476317-2026 - Hange
Soome – Arvutisüsteemide audititeenused ja arvuti testimisteenused – Tietoturvatestauspalvelut
OJ S 131/2026 10/07/2026
Hanketeade või kontsessiooniteade – üldkord
Teenused
1. Hankija
1.1.
Hankija
Ametlik nimiHUS-yhtymä
E-posti aadresskilpailutus.ict@hus.fi
Hankija õiguslik vormPiirkondlik omavalitsus
Hankija tegevusTervishoid
2. Menetlus
2.1.
Menetlus
PealkiriTietoturvatestauspalvelut
KirjeldusHUS-yhtymä (jäljempänä myös tilaaja tai hankintayksikkö) pyytää tarjouksia tietoturvatestauspalveluista tämän tarjouspyynnön ja sen liitteiden ehtojen mukaisesti. Tietoturvatestauksessa käytetään pääsääntöisesti määrämuotoista tietoturvamallia. Testaus noudattaa tarvittavia ja yleisesti hyväksyttyjä viitekehyksiä ja standardeja kuten CC (Common Criteria for Information Technology Security Evaluation), OWASP (Open Web Application Security Project) mukaan lukien OWASP ASVS ja OWASP LLM, WASC (Web Application Security Consortium), NIST sekä soveltuvin osin ISO IEC 27001 ja ISO IEC 27002 sekä EAL (Evaluation Assurance Level) -määrityksiä. Testaus voi sisältää tietoturvan vaatimustason määrittelyn, tietoturva-arkkitehtuurin ja keskitettyjen kontrollien läpikäynnin prosessi- ja tietojärjestelmätasolla. Testauksen perusteella laaditaan selkeät ja priorisoidut muutosehdotukset löydettyjen tietoturvapuutteiden korjaamiseksi. Tietoturvatestaus kohdistuu tietojärjestelmien lisäksi rajapintoihin, integraatioihin, pilviympäristöihin (IaaS, PaaS, SaaS), identiteetin ja pääsynhallintaratkaisuihin (IAM), mobiilisovelluksiin sekä tarvittaessa lääkintälaitteisiin liittyviin tietojärjestelmäkokonaisuuksiin. Tietoturvatestauksen sisältö voi olla esimerkiksi: - käyttöönottotarkastuksia, tietoturva-arviointeja ja kvanttivalmiuden arviointeja - toistuvia haavoittuvuusskannauksia ja haavoittuvuudenhallintaa - penetraatiotestausta (ml. web-, mobiili-, infra- ja API-testaukset sekä tarvittaessa red team -harjoitukset) - palvelunestohyökkäysten simulointia sovitussa laajuudessa - konfiguraatioiden ja tietoturva-asetusten tarkastuksia (baseline compliance) - ohjelmistokomponenttien ja riippuvuuksien tietoturvan arviointia (supply chain) - testauksen suunnittelu, toteutus, hallinta ja ylläpitotehtäviä Tekoäly- ja LLM-ratkaisujen osalta testaus kattaa erityisesti: - syötteiden ja promptien manipulointiin liittyvät riskit (prompt injection) - tietovuotoriskit ja mallien kautta tapahtuvan tiedon paljastumisen - mallien väärinkäytön ja ohittamisen riskit - käyttöoikeuksien, rajapintojen ja integraatioiden turvallisuuden - tekoälyjärjestelmien liitynnät muihin tietojärjestelmiin Testaus toteutetaan tilaajan kanssa sovittujen menettelytapojen mukaisesti. Näihin sisältyvät muun muassa testauksen rajaukset, aikataulutus, hyväksytyt testausmenetelmät, tuotantoympäristöön kohdistuvien testien erityisjärjestelyt, häiriötilanteiden hallinta sekä tietoturvallinen tietojen käsittely testauksen aikana. Lisäksi sovitaan palvelun tuottamiseen osallistuvista asiantuntijoista. Toimittaja vastaa dokumentaatiosta, joka sisältää vähintään: - testaussuunnitelman - testauksen aikaiset väliraportit - testitulokset ja havaintokohtaiset kuvaukset - loppuraportin johtopäätöksin. Raportoinnin tulee sisältää havaintojen selkeä riskiluokittelu (kriittinen, korkea, keskitaso, matala), vaikutusten arviointi sekä konkreettiset korjaussuositukset. Raporttiin tulee sisältyä myös yhteenveto sekä tekninen yksityiskohtainen kuvaus havainnoista ja testausmenetelmistä. Hankinnan kohteena oleva palvelu voi sisältää myös tietoturvatestauksen jatkuvien toimintamallien kehittämistä ja käyttöönottoa sekä testauksen integroimista osaksi ohjelmistokehityksen elinkaarta (DevSecOps). Toimittajan edellytetään sitoutuvan tilaajan tietoturva- ja tietosuojavaatimuksiin sekä huomioivan sosiaali- ja terveydenhuollon toimintaympäristön erityispiirteet, mukaan lukien potilastietojen käsittelyyn liittyvät vaatimukset.
Menetluse tunnus5cc0f0cd-5b49-4473-8ae3-ec6aa6e4b4f4
Sisemine tunnusHUS 045-2026
Menetluse liikAvatud
Kiirendatud menetlusei
Menetluskorra kirjeldusHankintayksikkö valitsee tässä hankintamenettelyssä puitejärjestelyyn kolme (3) toimittajaa, jollei soveltuvuusvaatimukset täyttäviä tarjoajia tai hyväksyttäviä tarjouksia ole vähemmän. Puitejärjestelyyn valitut toimittajat asetetaan tarjousvertailun perusteella etusijajärjestykseen. Puitejärjestelyyn perustuvat hankinnat tehdään etusijajärjestyksen mukaisesti ilman kilpailuttamista tarjouspyynnön liitteessä 1 kuvatun mukaisesti.
2.1.1.
Eesmärk
Lepingu olemusTeenused
Peamine liigitus (cpv): 72800000 Arvutisüsteemide audititeenused ja arvuti testimisteenused
Täiendav liigitus (cpv): 72000000 IT-teenused: nõuande-, tarkvaraarendus-, Interneti- ja tugiteenused, 72220000 Süsteemialased ja tehnilised nõustamisteenused, 72222100 Infosüsteemide ja tehnoloogilise strateegia retsenseerimisteenused
2.1.2.
Lepingu täitmise koht
Riik – jaotus (NUTS)Helsinki-Uusimaa (FI1B1)
RiikSoome
LisateaveTilaaja voi edellyttää sopimuksen kohteena olevan palvelun tuottamista tilaajan tiloissa.
2.1.3.
Maksumus
Eeldatav maksumus käibemaksuta800 000,00 EUR
Raamlepingu maksimaalne maksumus800 000,00 EUR
2.1.4.
Üldine teave
Õiguslik alus
Direktiiv 2014/24/EL
2.1.6.
Kõrvaldamise alused
Väljajätmise aluste allikadEuroopa ühtne hankedokument (ESPD)Hankedokument
5. Osa
5.1.
OsaLOT-0000
PealkiriTietoturvatestauspalvelut
KirjeldusHUS-yhtymä (jäljempänä myös tilaaja tai hankintayksikkö) pyytää tarjouksia tietoturvatestauspalveluista tämän tarjouspyynnön ja sen liitteiden ehtojen mukaisesti. Tietoturvatestauksessa käytetään pääsääntöisesti määrämuotoista tietoturvamallia. Testaus noudattaa tarvittavia ja yleisesti hyväksyttyjä viitekehyksiä ja standardeja kuten CC (Common Criteria for Information Technology Security Evaluation), OWASP (Open Web Application Security Project) mukaan lukien OWASP ASVS ja OWASP LLM, WASC (Web Application Security Consortium), NIST sekä soveltuvin osin ISO IEC 27001 ja ISO IEC 27002 sekä EAL (Evaluation Assurance Level) -määrityksiä. Testaus voi sisältää tietoturvan vaatimustason määrittelyn, tietoturva-arkkitehtuurin ja keskitettyjen kontrollien läpikäynnin prosessi- ja tietojärjestelmätasolla. Testauksen perusteella laaditaan selkeät ja priorisoidut muutosehdotukset löydettyjen tietoturvapuutteiden korjaamiseksi. Tietoturvatestaus kohdistuu tietojärjestelmien lisäksi rajapintoihin, integraatioihin, pilviympäristöihin (IaaS, PaaS, SaaS), identiteetin ja pääsynhallintaratkaisuihin (IAM), mobiilisovelluksiin sekä tarvittaessa lääkintälaitteisiin liittyviin tietojärjestelmäkokonaisuuksiin. Tietoturvatestauksen sisältö voi olla esimerkiksi: - käyttöönottotarkastuksia, tietoturva-arviointeja ja kvanttivalmiuden arviointeja - toistuvia haavoittuvuusskannauksia ja haavoittuvuudenhallintaa - penetraatiotestausta (ml. web-, mobiili-, infra- ja API-testaukset sekä tarvittaessa red team -harjoitukset) - palvelunestohyökkäysten simulointia sovitussa laajuudessa - konfiguraatioiden ja tietoturva-asetusten tarkastuksia (baseline compliance) - ohjelmistokomponenttien ja riippuvuuksien tietoturvan arviointia (supply chain) - testauksen suunnittelu, toteutus, hallinta ja ylläpitotehtäviä Tekoäly- ja LLM-ratkaisujen osalta testaus kattaa erityisesti: - syötteiden ja promptien manipulointiin liittyvät riskit (prompt injection) - tietovuotoriskit ja mallien kautta tapahtuvan tiedon paljastumisen - mallien väärinkäytön ja ohittamisen riskit - käyttöoikeuksien, rajapintojen ja integraatioiden turvallisuuden - tekoälyjärjestelmien liitynnät muihin tietojärjestelmiin Testaus toteutetaan tilaajan kanssa sovittujen menettelytapojen mukaisesti. Näihin sisältyvät muun muassa testauksen rajaukset, aikataulutus, hyväksytyt testausmenetelmät, tuotantoympäristöön kohdistuvien testien erityisjärjestelyt, häiriötilanteiden hallinta sekä tietoturvallinen tietojen käsittely testauksen aikana. Lisäksi sovitaan palvelun tuottamiseen osallistuvista asiantuntijoista. Toimittaja vastaa dokumentaatiosta, joka sisältää vähintään: - testaussuunnitelman - testauksen aikaiset väliraportit - testitulokset ja havaintokohtaiset kuvaukset - loppuraportin johtopäätöksin. Raportoinnin tulee sisältää havaintojen selkeä riskiluokittelu (kriittinen, korkea, keskitaso, matala), vaikutusten arviointi sekä konkreettiset korjaussuositukset. Raporttiin tulee sisältyä myös yhteenveto sekä tekninen yksityiskohtainen kuvaus havainnoista ja testausmenetelmistä. Hankinnan kohteena oleva palvelu voi sisältää myös tietoturvatestauksen jatkuvien toimintamallien kehittämistä ja käyttöönottoa sekä testauksen integroimista osaksi ohjelmistokehityksen elinkaarta (DevSecOps). Toimittajan edellytetään sitoutuvan tilaajan tietoturva- ja tietosuojavaatimuksiin sekä huomioivan sosiaali- ja terveydenhuollon toimintaympäristön erityispiirteet, mukaan lukien potilastietojen käsittelyyn liittyvät vaatimukset.
Sisemine tunnusHUS 045-2026
5.1.1.
Eesmärk
Lepingu olemusTeenused
Peamine liigitus (cpv): 72800000 Arvutisüsteemide audititeenused ja arvuti testimisteenused
Täiendav liigitus (cpv): 72000000 IT-teenused: nõuande-, tarkvaraarendus-, Interneti- ja tugiteenused, 72220000 Süsteemialased ja tehnilised nõustamisteenused, 72222100 Infosüsteemide ja tehnoloogilise strateegia retsenseerimisteenused
5.1.2.
Lepingu täitmise koht
Riik – jaotus (NUTS)Helsinki-Uusimaa (FI1B1)
RiikSoome
LisateaveTilaaja voi edellyttää sopimuksen kohteena olevan palvelun tuottamista tilaajan tiloissa.
5.1.3.
Eeldatav kestus
Kestus48 Kuud
5.1.5.
Maksumus
Eeldatav maksumus käibemaksuta800 000,00 EUR
Raamlepingu maksimaalne maksumus800 000,00 EUR
5.1.6.
Üldine teave
Reserveeritud osalemine
Osalemine ei ole reserveeritud.
Tuleb esitada lepingu täitmiseks määratud töötajate nimed ja nende kutsekvalifikatsioonidHanketingimus
Hankeprojekt, mida ei rahastata ELi vahenditest
Hanke suhtes kohaldatakse riigihankelepingut (GPA)jah
See hange sobib ka väikestele ja keskmise suurusega ettevõtjatele (VKEd)jah
5.1.7.
Strateegilised hanked
Sotsiaalse eesmärgi edendamineÕiglased töötingimused
5.1.9.
Kvalifitseerimistingimused
Valikukriteeriumide allikadEuroopa ühtne hankedokument (ESPD)Hankedokument
5.1.10.
Pakkumuste hindamise kriteeriumid
Kriteerium
LiikHind
NimiHinta
KirjeldusAsiantuntijatyön hinta
Hindamise kaalukriteeriumi kategooriaKaal (protsentides, täpne)
Hindamiskriteerium – arv60
Kriteerium
LiikKvaliteet
NimiLaatu
KirjeldusAsiantuntijoiden kokemus ja osaaminen
Hindamise kaalukriteeriumi kategooriaKaal (protsentides, täpne)
Hindamiskriteerium – arv40
5.1.11.
Hankedokumendid
Lisateabe taotlemise tähtaeg05/08/2026 09:00:00 (UTC+00:00) Lääne-Euroopa aeg, Greenwichi aeg
Hankedokumentide aadresshttps://tarjouspalvelu.fi/huslogistiikka?id=614344&tpk=e3ca2628-15f9-4666-8803-d42a6748fb82
5.1.12.
Hanke tingimused
Menetluse tingimused
Nõutav on juurdepääsuluba
KirjeldusTurvallisuusselvitystä voidaan vaatia.
Esitamise tingimused
Elektrooniline esitamineNõutav
Esitamise aadresshttps://tarjouspalvelu.fi/huslogistiikka?id=614344&tpk=e3ca2628-15f9-4666-8803-d42a6748fb82
Keeled, milles võib pakkumusi või osalemistaotlusi esitadasoome keel
Elektrooniline kataloogEi ole lubatud
VariandidEi ole lubatud
Pakkujad võivad esitada rohkem kui ühe pakkumuseEi ole lubatud
Pakkumuste esitamise tähtaeg19/08/2026 09:00:00 (UTC+00:00) Lääne-Euroopa aeg, Greenwichi aeg
Periood, mille jooksul pakkumus peab jääma kehtivaks4 Kuud
Teave avaliku avamise kohta
Avamise kuupäev19/08/2026 09:15:00 (UTC+00:00) Lääne-Euroopa aeg, Greenwichi aeg
Lepingutingimused
Lepingu täitmine peab toimuma kaitstud tööhõive programmide raamesEi
Vajalik on konfidentsiaalsuskokkulepejah
Lisateave konfidentsiaalsuskokkuleppe kohtaSalassapitosopimusta (NDA) voidaan vaatia.
E-arveldamineNõutav
Kasutatakse elektroonilisi tellimusijah
Kasutatakse elektroonilisi makseidjah
5.1.15.
Vahendid
Raamleping
Raamleping ilmaminikonkursita
Osalejate maksimaalne arv3
Teave dünaamilise hankesüsteemi kohta
Ei kohaldata dünaamilist hankesüsteemi
5.1.16.
Lisateave, lepitus ja vaidlustus
VaidlustusorganMarkkinaoikeus
Teave vaidlustamise tähtaegade kohta: Muutoksenhakumenettelyjen määräaikoihin sovelletaan julkisista hankinnoista ja käyttöoikeussopimuksista annettua lakia (1397/2016).
Organisatsioon, mis annab lisateavet vaidlustamise kohtaHUS-yhtymä
8. Organisatsioonid
8.1.
ORG-0001
Ametlik nimiMarkkinaoikeus
Registreerimisnumber3006157-6
PostiaadressRadanrakentajantie 5
LinnHelsinki
Sihtnumber00520
Riik – jaotus (NUTS)Helsinki-Uusimaa (FI1B1)
RiikSoome
E-posti aadressmarkkinaoikeus@oikeus.fi
Telefon+358 295643300
Internetiaadresshttp://www.oikeus.fi/markkinaoikeus
Selle organisatsiooni rollid
Vaidlustusorgan
8.1.
ORG-0002
Ametlik nimiHUS-yhtymä
Registreerimisnumber1567535-0
PostiaadressPL 445 (Uutistie 5, 01770 Vantaa)
LinnHUS
Sihtnumber00029
Riik – jaotus (NUTS)Helsinki-Uusimaa (FI1B1)
RiikSoome
KontaktpunktICT-hankintakategoria
E-posti aadresskilpailutus.ict@hus.fi
Telefon+358 947111
Internetiaadresshttp://www.hus.fi
Selle organisatsiooni rollid
Hankija
Organisatsioon, mis annab lisateavet vaidlustamise kohta
8.1.
ORG-0003
Ametlik nimiHansel Oy (Hilma)
RegistreerimisnumberFI09880841
PostiaadressMannerheiminaukio 1a
LinnHelsinki
Sihtnumber00100
Riik – jaotus (NUTS)Helsinki-Uusimaa (FI1B1)
RiikSoome
KontaktpunkteSender
E-posti aadresstekninen@hankintailmoitukset.fi
Telefon029 55 636 30
Internetiaadresshttp://hankintailmoitukset.fi
Selle organisatsiooni rollid
TED eSender
Teave teate kohta
Teate tunnus/versioon13a3a3b7-7d3d-49c1-93e4-70158c578c2b  -  01
Vormi liikHange
Teate liikHanketeade või kontsessiooniteade – üldkord
Teate alaliik16
Teate saatmise kuupäev08/07/2026 14:59:43 (UTC+00:00) Lääne-Euroopa aeg, Greenwichi aeg
Teate saatmise kuupäev (eSender)08/07/2026 14:59:44 (UTC+00:00) Lääne-Euroopa aeg, Greenwichi aeg
Keeled, milles käesolev teade on ametlikult kättesaadavsoome keel
Teate avaldamise number476317-2026
ELT S väljaande number131/2026
Avaldamise kuupäev10/07/2026