476317-2026 - Konkursas
Suomija – Kompiuterių audito ir tikrinimo paslaugos – Tietoturvatestauspalvelut
OJ S 131/2026 10/07/2026
Skelbimas apie pirkimą arba koncesiją. Įprasta tvarka
Paslaugos
1. Pirkėjas
1.1.
Pirkėjas
Oficialus pavadinimasHUS-yhtymä
E. paštaskilpailutus.ict@hus.fi
Pirkėjo teisinė formaRegioninės valdžios institucija
Perkančiosios organizacijos veiklos sritisSveikata
2. Procedūra
2.1.
Procedūra
PavadinimasTietoturvatestauspalvelut
AprašymasHUS-yhtymä (jäljempänä myös tilaaja tai hankintayksikkö) pyytää tarjouksia tietoturvatestauspalveluista tämän tarjouspyynnön ja sen liitteiden ehtojen mukaisesti. Tietoturvatestauksessa käytetään pääsääntöisesti määrämuotoista tietoturvamallia. Testaus noudattaa tarvittavia ja yleisesti hyväksyttyjä viitekehyksiä ja standardeja kuten CC (Common Criteria for Information Technology Security Evaluation), OWASP (Open Web Application Security Project) mukaan lukien OWASP ASVS ja OWASP LLM, WASC (Web Application Security Consortium), NIST sekä soveltuvin osin ISO IEC 27001 ja ISO IEC 27002 sekä EAL (Evaluation Assurance Level) -määrityksiä. Testaus voi sisältää tietoturvan vaatimustason määrittelyn, tietoturva-arkkitehtuurin ja keskitettyjen kontrollien läpikäynnin prosessi- ja tietojärjestelmätasolla. Testauksen perusteella laaditaan selkeät ja priorisoidut muutosehdotukset löydettyjen tietoturvapuutteiden korjaamiseksi. Tietoturvatestaus kohdistuu tietojärjestelmien lisäksi rajapintoihin, integraatioihin, pilviympäristöihin (IaaS, PaaS, SaaS), identiteetin ja pääsynhallintaratkaisuihin (IAM), mobiilisovelluksiin sekä tarvittaessa lääkintälaitteisiin liittyviin tietojärjestelmäkokonaisuuksiin. Tietoturvatestauksen sisältö voi olla esimerkiksi: - käyttöönottotarkastuksia, tietoturva-arviointeja ja kvanttivalmiuden arviointeja - toistuvia haavoittuvuusskannauksia ja haavoittuvuudenhallintaa - penetraatiotestausta (ml. web-, mobiili-, infra- ja API-testaukset sekä tarvittaessa red team -harjoitukset) - palvelunestohyökkäysten simulointia sovitussa laajuudessa - konfiguraatioiden ja tietoturva-asetusten tarkastuksia (baseline compliance) - ohjelmistokomponenttien ja riippuvuuksien tietoturvan arviointia (supply chain) - testauksen suunnittelu, toteutus, hallinta ja ylläpitotehtäviä Tekoäly- ja LLM-ratkaisujen osalta testaus kattaa erityisesti: - syötteiden ja promptien manipulointiin liittyvät riskit (prompt injection) - tietovuotoriskit ja mallien kautta tapahtuvan tiedon paljastumisen - mallien väärinkäytön ja ohittamisen riskit - käyttöoikeuksien, rajapintojen ja integraatioiden turvallisuuden - tekoälyjärjestelmien liitynnät muihin tietojärjestelmiin Testaus toteutetaan tilaajan kanssa sovittujen menettelytapojen mukaisesti. Näihin sisältyvät muun muassa testauksen rajaukset, aikataulutus, hyväksytyt testausmenetelmät, tuotantoympäristöön kohdistuvien testien erityisjärjestelyt, häiriötilanteiden hallinta sekä tietoturvallinen tietojen käsittely testauksen aikana. Lisäksi sovitaan palvelun tuottamiseen osallistuvista asiantuntijoista. Toimittaja vastaa dokumentaatiosta, joka sisältää vähintään: - testaussuunnitelman - testauksen aikaiset väliraportit - testitulokset ja havaintokohtaiset kuvaukset - loppuraportin johtopäätöksin. Raportoinnin tulee sisältää havaintojen selkeä riskiluokittelu (kriittinen, korkea, keskitaso, matala), vaikutusten arviointi sekä konkreettiset korjaussuositukset. Raporttiin tulee sisältyä myös yhteenveto sekä tekninen yksityiskohtainen kuvaus havainnoista ja testausmenetelmistä. Hankinnan kohteena oleva palvelu voi sisältää myös tietoturvatestauksen jatkuvien toimintamallien kehittämistä ja käyttöönottoa sekä testauksen integroimista osaksi ohjelmistokehityksen elinkaarta (DevSecOps). Toimittajan edellytetään sitoutuvan tilaajan tietoturva- ja tietosuojavaatimuksiin sekä huomioivan sosiaali- ja terveydenhuollon toimintaympäristön erityispiirteet, mukaan lukien potilastietojen käsittelyyn liittyvät vaatimukset.
Procedūros identifikatorius5cc0f0cd-5b49-4473-8ae3-ec6aa6e4b4f4
Vidaus identifikatoriusHUS 045-2026
Pirkimo būdasAtviras
Procedūra pagreitintane
Pagrindiniai procedūros ypatumaiHankintayksikkö valitsee tässä hankintamenettelyssä puitejärjestelyyn kolme (3) toimittajaa, jollei soveltuvuusvaatimukset täyttäviä tarjoajia tai hyväksyttäviä tarjouksia ole vähemmän. Puitejärjestelyyn valitut toimittajat asetetaan tarjousvertailun perusteella etusijajärjestykseen. Puitejärjestelyyn perustuvat hankinnat tehdään etusijajärjestyksen mukaisesti ilman kilpailuttamista tarjouspyynnön liitteessä 1 kuvatun mukaisesti.
2.1.1.
Tikslas
Sutarties objektasPaslaugos
Pagrindinis klasifikacijos kodas (cpv): 72800000 Kompiuterių audito ir tikrinimo paslaugos
Kiti klasifikacijos kodai (cpv): 72000000 IT paslaugos: konsultavimas, programinės įrangos kūrimas, internetas ir aptarnavimo paslaugos, 72220000 Sistemų ir techninės konsultacinės paslaugos, 72222100 Informacijos sistemų arba technologijos strateginės peržiūros paslaugos
2.1.2.
Sutarties vykdymo vieta
Šalies administracinis vienetas (NUTS)Helsinki-Uusimaa (FI1B1)
ŠalisSuomija
Papildoma informacijaTilaaja voi edellyttää sopimuksen kohteena olevan palvelun tuottamista tilaajan tiloissa.
2.1.3.
Vertė
Numatoma vertė be PVM800 000,00 EUR
Preliminariosios sutarties didžiausioji vertė800 000,00 EUR
2.1.4.
Bendra informacija
Teisinis pagrindas
Direktyva 2014/24/ES
2.1.6.
Pašalinimo pagrindai
Pašalinimo pagrindų šaltiniaiEuropos bendrasis viešųjų pirkimų dokumentas (EBVPD)Pirkimo dokumentas
5. Pirkimo dalis
5.1.
Pirkimo dalisLOT-0000
PavadinimasTietoturvatestauspalvelut
AprašymasHUS-yhtymä (jäljempänä myös tilaaja tai hankintayksikkö) pyytää tarjouksia tietoturvatestauspalveluista tämän tarjouspyynnön ja sen liitteiden ehtojen mukaisesti. Tietoturvatestauksessa käytetään pääsääntöisesti määrämuotoista tietoturvamallia. Testaus noudattaa tarvittavia ja yleisesti hyväksyttyjä viitekehyksiä ja standardeja kuten CC (Common Criteria for Information Technology Security Evaluation), OWASP (Open Web Application Security Project) mukaan lukien OWASP ASVS ja OWASP LLM, WASC (Web Application Security Consortium), NIST sekä soveltuvin osin ISO IEC 27001 ja ISO IEC 27002 sekä EAL (Evaluation Assurance Level) -määrityksiä. Testaus voi sisältää tietoturvan vaatimustason määrittelyn, tietoturva-arkkitehtuurin ja keskitettyjen kontrollien läpikäynnin prosessi- ja tietojärjestelmätasolla. Testauksen perusteella laaditaan selkeät ja priorisoidut muutosehdotukset löydettyjen tietoturvapuutteiden korjaamiseksi. Tietoturvatestaus kohdistuu tietojärjestelmien lisäksi rajapintoihin, integraatioihin, pilviympäristöihin (IaaS, PaaS, SaaS), identiteetin ja pääsynhallintaratkaisuihin (IAM), mobiilisovelluksiin sekä tarvittaessa lääkintälaitteisiin liittyviin tietojärjestelmäkokonaisuuksiin. Tietoturvatestauksen sisältö voi olla esimerkiksi: - käyttöönottotarkastuksia, tietoturva-arviointeja ja kvanttivalmiuden arviointeja - toistuvia haavoittuvuusskannauksia ja haavoittuvuudenhallintaa - penetraatiotestausta (ml. web-, mobiili-, infra- ja API-testaukset sekä tarvittaessa red team -harjoitukset) - palvelunestohyökkäysten simulointia sovitussa laajuudessa - konfiguraatioiden ja tietoturva-asetusten tarkastuksia (baseline compliance) - ohjelmistokomponenttien ja riippuvuuksien tietoturvan arviointia (supply chain) - testauksen suunnittelu, toteutus, hallinta ja ylläpitotehtäviä Tekoäly- ja LLM-ratkaisujen osalta testaus kattaa erityisesti: - syötteiden ja promptien manipulointiin liittyvät riskit (prompt injection) - tietovuotoriskit ja mallien kautta tapahtuvan tiedon paljastumisen - mallien väärinkäytön ja ohittamisen riskit - käyttöoikeuksien, rajapintojen ja integraatioiden turvallisuuden - tekoälyjärjestelmien liitynnät muihin tietojärjestelmiin Testaus toteutetaan tilaajan kanssa sovittujen menettelytapojen mukaisesti. Näihin sisältyvät muun muassa testauksen rajaukset, aikataulutus, hyväksytyt testausmenetelmät, tuotantoympäristöön kohdistuvien testien erityisjärjestelyt, häiriötilanteiden hallinta sekä tietoturvallinen tietojen käsittely testauksen aikana. Lisäksi sovitaan palvelun tuottamiseen osallistuvista asiantuntijoista. Toimittaja vastaa dokumentaatiosta, joka sisältää vähintään: - testaussuunnitelman - testauksen aikaiset väliraportit - testitulokset ja havaintokohtaiset kuvaukset - loppuraportin johtopäätöksin. Raportoinnin tulee sisältää havaintojen selkeä riskiluokittelu (kriittinen, korkea, keskitaso, matala), vaikutusten arviointi sekä konkreettiset korjaussuositukset. Raporttiin tulee sisältyä myös yhteenveto sekä tekninen yksityiskohtainen kuvaus havainnoista ja testausmenetelmistä. Hankinnan kohteena oleva palvelu voi sisältää myös tietoturvatestauksen jatkuvien toimintamallien kehittämistä ja käyttöönottoa sekä testauksen integroimista osaksi ohjelmistokehityksen elinkaarta (DevSecOps). Toimittajan edellytetään sitoutuvan tilaajan tietoturva- ja tietosuojavaatimuksiin sekä huomioivan sosiaali- ja terveydenhuollon toimintaympäristön erityispiirteet, mukaan lukien potilastietojen käsittelyyn liittyvät vaatimukset.
Vidaus identifikatoriusHUS 045-2026
5.1.1.
Tikslas
Sutarties objektasPaslaugos
Pagrindinis klasifikacijos kodas (cpv): 72800000 Kompiuterių audito ir tikrinimo paslaugos
Kiti klasifikacijos kodai (cpv): 72000000 IT paslaugos: konsultavimas, programinės įrangos kūrimas, internetas ir aptarnavimo paslaugos, 72220000 Sistemų ir techninės konsultacinės paslaugos, 72222100 Informacijos sistemų arba technologijos strateginės peržiūros paslaugos
5.1.2.
Sutarties vykdymo vieta
Šalies administracinis vienetas (NUTS)Helsinki-Uusimaa (FI1B1)
ŠalisSuomija
Papildoma informacijaTilaaja voi edellyttää sopimuksen kohteena olevan palvelun tuottamista tilaajan tiloissa.
5.1.3.
Numatomas galiojimas
Galiojimas48 Mėnesiai
5.1.5.
Vertė
Numatoma vertė be PVM800 000,00 EUR
Preliminariosios sutarties didžiausioji vertė800 000,00 EUR
5.1.6.
Bendra informacija
Rezervuota dalyvavimo teisė
Dalyvavimas nerezervuotas.
Turi būti nurodyti sutarčiai vykdyti paskirtų darbuotojų vardai, pavardės ir profesinė kvalifikacijaBūtina nurodyti pasiūlyme
Iš ES fondų nefinansuojamas pirkimo projektas
Pirkimui taikoma Sutartis dėl viešųjų pirkimų (SVP)taip
Šis viešasis pirkimas taip pat tinkamas mažosioms ir vidutinėms įmonėms (MVĮ)taip
5.1.7.
Strateginis viešasis pirkimas
Socialinis tikslas, kurio raginama siektiTinkamos darbo sąlygos
5.1.9.
Atrankos kriterijai
Pasirinkimo kriterijų šaltiniaiEuropos bendrasis viešųjų pirkimų dokumentas (EBVPD)Pirkimo dokumentas
5.1.10.
Skyrimo kriterijai
Kriterijus
RūšisKaina
PavadinimasHinta
AprašymasAsiantuntijatyön hinta
Kategorija skyrimo kriterijaus svorisLyginamasis svoris (procentinė dalis, tikslus skaičius)
Skyrimo kriterijus: skaičius60
Kriterijus
RūšisKokybė
PavadinimasLaatu
AprašymasAsiantuntijoiden kokemus ja osaaminen
Kategorija skyrimo kriterijaus svorisLyginamasis svoris (procentinė dalis, tikslus skaičius)
Skyrimo kriterijus: skaičius40
5.1.11.
Pirkimo dokumentai
Papildomos informacijos prašymo terminas05/08/2026 09:00:00 (UTC+00:00) Vakarų Europos laikas, GMT
Pirkimo dokumentų adresashttps://tarjouspalvelu.fi/huslogistiikka?id=614344&tpk=e3ca2628-15f9-4666-8803-d42a6748fb82
5.1.12.
Pirkimo sąlygos
Procedūros sąlygos
Reikia pateikti patikimumo pažymėjimą
AprašymasTurvallisuusselvitystä voidaan vaatia.
Pateikimo sąlygos
Pateikimas elektroninėmis priemonėmisPrivalomos
Pateikimo adresashttps://tarjouspalvelu.fi/huslogistiikka?id=614344&tpk=e3ca2628-15f9-4666-8803-d42a6748fb82
Kalbos, kuriomis galima pateikti pasiūlymus arba dalyvavimo prašymussuomių kalba
Elektroninis katalogasDraudžiamos
Alternatyvūs pasiūlymaiDraudžiamos
Dalyviai gali pateikti daugiau kaip vieną pasiūlymąDraudžiamos
Pasiūlymų priėmimo terminas19/08/2026 09:00:00 (UTC+00:00) Vakarų Europos laikas, GMT
Laikotarpis, per kurį pasiūlymas turi išlikti galiojantis4 Mėnesiai
Informacija apie viešą vokų atplėšimą
Atidarymo data19/08/2026 09:15:00 (UTC+00:00) Vakarų Europos laikas, GMT
Sutarties sąlygos
Sutartis turi būti vykdoma pagal globojamų darbo grupių užimtumo programasNe
Būtinas konfidencialumo susitarimastaip
Papildoma informacija apie konfidencialumo susitarimąSalassapitosopimusta (NDA) voidaan vaatia.
Elektroninės sąskaitos faktūrosPrivalomos
Bus naudojami elektroniniai užsakymaitaip
Bus naudojami elektroniniai mokėjimaitaip
5.1.15.
Metodai
Preliminarioji sutartis
Preliminarioji sutartis, neskelbiant naujo konkurso
Didžiausias dalyvių skaičius3
Informacija apie dinaminę pirkimo sistemą
Dinaminės pirkimo sistemos nėra
5.1.16.
Išsamesnė informacija, tarpininkavimas ir peržiūra
Peržiūros organizacijaMarkkinaoikeus
Informacija apie peržiūros terminus: Muutoksenhakumenettelyjen määräaikoihin sovelletaan julkisista hankinnoista ja käyttöoikeussopimuksista annettua lakia (1397/2016).
Organizacija, teikianti daugiau informacijos apie peržiūros procedūrasHUS-yhtymä
8. Organizacijos
8.1.
ORG-0001
Oficialus pavadinimasMarkkinaoikeus
Registracijos numeris3006157-6
Pašto adresasRadanrakentajantie 5
MiestasHelsinki
Pašto kodas00520
Šalies administracinis vienetas (NUTS)Helsinki-Uusimaa (FI1B1)
ŠalisSuomija
E. paštasmarkkinaoikeus@oikeus.fi
Telefono numeris+358 295643300
Interneto adresashttp://www.oikeus.fi/markkinaoikeus
Šios organizacijos vaidmenys
Peržiūros organizacija
8.1.
ORG-0002
Oficialus pavadinimasHUS-yhtymä
Registracijos numeris1567535-0
Pašto adresasPL 445 (Uutistie 5, 01770 Vantaa)
MiestasHUS
Pašto kodas00029
Šalies administracinis vienetas (NUTS)Helsinki-Uusimaa (FI1B1)
ŠalisSuomija
Ryšių centrasICT-hankintakategoria
E. paštaskilpailutus.ict@hus.fi
Telefono numeris+358 947111
Interneto adresashttp://www.hus.fi
Šios organizacijos vaidmenys
Pirkėjas
Organizacija, teikianti daugiau informacijos apie peržiūros procedūras
8.1.
ORG-0003
Oficialus pavadinimasHansel Oy (Hilma)
Registracijos numerisFI09880841
Pašto adresasMannerheiminaukio 1a
MiestasHelsinki
Pašto kodas00100
Šalies administracinis vienetas (NUTS)Helsinki-Uusimaa (FI1B1)
ŠalisSuomija
Ryšių centraseSender
E. paštastekninen@hankintailmoitukset.fi
Telefono numeris029 55 636 30
Interneto adresashttp://hankintailmoitukset.fi
Šios organizacijos vaidmenys
TED eSender
Skelbimo informacija
Skelbimo identifikatorius / versija13a3a3b7-7d3d-49c1-93e4-70158c578c2b  -  01
Formos tipasKonkursas
Skelbimo rūšisSkelbimas apie pirkimą arba koncesiją. Įprasta tvarka
Skelbimo porūšis16
Skelbimo išsiuntimo data08/07/2026 14:59:43 (UTC+00:00) Vakarų Europos laikas, GMT
Skelbimas: išsiuntimo data (e. formų siuntėjas)08/07/2026 14:59:44 (UTC+00:00) Vakarų Europos laikas, GMT
Kalbos, kuriomis šis skelbimas oficialiai skelbiamassuomių kalba
Skelbimo paskelbimo numeris476317-2026
OL S numeris131/2026
Paskelbimo data10/07/2026