476317-2026 - Iomaíocht
An Fhionlainn – Computer audit and testing services – Tietoturvatestauspalvelut
OJ S 131/2026 10/07/2026
Fógra maidir le conradh nó lamháltas — an gnáthchóras
Seirbhísí
1. Ceannaitheoir
1.1.
Ceannaitheoir
Ainm oifigiúilHUS-yhtymä
R-phostkilpailutus.ict@hus.fi
Cineál dlíthiúil an cheannaitheoraÚdarás réigiúnach
Gníomhaíocht an údaráis chonarthaighSláinte
2. Nós imeachta
2.1.
Nós imeachta
TeidealTietoturvatestauspalvelut
Cur síosHUS-yhtymä (jäljempänä myös tilaaja tai hankintayksikkö) pyytää tarjouksia tietoturvatestauspalveluista tämän tarjouspyynnön ja sen liitteiden ehtojen mukaisesti. Tietoturvatestauksessa käytetään pääsääntöisesti määrämuotoista tietoturvamallia. Testaus noudattaa tarvittavia ja yleisesti hyväksyttyjä viitekehyksiä ja standardeja kuten CC (Common Criteria for Information Technology Security Evaluation), OWASP (Open Web Application Security Project) mukaan lukien OWASP ASVS ja OWASP LLM, WASC (Web Application Security Consortium), NIST sekä soveltuvin osin ISO IEC 27001 ja ISO IEC 27002 sekä EAL (Evaluation Assurance Level) -määrityksiä. Testaus voi sisältää tietoturvan vaatimustason määrittelyn, tietoturva-arkkitehtuurin ja keskitettyjen kontrollien läpikäynnin prosessi- ja tietojärjestelmätasolla. Testauksen perusteella laaditaan selkeät ja priorisoidut muutosehdotukset löydettyjen tietoturvapuutteiden korjaamiseksi. Tietoturvatestaus kohdistuu tietojärjestelmien lisäksi rajapintoihin, integraatioihin, pilviympäristöihin (IaaS, PaaS, SaaS), identiteetin ja pääsynhallintaratkaisuihin (IAM), mobiilisovelluksiin sekä tarvittaessa lääkintälaitteisiin liittyviin tietojärjestelmäkokonaisuuksiin. Tietoturvatestauksen sisältö voi olla esimerkiksi: - käyttöönottotarkastuksia, tietoturva-arviointeja ja kvanttivalmiuden arviointeja - toistuvia haavoittuvuusskannauksia ja haavoittuvuudenhallintaa - penetraatiotestausta (ml. web-, mobiili-, infra- ja API-testaukset sekä tarvittaessa red team -harjoitukset) - palvelunestohyökkäysten simulointia sovitussa laajuudessa - konfiguraatioiden ja tietoturva-asetusten tarkastuksia (baseline compliance) - ohjelmistokomponenttien ja riippuvuuksien tietoturvan arviointia (supply chain) - testauksen suunnittelu, toteutus, hallinta ja ylläpitotehtäviä Tekoäly- ja LLM-ratkaisujen osalta testaus kattaa erityisesti: - syötteiden ja promptien manipulointiin liittyvät riskit (prompt injection) - tietovuotoriskit ja mallien kautta tapahtuvan tiedon paljastumisen - mallien väärinkäytön ja ohittamisen riskit - käyttöoikeuksien, rajapintojen ja integraatioiden turvallisuuden - tekoälyjärjestelmien liitynnät muihin tietojärjestelmiin Testaus toteutetaan tilaajan kanssa sovittujen menettelytapojen mukaisesti. Näihin sisältyvät muun muassa testauksen rajaukset, aikataulutus, hyväksytyt testausmenetelmät, tuotantoympäristöön kohdistuvien testien erityisjärjestelyt, häiriötilanteiden hallinta sekä tietoturvallinen tietojen käsittely testauksen aikana. Lisäksi sovitaan palvelun tuottamiseen osallistuvista asiantuntijoista. Toimittaja vastaa dokumentaatiosta, joka sisältää vähintään: - testaussuunnitelman - testauksen aikaiset väliraportit - testitulokset ja havaintokohtaiset kuvaukset - loppuraportin johtopäätöksin. Raportoinnin tulee sisältää havaintojen selkeä riskiluokittelu (kriittinen, korkea, keskitaso, matala), vaikutusten arviointi sekä konkreettiset korjaussuositukset. Raporttiin tulee sisältyä myös yhteenveto sekä tekninen yksityiskohtainen kuvaus havainnoista ja testausmenetelmistä. Hankinnan kohteena oleva palvelu voi sisältää myös tietoturvatestauksen jatkuvien toimintamallien kehittämistä ja käyttöönottoa sekä testauksen integroimista osaksi ohjelmistokehityksen elinkaarta (DevSecOps). Toimittajan edellytetään sitoutuvan tilaajan tietoturva- ja tietosuojavaatimuksiin sekä huomioivan sosiaali- ja terveydenhuollon toimintaympäristön erityispiirteet, mukaan lukien potilastietojen käsittelyyn liittyvät vaatimukset.
Aitheantóir an nóis imeachta5cc0f0cd-5b49-4473-8ae3-ec6aa6e4b4f4
Aitheantóir inmheánachHUS 045-2026
An cineál nóis imeachtaOscailte
Tá an nós imeachta á bhrostúníl
Príomhghnéithe an nóis imeachtaHankintayksikkö valitsee tässä hankintamenettelyssä puitejärjestelyyn kolme (3) toimittajaa, jollei soveltuvuusvaatimukset täyttäviä tarjoajia tai hyväksyttäviä tarjouksia ole vähemmän. Puitejärjestelyyn valitut toimittajat asetetaan tarjousvertailun perusteella etusijajärjestykseen. Puitejärjestelyyn perustuvat hankinnat tehdään etusijajärjestyksen mukaisesti ilman kilpailuttamista tarjouspyynnön liitteessä 1 kuvatun mukaisesti.
2.1.1.
Cuspóir
Cineál an chonarthaSeirbhísí
Príomhaicmiú (cpv): 72800000 Computer audit and testing services
Aicmiú breise (cpv): 72000000 IT services: consulting, software development, Internet and support, 72220000 Systems and technical consultancy services, 72222100 Information systems or technology strategic review services
2.1.2.
An áit feidhmíochta
Foroinn tíre (NUTS)Helsinki-Uusimaa (FI1B1)
TírAn Fhionlainn
Eolas breiseTilaaja voi edellyttää sopimuksen kohteena olevan palvelun tuottamista tilaajan tiloissa.
2.1.3.
Luach
Luach measta gan CBL a áireamh800 000,00 EUR
Uasluach an chreat-chomhaontaithe800 000,00 EUR
2.1.4.
Eolas ginearálta
Bunús dlí
Treoir 2014/24/AE
2.1.6.
Forais eisiaimh
Foinse na gcúiseanna eisiúnaDoiciméad Aonair Eorpach maidir le Soláthar (ESPD)Doiciméad Soláthair
5. Luchtóg
5.1.
LuchtógLOT-0000
TeidealTietoturvatestauspalvelut
Cur síosHUS-yhtymä (jäljempänä myös tilaaja tai hankintayksikkö) pyytää tarjouksia tietoturvatestauspalveluista tämän tarjouspyynnön ja sen liitteiden ehtojen mukaisesti. Tietoturvatestauksessa käytetään pääsääntöisesti määrämuotoista tietoturvamallia. Testaus noudattaa tarvittavia ja yleisesti hyväksyttyjä viitekehyksiä ja standardeja kuten CC (Common Criteria for Information Technology Security Evaluation), OWASP (Open Web Application Security Project) mukaan lukien OWASP ASVS ja OWASP LLM, WASC (Web Application Security Consortium), NIST sekä soveltuvin osin ISO IEC 27001 ja ISO IEC 27002 sekä EAL (Evaluation Assurance Level) -määrityksiä. Testaus voi sisältää tietoturvan vaatimustason määrittelyn, tietoturva-arkkitehtuurin ja keskitettyjen kontrollien läpikäynnin prosessi- ja tietojärjestelmätasolla. Testauksen perusteella laaditaan selkeät ja priorisoidut muutosehdotukset löydettyjen tietoturvapuutteiden korjaamiseksi. Tietoturvatestaus kohdistuu tietojärjestelmien lisäksi rajapintoihin, integraatioihin, pilviympäristöihin (IaaS, PaaS, SaaS), identiteetin ja pääsynhallintaratkaisuihin (IAM), mobiilisovelluksiin sekä tarvittaessa lääkintälaitteisiin liittyviin tietojärjestelmäkokonaisuuksiin. Tietoturvatestauksen sisältö voi olla esimerkiksi: - käyttöönottotarkastuksia, tietoturva-arviointeja ja kvanttivalmiuden arviointeja - toistuvia haavoittuvuusskannauksia ja haavoittuvuudenhallintaa - penetraatiotestausta (ml. web-, mobiili-, infra- ja API-testaukset sekä tarvittaessa red team -harjoitukset) - palvelunestohyökkäysten simulointia sovitussa laajuudessa - konfiguraatioiden ja tietoturva-asetusten tarkastuksia (baseline compliance) - ohjelmistokomponenttien ja riippuvuuksien tietoturvan arviointia (supply chain) - testauksen suunnittelu, toteutus, hallinta ja ylläpitotehtäviä Tekoäly- ja LLM-ratkaisujen osalta testaus kattaa erityisesti: - syötteiden ja promptien manipulointiin liittyvät riskit (prompt injection) - tietovuotoriskit ja mallien kautta tapahtuvan tiedon paljastumisen - mallien väärinkäytön ja ohittamisen riskit - käyttöoikeuksien, rajapintojen ja integraatioiden turvallisuuden - tekoälyjärjestelmien liitynnät muihin tietojärjestelmiin Testaus toteutetaan tilaajan kanssa sovittujen menettelytapojen mukaisesti. Näihin sisältyvät muun muassa testauksen rajaukset, aikataulutus, hyväksytyt testausmenetelmät, tuotantoympäristöön kohdistuvien testien erityisjärjestelyt, häiriötilanteiden hallinta sekä tietoturvallinen tietojen käsittely testauksen aikana. Lisäksi sovitaan palvelun tuottamiseen osallistuvista asiantuntijoista. Toimittaja vastaa dokumentaatiosta, joka sisältää vähintään: - testaussuunnitelman - testauksen aikaiset väliraportit - testitulokset ja havaintokohtaiset kuvaukset - loppuraportin johtopäätöksin. Raportoinnin tulee sisältää havaintojen selkeä riskiluokittelu (kriittinen, korkea, keskitaso, matala), vaikutusten arviointi sekä konkreettiset korjaussuositukset. Raporttiin tulee sisältyä myös yhteenveto sekä tekninen yksityiskohtainen kuvaus havainnoista ja testausmenetelmistä. Hankinnan kohteena oleva palvelu voi sisältää myös tietoturvatestauksen jatkuvien toimintamallien kehittämistä ja käyttöönottoa sekä testauksen integroimista osaksi ohjelmistokehityksen elinkaarta (DevSecOps). Toimittajan edellytetään sitoutuvan tilaajan tietoturva- ja tietosuojavaatimuksiin sekä huomioivan sosiaali- ja terveydenhuollon toimintaympäristön erityispiirteet, mukaan lukien potilastietojen käsittelyyn liittyvät vaatimukset.
Aitheantóir inmheánachHUS 045-2026
5.1.1.
Cuspóir
Cineál an chonarthaSeirbhísí
Príomhaicmiú (cpv): 72800000 Computer audit and testing services
Aicmiú breise (cpv): 72000000 IT services: consulting, software development, Internet and support, 72220000 Systems and technical consultancy services, 72222100 Information systems or technology strategic review services
5.1.2.
An áit feidhmíochta
Foroinn tíre (NUTS)Helsinki-Uusimaa (FI1B1)
TírAn Fhionlainn
Eolas breiseTilaaja voi edellyttää sopimuksen kohteena olevan palvelun tuottamista tilaajan tiloissa.
5.1.3.
Fad measta
Fad ama48 Míonna
5.1.5.
Luach
Luach measta gan CBL a áireamh800 000,00 EUR
Uasluach an chreat-chomhaontaithe800 000,00 EUR
5.1.6.
Eolas ginearálta
Rannpháirtíocht fhorchoimeádta
Ní fhorchoimeádtar an rannpháirtíocht.
Ní mór ainmneacha agus cáilíochtaí gairmiúla na mball foirne a thabhairt a shanntar chun an conradh a chomhlíonadhCeanglas tairisceana
Tionscadal soláthair nach maoinítear le cistí an Aontais
Tá an soláthar cumhdaithe ag an gComhaontú maidir le Soláthar Rialtais (GPA)
Tá an soláthar sin oiriúnach freisin d’fhiontair bheaga agus mheánmhéide (FBManna)
5.1.7.
Soláthar straitéiseach
An cuspóir sóisialta atá á chur chun cinnCoinníollacha córa oibre
5.1.9.
Critéir roghnúcháin
Foinse na gcritéir roghnaitheDoiciméad Aonair Eorpach maidir le Soláthar (ESPD)Doiciméad Soláthair
5.1.10.
Critéir dhámhachtana
Critéar
CineálPraghas
AinmHinta
Cur síosAsiantuntijatyön hinta
Catagóir an critéir dhámhachtana meáchainUalú (céatadán, beacht)
Uimhir an chritéir dámhachtana60
Critéar
CineálCáilíocht
AinmLaatu
Cur síosAsiantuntijoiden kokemus ja osaaminen
Catagóir an critéir dhámhachtana meáchainUalú (céatadán, beacht)
Uimhir an chritéir dámhachtana40
5.1.11.
Doiciméid soláthair
Sprioc-am chun eolas breise a iarraidh05/08/2026 09:00:00 (UTC+00:00) Am Iarthar na hEorpa, GMT
Seoladh na ndoiciméad soláthairhttps://tarjouspalvelu.fi/huslogistiikka?id=614344&tpk=e3ca2628-15f9-4666-8803-d42a6748fb82
5.1.12.
Téarmaí soláthair
Téarmaí an nóis imeachta
Tá gá le himréiteach slándála
Cur síosTurvallisuusselvitystä voidaan vaatia.
Téarmaí na haighneachta
Cur isteach leictreonachÉigeantach
Seoladh an chur isteachhttps://tarjouspalvelu.fi/huslogistiikka?id=614344&tpk=e3ca2628-15f9-4666-8803-d42a6748fb82
Na teangacha inar féidir tairiscintí nó iarrataí ar rannpháirtíocht a chur isteachFionlainnis
Catalóg leictreonachNí ceadmhach
Leaganacha malartachaNí ceadmhach
Féadfaidh tairgeoirí níos mó ná tairiscint amháin a chur isteachNí ceadmhach
Spriocdháta chun tairiscintí a fháil19/08/2026 09:00:00 (UTC+00:00) Am Iarthar na hEorpa, GMT
An tréimhse le linn a gcaithfidh an tairiscint a bheith bailí4 Míonna
Eolas faoi oscailt phoiblí
Dáta oscailte19/08/2026 09:15:00 (UTC+00:00) Am Iarthar na hEorpa, GMT
Téarmaí an chonartha
Ní mór an conradh a chur i gcrích faoi chuimsiú clár fostaíochta dídeanaíNí hea
Tá gá le comhaontú neamhnochta
Eolas breise faoin gcomhaontú neamhnochtaSalassapitosopimusta (NDA) voidaan vaatia.
Sonrascú leictreonachÉigeantach
Úsáidfear ordú leictreonach
Úsáidfear íocaíocht leictreonach
5.1.15.
Teicnící
Creat-chomhaontú
Creat-chomhaontú, gan an iomaíocht a athoscailt
An t-uaslíon rannpháirtithe3
Eolas faoin gcóras ceannaigh dinimiciúil
Níl feidhm ag córas ceannaigh dinimiciúil
5.1.16.
Tuilleadh eolais, idirghabháil agus athbhreithniú
Eagraíocht athbhreithniúcháinMarkkinaoikeus
Eolas faoi spriocdhátaí athbhreithnithe: Muutoksenhakumenettelyjen määräaikoihin sovelletaan julkisista hankinnoista ja käyttöoikeussopimuksista annettua lakia (1397/2016).
Eagraíocht a sholáthraíonn tuilleadh faisnéise faoi na nósanna imeachta athbhreithnitheHUS-yhtymä
8. Eagraíochtaí
8.1.
ORG-0001
Ainm oifigiúilMarkkinaoikeus
Uimhir chlárúcháin3006157-6
Seoladh poistRadanrakentajantie 5
BaileHelsinki
Cód poist00520
Foroinn tíre (NUTS)Helsinki-Uusimaa (FI1B1)
TírAn Fhionlainn
R-phostmarkkinaoikeus@oikeus.fi
Teil.+358 295643300
Seoladh idirlínhttp://www.oikeus.fi/markkinaoikeus
Róil na heagraíochta seo
Eagraíocht athbhreithniúcháin
8.1.
ORG-0002
Ainm oifigiúilHUS-yhtymä
Uimhir chlárúcháin1567535-0
Seoladh poistPL 445 (Uutistie 5, 01770 Vantaa)
BaileHUS
Cód poist00029
Foroinn tíre (NUTS)Helsinki-Uusimaa (FI1B1)
TírAn Fhionlainn
Pointe teagmhálaICT-hankintakategoria
R-phostkilpailutus.ict@hus.fi
Teil.+358 947111
Seoladh idirlínhttp://www.hus.fi
Róil na heagraíochta seo
Ceannaitheoir
Eagraíocht a sholáthraíonn tuilleadh faisnéise faoi na nósanna imeachta athbhreithnithe
8.1.
ORG-0003
Ainm oifigiúilHansel Oy (Hilma)
Uimhir chlárúcháinFI09880841
Seoladh poistMannerheiminaukio 1a
BaileHelsinki
Cód poist00100
Foroinn tíre (NUTS)Helsinki-Uusimaa (FI1B1)
TírAn Fhionlainn
Pointe teagmhálaeSender
R-phosttekninen@hankintailmoitukset.fi
Teil.029 55 636 30
Seoladh idirlínhttp://hankintailmoitukset.fi
Róil na heagraíochta seo
TED eSender
Eolas faoin bhfógra
Aitheantóir/leagan an fhógra13a3a3b7-7d3d-49c1-93e4-70158c578c2b  -  01
Cineál na foirmeIomaíocht
Cineál an fhógraFógra maidir le conradh nó lamháltas — an gnáthchóras
Fochineál an fhógra16
Dáta seolta an fhógra08/07/2026 14:59:43 (UTC+00:00) Am Iarthar na hEorpa, GMT
Dáta seolta an fhógra (eSender)08/07/2026 14:59:44 (UTC+00:00) Am Iarthar na hEorpa, GMT
Na teangacha ina bhfuil an fógra seo ar fáil go hoifigiúilFionlainnis
Uimhir foilseacháin an fhógra476317-2026
Uimhir eagráin IO S131/2026
Dáta foilsithe10/07/2026