1. Ceannaitheoir
1.1.
Ceannaitheoir
Ainm oifigiúil: HUS-yhtymä
Cineál dlíthiúil an cheannaitheora: Údarás réigiúnach
Gníomhaíocht an údaráis chonarthaigh: Sláinte
2. Nós imeachta
2.1.
Nós imeachta
Teideal: Tietoturvatestauspalvelut
Cur síos: HUS-yhtymä (jäljempänä myös tilaaja tai hankintayksikkö) pyytää tarjouksia tietoturvatestauspalveluista tämän tarjouspyynnön ja sen liitteiden ehtojen mukaisesti. Tietoturvatestauksessa käytetään pääsääntöisesti määrämuotoista tietoturvamallia. Testaus noudattaa tarvittavia ja yleisesti hyväksyttyjä viitekehyksiä ja standardeja kuten CC (Common Criteria for Information Technology Security Evaluation), OWASP (Open Web Application Security Project) mukaan lukien OWASP ASVS ja OWASP LLM, WASC (Web Application Security Consortium), NIST sekä soveltuvin osin ISO IEC 27001 ja ISO IEC 27002 sekä EAL (Evaluation Assurance Level) -määrityksiä. Testaus voi sisältää tietoturvan vaatimustason määrittelyn, tietoturva-arkkitehtuurin ja keskitettyjen kontrollien läpikäynnin prosessi- ja tietojärjestelmätasolla. Testauksen perusteella laaditaan selkeät ja priorisoidut muutosehdotukset löydettyjen tietoturvapuutteiden korjaamiseksi. Tietoturvatestaus kohdistuu tietojärjestelmien lisäksi rajapintoihin, integraatioihin, pilviympäristöihin (IaaS, PaaS, SaaS), identiteetin ja pääsynhallintaratkaisuihin (IAM), mobiilisovelluksiin sekä tarvittaessa lääkintälaitteisiin liittyviin tietojärjestelmäkokonaisuuksiin. Tietoturvatestauksen sisältö voi olla esimerkiksi: - käyttöönottotarkastuksia, tietoturva-arviointeja ja kvanttivalmiuden arviointeja - toistuvia haavoittuvuusskannauksia ja haavoittuvuudenhallintaa - penetraatiotestausta (ml. web-, mobiili-, infra- ja API-testaukset sekä tarvittaessa red team -harjoitukset) - palvelunestohyökkäysten simulointia sovitussa laajuudessa - konfiguraatioiden ja tietoturva-asetusten tarkastuksia (baseline compliance) - ohjelmistokomponenttien ja riippuvuuksien tietoturvan arviointia (supply chain) - testauksen suunnittelu, toteutus, hallinta ja ylläpitotehtäviä Tekoäly- ja LLM-ratkaisujen osalta testaus kattaa erityisesti: - syötteiden ja promptien manipulointiin liittyvät riskit (prompt injection) - tietovuotoriskit ja mallien kautta tapahtuvan tiedon paljastumisen - mallien väärinkäytön ja ohittamisen riskit - käyttöoikeuksien, rajapintojen ja integraatioiden turvallisuuden - tekoälyjärjestelmien liitynnät muihin tietojärjestelmiin Testaus toteutetaan tilaajan kanssa sovittujen menettelytapojen mukaisesti. Näihin sisältyvät muun muassa testauksen rajaukset, aikataulutus, hyväksytyt testausmenetelmät, tuotantoympäristöön kohdistuvien testien erityisjärjestelyt, häiriötilanteiden hallinta sekä tietoturvallinen tietojen käsittely testauksen aikana. Lisäksi sovitaan palvelun tuottamiseen osallistuvista asiantuntijoista. Toimittaja vastaa dokumentaatiosta, joka sisältää vähintään: - testaussuunnitelman - testauksen aikaiset väliraportit - testitulokset ja havaintokohtaiset kuvaukset - loppuraportin johtopäätöksin. Raportoinnin tulee sisältää havaintojen selkeä riskiluokittelu (kriittinen, korkea, keskitaso, matala), vaikutusten arviointi sekä konkreettiset korjaussuositukset. Raporttiin tulee sisältyä myös yhteenveto sekä tekninen yksityiskohtainen kuvaus havainnoista ja testausmenetelmistä. Hankinnan kohteena oleva palvelu voi sisältää myös tietoturvatestauksen jatkuvien toimintamallien kehittämistä ja käyttöönottoa sekä testauksen integroimista osaksi ohjelmistokehityksen elinkaarta (DevSecOps). Toimittajan edellytetään sitoutuvan tilaajan tietoturva- ja tietosuojavaatimuksiin sekä huomioivan sosiaali- ja terveydenhuollon toimintaympäristön erityispiirteet, mukaan lukien potilastietojen käsittelyyn liittyvät vaatimukset.
Aitheantóir an nóis imeachta: 5cc0f0cd-5b49-4473-8ae3-ec6aa6e4b4f4
Aitheantóir inmheánach: HUS 045-2026
An cineál nóis imeachta: Oscailte
Tá an nós imeachta á bhrostú: níl
Príomhghnéithe an nóis imeachta: Hankintayksikkö valitsee tässä hankintamenettelyssä puitejärjestelyyn kolme (3) toimittajaa, jollei soveltuvuusvaatimukset täyttäviä tarjoajia tai hyväksyttäviä tarjouksia ole vähemmän. Puitejärjestelyyn valitut toimittajat asetetaan tarjousvertailun perusteella etusijajärjestykseen. Puitejärjestelyyn perustuvat hankinnat tehdään etusijajärjestyksen mukaisesti ilman kilpailuttamista tarjouspyynnön liitteessä 1 kuvatun mukaisesti.
2.1.1.
Cuspóir
Cineál an chonartha: Seirbhísí
Príomhaicmiú (cpv): 72800000 Computer audit and testing services
Aicmiú breise (cpv): 72000000 IT services: consulting, software development, Internet and support, 72220000 Systems and technical consultancy services, 72222100 Information systems or technology strategic review services
2.1.2.
An áit feidhmíochta
Foroinn tíre (NUTS): Helsinki-Uusimaa (FI1B1)
Tír: An Fhionlainn
Eolas breise: Tilaaja voi edellyttää sopimuksen kohteena olevan palvelun tuottamista tilaajan tiloissa.
2.1.3.
Luach
Luach measta gan CBL a áireamh: 800 000,00 EUR
Uasluach an chreat-chomhaontaithe: 800 000,00 EUR
2.1.4.
Eolas ginearálta
Bunús dlí:
Treoir 2014/24/AE
2.1.6.
Forais eisiaimh
Foinse na gcúiseanna eisiúna: Doiciméad Aonair Eorpach maidir le Soláthar (ESPD), Doiciméad Soláthair
5. Luchtóg
5.1.
Luchtóg: LOT-0000
Teideal: Tietoturvatestauspalvelut
Cur síos: HUS-yhtymä (jäljempänä myös tilaaja tai hankintayksikkö) pyytää tarjouksia tietoturvatestauspalveluista tämän tarjouspyynnön ja sen liitteiden ehtojen mukaisesti. Tietoturvatestauksessa käytetään pääsääntöisesti määrämuotoista tietoturvamallia. Testaus noudattaa tarvittavia ja yleisesti hyväksyttyjä viitekehyksiä ja standardeja kuten CC (Common Criteria for Information Technology Security Evaluation), OWASP (Open Web Application Security Project) mukaan lukien OWASP ASVS ja OWASP LLM, WASC (Web Application Security Consortium), NIST sekä soveltuvin osin ISO IEC 27001 ja ISO IEC 27002 sekä EAL (Evaluation Assurance Level) -määrityksiä. Testaus voi sisältää tietoturvan vaatimustason määrittelyn, tietoturva-arkkitehtuurin ja keskitettyjen kontrollien läpikäynnin prosessi- ja tietojärjestelmätasolla. Testauksen perusteella laaditaan selkeät ja priorisoidut muutosehdotukset löydettyjen tietoturvapuutteiden korjaamiseksi. Tietoturvatestaus kohdistuu tietojärjestelmien lisäksi rajapintoihin, integraatioihin, pilviympäristöihin (IaaS, PaaS, SaaS), identiteetin ja pääsynhallintaratkaisuihin (IAM), mobiilisovelluksiin sekä tarvittaessa lääkintälaitteisiin liittyviin tietojärjestelmäkokonaisuuksiin. Tietoturvatestauksen sisältö voi olla esimerkiksi: - käyttöönottotarkastuksia, tietoturva-arviointeja ja kvanttivalmiuden arviointeja - toistuvia haavoittuvuusskannauksia ja haavoittuvuudenhallintaa - penetraatiotestausta (ml. web-, mobiili-, infra- ja API-testaukset sekä tarvittaessa red team -harjoitukset) - palvelunestohyökkäysten simulointia sovitussa laajuudessa - konfiguraatioiden ja tietoturva-asetusten tarkastuksia (baseline compliance) - ohjelmistokomponenttien ja riippuvuuksien tietoturvan arviointia (supply chain) - testauksen suunnittelu, toteutus, hallinta ja ylläpitotehtäviä Tekoäly- ja LLM-ratkaisujen osalta testaus kattaa erityisesti: - syötteiden ja promptien manipulointiin liittyvät riskit (prompt injection) - tietovuotoriskit ja mallien kautta tapahtuvan tiedon paljastumisen - mallien väärinkäytön ja ohittamisen riskit - käyttöoikeuksien, rajapintojen ja integraatioiden turvallisuuden - tekoälyjärjestelmien liitynnät muihin tietojärjestelmiin Testaus toteutetaan tilaajan kanssa sovittujen menettelytapojen mukaisesti. Näihin sisältyvät muun muassa testauksen rajaukset, aikataulutus, hyväksytyt testausmenetelmät, tuotantoympäristöön kohdistuvien testien erityisjärjestelyt, häiriötilanteiden hallinta sekä tietoturvallinen tietojen käsittely testauksen aikana. Lisäksi sovitaan palvelun tuottamiseen osallistuvista asiantuntijoista. Toimittaja vastaa dokumentaatiosta, joka sisältää vähintään: - testaussuunnitelman - testauksen aikaiset väliraportit - testitulokset ja havaintokohtaiset kuvaukset - loppuraportin johtopäätöksin. Raportoinnin tulee sisältää havaintojen selkeä riskiluokittelu (kriittinen, korkea, keskitaso, matala), vaikutusten arviointi sekä konkreettiset korjaussuositukset. Raporttiin tulee sisältyä myös yhteenveto sekä tekninen yksityiskohtainen kuvaus havainnoista ja testausmenetelmistä. Hankinnan kohteena oleva palvelu voi sisältää myös tietoturvatestauksen jatkuvien toimintamallien kehittämistä ja käyttöönottoa sekä testauksen integroimista osaksi ohjelmistokehityksen elinkaarta (DevSecOps). Toimittajan edellytetään sitoutuvan tilaajan tietoturva- ja tietosuojavaatimuksiin sekä huomioivan sosiaali- ja terveydenhuollon toimintaympäristön erityispiirteet, mukaan lukien potilastietojen käsittelyyn liittyvät vaatimukset.
Aitheantóir inmheánach: HUS 045-2026
5.1.1.
Cuspóir
Cineál an chonartha: Seirbhísí
Príomhaicmiú (cpv): 72800000 Computer audit and testing services
Aicmiú breise (cpv): 72000000 IT services: consulting, software development, Internet and support, 72220000 Systems and technical consultancy services, 72222100 Information systems or technology strategic review services
5.1.2.
An áit feidhmíochta
Foroinn tíre (NUTS): Helsinki-Uusimaa (FI1B1)
Tír: An Fhionlainn
Eolas breise: Tilaaja voi edellyttää sopimuksen kohteena olevan palvelun tuottamista tilaajan tiloissa.
5.1.3.
Fad measta
Fad ama: 48 Míonna
5.1.5.
Luach
Luach measta gan CBL a áireamh: 800 000,00 EUR
Uasluach an chreat-chomhaontaithe: 800 000,00 EUR
5.1.6.
Eolas ginearálta
Rannpháirtíocht fhorchoimeádta:
Ní fhorchoimeádtar an rannpháirtíocht.
Ní mór ainmneacha agus cáilíochtaí gairmiúla na mball foirne a thabhairt a shanntar chun an conradh a chomhlíonadh: Ceanglas tairisceana
Tionscadal soláthair nach maoinítear le cistí an Aontais
Tá an soláthar cumhdaithe ag an gComhaontú maidir le Soláthar Rialtais (GPA): tá
Tá an soláthar sin oiriúnach freisin d’fhiontair bheaga agus mheánmhéide (FBManna): tá
5.1.7.
Soláthar straitéiseach
An cuspóir sóisialta atá á chur chun cinn: Coinníollacha córa oibre
5.1.9.
Critéir roghnúcháin
Foinse na gcritéir roghnaithe: Doiciméad Aonair Eorpach maidir le Soláthar (ESPD), Doiciméad Soláthair
5.1.10.
Critéir dhámhachtana
Critéar:
Cineál: Praghas
Ainm: Hinta
Cur síos: Asiantuntijatyön hinta
Catagóir an critéir dhámhachtana meáchain: Ualú (céatadán, beacht)
Uimhir an chritéir dámhachtana: 60
Critéar:
Cineál: Cáilíocht
Ainm: Laatu
Cur síos: Asiantuntijoiden kokemus ja osaaminen
Catagóir an critéir dhámhachtana meáchain: Ualú (céatadán, beacht)
Uimhir an chritéir dámhachtana: 40
5.1.11.
Doiciméid soláthair
Sprioc-am chun eolas breise a iarraidh: 05/08/2026 09:00:00 (UTC+00:00) Am Iarthar na hEorpa, GMT
5.1.12.
Téarmaí soláthair
Téarmaí an nóis imeachta:
Tá gá le himréiteach slándála
Cur síos: Turvallisuusselvitystä voidaan vaatia.
Téarmaí na haighneachta:
Cur isteach leictreonach: Éigeantach
Na teangacha inar féidir tairiscintí nó iarrataí ar rannpháirtíocht a chur isteach: Fionlainnis
Catalóg leictreonach: Ní ceadmhach
Leaganacha malartacha: Ní ceadmhach
Féadfaidh tairgeoirí níos mó ná tairiscint amháin a chur isteach: Ní ceadmhach
Spriocdháta chun tairiscintí a fháil: 19/08/2026 09:00:00 (UTC+00:00) Am Iarthar na hEorpa, GMT
An tréimhse le linn a gcaithfidh an tairiscint a bheith bailí: 4 Míonna
Eolas faoi oscailt phoiblí:
Dáta oscailte: 19/08/2026 09:15:00 (UTC+00:00) Am Iarthar na hEorpa, GMT
Téarmaí an chonartha:
Ní mór an conradh a chur i gcrích faoi chuimsiú clár fostaíochta dídeanaí: Ní hea
Tá gá le comhaontú neamhnochta: tá
Eolas breise faoin gcomhaontú neamhnochta: Salassapitosopimusta (NDA) voidaan vaatia.
Sonrascú leictreonach: Éigeantach
Úsáidfear ordú leictreonach: tá
Úsáidfear íocaíocht leictreonach: tá
5.1.15.
Teicnící
Creat-chomhaontú:
Creat-chomhaontú, gan an iomaíocht a athoscailt
An t-uaslíon rannpháirtithe: 3
Eolas faoin gcóras ceannaigh dinimiciúil:
Níl feidhm ag córas ceannaigh dinimiciúil
5.1.16.
Tuilleadh eolais, idirghabháil agus athbhreithniú
Eagraíocht athbhreithniúcháin: Markkinaoikeus
Eolas faoi spriocdhátaí athbhreithnithe: Muutoksenhakumenettelyjen määräaikoihin sovelletaan julkisista hankinnoista ja käyttöoikeussopimuksista annettua lakia (1397/2016).
Eagraíocht a sholáthraíonn tuilleadh faisnéise faoi na nósanna imeachta athbhreithnithe: HUS-yhtymä
8. Eagraíochtaí
8.1.
ORG-0001
Ainm oifigiúil: Markkinaoikeus
Uimhir chlárúcháin: 3006157-6
Seoladh poist: Radanrakentajantie 5
Baile: Helsinki
Cód poist: 00520
Foroinn tíre (NUTS): Helsinki-Uusimaa (FI1B1)
Tír: An Fhionlainn
Teil.: +358 295643300
Róil na heagraíochta seo:
Eagraíocht athbhreithniúcháin
8.1.
ORG-0002
Ainm oifigiúil: HUS-yhtymä
Uimhir chlárúcháin: 1567535-0
Seoladh poist: PL 445 (Uutistie 5, 01770 Vantaa)
Baile: HUS
Cód poist: 00029
Foroinn tíre (NUTS): Helsinki-Uusimaa (FI1B1)
Tír: An Fhionlainn
Pointe teagmhála: ICT-hankintakategoria
Teil.: +358 947111
Róil na heagraíochta seo:
Ceannaitheoir
Eagraíocht a sholáthraíonn tuilleadh faisnéise faoi na nósanna imeachta athbhreithnithe
8.1.
ORG-0003
Ainm oifigiúil: Hansel Oy (Hilma)
Uimhir chlárúcháin: FI09880841
Seoladh poist: Mannerheiminaukio 1a
Baile: Helsinki
Cód poist: 00100
Foroinn tíre (NUTS): Helsinki-Uusimaa (FI1B1)
Tír: An Fhionlainn
Pointe teagmhála: eSender
Teil.: 029 55 636 30
Róil na heagraíochta seo:
TED eSender
Aitheantóir/leagan an fhógra: 13a3a3b7-7d3d-49c1-93e4-70158c578c2b - 01
Cineál na foirme: Iomaíocht
Cineál an fhógra: Fógra maidir le conradh nó lamháltas — an gnáthchóras
Fochineál an fhógra: 16
Dáta seolta an fhógra: 08/07/2026 14:59:43 (UTC+00:00) Am Iarthar na hEorpa, GMT
Dáta seolta an fhógra (eSender): 08/07/2026 14:59:44 (UTC+00:00) Am Iarthar na hEorpa, GMT
Na teangacha ina bhfuil an fógra seo ar fáil go hoifigiúil: Fionlainnis
Uimhir foilseacháin an fhógra: 476317-2026
Uimhir eagráin IO S: 131/2026
Dáta foilsithe: 10/07/2026