476317-2026 - Mise en concurrence
Finlande – Services d'audit informatique et services d'essai informatique – Tietoturvatestauspalvelut
OJ S 131/2026 10/07/2026
Avis de marché ou de concession – régime ordinaire
Services
1. Acheteur
1.1.
Acheteur
Nom officielHUS-yhtymä
Adresse électroniquekilpailutus.ict@hus.fi
Forme juridique de l’acheteurAutorité régionale
Activité du pouvoir adjudicateurSanté
2. Procédure
2.1.
Procédure
TitreTietoturvatestauspalvelut
DescriptionHUS-yhtymä (jäljempänä myös tilaaja tai hankintayksikkö) pyytää tarjouksia tietoturvatestauspalveluista tämän tarjouspyynnön ja sen liitteiden ehtojen mukaisesti. Tietoturvatestauksessa käytetään pääsääntöisesti määrämuotoista tietoturvamallia. Testaus noudattaa tarvittavia ja yleisesti hyväksyttyjä viitekehyksiä ja standardeja kuten CC (Common Criteria for Information Technology Security Evaluation), OWASP (Open Web Application Security Project) mukaan lukien OWASP ASVS ja OWASP LLM, WASC (Web Application Security Consortium), NIST sekä soveltuvin osin ISO IEC 27001 ja ISO IEC 27002 sekä EAL (Evaluation Assurance Level) -määrityksiä. Testaus voi sisältää tietoturvan vaatimustason määrittelyn, tietoturva-arkkitehtuurin ja keskitettyjen kontrollien läpikäynnin prosessi- ja tietojärjestelmätasolla. Testauksen perusteella laaditaan selkeät ja priorisoidut muutosehdotukset löydettyjen tietoturvapuutteiden korjaamiseksi. Tietoturvatestaus kohdistuu tietojärjestelmien lisäksi rajapintoihin, integraatioihin, pilviympäristöihin (IaaS, PaaS, SaaS), identiteetin ja pääsynhallintaratkaisuihin (IAM), mobiilisovelluksiin sekä tarvittaessa lääkintälaitteisiin liittyviin tietojärjestelmäkokonaisuuksiin. Tietoturvatestauksen sisältö voi olla esimerkiksi: - käyttöönottotarkastuksia, tietoturva-arviointeja ja kvanttivalmiuden arviointeja - toistuvia haavoittuvuusskannauksia ja haavoittuvuudenhallintaa - penetraatiotestausta (ml. web-, mobiili-, infra- ja API-testaukset sekä tarvittaessa red team -harjoitukset) - palvelunestohyökkäysten simulointia sovitussa laajuudessa - konfiguraatioiden ja tietoturva-asetusten tarkastuksia (baseline compliance) - ohjelmistokomponenttien ja riippuvuuksien tietoturvan arviointia (supply chain) - testauksen suunnittelu, toteutus, hallinta ja ylläpitotehtäviä Tekoäly- ja LLM-ratkaisujen osalta testaus kattaa erityisesti: - syötteiden ja promptien manipulointiin liittyvät riskit (prompt injection) - tietovuotoriskit ja mallien kautta tapahtuvan tiedon paljastumisen - mallien väärinkäytön ja ohittamisen riskit - käyttöoikeuksien, rajapintojen ja integraatioiden turvallisuuden - tekoälyjärjestelmien liitynnät muihin tietojärjestelmiin Testaus toteutetaan tilaajan kanssa sovittujen menettelytapojen mukaisesti. Näihin sisältyvät muun muassa testauksen rajaukset, aikataulutus, hyväksytyt testausmenetelmät, tuotantoympäristöön kohdistuvien testien erityisjärjestelyt, häiriötilanteiden hallinta sekä tietoturvallinen tietojen käsittely testauksen aikana. Lisäksi sovitaan palvelun tuottamiseen osallistuvista asiantuntijoista. Toimittaja vastaa dokumentaatiosta, joka sisältää vähintään: - testaussuunnitelman - testauksen aikaiset väliraportit - testitulokset ja havaintokohtaiset kuvaukset - loppuraportin johtopäätöksin. Raportoinnin tulee sisältää havaintojen selkeä riskiluokittelu (kriittinen, korkea, keskitaso, matala), vaikutusten arviointi sekä konkreettiset korjaussuositukset. Raporttiin tulee sisältyä myös yhteenveto sekä tekninen yksityiskohtainen kuvaus havainnoista ja testausmenetelmistä. Hankinnan kohteena oleva palvelu voi sisältää myös tietoturvatestauksen jatkuvien toimintamallien kehittämistä ja käyttöönottoa sekä testauksen integroimista osaksi ohjelmistokehityksen elinkaarta (DevSecOps). Toimittajan edellytetään sitoutuvan tilaajan tietoturva- ja tietosuojavaatimuksiin sekä huomioivan sosiaali- ja terveydenhuollon toimintaympäristön erityispiirteet, mukaan lukien potilastietojen käsittelyyn liittyvät vaatimukset.
Identifiant de la procédure5cc0f0cd-5b49-4473-8ae3-ec6aa6e4b4f4
Identifiant interneHUS 045-2026
Type de procédureOuverte
La procédure est accéléréenon
Principales caractéristiques de la procédure et informations sur l'endroit où obtenir les règles complètes applicables à la procédureHankintayksikkö valitsee tässä hankintamenettelyssä puitejärjestelyyn kolme (3) toimittajaa, jollei soveltuvuusvaatimukset täyttäviä tarjoajia tai hyväksyttäviä tarjouksia ole vähemmän. Puitejärjestelyyn valitut toimittajat asetetaan tarjousvertailun perusteella etusijajärjestykseen. Puitejärjestelyyn perustuvat hankinnat tehdään etusijajärjestyksen mukaisesti ilman kilpailuttamista tarjouspyynnön liitteessä 1 kuvatun mukaisesti.
2.1.1.
Objet
Nature principale du marchéServices
Nomenclature principale (cpv): 72800000 Services d'audit informatique et services d'essai informatique
Nomenclature complémentaire (cpv): 72000000 Services de technologies de l'information, conseil, développement de logiciels, internet et appui, 72220000 Services de conseil en systèmes informatiques et conseils techniques, 72222100 Services d'analyse stratégique de systèmes ou de technologies de l'information
2.1.2.
Lieu d’exécution
Subdivision pays (NUTS)Helsinki-Uusimaa (FI1B1)
PaysFinlande
Informations complémentairesTilaaja voi edellyttää sopimuksen kohteena olevan palvelun tuottamista tilaajan tiloissa.
2.1.3.
Valeur
Valeur estimée hors TVA800 000,00 EUR
Valeur maximale de l’accord-cadre800 000,00 EUR
2.1.4.
Informations générales
Base juridique
Directive 2014/24/UE
2.1.6.
Motifs d’exclusion
Sources des motifs d'exclusionDocument unique de marché européen (DUME)Document de marché
5. Lot
5.1.
LotLOT-0000
TitreTietoturvatestauspalvelut
DescriptionHUS-yhtymä (jäljempänä myös tilaaja tai hankintayksikkö) pyytää tarjouksia tietoturvatestauspalveluista tämän tarjouspyynnön ja sen liitteiden ehtojen mukaisesti. Tietoturvatestauksessa käytetään pääsääntöisesti määrämuotoista tietoturvamallia. Testaus noudattaa tarvittavia ja yleisesti hyväksyttyjä viitekehyksiä ja standardeja kuten CC (Common Criteria for Information Technology Security Evaluation), OWASP (Open Web Application Security Project) mukaan lukien OWASP ASVS ja OWASP LLM, WASC (Web Application Security Consortium), NIST sekä soveltuvin osin ISO IEC 27001 ja ISO IEC 27002 sekä EAL (Evaluation Assurance Level) -määrityksiä. Testaus voi sisältää tietoturvan vaatimustason määrittelyn, tietoturva-arkkitehtuurin ja keskitettyjen kontrollien läpikäynnin prosessi- ja tietojärjestelmätasolla. Testauksen perusteella laaditaan selkeät ja priorisoidut muutosehdotukset löydettyjen tietoturvapuutteiden korjaamiseksi. Tietoturvatestaus kohdistuu tietojärjestelmien lisäksi rajapintoihin, integraatioihin, pilviympäristöihin (IaaS, PaaS, SaaS), identiteetin ja pääsynhallintaratkaisuihin (IAM), mobiilisovelluksiin sekä tarvittaessa lääkintälaitteisiin liittyviin tietojärjestelmäkokonaisuuksiin. Tietoturvatestauksen sisältö voi olla esimerkiksi: - käyttöönottotarkastuksia, tietoturva-arviointeja ja kvanttivalmiuden arviointeja - toistuvia haavoittuvuusskannauksia ja haavoittuvuudenhallintaa - penetraatiotestausta (ml. web-, mobiili-, infra- ja API-testaukset sekä tarvittaessa red team -harjoitukset) - palvelunestohyökkäysten simulointia sovitussa laajuudessa - konfiguraatioiden ja tietoturva-asetusten tarkastuksia (baseline compliance) - ohjelmistokomponenttien ja riippuvuuksien tietoturvan arviointia (supply chain) - testauksen suunnittelu, toteutus, hallinta ja ylläpitotehtäviä Tekoäly- ja LLM-ratkaisujen osalta testaus kattaa erityisesti: - syötteiden ja promptien manipulointiin liittyvät riskit (prompt injection) - tietovuotoriskit ja mallien kautta tapahtuvan tiedon paljastumisen - mallien väärinkäytön ja ohittamisen riskit - käyttöoikeuksien, rajapintojen ja integraatioiden turvallisuuden - tekoälyjärjestelmien liitynnät muihin tietojärjestelmiin Testaus toteutetaan tilaajan kanssa sovittujen menettelytapojen mukaisesti. Näihin sisältyvät muun muassa testauksen rajaukset, aikataulutus, hyväksytyt testausmenetelmät, tuotantoympäristöön kohdistuvien testien erityisjärjestelyt, häiriötilanteiden hallinta sekä tietoturvallinen tietojen käsittely testauksen aikana. Lisäksi sovitaan palvelun tuottamiseen osallistuvista asiantuntijoista. Toimittaja vastaa dokumentaatiosta, joka sisältää vähintään: - testaussuunnitelman - testauksen aikaiset väliraportit - testitulokset ja havaintokohtaiset kuvaukset - loppuraportin johtopäätöksin. Raportoinnin tulee sisältää havaintojen selkeä riskiluokittelu (kriittinen, korkea, keskitaso, matala), vaikutusten arviointi sekä konkreettiset korjaussuositukset. Raporttiin tulee sisältyä myös yhteenveto sekä tekninen yksityiskohtainen kuvaus havainnoista ja testausmenetelmistä. Hankinnan kohteena oleva palvelu voi sisältää myös tietoturvatestauksen jatkuvien toimintamallien kehittämistä ja käyttöönottoa sekä testauksen integroimista osaksi ohjelmistokehityksen elinkaarta (DevSecOps). Toimittajan edellytetään sitoutuvan tilaajan tietoturva- ja tietosuojavaatimuksiin sekä huomioivan sosiaali- ja terveydenhuollon toimintaympäristön erityispiirteet, mukaan lukien potilastietojen käsittelyyn liittyvät vaatimukset.
Identifiant interneHUS 045-2026
5.1.1.
Objet
Nature principale du marchéServices
Nomenclature principale (cpv): 72800000 Services d'audit informatique et services d'essai informatique
Nomenclature complémentaire (cpv): 72000000 Services de technologies de l'information, conseil, développement de logiciels, internet et appui, 72220000 Services de conseil en systèmes informatiques et conseils techniques, 72222100 Services d'analyse stratégique de systèmes ou de technologies de l'information
5.1.2.
Lieu d’exécution
Subdivision pays (NUTS)Helsinki-Uusimaa (FI1B1)
PaysFinlande
Informations complémentairesTilaaja voi edellyttää sopimuksen kohteena olevan palvelun tuottamista tilaajan tiloissa.
5.1.3.
Durée estimée
Durée48 Mois
5.1.5.
Valeur
Valeur estimée hors TVA800 000,00 EUR
Valeur maximale de l’accord-cadre800 000,00 EUR
5.1.6.
Informations générales
Participation réservée
La participation n’est pas réservée.
Les noms et les qualifications professionnelles du personnel chargé de l’exécution du marché doivent être mentionnésExigence dans l’offre
Projet de passation de marché non financé par des fonds de l’UE
Le marché relève de l’accord sur les marchés publics (AMP)oui
Le marché en question convient aussi aux petites et moyennes entreprises (PME)oui
5.1.7.
Marché public stratégique
Objectif social promuConditions de travail équitables
5.1.9.
Critères de sélection
Sources des critères de sélectionDocument unique de marché européen (DUME)Document de marché
5.1.10.
Critères d’attribution
Critère
TypePrix
NomHinta
DescriptionAsiantuntijatyön hinta
Catégorie du critère d’attribution poidsPondération (pourcentage, valeur exacte)
Nombre critère d’attribution60
Critère
TypeQualité
NomLaatu
DescriptionAsiantuntijoiden kokemus ja osaaminen
Catégorie du critère d’attribution poidsPondération (pourcentage, valeur exacte)
Nombre critère d’attribution40
5.1.11.
Documents de marché
Date limite de demande d’informations complémentaires05/08/2026 09:00:00 (UTC+00:00) Heure de l'Europe occidentale, GMT
Adresse des documents de marchéhttps://tarjouspalvelu.fi/huslogistiikka?id=614344&tpk=e3ca2628-15f9-4666-8803-d42a6748fb82
5.1.12.
Conditions du marché public
Conditions de la procédure
Une habilitation de sécurité est requise
DescriptionTurvallisuusselvitystä voidaan vaatia.
Conditions de soumission
Soumission par voie électroniqueRequise
Adresse de soumissionhttps://tarjouspalvelu.fi/huslogistiikka?id=614344&tpk=e3ca2628-15f9-4666-8803-d42a6748fb82
Langues dans lesquelles les offres ou demandes de participation/candidatures peuvent être présentéesfinnois
Catalogue électroniqueNon autorisée
VariantesNon autorisée
Les soumissionnaires peuvent présenter plusieurs offresNon autorisée
Date limite de réception des offres19/08/2026 09:00:00 (UTC+00:00) Heure de l'Europe occidentale, GMT
Durée de validité des offres4 Mois
Informations relatives à l’ouverture publique
Date d'ouverture19/08/2026 09:15:00 (UTC+00:00) Heure de l'Europe occidentale, GMT
Conditions du marché
Le contrat doit être exécuté dans le cadre de programmes d’emplois protégésNon
Un accord de confidentialité est requisoui
Informations complémentaires sur l’accord de confidentialitéSalassapitosopimusta (NDA) voidaan vaatia.
Facturation électroniqueRequise
La commande en ligne sera utiliséeoui
Le paiement électronique sera utiliséoui
5.1.15.
Techniques
Accord-cadre
Accord-cadre, sans remise en concurrence
Nombre maximal de candidats3
Informations sur le système d’acquisition dynamique
Pas de système d’acquisition dynamique
5.1.16.
Informations complémentaires, médiation et recours
Organisation chargée des procédures de recoursMarkkinaoikeus
Description des délais d'introduction des procédures de recours: Muutoksenhakumenettelyjen määräaikoihin sovelletaan julkisista hankinnoista ja käyttöoikeussopimuksista annettua lakia (1397/2016).
Organisation qui fournit des précisions concernant l’introduction des recoursHUS-yhtymä
8. Organisations
8.1.
ORG-0001
Nom officielMarkkinaoikeus
Numéro d’enregistrement3006157-6
Adresse postaleRadanrakentajantie 5
VilleHelsinki
Code postal00520
Subdivision pays (NUTS)Helsinki-Uusimaa (FI1B1)
PaysFinlande
Adresse électroniquemarkkinaoikeus@oikeus.fi
Téléphone+358 295643300
Adresse internethttp://www.oikeus.fi/markkinaoikeus
Rôles de cette organisation
Organisation chargée des procédures de recours
8.1.
ORG-0002
Nom officielHUS-yhtymä
Numéro d’enregistrement1567535-0
Adresse postalePL 445 (Uutistie 5, 01770 Vantaa)
VilleHUS
Code postal00029
Subdivision pays (NUTS)Helsinki-Uusimaa (FI1B1)
PaysFinlande
Point de contactICT-hankintakategoria
Adresse électroniquekilpailutus.ict@hus.fi
Téléphone+358 947111
Adresse internethttp://www.hus.fi
Rôles de cette organisation
Acheteur
Organisation qui fournit des précisions concernant l’introduction des recours
8.1.
ORG-0003
Nom officielHansel Oy (Hilma)
Numéro d’enregistrementFI09880841
Adresse postaleMannerheiminaukio 1a
VilleHelsinki
Code postal00100
Subdivision pays (NUTS)Helsinki-Uusimaa (FI1B1)
PaysFinlande
Point de contacteSender
Adresse électroniquetekninen@hankintailmoitukset.fi
Téléphone029 55 636 30
Adresse internethttp://hankintailmoitukset.fi
Rôles de cette organisation
TED eSender
Informations relatives à l’avis
Identifiant/version de l’avis13a3a3b7-7d3d-49c1-93e4-70158c578c2b  -  01
Type de formulaireMise en concurrence
Type d’avisAvis de marché ou de concession – régime ordinaire
Sous-type d’avis16
Date d’envoi de l’avis08/07/2026 14:59:43 (UTC+00:00) Heure de l'Europe occidentale, GMT
Date et heure de transmission de l'avis (eSender)08/07/2026 14:59:44 (UTC+00:00) Heure de l'Europe occidentale, GMT
Langues dans lesquelles l’avis en question est officiellement disponiblefinnois
Numéro de publication de l’avis476317-2026
Numéro de publication au JO S131/2026
Date de publication10/07/2026