476317-2026 - Nadmetanje
Finska – Usluge računalne revizije i ispitivanja – Tietoturvatestauspalvelut
OJ S 131/2026 10/07/2026
Obavijest o nadmetanju ili koncesiji – standardni režim
Usluge
1. Kupac
1.1.
Kupac
Službeno imeHUS-yhtymä
E-poštakilpailutus.ict@hus.fi
Pravni oblik kupcaRegionalno tijelo
Djelatnost javnog naručiteljaZdravlje
2. Postupak
2.1.
Postupak
NaslovTietoturvatestauspalvelut
OpisHUS-yhtymä (jäljempänä myös tilaaja tai hankintayksikkö) pyytää tarjouksia tietoturvatestauspalveluista tämän tarjouspyynnön ja sen liitteiden ehtojen mukaisesti. Tietoturvatestauksessa käytetään pääsääntöisesti määrämuotoista tietoturvamallia. Testaus noudattaa tarvittavia ja yleisesti hyväksyttyjä viitekehyksiä ja standardeja kuten CC (Common Criteria for Information Technology Security Evaluation), OWASP (Open Web Application Security Project) mukaan lukien OWASP ASVS ja OWASP LLM, WASC (Web Application Security Consortium), NIST sekä soveltuvin osin ISO IEC 27001 ja ISO IEC 27002 sekä EAL (Evaluation Assurance Level) -määrityksiä. Testaus voi sisältää tietoturvan vaatimustason määrittelyn, tietoturva-arkkitehtuurin ja keskitettyjen kontrollien läpikäynnin prosessi- ja tietojärjestelmätasolla. Testauksen perusteella laaditaan selkeät ja priorisoidut muutosehdotukset löydettyjen tietoturvapuutteiden korjaamiseksi. Tietoturvatestaus kohdistuu tietojärjestelmien lisäksi rajapintoihin, integraatioihin, pilviympäristöihin (IaaS, PaaS, SaaS), identiteetin ja pääsynhallintaratkaisuihin (IAM), mobiilisovelluksiin sekä tarvittaessa lääkintälaitteisiin liittyviin tietojärjestelmäkokonaisuuksiin. Tietoturvatestauksen sisältö voi olla esimerkiksi: - käyttöönottotarkastuksia, tietoturva-arviointeja ja kvanttivalmiuden arviointeja - toistuvia haavoittuvuusskannauksia ja haavoittuvuudenhallintaa - penetraatiotestausta (ml. web-, mobiili-, infra- ja API-testaukset sekä tarvittaessa red team -harjoitukset) - palvelunestohyökkäysten simulointia sovitussa laajuudessa - konfiguraatioiden ja tietoturva-asetusten tarkastuksia (baseline compliance) - ohjelmistokomponenttien ja riippuvuuksien tietoturvan arviointia (supply chain) - testauksen suunnittelu, toteutus, hallinta ja ylläpitotehtäviä Tekoäly- ja LLM-ratkaisujen osalta testaus kattaa erityisesti: - syötteiden ja promptien manipulointiin liittyvät riskit (prompt injection) - tietovuotoriskit ja mallien kautta tapahtuvan tiedon paljastumisen - mallien väärinkäytön ja ohittamisen riskit - käyttöoikeuksien, rajapintojen ja integraatioiden turvallisuuden - tekoälyjärjestelmien liitynnät muihin tietojärjestelmiin Testaus toteutetaan tilaajan kanssa sovittujen menettelytapojen mukaisesti. Näihin sisältyvät muun muassa testauksen rajaukset, aikataulutus, hyväksytyt testausmenetelmät, tuotantoympäristöön kohdistuvien testien erityisjärjestelyt, häiriötilanteiden hallinta sekä tietoturvallinen tietojen käsittely testauksen aikana. Lisäksi sovitaan palvelun tuottamiseen osallistuvista asiantuntijoista. Toimittaja vastaa dokumentaatiosta, joka sisältää vähintään: - testaussuunnitelman - testauksen aikaiset väliraportit - testitulokset ja havaintokohtaiset kuvaukset - loppuraportin johtopäätöksin. Raportoinnin tulee sisältää havaintojen selkeä riskiluokittelu (kriittinen, korkea, keskitaso, matala), vaikutusten arviointi sekä konkreettiset korjaussuositukset. Raporttiin tulee sisältyä myös yhteenveto sekä tekninen yksityiskohtainen kuvaus havainnoista ja testausmenetelmistä. Hankinnan kohteena oleva palvelu voi sisältää myös tietoturvatestauksen jatkuvien toimintamallien kehittämistä ja käyttöönottoa sekä testauksen integroimista osaksi ohjelmistokehityksen elinkaarta (DevSecOps). Toimittajan edellytetään sitoutuvan tilaajan tietoturva- ja tietosuojavaatimuksiin sekä huomioivan sosiaali- ja terveydenhuollon toimintaympäristön erityispiirteet, mukaan lukien potilastietojen käsittelyyn liittyvät vaatimukset.
Identifikacijska oznaka postupka5cc0f0cd-5b49-4473-8ae3-ec6aa6e4b4f4
Interna identifikacijska oznakaHUS 045-2026
Vrsta postupkaOtvoren
Postupak je ubrzanne
Glavna obilježja postupkaHankintayksikkö valitsee tässä hankintamenettelyssä puitejärjestelyyn kolme (3) toimittajaa, jollei soveltuvuusvaatimukset täyttäviä tarjoajia tai hyväksyttäviä tarjouksia ole vähemmän. Puitejärjestelyyn valitut toimittajat asetetaan tarjousvertailun perusteella etusijajärjestykseen. Puitejärjestelyyn perustuvat hankinnat tehdään etusijajärjestyksen mukaisesti ilman kilpailuttamista tarjouspyynnön liitteessä 1 kuvatun mukaisesti.
2.1.1.
Svrha
Priroda ugovoraUsluge
Glavna klasifikacija (cpv): 72800000 Usluge računalne revizije i ispitivanja
Dodatna klasifikacija (cpv): 72000000 Usluge informacijske tehnologije: savjetovanje, razvoj programske podrške, internet i podrška, 72220000 Usluge sistemskog i tehničkog savjetovanja, 72222100 Usluge strateške revizije informacijskih sustava ili tehnologije
2.1.2.
Mjesto izvršenja
Zemlja – podregija (NUTS)Helsinki-Uusimaa (FI1B1)
ZemljaFinska
Dodatne informacijeTilaaja voi edellyttää sopimuksen kohteena olevan palvelun tuottamista tilaajan tiloissa.
2.1.3.
Vrijednost
Procijenjena vrijednost bez PDV-a800 000,00 EUR
Maksimalna vrijednost okvirnog sporazuma800 000,00 EUR
2.1.4.
Opće informacije
Pravna osnova
Direktiva 2014/24/EU
2.1.6.
Razlozi za isključenje
Izvori razloga za isključenjeEuropska jedinstvena dokumentacija o nabaviDokumentacija o nabavi
5. Grupa
5.1.
GrupaLOT-0000
NaslovTietoturvatestauspalvelut
OpisHUS-yhtymä (jäljempänä myös tilaaja tai hankintayksikkö) pyytää tarjouksia tietoturvatestauspalveluista tämän tarjouspyynnön ja sen liitteiden ehtojen mukaisesti. Tietoturvatestauksessa käytetään pääsääntöisesti määrämuotoista tietoturvamallia. Testaus noudattaa tarvittavia ja yleisesti hyväksyttyjä viitekehyksiä ja standardeja kuten CC (Common Criteria for Information Technology Security Evaluation), OWASP (Open Web Application Security Project) mukaan lukien OWASP ASVS ja OWASP LLM, WASC (Web Application Security Consortium), NIST sekä soveltuvin osin ISO IEC 27001 ja ISO IEC 27002 sekä EAL (Evaluation Assurance Level) -määrityksiä. Testaus voi sisältää tietoturvan vaatimustason määrittelyn, tietoturva-arkkitehtuurin ja keskitettyjen kontrollien läpikäynnin prosessi- ja tietojärjestelmätasolla. Testauksen perusteella laaditaan selkeät ja priorisoidut muutosehdotukset löydettyjen tietoturvapuutteiden korjaamiseksi. Tietoturvatestaus kohdistuu tietojärjestelmien lisäksi rajapintoihin, integraatioihin, pilviympäristöihin (IaaS, PaaS, SaaS), identiteetin ja pääsynhallintaratkaisuihin (IAM), mobiilisovelluksiin sekä tarvittaessa lääkintälaitteisiin liittyviin tietojärjestelmäkokonaisuuksiin. Tietoturvatestauksen sisältö voi olla esimerkiksi: - käyttöönottotarkastuksia, tietoturva-arviointeja ja kvanttivalmiuden arviointeja - toistuvia haavoittuvuusskannauksia ja haavoittuvuudenhallintaa - penetraatiotestausta (ml. web-, mobiili-, infra- ja API-testaukset sekä tarvittaessa red team -harjoitukset) - palvelunestohyökkäysten simulointia sovitussa laajuudessa - konfiguraatioiden ja tietoturva-asetusten tarkastuksia (baseline compliance) - ohjelmistokomponenttien ja riippuvuuksien tietoturvan arviointia (supply chain) - testauksen suunnittelu, toteutus, hallinta ja ylläpitotehtäviä Tekoäly- ja LLM-ratkaisujen osalta testaus kattaa erityisesti: - syötteiden ja promptien manipulointiin liittyvät riskit (prompt injection) - tietovuotoriskit ja mallien kautta tapahtuvan tiedon paljastumisen - mallien väärinkäytön ja ohittamisen riskit - käyttöoikeuksien, rajapintojen ja integraatioiden turvallisuuden - tekoälyjärjestelmien liitynnät muihin tietojärjestelmiin Testaus toteutetaan tilaajan kanssa sovittujen menettelytapojen mukaisesti. Näihin sisältyvät muun muassa testauksen rajaukset, aikataulutus, hyväksytyt testausmenetelmät, tuotantoympäristöön kohdistuvien testien erityisjärjestelyt, häiriötilanteiden hallinta sekä tietoturvallinen tietojen käsittely testauksen aikana. Lisäksi sovitaan palvelun tuottamiseen osallistuvista asiantuntijoista. Toimittaja vastaa dokumentaatiosta, joka sisältää vähintään: - testaussuunnitelman - testauksen aikaiset väliraportit - testitulokset ja havaintokohtaiset kuvaukset - loppuraportin johtopäätöksin. Raportoinnin tulee sisältää havaintojen selkeä riskiluokittelu (kriittinen, korkea, keskitaso, matala), vaikutusten arviointi sekä konkreettiset korjaussuositukset. Raporttiin tulee sisältyä myös yhteenveto sekä tekninen yksityiskohtainen kuvaus havainnoista ja testausmenetelmistä. Hankinnan kohteena oleva palvelu voi sisältää myös tietoturvatestauksen jatkuvien toimintamallien kehittämistä ja käyttöönottoa sekä testauksen integroimista osaksi ohjelmistokehityksen elinkaarta (DevSecOps). Toimittajan edellytetään sitoutuvan tilaajan tietoturva- ja tietosuojavaatimuksiin sekä huomioivan sosiaali- ja terveydenhuollon toimintaympäristön erityispiirteet, mukaan lukien potilastietojen käsittelyyn liittyvät vaatimukset.
Interna identifikacijska oznakaHUS 045-2026
5.1.1.
Svrha
Priroda ugovoraUsluge
Glavna klasifikacija (cpv): 72800000 Usluge računalne revizije i ispitivanja
Dodatna klasifikacija (cpv): 72000000 Usluge informacijske tehnologije: savjetovanje, razvoj programske podrške, internet i podrška, 72220000 Usluge sistemskog i tehničkog savjetovanja, 72222100 Usluge strateške revizije informacijskih sustava ili tehnologije
5.1.2.
Mjesto izvršenja
Zemlja – podregija (NUTS)Helsinki-Uusimaa (FI1B1)
ZemljaFinska
Dodatne informacijeTilaaja voi edellyttää sopimuksen kohteena olevan palvelun tuottamista tilaajan tiloissa.
5.1.3.
Očekivano trajanje
Trajanje48 Mjeseci
5.1.5.
Vrijednost
Procijenjena vrijednost bez PDV-a800 000,00 EUR
Maksimalna vrijednost okvirnog sporazuma800 000,00 EUR
5.1.6.
Opće informacije
Rezervirano sudjelovanje
Sudjelovanje nije rezervirano.
Moraju se navesti imena i stručne kvalifikacije osoblja angažiranog za izvršenje ugovoraObvezno za ponudu
Projekt javne nabave ne financira se sredstvima EU-a
Javna nabava obuhvaćena je Sporazumom o javnoj nabavi (GPA)da
Ova javna nabava prikladna je i za mala i srednja poduzeća (MSP-ovi)da
5.1.7.
Strateška nabava
Socijalni cilj koji se promičePravedni radni uvjeti
5.1.9.
Kriteriji za odabir
Izvori kriterija odabiraEuropska jedinstvena dokumentacija o nabaviDokumentacija o nabavi
5.1.10.
Kriteriji za dodjelu
Kriterij
VrstaCijena
NazivHinta
OpisAsiantuntijatyön hinta
Kategorija kriterija za dodjelu težinePonder (postotak, točan)
Broj kriterija za dodjelu60
Kriterij
VrstaKvaliteta
NazivLaatu
OpisAsiantuntijoiden kokemus ja osaaminen
Kategorija kriterija za dodjelu težinePonder (postotak, točan)
Broj kriterija za dodjelu40
5.1.11.
Dokumentacija o nabavi
Rok za podnošenje zahtjeva za dodatne informacije05/08/2026 09:00:00 (UTC+00:00) zapadnoeuropsko vrijeme, GMT
Adresa dokumentacije o nabavihttps://tarjouspalvelu.fi/huslogistiikka?id=614344&tpk=e3ca2628-15f9-4666-8803-d42a6748fb82
5.1.12.
Uvjeti nabave
Uvjeti postupka
Potrebno je uvjerenje o sigurnosnoj provjeri
OpisTurvallisuusselvitystä voidaan vaatia.
Uvjeti podnošenja
Elektroničko podnošenjeObvezno
Adresa za podnošenjehttps://tarjouspalvelu.fi/huslogistiikka?id=614344&tpk=e3ca2628-15f9-4666-8803-d42a6748fb82
Jezici na kojima se mogu podnijeti ponude ili zahtjevi za sudjelovanjefinski
Elektronički katalogNije dopušteno
VarijanteNije dopušteno
Ponuditelji mogu podnijeti više od jedne ponudeNije dopušteno
Rok za zaprimanje ponuda19/08/2026 09:00:00 (UTC+00:00) zapadnoeuropsko vrijeme, GMT
Razdoblje tijekom kojeg ponuda mora ostati valjana4 Mjeseci
Informacije o javnom otvaranju
Datum otvaranja19/08/2026 09:15:00 (UTC+00:00) zapadnoeuropsko vrijeme, GMT
Uvjeti ugovora
Ugovor se mora izvršiti u okviru programa zaštićenih radnih mjestaNe
Potreban je sporazum o povjerljivosti podatakada
Dodatne informacije o sporazumu o povjerljivosti podatakaSalassapitosopimusta (NDA) voidaan vaatia.
Elektroničko izdavanje računaObvezno
Naručivanje će biti elektroničkoda
Plaćanje će biti elektroničkoda
5.1.15.
Tehnike
Okvirni sporazum
Okvirni sporazum bez ponovne provedbe nadmetanja
Maksimalan broj sudionika3
Informacije o dinamičkom sustavu nabave
Nema dinamičkog sustava nabave
5.1.16.
Dodatne informacije, posredovanje i pravna zaštita (preispitivanje)
Organizacija za preispitivanje (pravnu zaštitu)Markkinaoikeus
Informacije o rokovima za preispitivanje: Muutoksenhakumenettelyjen määräaikoihin sovelletaan julkisista hankinnoista ja käyttöoikeussopimuksista annettua lakia (1397/2016).
Organizacija koja pruža više informacija o postupcima preispitivanja (pravne zaštite)HUS-yhtymä
8. Organizacije
8.1.
ORG-0001
Službeno imeMarkkinaoikeus
Registracijski broj3006157-6
Poštanska adresaRadanrakentajantie 5
GradHelsinki
Poštanski broj00520
Zemlja – podregija (NUTS)Helsinki-Uusimaa (FI1B1)
ZemljaFinska
E-poštamarkkinaoikeus@oikeus.fi
Tel.+358 295643300
Internethttp://www.oikeus.fi/markkinaoikeus
Uloge ove organizacije
Organizacija za preispitivanje (pravnu zaštitu)
8.1.
ORG-0002
Službeno imeHUS-yhtymä
Registracijski broj1567535-0
Poštanska adresaPL 445 (Uutistie 5, 01770 Vantaa)
GradHUS
Poštanski broj00029
Zemlja – podregija (NUTS)Helsinki-Uusimaa (FI1B1)
ZemljaFinska
Kontaktna točkaICT-hankintakategoria
E-poštakilpailutus.ict@hus.fi
Tel.+358 947111
Internethttp://www.hus.fi
Uloge ove organizacije
Kupac
Organizacija koja pruža više informacija o postupcima preispitivanja (pravne zaštite)
8.1.
ORG-0003
Službeno imeHansel Oy (Hilma)
Registracijski brojFI09880841
Poštanska adresaMannerheiminaukio 1a
GradHelsinki
Poštanski broj00100
Zemlja – podregija (NUTS)Helsinki-Uusimaa (FI1B1)
ZemljaFinska
Kontaktna točkaeSender
E-poštatekninen@hankintailmoitukset.fi
Tel.029 55 636 30
Internethttp://hankintailmoitukset.fi
Uloge ove organizacije
TED eSender
Informacije o obavijesti
Identifikacijska oznaka / verzija obavijesti13a3a3b7-7d3d-49c1-93e4-70158c578c2b  -  01
Vrsta obrascaNadmetanje
Vrsta obavijestiObavijest o nadmetanju ili koncesiji – standardni režim
Podvrsta obavijesti16
Datum slanja obavijesti08/07/2026 14:59:43 (UTC+00:00) zapadnoeuropsko vrijeme, GMT
Datum e-pošiljateljeva slanja obavijesti08/07/2026 14:59:44 (UTC+00:00) zapadnoeuropsko vrijeme, GMT
Jezici na kojima je ova obavijest službeno dostupnafinski
Broj objave obavijesti476317-2026
Broj izdanja SL S-a131/2026
Datum objave10/07/2026