476317-2026 - Gara
Finlandia – Servizi di audit e collaudo informatico – Tietoturvatestauspalvelut
OJ S 131/2026 10/07/2026
Bando di gara o di concessione – regime ordinario
Servizi
1. Committente
1.1.
Committente
Nome ufficialeHUS-yhtymä
E-mailkilpailutus.ict@hus.fi
Forma giuridica del committenteAutorità regionale
Attività dell'amministrazione aggiudicatriceSalute
2. Procedura
2.1.
Procedura
TitoloTietoturvatestauspalvelut
DescrizioneHUS-yhtymä (jäljempänä myös tilaaja tai hankintayksikkö) pyytää tarjouksia tietoturvatestauspalveluista tämän tarjouspyynnön ja sen liitteiden ehtojen mukaisesti. Tietoturvatestauksessa käytetään pääsääntöisesti määrämuotoista tietoturvamallia. Testaus noudattaa tarvittavia ja yleisesti hyväksyttyjä viitekehyksiä ja standardeja kuten CC (Common Criteria for Information Technology Security Evaluation), OWASP (Open Web Application Security Project) mukaan lukien OWASP ASVS ja OWASP LLM, WASC (Web Application Security Consortium), NIST sekä soveltuvin osin ISO IEC 27001 ja ISO IEC 27002 sekä EAL (Evaluation Assurance Level) -määrityksiä. Testaus voi sisältää tietoturvan vaatimustason määrittelyn, tietoturva-arkkitehtuurin ja keskitettyjen kontrollien läpikäynnin prosessi- ja tietojärjestelmätasolla. Testauksen perusteella laaditaan selkeät ja priorisoidut muutosehdotukset löydettyjen tietoturvapuutteiden korjaamiseksi. Tietoturvatestaus kohdistuu tietojärjestelmien lisäksi rajapintoihin, integraatioihin, pilviympäristöihin (IaaS, PaaS, SaaS), identiteetin ja pääsynhallintaratkaisuihin (IAM), mobiilisovelluksiin sekä tarvittaessa lääkintälaitteisiin liittyviin tietojärjestelmäkokonaisuuksiin. Tietoturvatestauksen sisältö voi olla esimerkiksi: - käyttöönottotarkastuksia, tietoturva-arviointeja ja kvanttivalmiuden arviointeja - toistuvia haavoittuvuusskannauksia ja haavoittuvuudenhallintaa - penetraatiotestausta (ml. web-, mobiili-, infra- ja API-testaukset sekä tarvittaessa red team -harjoitukset) - palvelunestohyökkäysten simulointia sovitussa laajuudessa - konfiguraatioiden ja tietoturva-asetusten tarkastuksia (baseline compliance) - ohjelmistokomponenttien ja riippuvuuksien tietoturvan arviointia (supply chain) - testauksen suunnittelu, toteutus, hallinta ja ylläpitotehtäviä Tekoäly- ja LLM-ratkaisujen osalta testaus kattaa erityisesti: - syötteiden ja promptien manipulointiin liittyvät riskit (prompt injection) - tietovuotoriskit ja mallien kautta tapahtuvan tiedon paljastumisen - mallien väärinkäytön ja ohittamisen riskit - käyttöoikeuksien, rajapintojen ja integraatioiden turvallisuuden - tekoälyjärjestelmien liitynnät muihin tietojärjestelmiin Testaus toteutetaan tilaajan kanssa sovittujen menettelytapojen mukaisesti. Näihin sisältyvät muun muassa testauksen rajaukset, aikataulutus, hyväksytyt testausmenetelmät, tuotantoympäristöön kohdistuvien testien erityisjärjestelyt, häiriötilanteiden hallinta sekä tietoturvallinen tietojen käsittely testauksen aikana. Lisäksi sovitaan palvelun tuottamiseen osallistuvista asiantuntijoista. Toimittaja vastaa dokumentaatiosta, joka sisältää vähintään: - testaussuunnitelman - testauksen aikaiset väliraportit - testitulokset ja havaintokohtaiset kuvaukset - loppuraportin johtopäätöksin. Raportoinnin tulee sisältää havaintojen selkeä riskiluokittelu (kriittinen, korkea, keskitaso, matala), vaikutusten arviointi sekä konkreettiset korjaussuositukset. Raporttiin tulee sisältyä myös yhteenveto sekä tekninen yksityiskohtainen kuvaus havainnoista ja testausmenetelmistä. Hankinnan kohteena oleva palvelu voi sisältää myös tietoturvatestauksen jatkuvien toimintamallien kehittämistä ja käyttöönottoa sekä testauksen integroimista osaksi ohjelmistokehityksen elinkaarta (DevSecOps). Toimittajan edellytetään sitoutuvan tilaajan tietoturva- ja tietosuojavaatimuksiin sekä huomioivan sosiaali- ja terveydenhuollon toimintaympäristön erityispiirteet, mukaan lukien potilastietojen käsittelyyn liittyvät vaatimukset.
Identificativo della procedura5cc0f0cd-5b49-4473-8ae3-ec6aa6e4b4f4
Identificativo internoHUS 045-2026
Tipo di proceduraAperta
La procedura è acceleratano
Caratteristiche principali della proceduraHankintayksikkö valitsee tässä hankintamenettelyssä puitejärjestelyyn kolme (3) toimittajaa, jollei soveltuvuusvaatimukset täyttäviä tarjoajia tai hyväksyttäviä tarjouksia ole vähemmän. Puitejärjestelyyn valitut toimittajat asetetaan tarjousvertailun perusteella etusijajärjestykseen. Puitejärjestelyyn perustuvat hankinnat tehdään etusijajärjestyksen mukaisesti ilman kilpailuttamista tarjouspyynnön liitteessä 1 kuvatun mukaisesti.
2.1.1.
Finalità
Natura dell'appaltoServizi
Classificazione principale (cpv): 72800000 Servizi di audit e collaudo informatico
Classificazione aggiuntiva (cpv): 72000000 Servizi informatici: consulenza, sviluppo di software, Internet e supporto, 72220000 Servizi di consulenza in sistemi informatici e assistenza tecnica, 72222100 Servizi di revisione strategica di sistemi o tecnologie dell’informazione
2.1.2.
Luogo di esecuzione
Suddivisione del paese (NUTS)Helsinki-Uusimaa (FI1B1)
PaeseFinlandia
Informazioni supplementariTilaaja voi edellyttää sopimuksen kohteena olevan palvelun tuottamista tilaajan tiloissa.
2.1.3.
Valore
Valore stimato al netto dell'IVA800 000,00 EUR
Valore massimo dell'accordo quadro800 000,00 EUR
2.1.4.
Informazioni generali
Base giuridica
Direttiva 2014/24/UE
2.1.6.
Motivi di esclusione
Fonti dei motivi di esclusioneDocumento di gara unico europeo (DGUE)Documento di gara
5. Lotto
5.1.
LottoLOT-0000
TitoloTietoturvatestauspalvelut
DescrizioneHUS-yhtymä (jäljempänä myös tilaaja tai hankintayksikkö) pyytää tarjouksia tietoturvatestauspalveluista tämän tarjouspyynnön ja sen liitteiden ehtojen mukaisesti. Tietoturvatestauksessa käytetään pääsääntöisesti määrämuotoista tietoturvamallia. Testaus noudattaa tarvittavia ja yleisesti hyväksyttyjä viitekehyksiä ja standardeja kuten CC (Common Criteria for Information Technology Security Evaluation), OWASP (Open Web Application Security Project) mukaan lukien OWASP ASVS ja OWASP LLM, WASC (Web Application Security Consortium), NIST sekä soveltuvin osin ISO IEC 27001 ja ISO IEC 27002 sekä EAL (Evaluation Assurance Level) -määrityksiä. Testaus voi sisältää tietoturvan vaatimustason määrittelyn, tietoturva-arkkitehtuurin ja keskitettyjen kontrollien läpikäynnin prosessi- ja tietojärjestelmätasolla. Testauksen perusteella laaditaan selkeät ja priorisoidut muutosehdotukset löydettyjen tietoturvapuutteiden korjaamiseksi. Tietoturvatestaus kohdistuu tietojärjestelmien lisäksi rajapintoihin, integraatioihin, pilviympäristöihin (IaaS, PaaS, SaaS), identiteetin ja pääsynhallintaratkaisuihin (IAM), mobiilisovelluksiin sekä tarvittaessa lääkintälaitteisiin liittyviin tietojärjestelmäkokonaisuuksiin. Tietoturvatestauksen sisältö voi olla esimerkiksi: - käyttöönottotarkastuksia, tietoturva-arviointeja ja kvanttivalmiuden arviointeja - toistuvia haavoittuvuusskannauksia ja haavoittuvuudenhallintaa - penetraatiotestausta (ml. web-, mobiili-, infra- ja API-testaukset sekä tarvittaessa red team -harjoitukset) - palvelunestohyökkäysten simulointia sovitussa laajuudessa - konfiguraatioiden ja tietoturva-asetusten tarkastuksia (baseline compliance) - ohjelmistokomponenttien ja riippuvuuksien tietoturvan arviointia (supply chain) - testauksen suunnittelu, toteutus, hallinta ja ylläpitotehtäviä Tekoäly- ja LLM-ratkaisujen osalta testaus kattaa erityisesti: - syötteiden ja promptien manipulointiin liittyvät riskit (prompt injection) - tietovuotoriskit ja mallien kautta tapahtuvan tiedon paljastumisen - mallien väärinkäytön ja ohittamisen riskit - käyttöoikeuksien, rajapintojen ja integraatioiden turvallisuuden - tekoälyjärjestelmien liitynnät muihin tietojärjestelmiin Testaus toteutetaan tilaajan kanssa sovittujen menettelytapojen mukaisesti. Näihin sisältyvät muun muassa testauksen rajaukset, aikataulutus, hyväksytyt testausmenetelmät, tuotantoympäristöön kohdistuvien testien erityisjärjestelyt, häiriötilanteiden hallinta sekä tietoturvallinen tietojen käsittely testauksen aikana. Lisäksi sovitaan palvelun tuottamiseen osallistuvista asiantuntijoista. Toimittaja vastaa dokumentaatiosta, joka sisältää vähintään: - testaussuunnitelman - testauksen aikaiset väliraportit - testitulokset ja havaintokohtaiset kuvaukset - loppuraportin johtopäätöksin. Raportoinnin tulee sisältää havaintojen selkeä riskiluokittelu (kriittinen, korkea, keskitaso, matala), vaikutusten arviointi sekä konkreettiset korjaussuositukset. Raporttiin tulee sisältyä myös yhteenveto sekä tekninen yksityiskohtainen kuvaus havainnoista ja testausmenetelmistä. Hankinnan kohteena oleva palvelu voi sisältää myös tietoturvatestauksen jatkuvien toimintamallien kehittämistä ja käyttöönottoa sekä testauksen integroimista osaksi ohjelmistokehityksen elinkaarta (DevSecOps). Toimittajan edellytetään sitoutuvan tilaajan tietoturva- ja tietosuojavaatimuksiin sekä huomioivan sosiaali- ja terveydenhuollon toimintaympäristön erityispiirteet, mukaan lukien potilastietojen käsittelyyn liittyvät vaatimukset.
Identificativo internoHUS 045-2026
5.1.1.
Finalità
Natura dell'appaltoServizi
Classificazione principale (cpv): 72800000 Servizi di audit e collaudo informatico
Classificazione aggiuntiva (cpv): 72000000 Servizi informatici: consulenza, sviluppo di software, Internet e supporto, 72220000 Servizi di consulenza in sistemi informatici e assistenza tecnica, 72222100 Servizi di revisione strategica di sistemi o tecnologie dell’informazione
5.1.2.
Luogo di esecuzione
Suddivisione del paese (NUTS)Helsinki-Uusimaa (FI1B1)
PaeseFinlandia
Informazioni supplementariTilaaja voi edellyttää sopimuksen kohteena olevan palvelun tuottamista tilaajan tiloissa.
5.1.3.
Durata stimata
Durata48 Mesi
5.1.5.
Valore
Valore stimato al netto dell'IVA800 000,00 EUR
Valore massimo dell'accordo quadro800 000,00 EUR
5.1.6.
Informazioni generali
Partecipazione riservata
La partecipazione non è riservata.
Vanno indicati nomi e qualifiche professionali del personale incaricato dell'esecuzione dell'appaltoIndicazione obbligatoria nell'offerta
Progetto di appalto non finanziato con fondi UE
L'appalto è soggetto all'accordo sugli appalti pubblici (AAP)
L'appalto si addice anche alle piccole e medie imprese (PMI)
5.1.7.
Appalto strategico
Obiettivo di carattere sociale perseguitoCondizioni di lavoro eque
5.1.9.
Criteri di selezione
Fonti dei criteri di selezioneDocumento di gara unico europeo (DGUE)Documento di gara
5.1.10.
Criteri di aggiudicazione
Criterio
TipoPrezzo
NomeHinta
DescrizioneAsiantuntijatyön hinta
Categoria del criterio di aggiudicazione pesoPonderazione (percentuale, esatta)
Criterio di aggiudicazione: numero60
Criterio
TipoQualità
NomeLaatu
DescrizioneAsiantuntijoiden kokemus ja osaaminen
Categoria del criterio di aggiudicazione pesoPonderazione (percentuale, esatta)
Criterio di aggiudicazione: numero40
5.1.11.
Documenti di gara
Termine per la richiesta di informazioni supplementari05/08/2026 09:00:00 (UTC+00:00) ora dell'Europa occidentale, GMT
Indirizzo dei documenti di garahttps://tarjouspalvelu.fi/huslogistiikka?id=614344&tpk=e3ca2628-15f9-4666-8803-d42a6748fb82
5.1.12.
Condizioni di appalto
Condizioni della procedura
È richiesto il nulla osta di sicurezza
DescrizioneTurvallisuusselvitystä voidaan vaatia.
Modalità di presentazione
Presentazione elettronica delle offerteObbligatoria
Indirizzo per la presentazionehttps://tarjouspalvelu.fi/huslogistiikka?id=614344&tpk=e3ca2628-15f9-4666-8803-d42a6748fb82
Lingue in cui possono essere presentate le offerte o le domande di partecipazionefinlandese
Catalogo elettronicoNon consentita
VariantiNon consentita
Gli offerenti possono presentare più di un'offertaNon consentita
Termine per il ricevimento delle offerte19/08/2026 09:00:00 (UTC+00:00) ora dell'Europa occidentale, GMT
Durata durante la quale l'offerta deve rimanere valida4 Mesi
Informazioni sull'apertura pubblica delle offerte
Data di apertura19/08/2026 09:15:00 (UTC+00:00) ora dell'Europa occidentale, GMT
Condizioni contrattuali
L'esecuzione dell'appalto deve avvenire nel contesto di programmi di lavoro protettiNo
È richiesto un accordo di non divulgazione
Informazioni supplementari sull'accordo di non divulgazioneSalassapitosopimusta (NDA) voidaan vaatia.
Fatturazione elettronicaObbligatoria
Si farà ricorso all'ordinazione elettronica
Sarà utilizzato il pagamento elettronico
5.1.15.
Tecniche
Accordo quadro
Accordo quadro, senza riapertura della gara
Numero massimo di partecipanti3
Informazioni sul sistema dinamico di acquisizione
Nessun sistema dinamico di acquisizione
5.1.16.
Ulteriori informazioni, mediazione e ricorsi
Organizzazione competente per i ricorsiMarkkinaoikeus
Informazioni sui termini per il riesame: Muutoksenhakumenettelyjen määräaikoihin sovelletaan julkisista hankinnoista ja käyttöoikeussopimuksista annettua lakia (1397/2016).
Organizzazione alla quale rivolgersi per informazioni complementari sulle procedure di ricorsoHUS-yhtymä
8. Organizzazioni
8.1.
ORG-0001
Nome ufficialeMarkkinaoikeus
Numero di registrazione3006157-6
Indirizzo postaleRadanrakentajantie 5
LocalitàHelsinki
Codice postale00520
Suddivisione del paese (NUTS)Helsinki-Uusimaa (FI1B1)
PaeseFinlandia
E-mailmarkkinaoikeus@oikeus.fi
Telefono+358 295643300
Indirizzo internethttp://www.oikeus.fi/markkinaoikeus
Ruoli di questa organizzazione
Organizzazione competente per i ricorsi
8.1.
ORG-0002
Nome ufficialeHUS-yhtymä
Numero di registrazione1567535-0
Indirizzo postalePL 445 (Uutistie 5, 01770 Vantaa)
LocalitàHUS
Codice postale00029
Suddivisione del paese (NUTS)Helsinki-Uusimaa (FI1B1)
PaeseFinlandia
ReferenteICT-hankintakategoria
E-mailkilpailutus.ict@hus.fi
Telefono+358 947111
Indirizzo internethttp://www.hus.fi
Ruoli di questa organizzazione
Committente
Organizzazione alla quale rivolgersi per informazioni complementari sulle procedure di ricorso
8.1.
ORG-0003
Nome ufficialeHansel Oy (Hilma)
Numero di registrazioneFI09880841
Indirizzo postaleMannerheiminaukio 1a
LocalitàHelsinki
Codice postale00100
Suddivisione del paese (NUTS)Helsinki-Uusimaa (FI1B1)
PaeseFinlandia
ReferenteeSender
E-mailtekninen@hankintailmoitukset.fi
Telefono029 55 636 30
Indirizzo internethttp://hankintailmoitukset.fi
Ruoli di questa organizzazione
TED eSender
Informazioni sull'avviso
Identificativo/versione dell'avviso13a3a3b7-7d3d-49c1-93e4-70158c578c2b  -  01
Tipo di formularioGara
Tipo di avvisoBando di gara o di concessione – regime ordinario
Sottotipo di avviso16
Data di trasmissione dell'avviso08/07/2026 14:59:43 (UTC+00:00) ora dell'Europa occidentale, GMT
Data di trasmissione da parte dell'eSender dell'avviso o bando08/07/2026 14:59:44 (UTC+00:00) ora dell'Europa occidentale, GMT
Lingue in cui il presente avviso è ufficialmente disponibilefinlandese
Numero di pubblicazione dell'avviso476317-2026
Numero dell'edizione della GU S131/2026
Data di pubblicazione10/07/2026