korjaamiseksi. Tietoturvatestaus kohdistuu tietojärjestelmien lisäksi rajapintoihin, integraatioihin, pilviympäristöihin (IaaS, PaaS, SaaS), identiteetin ja pääsynhallintaratkaisuihin (IAM), mobiilisovelluksiin sekä tarvittaessa lääkintälaitteisiin liittyviin tietojärjestelmäkokonaisuuksiin. Tietoturvatestauksen sisältö voi olla esimerkiksi: - käyttöönottotarkastuksia, tietoturva-arviointeja ja kvanttivalmiuden arviointeja - toistuvia haavoittuvuusskannauksia ja haavoittuvuudenhallintaa - penetraatiotestausta (ml. web-, mobiili-, infra- ja API-testaukset sekä tarvittaessa red team -harjoitukset) - palvelunestohyökkäysten simulointia sovitussa laajuudessa - konfiguraatioiden ja tietoturva-asetusten tarkastuksia (baseline compliance) - ohjelmistokomponenttien ja riippuvuuksien tietoturvan arviointia (supply chain) - testauksen suunnittelu, toteutus, hallinta ja ylläpitotehtäviä Tekoäly- ja LLM-ratkaisujen osalta testaus kattaa erityisesti: - syötteiden ja promptien manipulointiin liittyvät riskit (prompt injection) - tietovuotoriskit ja mallien kautta tapahtuvan tiedon paljastumisen - mallien väärinkäytön ja ohittamisen riskit - käyttöoikeuksien, rajapintojen ja integraatioiden turvallisuuden - tekoälyjärjestelmien liitynnät muihin tietojärjestelmiin Testaus toteutetaan tilaajan kanssa sovittujen menettelytapojen mukaisesti. Näihin sisältyvät muun muassa testauksen rajaukset, aikataulutus, hyväksytyt testausmenetelmät, tuotantoympäristöön kohdistuvien testien erityisjärjestelyt, häiriötilanteiden hallinta sekä tietoturvallinen tietojen käsittely testauksen aikana. Lisäksi sovitaan palvelun tuottamiseen osallistuvista asiantuntijoista. Toimittaja vastaa dokumentaatiosta, joka sisältää vähintään: - testaussuunnitelman - testauksen aikaiset väliraportit - testitulokset ja havaintokohtaiset kuvaukset - loppuraportin johtopäätöksin. Raportoinnin tulee sisältää havaintojen selkeä riskiluokittelu (kriittinen, korkea, keskitaso, matala), vaikutusten arviointi sekä konkreettiset korjaussuositukset. Raporttiin tulee sisältyä myös yhteenveto sekä tekninen yksityiskohtainen kuvaus havainnoista ja testausmenetelmistä. Hankinnan kohteena oleva palvelu voi sisältää myös tietoturvatestauksen jatkuvien toimintamallien kehittämistä ja käyttöönottoa sekä testauksen integroimista osaksi ohjelmistokehityksen elinkaarta (DevSecOps). Toimittajan edellytetään sitoutuvan tilaajan tietoturva- ja tietosuojavaatimuksiin sekä huomioivan sosiaali- ja terveydenhuollon toimintaympäristön erityispiirteet, mukaan lukien potilastietojen käsittelyyn liittyvät vaatimukset.
Sisemine tunnus: HUS 045-2026
5.1.1.
Eesmärk
Lepingu olemus: Teenused
Peamine liigitus (cpv): 72800000 Arvutisüsteemide audititeenused ja arvuti testimisteenused
Täiendav liigitus (cpv): 72000000 IT-teenused: nõuande-, tarkvaraarendus-, Interneti- ja tugiteenused, 72220000 Süsteemialased ja tehnilised nõustamisteenused, 72222100 Infosüsteemide ja tehnoloogilise strateegia retsenseerimisteenused
5.1.2.
Lepingu täitmise koht
Riik – jaotus (NUTS): Helsinki-Uusimaa (FI1B1)
Riik: Soome
Lisateave: Tilaaja voi edellyttää sopimuksen kohteena olevan palvelun tuottamista tilaajan tiloissa.
5.1.3.
Eeldatav kestus
Kestus: 48 Kuud
5.1.5.
Maksumus
Eeldatav maksumus käibemaksuta: 800 000,00 EUR
Raamlepingu maksimaalne maksumus: 800 000,00 EUR
5.1.6.
Üldine teave
Reserveeritud osalemine:
Osalemine ei ole reserveeritud.
Tuleb esitada lepingu täitmiseks määratud töötajate nimed ja nende kutsekvalifikatsioonid: Hanketingimus
Hankeprojekt, mida ei rahastata ELi vahenditest
Hanke suhtes kohaldatakse riigihankelepingut (GPA): jah
See hange sobib ka väikestele ja keskmise suurusega ettevõtjatele (VKEd): jah
5.1.7.
Strateegilised hanked
Sotsiaalse eesmärgi edendamine: Õiglased töötingimused
5.1.9.
Kvalifitseerimistingimused
Valikukriteeriumide allikad: Euroopa ühtne hankedokument (ESPD), Hankedokument
5.1.10.
Pakkumuste hindamise kriteeriumid
Kriteerium:
Liik: Hind
Nimi: Hinta
Kirjeldus: Asiantuntijatyön hinta
Hindamise kaalukriteeriumi kategooria: Kaal (protsentides, täpne)
Hindamiskriteerium – arv: 60
Kriteerium:
Liik: Kvaliteet
Nimi: Laatu
Kirjeldus: Asiantuntijoiden kokemus ja osaaminen
Hindamise kaalukriteeriumi kategooria: Kaal (protsentides, täpne)
Hindamiskriteerium – arv: 40
5.1.11.
Hankedokumendid
Lisateabe taotlemise tähtaeg: 05/08/2026 09:00:00 (UTC+00:00) Lääne-Euroopa aeg, Greenwichi aeg
5.1.12.
Hanke tingimused
Menetluse tingimused:
Nõutav on juurdepääsuluba
Kirjeldus: Turvallisuusselvitystä voidaan vaatia.
Esitamise tingimused:
Elektrooniline esitamine: Nõutav
Keeled, milles võib pakkumusi või osalemistaotlusi esitada: soome keel
Elektrooniline kataloog: Ei ole lubatud
Variandid: Ei ole lubatud
Pakkujad võivad esitada rohkem kui ühe pakkumuse: Ei ole lubatud
Pakkumuste esitamise tähtaeg: 19/08/2026 09:00:00 (UTC+00:00) Lääne-Euroopa aeg, Greenwichi aeg
Periood, mille jooksul pakkumus peab jääma kehtivaks: 4 Kuud
Teave avaliku avamise kohta:
Avamise kuupäev: 19/08/2026 09:15:00 (UTC+00:00) Lääne-Euroopa aeg, Greenwichi aeg
Lepingutingimused:
Lepingu täitmine peab toimuma kaitstud tööhõive programmide raames: Ei
Vajalik on konfidentsiaalsuskokkulepe: jah
Lisateave konfidentsiaalsuskokkuleppe kohta: Salassapitosopimusta (NDA) voidaan vaatia.
E-arveldamine: Nõutav
Kasutatakse elektroonilisi tellimusi: jah
Kasutatakse elektroonilisi makseid: jah
5.1.15.
Vahendid
Raamleping:
Raamleping ilmaminikonkursita
Osalejate maksimaalne arv: 3
Teave dünaamilise hankesüsteemi kohta:
Ei kohaldata dünaamilist hankesüsteemi
5.1.16.
Lisateave, lepitus ja vaidlustus
Vaidlustusorgan: Markkinaoikeus
Teave vaidlustamise tähtaegade kohta: Muutoksenhakumenettelyjen määräaikoihin sovelletaan julkisista hankinnoista ja käyttöoikeussopimuksista annettua lakia (1397/2016).
Organisatsioon, mis annab lisateavet vaidlustamise kohta: HUS-yhtymä
8. Organisatsioonid
8.1.
ORG-0001
Ametlik nimi: Markkinaoikeus
Registreerimisnumber: 3006157-6
Postiaadress: Radanrakentajantie 5
Linn: Helsinki
Sihtnumber: 00520
Riik – jaotus (NUTS): Helsinki-Uusimaa (FI1B1)
Riik: Soome
Telefon: +358 295643300
Selle organisatsiooni rollid:
Vaidlustusorgan
8.1.
ORG-0002
Ametlik nimi: HUS-yhtymä
Registreerimisnumber: 1567535-0
Postiaadress: PL 445 (Uutistie 5, 01770 Vantaa)
Linn: HUS
Sihtnumber: 00029
Riik – jaotus (NUTS): Helsinki-Uusimaa (FI1B1)
Riik: Soome
Kontaktpunkt: ICT-hankintakategoria
Telefon: +358 947111
Selle organisatsiooni rollid:
Hankija
Organisatsioon, mis annab lisateavet vaidlustamise kohta
8.1.
ORG-0003
Ametlik nimi: Hansel Oy (Hilma)
Registreerimisnumber: FI09880841
Postiaadress: Mannerheiminaukio 1a
Linn: Helsinki
Sihtnumber: 00100
Riik – jaotus (NUTS): Helsinki-Uusimaa (FI1B1)
Riik: Soome
Kontaktpunkt: eSender
Telefon: 029 55 636 30
Selle organisatsiooni rollid:
TED eSender
Teate tunnus/versioon: 13a3a3b7-7d3d-49c1-93e4-70158c578c2b - 01
Vormi liik: Hange
Teate liik: Hanketeade või kontsessiooniteade – üldkord
Teate alaliik: 16
Teate saatmise kuupäev: 08/07/2026 14:59:43 (UTC+00:00) Lääne-Euroopa aeg, Greenwichi aeg
Teate saatmise kuupäev (eSender): 08/07/2026 14:59:44 (UTC+00:00) Lääne-Euroopa aeg, Greenwichi aeg
Keeled, milles käesolev teade on ametlikult kättesaadav: soome keel
Teate avaldamise number: 476317-2026
ELT S väljaande number: 131/2026
Avaldamise kuupäev: 10/07/2026