1. Acheteur
1.1.
Acheteur
Nom officiel: HUS-yhtymä
Forme juridique de l’acheteur: Autorité régionale
Activité du pouvoir adjudicateur: Santé
2. Procédure
2.1.
Procédure
Titre: Tietoturvatestauspalvelut
Description: HUS-yhtymä (jäljempänä myös tilaaja tai hankintayksikkö) pyytää tarjouksia tietoturvatestauspalveluista tämän tarjouspyynnön ja sen liitteiden ehtojen mukaisesti. Tietoturvatestauksessa käytetään pääsääntöisesti määrämuotoista tietoturvamallia. Testaus noudattaa tarvittavia ja yleisesti hyväksyttyjä viitekehyksiä ja standardeja kuten CC (Common Criteria for Information Technology Security Evaluation), OWASP (Open Web Application Security Project) mukaan lukien OWASP ASVS ja OWASP LLM, WASC (Web Application Security Consortium), NIST sekä soveltuvin osin ISO IEC 27001 ja ISO IEC 27002 sekä EAL (Evaluation Assurance Level) -määrityksiä. Testaus voi sisältää tietoturvan vaatimustason määrittelyn, tietoturva-arkkitehtuurin ja keskitettyjen kontrollien läpikäynnin prosessi- ja tietojärjestelmätasolla. Testauksen perusteella laaditaan selkeät ja priorisoidut muutosehdotukset löydettyjen tietoturvapuutteiden korjaamiseksi. Tietoturvatestaus kohdistuu tietojärjestelmien lisäksi rajapintoihin, integraatioihin, pilviympäristöihin (IaaS, PaaS, SaaS), identiteetin ja pääsynhallintaratkaisuihin (IAM), mobiilisovelluksiin sekä tarvittaessa lääkintälaitteisiin liittyviin tietojärjestelmäkokonaisuuksiin. Tietoturvatestauksen sisältö voi olla esimerkiksi: - käyttöönottotarkastuksia, tietoturva-arviointeja ja kvanttivalmiuden arviointeja - toistuvia haavoittuvuusskannauksia ja haavoittuvuudenhallintaa - penetraatiotestausta (ml. web-, mobiili-, infra- ja API-testaukset sekä tarvittaessa red team -harjoitukset) - palvelunestohyökkäysten simulointia sovitussa laajuudessa - konfiguraatioiden ja tietoturva-asetusten tarkastuksia (baseline compliance) - ohjelmistokomponenttien ja riippuvuuksien tietoturvan arviointia (supply chain) - testauksen suunnittelu, toteutus, hallinta ja ylläpitotehtäviä Tekoäly- ja LLM-ratkaisujen osalta testaus kattaa erityisesti: - syötteiden ja promptien manipulointiin liittyvät riskit (prompt injection) - tietovuotoriskit ja mallien kautta tapahtuvan tiedon paljastumisen - mallien väärinkäytön ja ohittamisen riskit - käyttöoikeuksien, rajapintojen ja integraatioiden turvallisuuden - tekoälyjärjestelmien liitynnät muihin tietojärjestelmiin Testaus toteutetaan tilaajan kanssa sovittujen menettelytapojen mukaisesti. Näihin sisältyvät muun muassa testauksen rajaukset, aikataulutus, hyväksytyt testausmenetelmät, tuotantoympäristöön kohdistuvien testien erityisjärjestelyt, häiriötilanteiden hallinta sekä tietoturvallinen tietojen käsittely testauksen aikana. Lisäksi sovitaan palvelun tuottamiseen osallistuvista asiantuntijoista. Toimittaja vastaa dokumentaatiosta, joka sisältää vähintään: - testaussuunnitelman - testauksen aikaiset väliraportit - testitulokset ja havaintokohtaiset kuvaukset - loppuraportin johtopäätöksin. Raportoinnin tulee sisältää havaintojen selkeä riskiluokittelu (kriittinen, korkea, keskitaso, matala), vaikutusten arviointi sekä konkreettiset korjaussuositukset. Raporttiin tulee sisältyä myös yhteenveto sekä tekninen yksityiskohtainen kuvaus havainnoista ja testausmenetelmistä. Hankinnan kohteena oleva palvelu voi sisältää myös tietoturvatestauksen jatkuvien toimintamallien kehittämistä ja käyttöönottoa sekä testauksen integroimista osaksi ohjelmistokehityksen elinkaarta (DevSecOps). Toimittajan edellytetään sitoutuvan tilaajan tietoturva- ja tietosuojavaatimuksiin sekä huomioivan sosiaali- ja terveydenhuollon toimintaympäristön erityispiirteet, mukaan lukien potilastietojen käsittelyyn liittyvät vaatimukset.
Identifiant de la procédure: 5cc0f0cd-5b49-4473-8ae3-ec6aa6e4b4f4
Identifiant interne: HUS 045-2026
Type de procédure: Ouverte
La procédure est accélérée: non
Principales caractéristiques de la procédure et informations sur l'endroit où obtenir les règles complètes applicables à la procédure: Hankintayksikkö valitsee tässä hankintamenettelyssä puitejärjestelyyn kolme (3) toimittajaa, jollei soveltuvuusvaatimukset täyttäviä tarjoajia tai hyväksyttäviä tarjouksia ole vähemmän. Puitejärjestelyyn valitut toimittajat asetetaan tarjousvertailun perusteella etusijajärjestykseen. Puitejärjestelyyn perustuvat hankinnat tehdään etusijajärjestyksen mukaisesti ilman kilpailuttamista tarjouspyynnön liitteessä 1 kuvatun mukaisesti.
2.1.1.
Objet
Nature principale du marché: Services
Nomenclature principale (cpv): 72800000 Services d'audit informatique et services d'essai informatique
Nomenclature complémentaire (cpv): 72000000 Services de technologies de l'information, conseil, développement de logiciels, internet et appui, 72220000 Services de conseil en systèmes informatiques et conseils techniques, 72222100 Services d'analyse stratégique de systèmes ou de technologies de l'information
2.1.2.
Lieu d’exécution
Subdivision pays (NUTS): Helsinki-Uusimaa (FI1B1)
Pays: Finlande
Informations complémentaires: Tilaaja voi edellyttää sopimuksen kohteena olevan palvelun tuottamista tilaajan tiloissa.
2.1.3.
Valeur
Valeur estimée hors TVA: 800 000,00 EUR
Valeur maximale de l’accord-cadre: 800 000,00 EUR
2.1.4.
Informations générales
Base juridique:
Directive 2014/24/UE
2.1.6.
Motifs d’exclusion
Sources des motifs d'exclusion: Document unique de marché européen (DUME), Document de marché
5. Lot
5.1.
Lot: LOT-0000
Titre: Tietoturvatestauspalvelut
Description: HUS-yhtymä (jäljempänä myös tilaaja tai hankintayksikkö) pyytää tarjouksia tietoturvatestauspalveluista tämän tarjouspyynnön ja sen liitteiden ehtojen mukaisesti. Tietoturvatestauksessa käytetään pääsääntöisesti määrämuotoista tietoturvamallia. Testaus noudattaa tarvittavia ja yleisesti hyväksyttyjä viitekehyksiä ja standardeja kuten CC (Common Criteria for Information Technology Security Evaluation), OWASP (Open Web Application Security Project) mukaan lukien OWASP ASVS ja OWASP LLM, WASC (Web Application Security Consortium), NIST sekä soveltuvin osin ISO IEC 27001 ja ISO IEC 27002 sekä EAL (Evaluation Assurance Level) -määrityksiä. Testaus voi sisältää tietoturvan vaatimustason määrittelyn, tietoturva-arkkitehtuurin ja keskitettyjen kontrollien läpikäynnin prosessi- ja tietojärjestelmätasolla. Testauksen perusteella laaditaan selkeät ja priorisoidut muutosehdotukset löydettyjen tietoturvapuutteiden korjaamiseksi. Tietoturvatestaus kohdistuu tietojärjestelmien lisäksi rajapintoihin, integraatioihin, pilviympäristöihin (IaaS, PaaS, SaaS), identiteetin ja pääsynhallintaratkaisuihin (IAM), mobiilisovelluksiin sekä tarvittaessa lääkintälaitteisiin liittyviin tietojärjestelmäkokonaisuuksiin. Tietoturvatestauksen sisältö voi olla esimerkiksi: - käyttöönottotarkastuksia, tietoturva-arviointeja ja kvanttivalmiuden arviointeja - toistuvia haavoittuvuusskannauksia ja haavoittuvuudenhallintaa - penetraatiotestausta (ml. web-, mobiili-, infra- ja API-testaukset sekä tarvittaessa red team -harjoitukset) - palvelunestohyökkäysten simulointia sovitussa laajuudessa - konfiguraatioiden ja tietoturva-asetusten tarkastuksia (baseline compliance) - ohjelmistokomponenttien ja riippuvuuksien tietoturvan arviointia (supply chain) - testauksen suunnittelu, toteutus, hallinta ja ylläpitotehtäviä Tekoäly- ja LLM-ratkaisujen osalta testaus kattaa erityisesti: - syötteiden ja promptien manipulointiin liittyvät riskit (prompt injection) - tietovuotoriskit ja mallien kautta tapahtuvan tiedon paljastumisen - mallien väärinkäytön ja ohittamisen riskit - käyttöoikeuksien, rajapintojen ja integraatioiden turvallisuuden - tekoälyjärjestelmien liitynnät muihin tietojärjestelmiin Testaus toteutetaan tilaajan kanssa sovittujen menettelytapojen mukaisesti. Näihin sisältyvät muun muassa testauksen rajaukset, aikataulutus, hyväksytyt testausmenetelmät, tuotantoympäristöön kohdistuvien testien erityisjärjestelyt, häiriötilanteiden hallinta sekä tietoturvallinen tietojen käsittely testauksen aikana. Lisäksi sovitaan palvelun tuottamiseen osallistuvista asiantuntijoista. Toimittaja vastaa dokumentaatiosta, joka sisältää vähintään: - testaussuunnitelman - testauksen aikaiset väliraportit - testitulokset ja havaintokohtaiset kuvaukset - loppuraportin johtopäätöksin. Raportoinnin tulee sisältää havaintojen selkeä riskiluokittelu (kriittinen, korkea, keskitaso, matala), vaikutusten arviointi sekä konkreettiset korjaussuositukset. Raporttiin tulee sisältyä myös yhteenveto sekä tekninen yksityiskohtainen kuvaus havainnoista ja testausmenetelmistä. Hankinnan kohteena oleva palvelu voi sisältää myös tietoturvatestauksen jatkuvien toimintamallien kehittämistä ja käyttöönottoa sekä testauksen integroimista osaksi ohjelmistokehityksen elinkaarta (DevSecOps). Toimittajan edellytetään sitoutuvan tilaajan tietoturva- ja tietosuojavaatimuksiin sekä huomioivan sosiaali- ja terveydenhuollon toimintaympäristön erityispiirteet, mukaan lukien potilastietojen käsittelyyn liittyvät vaatimukset.
Identifiant interne: HUS 045-2026
5.1.1.
Objet
Nature principale du marché: Services
Nomenclature principale (cpv): 72800000 Services d'audit informatique et services d'essai informatique
Nomenclature complémentaire (cpv): 72000000 Services de technologies de l'information, conseil, développement de logiciels, internet et appui, 72220000 Services de conseil en systèmes informatiques et conseils techniques, 72222100 Services d'analyse stratégique de systèmes ou de technologies de l'information
5.1.2.
Lieu d’exécution
Subdivision pays (NUTS): Helsinki-Uusimaa (FI1B1)
Pays: Finlande
Informations complémentaires: Tilaaja voi edellyttää sopimuksen kohteena olevan palvelun tuottamista tilaajan tiloissa.
5.1.3.
Durée estimée
Durée: 48 Mois
5.1.5.
Valeur
Valeur estimée hors TVA: 800 000,00 EUR
Valeur maximale de l’accord-cadre: 800 000,00 EUR
5.1.6.
Informations générales
Participation réservée:
La participation n’est pas réservée.
Les noms et les qualifications professionnelles du personnel chargé de l’exécution du marché doivent être mentionnés: Exigence dans l’offre
Projet de passation de marché non financé par des fonds de l’UE
Le marché relève de l’accord sur les marchés publics (AMP): oui
Le marché en question convient aussi aux petites et moyennes entreprises (PME): oui
5.1.7.
Marché public stratégique
Objectif social promu: Conditions de travail équitables
5.1.9.
Critères de sélection
Sources des critères de sélection: Document unique de marché européen (DUME), Document de marché
5.1.10.
Critères d’attribution
Critère:
Type: Prix
Nom: Hinta
Description: Asiantuntijatyön hinta
Catégorie du critère d’attribution poids: Pondération (pourcentage, valeur exacte)
Nombre critère d’attribution: 60
Critère:
Type: Qualité
Nom: Laatu
Description: Asiantuntijoiden kokemus ja osaaminen
Catégorie du critère d’attribution poids: Pondération (pourcentage, valeur exacte)
Nombre critère d’attribution: 40
5.1.11.
Documents de marché
Date limite de demande d’informations complémentaires: 05/08/2026 09:00:00 (UTC+00:00) Heure de l'Europe occidentale, GMT
5.1.12.
Conditions du marché public
Conditions de la procédure:
Une habilitation de sécurité est requise
Description: Turvallisuusselvitystä voidaan vaatia.
Conditions de soumission:
Soumission par voie électronique: Requise
Langues dans lesquelles les offres ou demandes de participation/candidatures peuvent être présentées: finnois
Catalogue électronique: Non autorisée
Variantes: Non autorisée
Les soumissionnaires peuvent présenter plusieurs offres: Non autorisée
Date limite de réception des offres: 19/08/2026 09:00:00 (UTC+00:00) Heure de l'Europe occidentale, GMT
Durée de validité des offres: 4 Mois
Informations relatives à l’ouverture publique:
Date d'ouverture: 19/08/2026 09:15:00 (UTC+00:00) Heure de l'Europe occidentale, GMT
Conditions du marché:
Le contrat doit être exécuté dans le cadre de programmes d’emplois protégés: Non
Un accord de confidentialité est requis: oui
Informations complémentaires sur l’accord de confidentialité: Salassapitosopimusta (NDA) voidaan vaatia.
Facturation électronique: Requise
La commande en ligne sera utilisée: oui
Le paiement électronique sera utilisé: oui
5.1.15.
Techniques
Accord-cadre:
Accord-cadre, sans remise en concurrence
Nombre maximal de candidats: 3
Informations sur le système d’acquisition dynamique:
Pas de système d’acquisition dynamique
5.1.16.
Informations complémentaires, médiation et recours
Organisation chargée des procédures de recours: Markkinaoikeus
Description des délais d'introduction des procédures de recours: Muutoksenhakumenettelyjen määräaikoihin sovelletaan julkisista hankinnoista ja käyttöoikeussopimuksista annettua lakia (1397/2016).
Organisation qui fournit des précisions concernant l’introduction des recours: HUS-yhtymä
8. Organisations
8.1.
ORG-0001
Nom officiel: Markkinaoikeus
Numéro d’enregistrement: 3006157-6
Adresse postale: Radanrakentajantie 5
Ville: Helsinki
Code postal: 00520
Subdivision pays (NUTS): Helsinki-Uusimaa (FI1B1)
Pays: Finlande
Téléphone: +358 295643300
Rôles de cette organisation:
Organisation chargée des procédures de recours
8.1.
ORG-0002
Nom officiel: HUS-yhtymä
Numéro d’enregistrement: 1567535-0
Adresse postale: PL 445 (Uutistie 5, 01770 Vantaa)
Ville: HUS
Code postal: 00029
Subdivision pays (NUTS): Helsinki-Uusimaa (FI1B1)
Pays: Finlande
Point de contact: ICT-hankintakategoria
Téléphone: +358 947111
Rôles de cette organisation:
Acheteur
Organisation qui fournit des précisions concernant l’introduction des recours
8.1.
ORG-0003
Nom officiel: Hansel Oy (Hilma)
Numéro d’enregistrement: FI09880841
Adresse postale: Mannerheiminaukio 1a
Ville: Helsinki
Code postal: 00100
Subdivision pays (NUTS): Helsinki-Uusimaa (FI1B1)
Pays: Finlande
Point de contact: eSender
Téléphone: 029 55 636 30
Rôles de cette organisation:
TED eSender
Identifiant/version de l’avis: 13a3a3b7-7d3d-49c1-93e4-70158c578c2b - 01
Type de formulaire: Mise en concurrence
Type d’avis: Avis de marché ou de concession – régime ordinaire
Sous-type d’avis: 16
Date d’envoi de l’avis: 08/07/2026 14:59:43 (UTC+00:00) Heure de l'Europe occidentale, GMT
Date et heure de transmission de l'avis (eSender): 08/07/2026 14:59:44 (UTC+00:00) Heure de l'Europe occidentale, GMT
Langues dans lesquelles l’avis en question est officiellement disponible: finnois
Numéro de publication de l’avis: 476317-2026
Numéro de publication au JO S: 131/2026
Date de publication: 10/07/2026