1. Pirkėjas
1.1.
Pirkėjas
Oficialus pavadinimas: HUS-yhtymä
Pirkėjo teisinė forma: Regioninės valdžios institucija
Perkančiosios organizacijos veiklos sritis: Sveikata
2. Procedūra
2.1.
Procedūra
Pavadinimas: Tietoturvatestauspalvelut
Aprašymas: HUS-yhtymä (jäljempänä myös tilaaja tai hankintayksikkö) pyytää tarjouksia tietoturvatestauspalveluista tämän tarjouspyynnön ja sen liitteiden ehtojen mukaisesti. Tietoturvatestauksessa käytetään pääsääntöisesti määrämuotoista tietoturvamallia. Testaus noudattaa tarvittavia ja yleisesti hyväksyttyjä viitekehyksiä ja standardeja kuten CC (Common Criteria for Information Technology Security Evaluation), OWASP (Open Web Application Security Project) mukaan lukien OWASP ASVS ja OWASP LLM, WASC (Web Application Security Consortium), NIST sekä soveltuvin osin ISO IEC 27001 ja ISO IEC 27002 sekä EAL (Evaluation Assurance Level) -määrityksiä. Testaus voi sisältää tietoturvan vaatimustason määrittelyn, tietoturva-arkkitehtuurin ja keskitettyjen kontrollien läpikäynnin prosessi- ja tietojärjestelmätasolla. Testauksen perusteella laaditaan selkeät ja priorisoidut muutosehdotukset löydettyjen tietoturvapuutteiden korjaamiseksi. Tietoturvatestaus kohdistuu tietojärjestelmien lisäksi rajapintoihin, integraatioihin, pilviympäristöihin (IaaS, PaaS, SaaS), identiteetin ja pääsynhallintaratkaisuihin (IAM), mobiilisovelluksiin sekä tarvittaessa lääkintälaitteisiin liittyviin tietojärjestelmäkokonaisuuksiin. Tietoturvatestauksen sisältö voi olla esimerkiksi: - käyttöönottotarkastuksia, tietoturva-arviointeja ja kvanttivalmiuden arviointeja - toistuvia haavoittuvuusskannauksia ja haavoittuvuudenhallintaa - penetraatiotestausta (ml. web-, mobiili-, infra- ja API-testaukset sekä tarvittaessa red team -harjoitukset) - palvelunestohyökkäysten simulointia sovitussa laajuudessa - konfiguraatioiden ja tietoturva-asetusten tarkastuksia (baseline compliance) - ohjelmistokomponenttien ja riippuvuuksien tietoturvan arviointia (supply chain) - testauksen suunnittelu, toteutus, hallinta ja ylläpitotehtäviä Tekoäly- ja LLM-ratkaisujen osalta testaus kattaa erityisesti: - syötteiden ja promptien manipulointiin liittyvät riskit (prompt injection) - tietovuotoriskit ja mallien kautta tapahtuvan tiedon paljastumisen - mallien väärinkäytön ja ohittamisen riskit - käyttöoikeuksien, rajapintojen ja integraatioiden turvallisuuden - tekoälyjärjestelmien liitynnät muihin tietojärjestelmiin Testaus toteutetaan tilaajan kanssa sovittujen menettelytapojen mukaisesti. Näihin sisältyvät muun muassa testauksen rajaukset, aikataulutus, hyväksytyt testausmenetelmät, tuotantoympäristöön kohdistuvien testien erityisjärjestelyt, häiriötilanteiden hallinta sekä tietoturvallinen tietojen käsittely testauksen aikana. Lisäksi sovitaan palvelun tuottamiseen osallistuvista asiantuntijoista. Toimittaja vastaa dokumentaatiosta, joka sisältää vähintään: - testaussuunnitelman - testauksen aikaiset väliraportit - testitulokset ja havaintokohtaiset kuvaukset - loppuraportin johtopäätöksin. Raportoinnin tulee sisältää havaintojen selkeä riskiluokittelu (kriittinen, korkea, keskitaso, matala), vaikutusten arviointi sekä konkreettiset korjaussuositukset. Raporttiin tulee sisältyä myös yhteenveto sekä tekninen yksityiskohtainen kuvaus havainnoista ja testausmenetelmistä. Hankinnan kohteena oleva palvelu voi sisältää myös tietoturvatestauksen jatkuvien toimintamallien kehittämistä ja käyttöönottoa sekä testauksen integroimista osaksi ohjelmistokehityksen elinkaarta (DevSecOps). Toimittajan edellytetään sitoutuvan tilaajan tietoturva- ja tietosuojavaatimuksiin sekä huomioivan sosiaali- ja terveydenhuollon toimintaympäristön erityispiirteet, mukaan lukien potilastietojen käsittelyyn liittyvät vaatimukset.
Procedūros identifikatorius: 5cc0f0cd-5b49-4473-8ae3-ec6aa6e4b4f4
Vidaus identifikatorius: HUS 045-2026
Pirkimo būdas: Atviras
Procedūra pagreitinta: ne
Pagrindiniai procedūros ypatumai: Hankintayksikkö valitsee tässä hankintamenettelyssä puitejärjestelyyn kolme (3) toimittajaa, jollei soveltuvuusvaatimukset täyttäviä tarjoajia tai hyväksyttäviä tarjouksia ole vähemmän. Puitejärjestelyyn valitut toimittajat asetetaan tarjousvertailun perusteella etusijajärjestykseen. Puitejärjestelyyn perustuvat hankinnat tehdään etusijajärjestyksen mukaisesti ilman kilpailuttamista tarjouspyynnön liitteessä 1 kuvatun mukaisesti.
2.1.1.
Tikslas
Sutarties objektas: Paslaugos
Pagrindinis klasifikacijos kodas (cpv): 72800000 Kompiuterių audito ir tikrinimo paslaugos
Kiti klasifikacijos kodai (cpv): 72000000 IT paslaugos: konsultavimas, programinės įrangos kūrimas, internetas ir aptarnavimo paslaugos, 72220000 Sistemų ir techninės konsultacinės paslaugos, 72222100 Informacijos sistemų arba technologijos strateginės peržiūros paslaugos
2.1.2.
Sutarties vykdymo vieta
Šalies administracinis vienetas (NUTS): Helsinki-Uusimaa (FI1B1)
Šalis: Suomija
Papildoma informacija: Tilaaja voi edellyttää sopimuksen kohteena olevan palvelun tuottamista tilaajan tiloissa.
2.1.3.
Vertė
Numatoma vertė be PVM: 800 000,00 EUR
Preliminariosios sutarties didžiausioji vertė: 800 000,00 EUR
2.1.4.
Bendra informacija
Teisinis pagrindas:
Direktyva 2014/24/ES
2.1.6.
Pašalinimo pagrindai
Pašalinimo pagrindų šaltiniai: Europos bendrasis viešųjų pirkimų dokumentas (EBVPD), Pirkimo dokumentas
5. Pirkimo dalis
5.1.
Pirkimo dalis: LOT-0000
Pavadinimas: Tietoturvatestauspalvelut
Aprašymas: HUS-yhtymä (jäljempänä myös tilaaja tai hankintayksikkö) pyytää tarjouksia tietoturvatestauspalveluista tämän tarjouspyynnön ja sen liitteiden ehtojen mukaisesti. Tietoturvatestauksessa käytetään pääsääntöisesti määrämuotoista tietoturvamallia. Testaus noudattaa tarvittavia ja yleisesti hyväksyttyjä viitekehyksiä ja standardeja kuten CC (Common Criteria for Information Technology Security Evaluation), OWASP (Open Web Application Security Project) mukaan lukien OWASP ASVS ja OWASP LLM, WASC (Web Application Security Consortium), NIST sekä soveltuvin osin ISO IEC 27001 ja ISO IEC 27002 sekä EAL (Evaluation Assurance Level) -määrityksiä. Testaus voi sisältää tietoturvan vaatimustason määrittelyn, tietoturva-arkkitehtuurin ja keskitettyjen kontrollien läpikäynnin prosessi- ja tietojärjestelmätasolla. Testauksen perusteella laaditaan selkeät ja priorisoidut muutosehdotukset löydettyjen tietoturvapuutteiden korjaamiseksi. Tietoturvatestaus kohdistuu tietojärjestelmien lisäksi rajapintoihin, integraatioihin, pilviympäristöihin (IaaS, PaaS, SaaS), identiteetin ja pääsynhallintaratkaisuihin (IAM), mobiilisovelluksiin sekä tarvittaessa lääkintälaitteisiin liittyviin tietojärjestelmäkokonaisuuksiin. Tietoturvatestauksen sisältö voi olla esimerkiksi: - käyttöönottotarkastuksia, tietoturva-arviointeja ja kvanttivalmiuden arviointeja - toistuvia haavoittuvuusskannauksia ja haavoittuvuudenhallintaa - penetraatiotestausta (ml. web-, mobiili-, infra- ja API-testaukset sekä tarvittaessa red team -harjoitukset) - palvelunestohyökkäysten simulointia sovitussa laajuudessa - konfiguraatioiden ja tietoturva-asetusten tarkastuksia (baseline compliance) - ohjelmistokomponenttien ja riippuvuuksien tietoturvan arviointia (supply chain) - testauksen suunnittelu, toteutus, hallinta ja ylläpitotehtäviä Tekoäly- ja LLM-ratkaisujen osalta testaus kattaa erityisesti: - syötteiden ja promptien manipulointiin liittyvät riskit (prompt injection) - tietovuotoriskit ja mallien kautta tapahtuvan tiedon paljastumisen - mallien väärinkäytön ja ohittamisen riskit - käyttöoikeuksien, rajapintojen ja integraatioiden turvallisuuden - tekoälyjärjestelmien liitynnät muihin tietojärjestelmiin Testaus toteutetaan tilaajan kanssa sovittujen menettelytapojen mukaisesti. Näihin sisältyvät muun muassa testauksen rajaukset, aikataulutus, hyväksytyt testausmenetelmät, tuotantoympäristöön kohdistuvien testien erityisjärjestelyt, häiriötilanteiden hallinta sekä tietoturvallinen tietojen käsittely testauksen aikana. Lisäksi sovitaan palvelun tuottamiseen osallistuvista asiantuntijoista. Toimittaja vastaa dokumentaatiosta, joka sisältää vähintään: - testaussuunnitelman - testauksen aikaiset väliraportit - testitulokset ja havaintokohtaiset kuvaukset - loppuraportin johtopäätöksin. Raportoinnin tulee sisältää havaintojen selkeä riskiluokittelu (kriittinen, korkea, keskitaso, matala), vaikutusten arviointi sekä konkreettiset korjaussuositukset. Raporttiin tulee sisältyä myös yhteenveto sekä tekninen yksityiskohtainen kuvaus havainnoista ja testausmenetelmistä. Hankinnan kohteena oleva palvelu voi sisältää myös tietoturvatestauksen jatkuvien toimintamallien kehittämistä ja käyttöönottoa sekä testauksen integroimista osaksi ohjelmistokehityksen elinkaarta (DevSecOps). Toimittajan edellytetään sitoutuvan tilaajan tietoturva- ja tietosuojavaatimuksiin sekä huomioivan sosiaali- ja terveydenhuollon toimintaympäristön erityispiirteet, mukaan lukien potilastietojen käsittelyyn liittyvät vaatimukset.
Vidaus identifikatorius: HUS 045-2026
5.1.1.
Tikslas
Sutarties objektas: Paslaugos
Pagrindinis klasifikacijos kodas (cpv): 72800000 Kompiuterių audito ir tikrinimo paslaugos
Kiti klasifikacijos kodai (cpv): 72000000 IT paslaugos: konsultavimas, programinės įrangos kūrimas, internetas ir aptarnavimo paslaugos, 72220000 Sistemų ir techninės konsultacinės paslaugos, 72222100 Informacijos sistemų arba technologijos strateginės peržiūros paslaugos
5.1.2.
Sutarties vykdymo vieta
Šalies administracinis vienetas (NUTS): Helsinki-Uusimaa (FI1B1)
Šalis: Suomija
Papildoma informacija: Tilaaja voi edellyttää sopimuksen kohteena olevan palvelun tuottamista tilaajan tiloissa.
5.1.3.
Numatomas galiojimas
Galiojimas: 48 Mėnesiai
5.1.5.
Vertė
Numatoma vertė be PVM: 800 000,00 EUR
Preliminariosios sutarties didžiausioji vertė: 800 000,00 EUR
5.1.6.
Bendra informacija
Rezervuota dalyvavimo teisė:
Dalyvavimas nerezervuotas.
Turi būti nurodyti sutarčiai vykdyti paskirtų darbuotojų vardai, pavardės ir profesinė kvalifikacija: Būtina nurodyti pasiūlyme
Iš ES fondų nefinansuojamas pirkimo projektas
Pirkimui taikoma Sutartis dėl viešųjų pirkimų (SVP): taip
Šis viešasis pirkimas taip pat tinkamas mažosioms ir vidutinėms įmonėms (MVĮ): taip
5.1.7.
Strateginis viešasis pirkimas
Socialinis tikslas, kurio raginama siekti: Tinkamos darbo sąlygos
5.1.9.
Atrankos kriterijai
Pasirinkimo kriterijų šaltiniai: Europos bendrasis viešųjų pirkimų dokumentas (EBVPD), Pirkimo dokumentas
5.1.10.
Skyrimo kriterijai
Kriterijus:
Rūšis: Kaina
Pavadinimas: Hinta
Aprašymas: Asiantuntijatyön hinta
Kategorija skyrimo kriterijaus svoris: Lyginamasis svoris (procentinė dalis, tikslus skaičius)
Skyrimo kriterijus: skaičius: 60
Kriterijus:
Rūšis: Kokybė
Pavadinimas: Laatu
Aprašymas: Asiantuntijoiden kokemus ja osaaminen
Kategorija skyrimo kriterijaus svoris: Lyginamasis svoris (procentinė dalis, tikslus skaičius)
Skyrimo kriterijus: skaičius: 40
5.1.11.
Pirkimo dokumentai
Papildomos informacijos prašymo terminas: 05/08/2026 09:00:00 (UTC+00:00) Vakarų Europos laikas, GMT
5.1.12.
Pirkimo sąlygos
Procedūros sąlygos:
Reikia pateikti patikimumo pažymėjimą
Aprašymas: Turvallisuusselvitystä voidaan vaatia.
Pateikimo sąlygos:
Pateikimas elektroninėmis priemonėmis: Privalomos
Kalbos, kuriomis galima pateikti pasiūlymus arba dalyvavimo prašymus: suomių kalba
Elektroninis katalogas: Draudžiamos
Alternatyvūs pasiūlymai: Draudžiamos
Dalyviai gali pateikti daugiau kaip vieną pasiūlymą: Draudžiamos
Pasiūlymų priėmimo terminas: 19/08/2026 09:00:00 (UTC+00:00) Vakarų Europos laikas, GMT
Laikotarpis, per kurį pasiūlymas turi išlikti galiojantis: 4 Mėnesiai
Informacija apie viešą vokų atplėšimą:
Atidarymo data: 19/08/2026 09:15:00 (UTC+00:00) Vakarų Europos laikas, GMT
Sutarties sąlygos:
Sutartis turi būti vykdoma pagal globojamų darbo grupių užimtumo programas: Ne
Būtinas konfidencialumo susitarimas: taip
Papildoma informacija apie konfidencialumo susitarimą: Salassapitosopimusta (NDA) voidaan vaatia.
Elektroninės sąskaitos faktūros: Privalomos
Bus naudojami elektroniniai užsakymai: taip
Bus naudojami elektroniniai mokėjimai: taip
5.1.15.
Metodai
Preliminarioji sutartis:
Preliminarioji sutartis, neskelbiant naujo konkurso
Didžiausias dalyvių skaičius: 3
Informacija apie dinaminę pirkimo sistemą:
Dinaminės pirkimo sistemos nėra
5.1.16.
Išsamesnė informacija, tarpininkavimas ir peržiūra
Peržiūros organizacija: Markkinaoikeus
Informacija apie peržiūros terminus: Muutoksenhakumenettelyjen määräaikoihin sovelletaan julkisista hankinnoista ja käyttöoikeussopimuksista annettua lakia (1397/2016).
Organizacija, teikianti daugiau informacijos apie peržiūros procedūras: HUS-yhtymä
8. Organizacijos
8.1.
ORG-0001
Oficialus pavadinimas: Markkinaoikeus
Registracijos numeris: 3006157-6
Pašto adresas: Radanrakentajantie 5
Miestas: Helsinki
Pašto kodas: 00520
Šalies administracinis vienetas (NUTS): Helsinki-Uusimaa (FI1B1)
Šalis: Suomija
Telefono numeris: +358 295643300
Šios organizacijos vaidmenys:
Peržiūros organizacija
8.1.
ORG-0002
Oficialus pavadinimas: HUS-yhtymä
Registracijos numeris: 1567535-0
Pašto adresas: PL 445 (Uutistie 5, 01770 Vantaa)
Miestas: HUS
Pašto kodas: 00029
Šalies administracinis vienetas (NUTS): Helsinki-Uusimaa (FI1B1)
Šalis: Suomija
Ryšių centras: ICT-hankintakategoria
Telefono numeris: +358 947111
Šios organizacijos vaidmenys:
Pirkėjas
Organizacija, teikianti daugiau informacijos apie peržiūros procedūras
8.1.
ORG-0003
Oficialus pavadinimas: Hansel Oy (Hilma)
Registracijos numeris: FI09880841
Pašto adresas: Mannerheiminaukio 1a
Miestas: Helsinki
Pašto kodas: 00100
Šalies administracinis vienetas (NUTS): Helsinki-Uusimaa (FI1B1)
Šalis: Suomija
Ryšių centras: eSender
Telefono numeris: 029 55 636 30
Šios organizacijos vaidmenys:
TED eSender
Skelbimo identifikatorius / versija: 13a3a3b7-7d3d-49c1-93e4-70158c578c2b - 01
Formos tipas: Konkursas
Skelbimo rūšis: Skelbimas apie pirkimą arba koncesiją. Įprasta tvarka
Skelbimo porūšis: 16
Skelbimo išsiuntimo data: 08/07/2026 14:59:43 (UTC+00:00) Vakarų Europos laikas, GMT
Skelbimas: išsiuntimo data (e. formų siuntėjas): 08/07/2026 14:59:44 (UTC+00:00) Vakarų Europos laikas, GMT
Kalbos, kuriomis šis skelbimas oficialiai skelbiamas: suomių kalba
Skelbimo paskelbimo numeris: 476317-2026
OL S numeris: 131/2026
Paskelbimo data: 10/07/2026