1. Kupac
1.1.
Kupac
Službeno ime: HUS-yhtymä
Pravni oblik kupca: Regionalno tijelo
Djelatnost javnog naručitelja: Zdravlje
2. Postupak
2.1.
Postupak
Naslov: Tietoturvatestauspalvelut
Opis: HUS-yhtymä (jäljempänä myös tilaaja tai hankintayksikkö) pyytää tarjouksia tietoturvatestauspalveluista tämän tarjouspyynnön ja sen liitteiden ehtojen mukaisesti. Tietoturvatestauksessa käytetään pääsääntöisesti määrämuotoista tietoturvamallia. Testaus noudattaa tarvittavia ja yleisesti hyväksyttyjä viitekehyksiä ja standardeja kuten CC (Common Criteria for Information Technology Security Evaluation), OWASP (Open Web Application Security Project) mukaan lukien OWASP ASVS ja OWASP LLM, WASC (Web Application Security Consortium), NIST sekä soveltuvin osin ISO IEC 27001 ja ISO IEC 27002 sekä EAL (Evaluation Assurance Level) -määrityksiä. Testaus voi sisältää tietoturvan vaatimustason määrittelyn, tietoturva-arkkitehtuurin ja keskitettyjen kontrollien läpikäynnin prosessi- ja tietojärjestelmätasolla. Testauksen perusteella laaditaan selkeät ja priorisoidut muutosehdotukset löydettyjen tietoturvapuutteiden korjaamiseksi. Tietoturvatestaus kohdistuu tietojärjestelmien lisäksi rajapintoihin, integraatioihin, pilviympäristöihin (IaaS, PaaS, SaaS), identiteetin ja pääsynhallintaratkaisuihin (IAM), mobiilisovelluksiin sekä tarvittaessa lääkintälaitteisiin liittyviin tietojärjestelmäkokonaisuuksiin. Tietoturvatestauksen sisältö voi olla esimerkiksi: - käyttöönottotarkastuksia, tietoturva-arviointeja ja kvanttivalmiuden arviointeja - toistuvia haavoittuvuusskannauksia ja haavoittuvuudenhallintaa - penetraatiotestausta (ml. web-, mobiili-, infra- ja API-testaukset sekä tarvittaessa red team -harjoitukset) - palvelunestohyökkäysten simulointia sovitussa laajuudessa - konfiguraatioiden ja tietoturva-asetusten tarkastuksia (baseline compliance) - ohjelmistokomponenttien ja riippuvuuksien tietoturvan arviointia (supply chain) - testauksen suunnittelu, toteutus, hallinta ja ylläpitotehtäviä Tekoäly- ja LLM-ratkaisujen osalta testaus kattaa erityisesti: - syötteiden ja promptien manipulointiin liittyvät riskit (prompt injection) - tietovuotoriskit ja mallien kautta tapahtuvan tiedon paljastumisen - mallien väärinkäytön ja ohittamisen riskit - käyttöoikeuksien, rajapintojen ja integraatioiden turvallisuuden - tekoälyjärjestelmien liitynnät muihin tietojärjestelmiin Testaus toteutetaan tilaajan kanssa sovittujen menettelytapojen mukaisesti. Näihin sisältyvät muun muassa testauksen rajaukset, aikataulutus, hyväksytyt testausmenetelmät, tuotantoympäristöön kohdistuvien testien erityisjärjestelyt, häiriötilanteiden hallinta sekä tietoturvallinen tietojen käsittely testauksen aikana. Lisäksi sovitaan palvelun tuottamiseen osallistuvista asiantuntijoista. Toimittaja vastaa dokumentaatiosta, joka sisältää vähintään: - testaussuunnitelman - testauksen aikaiset väliraportit - testitulokset ja havaintokohtaiset kuvaukset - loppuraportin johtopäätöksin. Raportoinnin tulee sisältää havaintojen selkeä riskiluokittelu (kriittinen, korkea, keskitaso, matala), vaikutusten arviointi sekä konkreettiset korjaussuositukset. Raporttiin tulee sisältyä myös yhteenveto sekä tekninen yksityiskohtainen kuvaus havainnoista ja testausmenetelmistä. Hankinnan kohteena oleva palvelu voi sisältää myös tietoturvatestauksen jatkuvien toimintamallien kehittämistä ja käyttöönottoa sekä testauksen integroimista osaksi ohjelmistokehityksen elinkaarta (DevSecOps). Toimittajan edellytetään sitoutuvan tilaajan tietoturva- ja tietosuojavaatimuksiin sekä huomioivan sosiaali- ja terveydenhuollon toimintaympäristön erityispiirteet, mukaan lukien potilastietojen käsittelyyn liittyvät vaatimukset.
Identifikacijska oznaka postupka: 5cc0f0cd-5b49-4473-8ae3-ec6aa6e4b4f4
Interna identifikacijska oznaka: HUS 045-2026
Vrsta postupka: Otvoren
Postupak je ubrzan: ne
Glavna obilježja postupka: Hankintayksikkö valitsee tässä hankintamenettelyssä puitejärjestelyyn kolme (3) toimittajaa, jollei soveltuvuusvaatimukset täyttäviä tarjoajia tai hyväksyttäviä tarjouksia ole vähemmän. Puitejärjestelyyn valitut toimittajat asetetaan tarjousvertailun perusteella etusijajärjestykseen. Puitejärjestelyyn perustuvat hankinnat tehdään etusijajärjestyksen mukaisesti ilman kilpailuttamista tarjouspyynnön liitteessä 1 kuvatun mukaisesti.
2.1.1.
Svrha
Priroda ugovora: Usluge
Glavna klasifikacija (cpv): 72800000 Usluge računalne revizije i ispitivanja
Dodatna klasifikacija (cpv): 72000000 Usluge informacijske tehnologije: savjetovanje, razvoj programske podrške, internet i podrška, 72220000 Usluge sistemskog i tehničkog savjetovanja, 72222100 Usluge strateške revizije informacijskih sustava ili tehnologije
2.1.2.
Mjesto izvršenja
Zemlja – podregija (NUTS): Helsinki-Uusimaa (FI1B1)
Zemlja: Finska
Dodatne informacije: Tilaaja voi edellyttää sopimuksen kohteena olevan palvelun tuottamista tilaajan tiloissa.
2.1.3.
Vrijednost
Procijenjena vrijednost bez PDV-a: 800 000,00 EUR
Maksimalna vrijednost okvirnog sporazuma: 800 000,00 EUR
2.1.4.
Opće informacije
Pravna osnova:
Direktiva 2014/24/EU
2.1.6.
Razlozi za isključenje
Izvori razloga za isključenje: Europska jedinstvena dokumentacija o nabavi, Dokumentacija o nabavi
5. Grupa
5.1.
Grupa: LOT-0000
Naslov: Tietoturvatestauspalvelut
Opis: HUS-yhtymä (jäljempänä myös tilaaja tai hankintayksikkö) pyytää tarjouksia tietoturvatestauspalveluista tämän tarjouspyynnön ja sen liitteiden ehtojen mukaisesti. Tietoturvatestauksessa käytetään pääsääntöisesti määrämuotoista tietoturvamallia. Testaus noudattaa tarvittavia ja yleisesti hyväksyttyjä viitekehyksiä ja standardeja kuten CC (Common Criteria for Information Technology Security Evaluation), OWASP (Open Web Application Security Project) mukaan lukien OWASP ASVS ja OWASP LLM, WASC (Web Application Security Consortium), NIST sekä soveltuvin osin ISO IEC 27001 ja ISO IEC 27002 sekä EAL (Evaluation Assurance Level) -määrityksiä. Testaus voi sisältää tietoturvan vaatimustason määrittelyn, tietoturva-arkkitehtuurin ja keskitettyjen kontrollien läpikäynnin prosessi- ja tietojärjestelmätasolla. Testauksen perusteella laaditaan selkeät ja priorisoidut muutosehdotukset löydettyjen tietoturvapuutteiden korjaamiseksi. Tietoturvatestaus kohdistuu tietojärjestelmien lisäksi rajapintoihin, integraatioihin, pilviympäristöihin (IaaS, PaaS, SaaS), identiteetin ja pääsynhallintaratkaisuihin (IAM), mobiilisovelluksiin sekä tarvittaessa lääkintälaitteisiin liittyviin tietojärjestelmäkokonaisuuksiin. Tietoturvatestauksen sisältö voi olla esimerkiksi: - käyttöönottotarkastuksia, tietoturva-arviointeja ja kvanttivalmiuden arviointeja - toistuvia haavoittuvuusskannauksia ja haavoittuvuudenhallintaa - penetraatiotestausta (ml. web-, mobiili-, infra- ja API-testaukset sekä tarvittaessa red team -harjoitukset) - palvelunestohyökkäysten simulointia sovitussa laajuudessa - konfiguraatioiden ja tietoturva-asetusten tarkastuksia (baseline compliance) - ohjelmistokomponenttien ja riippuvuuksien tietoturvan arviointia (supply chain) - testauksen suunnittelu, toteutus, hallinta ja ylläpitotehtäviä Tekoäly- ja LLM-ratkaisujen osalta testaus kattaa erityisesti: - syötteiden ja promptien manipulointiin liittyvät riskit (prompt injection) - tietovuotoriskit ja mallien kautta tapahtuvan tiedon paljastumisen - mallien väärinkäytön ja ohittamisen riskit - käyttöoikeuksien, rajapintojen ja integraatioiden turvallisuuden - tekoälyjärjestelmien liitynnät muihin tietojärjestelmiin Testaus toteutetaan tilaajan kanssa sovittujen menettelytapojen mukaisesti. Näihin sisältyvät muun muassa testauksen rajaukset, aikataulutus, hyväksytyt testausmenetelmät, tuotantoympäristöön kohdistuvien testien erityisjärjestelyt, häiriötilanteiden hallinta sekä tietoturvallinen tietojen käsittely testauksen aikana. Lisäksi sovitaan palvelun tuottamiseen osallistuvista asiantuntijoista. Toimittaja vastaa dokumentaatiosta, joka sisältää vähintään: - testaussuunnitelman - testauksen aikaiset väliraportit - testitulokset ja havaintokohtaiset kuvaukset - loppuraportin johtopäätöksin. Raportoinnin tulee sisältää havaintojen selkeä riskiluokittelu (kriittinen, korkea, keskitaso, matala), vaikutusten arviointi sekä konkreettiset korjaussuositukset. Raporttiin tulee sisältyä myös yhteenveto sekä tekninen yksityiskohtainen kuvaus havainnoista ja testausmenetelmistä. Hankinnan kohteena oleva palvelu voi sisältää myös tietoturvatestauksen jatkuvien toimintamallien kehittämistä ja käyttöönottoa sekä testauksen integroimista osaksi ohjelmistokehityksen elinkaarta (DevSecOps). Toimittajan edellytetään sitoutuvan tilaajan tietoturva- ja tietosuojavaatimuksiin sekä huomioivan sosiaali- ja terveydenhuollon toimintaympäristön erityispiirteet, mukaan lukien potilastietojen käsittelyyn liittyvät vaatimukset.
Interna identifikacijska oznaka: HUS 045-2026
5.1.1.
Svrha
Priroda ugovora: Usluge
Glavna klasifikacija (cpv): 72800000 Usluge računalne revizije i ispitivanja
Dodatna klasifikacija (cpv): 72000000 Usluge informacijske tehnologije: savjetovanje, razvoj programske podrške, internet i podrška, 72220000 Usluge sistemskog i tehničkog savjetovanja, 72222100 Usluge strateške revizije informacijskih sustava ili tehnologije
5.1.2.
Mjesto izvršenja
Zemlja – podregija (NUTS): Helsinki-Uusimaa (FI1B1)
Zemlja: Finska
Dodatne informacije: Tilaaja voi edellyttää sopimuksen kohteena olevan palvelun tuottamista tilaajan tiloissa.
5.1.3.
Očekivano trajanje
Trajanje: 48 Mjeseci
5.1.5.
Vrijednost
Procijenjena vrijednost bez PDV-a: 800 000,00 EUR
Maksimalna vrijednost okvirnog sporazuma: 800 000,00 EUR
5.1.6.
Opće informacije
Rezervirano sudjelovanje:
Sudjelovanje nije rezervirano.
Moraju se navesti imena i stručne kvalifikacije osoblja angažiranog za izvršenje ugovora: Obvezno za ponudu
Projekt javne nabave ne financira se sredstvima EU-a
Javna nabava obuhvaćena je Sporazumom o javnoj nabavi (GPA): da
Ova javna nabava prikladna je i za mala i srednja poduzeća (MSP-ovi): da
5.1.7.
Strateška nabava
Socijalni cilj koji se promiče: Pravedni radni uvjeti
5.1.9.
Kriteriji za odabir
Izvori kriterija odabira: Europska jedinstvena dokumentacija o nabavi, Dokumentacija o nabavi
5.1.10.
Kriteriji za dodjelu
Kriterij:
Vrsta: Cijena
Naziv: Hinta
Opis: Asiantuntijatyön hinta
Kategorija kriterija za dodjelu težine: Ponder (postotak, točan)
Broj kriterija za dodjelu: 60
Kriterij:
Vrsta: Kvaliteta
Naziv: Laatu
Opis: Asiantuntijoiden kokemus ja osaaminen
Kategorija kriterija za dodjelu težine: Ponder (postotak, točan)
Broj kriterija za dodjelu: 40
5.1.11.
Dokumentacija o nabavi
Rok za podnošenje zahtjeva za dodatne informacije: 05/08/2026 09:00:00 (UTC+00:00) zapadnoeuropsko vrijeme, GMT
5.1.12.
Uvjeti nabave
Uvjeti postupka:
Potrebno je uvjerenje o sigurnosnoj provjeri
Opis: Turvallisuusselvitystä voidaan vaatia.
Uvjeti podnošenja:
Elektroničko podnošenje: Obvezno
Jezici na kojima se mogu podnijeti ponude ili zahtjevi za sudjelovanje: finski
Elektronički katalog: Nije dopušteno
Varijante: Nije dopušteno
Ponuditelji mogu podnijeti više od jedne ponude: Nije dopušteno
Rok za zaprimanje ponuda: 19/08/2026 09:00:00 (UTC+00:00) zapadnoeuropsko vrijeme, GMT
Razdoblje tijekom kojeg ponuda mora ostati valjana: 4 Mjeseci
Informacije o javnom otvaranju:
Datum otvaranja: 19/08/2026 09:15:00 (UTC+00:00) zapadnoeuropsko vrijeme, GMT
Uvjeti ugovora:
Ugovor se mora izvršiti u okviru programa zaštićenih radnih mjesta: Ne
Potreban je sporazum o povjerljivosti podataka: da
Dodatne informacije o sporazumu o povjerljivosti podataka: Salassapitosopimusta (NDA) voidaan vaatia.
Elektroničko izdavanje računa: Obvezno
Naručivanje će biti elektroničko: da
Plaćanje će biti elektroničko: da
5.1.15.
Tehnike
Okvirni sporazum:
Okvirni sporazum bez ponovne provedbe nadmetanja
Maksimalan broj sudionika: 3
Informacije o dinamičkom sustavu nabave:
Nema dinamičkog sustava nabave
5.1.16.
Dodatne informacije, posredovanje i pravna zaštita (preispitivanje)
Organizacija za preispitivanje (pravnu zaštitu): Markkinaoikeus
Informacije o rokovima za preispitivanje: Muutoksenhakumenettelyjen määräaikoihin sovelletaan julkisista hankinnoista ja käyttöoikeussopimuksista annettua lakia (1397/2016).
Organizacija koja pruža više informacija o postupcima preispitivanja (pravne zaštite): HUS-yhtymä
8. Organizacije
8.1.
ORG-0001
Službeno ime: Markkinaoikeus
Registracijski broj: 3006157-6
Poštanska adresa: Radanrakentajantie 5
Grad: Helsinki
Poštanski broj: 00520
Zemlja – podregija (NUTS): Helsinki-Uusimaa (FI1B1)
Zemlja: Finska
Tel.: +358 295643300
Uloge ove organizacije:
Organizacija za preispitivanje (pravnu zaštitu)
8.1.
ORG-0002
Službeno ime: HUS-yhtymä
Registracijski broj: 1567535-0
Poštanska adresa: PL 445 (Uutistie 5, 01770 Vantaa)
Grad: HUS
Poštanski broj: 00029
Zemlja – podregija (NUTS): Helsinki-Uusimaa (FI1B1)
Zemlja: Finska
Kontaktna točka: ICT-hankintakategoria
Tel.: +358 947111
Uloge ove organizacije:
Kupac
Organizacija koja pruža više informacija o postupcima preispitivanja (pravne zaštite)
8.1.
ORG-0003
Službeno ime: Hansel Oy (Hilma)
Registracijski broj: FI09880841
Poštanska adresa: Mannerheiminaukio 1a
Grad: Helsinki
Poštanski broj: 00100
Zemlja – podregija (NUTS): Helsinki-Uusimaa (FI1B1)
Zemlja: Finska
Kontaktna točka: eSender
Tel.: 029 55 636 30
Uloge ove organizacije:
TED eSender
Identifikacijska oznaka / verzija obavijesti: 13a3a3b7-7d3d-49c1-93e4-70158c578c2b - 01
Vrsta obrasca: Nadmetanje
Vrsta obavijesti: Obavijest o nadmetanju ili koncesiji – standardni režim
Podvrsta obavijesti: 16
Datum slanja obavijesti: 08/07/2026 14:59:43 (UTC+00:00) zapadnoeuropsko vrijeme, GMT
Datum e-pošiljateljeva slanja obavijesti: 08/07/2026 14:59:44 (UTC+00:00) zapadnoeuropsko vrijeme, GMT
Jezici na kojima je ova obavijest službeno dostupna: finski
Broj objave obavijesti: 476317-2026
Broj izdanja SL S-a: 131/2026
Datum objave: 10/07/2026