1. Pircējs
1.1.
Pircējs
Oficiālais nosaukums: HUS-yhtymä
Pircēja juridiskais statuss: Reģionāla iestāde
Līgumslēdzējas iestādes darbības joma: Veselība
2. Procedūra
2.1.
Procedūra
Nosaukums: Tietoturvatestauspalvelut
Apraksts: HUS-yhtymä (jäljempänä myös tilaaja tai hankintayksikkö) pyytää tarjouksia tietoturvatestauspalveluista tämän tarjouspyynnön ja sen liitteiden ehtojen mukaisesti. Tietoturvatestauksessa käytetään pääsääntöisesti määrämuotoista tietoturvamallia. Testaus noudattaa tarvittavia ja yleisesti hyväksyttyjä viitekehyksiä ja standardeja kuten CC (Common Criteria for Information Technology Security Evaluation), OWASP (Open Web Application Security Project) mukaan lukien OWASP ASVS ja OWASP LLM, WASC (Web Application Security Consortium), NIST sekä soveltuvin osin ISO IEC 27001 ja ISO IEC 27002 sekä EAL (Evaluation Assurance Level) -määrityksiä. Testaus voi sisältää tietoturvan vaatimustason määrittelyn, tietoturva-arkkitehtuurin ja keskitettyjen kontrollien läpikäynnin prosessi- ja tietojärjestelmätasolla. Testauksen perusteella laaditaan selkeät ja priorisoidut muutosehdotukset löydettyjen tietoturvapuutteiden korjaamiseksi. Tietoturvatestaus kohdistuu tietojärjestelmien lisäksi rajapintoihin, integraatioihin, pilviympäristöihin (IaaS, PaaS, SaaS), identiteetin ja pääsynhallintaratkaisuihin (IAM), mobiilisovelluksiin sekä tarvittaessa lääkintälaitteisiin liittyviin tietojärjestelmäkokonaisuuksiin. Tietoturvatestauksen sisältö voi olla esimerkiksi: - käyttöönottotarkastuksia, tietoturva-arviointeja ja kvanttivalmiuden arviointeja - toistuvia haavoittuvuusskannauksia ja haavoittuvuudenhallintaa - penetraatiotestausta (ml. web-, mobiili-, infra- ja API-testaukset sekä tarvittaessa red team -harjoitukset) - palvelunestohyökkäysten simulointia sovitussa laajuudessa - konfiguraatioiden ja tietoturva-asetusten tarkastuksia (baseline compliance) - ohjelmistokomponenttien ja riippuvuuksien tietoturvan arviointia (supply chain) - testauksen suunnittelu, toteutus, hallinta ja ylläpitotehtäviä Tekoäly- ja LLM-ratkaisujen osalta testaus kattaa erityisesti: - syötteiden ja promptien manipulointiin liittyvät riskit (prompt injection) - tietovuotoriskit ja mallien kautta tapahtuvan tiedon paljastumisen - mallien väärinkäytön ja ohittamisen riskit - käyttöoikeuksien, rajapintojen ja integraatioiden turvallisuuden - tekoälyjärjestelmien liitynnät muihin tietojärjestelmiin Testaus toteutetaan tilaajan kanssa sovittujen menettelytapojen mukaisesti. Näihin sisältyvät muun muassa testauksen rajaukset, aikataulutus, hyväksytyt testausmenetelmät, tuotantoympäristöön kohdistuvien testien erityisjärjestelyt, häiriötilanteiden hallinta sekä tietoturvallinen tietojen käsittely testauksen aikana. Lisäksi sovitaan palvelun tuottamiseen osallistuvista asiantuntijoista. Toimittaja vastaa dokumentaatiosta, joka sisältää vähintään: - testaussuunnitelman - testauksen aikaiset väliraportit - testitulokset ja havaintokohtaiset kuvaukset - loppuraportin johtopäätöksin. Raportoinnin tulee sisältää havaintojen selkeä riskiluokittelu (kriittinen, korkea, keskitaso, matala), vaikutusten arviointi sekä konkreettiset korjaussuositukset. Raporttiin tulee sisältyä myös yhteenveto sekä tekninen yksityiskohtainen kuvaus havainnoista ja testausmenetelmistä. Hankinnan kohteena oleva palvelu voi sisältää myös tietoturvatestauksen jatkuvien toimintamallien kehittämistä ja käyttöönottoa sekä testauksen integroimista osaksi ohjelmistokehityksen elinkaarta (DevSecOps). Toimittajan edellytetään sitoutuvan tilaajan tietoturva- ja tietosuojavaatimuksiin sekä huomioivan sosiaali- ja terveydenhuollon toimintaympäristön erityispiirteet, mukaan lukien potilastietojen käsittelyyn liittyvät vaatimukset.
Procedūras identifikators: 5cc0f0cd-5b49-4473-8ae3-ec6aa6e4b4f4
Iekšējais identifikators: HUS 045-2026
Procedūras veids: Atklāta
Procedūra ir paātrināta: nē
Procedūras galvenās iezīmes: Hankintayksikkö valitsee tässä hankintamenettelyssä puitejärjestelyyn kolme (3) toimittajaa, jollei soveltuvuusvaatimukset täyttäviä tarjoajia tai hyväksyttäviä tarjouksia ole vähemmän. Puitejärjestelyyn valitut toimittajat asetetaan tarjousvertailun perusteella etusijajärjestykseen. Puitejärjestelyyn perustuvat hankinnat tehdään etusijajärjestyksen mukaisesti ilman kilpailuttamista tarjouspyynnön liitteessä 1 kuvatun mukaisesti.
2.1.1.
Mērķis
Līguma veids: Pakalpojumi
Galvenā klasifikācija (cpv): 72800000 Datora audita un testēšanas pakalpojumi
Papildu klasifikācija (cpv): 72000000 IT pakalpojumi konsultēšana, programmatūras izstrāde, internets un atbalsts, 72220000 Sistēmu un tehnisko konsultāciju pakalpojumi, 72222100 Informācijas sistēmu vai tehnoloģijas stratēģiskā pārskata pakalpojumi
2.1.2.
Izpildes vieta
Valsts apakšiedalījums (NUTS): Helsinki-Uusimaa (FI1B1)
Valsts: Somija
Papildu informācija: Tilaaja voi edellyttää sopimuksen kohteena olevan palvelun tuottamista tilaajan tiloissa.
2.1.3.
Vērtība
Paredzamā vērtība bez PVN: 800 000,00 EUR
Pamatnolīguma maksimālā vērtība: 800 000,00 EUR
2.1.4.
Vispārīga informācija
Juridiskais pamats:
Direktīva 2014/24/ES
2.1.6.
Izslēgšanas iemesli
Izslēgšanas iemeslu avoti: Eiropas vienotais iepirkuma procedūras dokuments (ESPD), Iepirkuma dokuments
5. Daļa
5.1.
Daļa: LOT-0000
Nosaukums: Tietoturvatestauspalvelut
Apraksts: HUS-yhtymä (jäljempänä myös tilaaja tai hankintayksikkö) pyytää tarjouksia tietoturvatestauspalveluista tämän tarjouspyynnön ja sen liitteiden ehtojen mukaisesti. Tietoturvatestauksessa käytetään pääsääntöisesti määrämuotoista tietoturvamallia. Testaus noudattaa tarvittavia ja yleisesti hyväksyttyjä viitekehyksiä ja standardeja kuten CC (Common Criteria for Information Technology Security Evaluation), OWASP (Open Web Application Security Project) mukaan lukien OWASP ASVS ja OWASP LLM, WASC (Web Application Security Consortium), NIST sekä soveltuvin osin ISO IEC 27001 ja ISO IEC 27002 sekä EAL (Evaluation Assurance Level) -määrityksiä. Testaus voi sisältää tietoturvan vaatimustason määrittelyn, tietoturva-arkkitehtuurin ja keskitettyjen kontrollien läpikäynnin prosessi- ja tietojärjestelmätasolla. Testauksen perusteella laaditaan selkeät ja priorisoidut muutosehdotukset löydettyjen tietoturvapuutteiden korjaamiseksi. Tietoturvatestaus kohdistuu tietojärjestelmien lisäksi rajapintoihin, integraatioihin, pilviympäristöihin (IaaS, PaaS, SaaS), identiteetin ja pääsynhallintaratkaisuihin (IAM), mobiilisovelluksiin sekä tarvittaessa lääkintälaitteisiin liittyviin tietojärjestelmäkokonaisuuksiin. Tietoturvatestauksen sisältö voi olla esimerkiksi: - käyttöönottotarkastuksia, tietoturva-arviointeja ja kvanttivalmiuden arviointeja - toistuvia haavoittuvuusskannauksia ja haavoittuvuudenhallintaa - penetraatiotestausta (ml. web-, mobiili-, infra- ja API-testaukset sekä tarvittaessa red team -harjoitukset) - palvelunestohyökkäysten simulointia sovitussa laajuudessa - konfiguraatioiden ja tietoturva-asetusten tarkastuksia (baseline compliance) - ohjelmistokomponenttien ja riippuvuuksien tietoturvan arviointia (supply chain) - testauksen suunnittelu, toteutus, hallinta ja ylläpitotehtäviä Tekoäly- ja LLM-ratkaisujen osalta testaus kattaa erityisesti: - syötteiden ja promptien manipulointiin liittyvät riskit (prompt injection) - tietovuotoriskit ja mallien kautta tapahtuvan tiedon paljastumisen - mallien väärinkäytön ja ohittamisen riskit - käyttöoikeuksien, rajapintojen ja integraatioiden turvallisuuden - tekoälyjärjestelmien liitynnät muihin tietojärjestelmiin Testaus toteutetaan tilaajan kanssa sovittujen menettelytapojen mukaisesti. Näihin sisältyvät muun muassa testauksen rajaukset, aikataulutus, hyväksytyt testausmenetelmät, tuotantoympäristöön kohdistuvien testien erityisjärjestelyt, häiriötilanteiden hallinta sekä tietoturvallinen tietojen käsittely testauksen aikana. Lisäksi sovitaan palvelun tuottamiseen osallistuvista asiantuntijoista. Toimittaja vastaa dokumentaatiosta, joka sisältää vähintään: - testaussuunnitelman - testauksen aikaiset väliraportit - testitulokset ja havaintokohtaiset kuvaukset - loppuraportin johtopäätöksin. Raportoinnin tulee sisältää havaintojen selkeä riskiluokittelu (kriittinen, korkea, keskitaso, matala), vaikutusten arviointi sekä konkreettiset korjaussuositukset. Raporttiin tulee sisältyä myös yhteenveto sekä tekninen yksityiskohtainen kuvaus havainnoista ja testausmenetelmistä. Hankinnan kohteena oleva palvelu voi sisältää myös tietoturvatestauksen jatkuvien toimintamallien kehittämistä ja käyttöönottoa sekä testauksen integroimista osaksi ohjelmistokehityksen elinkaarta (DevSecOps). Toimittajan edellytetään sitoutuvan tilaajan tietoturva- ja tietosuojavaatimuksiin sekä huomioivan sosiaali- ja terveydenhuollon toimintaympäristön erityispiirteet, mukaan lukien potilastietojen käsittelyyn liittyvät vaatimukset.
Iekšējais identifikators: HUS 045-2026
5.1.1.
Mērķis
Līguma veids: Pakalpojumi
Galvenā klasifikācija (cpv): 72800000 Datora audita un testēšanas pakalpojumi
Papildu klasifikācija (cpv): 72000000 IT pakalpojumi konsultēšana, programmatūras izstrāde, internets un atbalsts, 72220000 Sistēmu un tehnisko konsultāciju pakalpojumi, 72222100 Informācijas sistēmu vai tehnoloģijas stratēģiskā pārskata pakalpojumi
5.1.2.
Izpildes vieta
Valsts apakšiedalījums (NUTS): Helsinki-Uusimaa (FI1B1)
Valsts: Somija
Papildu informācija: Tilaaja voi edellyttää sopimuksen kohteena olevan palvelun tuottamista tilaajan tiloissa.
5.1.3.
Paredzamais ilgums
Darbības termiņš: 48 Mēneši
5.1.5.
Vērtība
Paredzamā vērtība bez PVN: 800 000,00 EUR
Pamatnolīguma maksimālā vērtība: 800 000,00 EUR
5.1.6.
Vispārīga informācija
Rezervēta dalība:
Dalība nav rezervēta.
Jānorāda līguma izpildei norīkoto darbinieku vārdi un profesionālā kvalifikācija: Iekļaujams piedāvājumā
Iepirkuma projekts, kas netiek finansēts no ES fondiem
Uz iepirkumu attiecas Nolīgums par valsts iepirkumu: jā
Šis iepirkums ir piemērots arī maziem un vidējiem uzņēmumiem (MVU): jā
5.1.7.
Stratēģiskais iepirkums
Veicinātais sociālais mērķis: Taisnīgi darba apstākļi
5.1.9.
Atlases kritēriji
Atlases kritēriju avoti: Eiropas vienotais iepirkuma procedūras dokuments (ESPD), Iepirkuma dokuments
5.1.10.
Piešķiršanas kritēriji
Kritērijs:
Veids: Cena
Nosaukums: Hinta
Apraksts: Asiantuntijatyön hinta
Kategorija piešķiršanas kritērija svars: Svērums (precīza procentuālā attiecība)
Piešķiršanas kritērija skaitlis: 60
Kritērijs:
Veids: Kvalitāte
Nosaukums: Laatu
Apraksts: Asiantuntijoiden kokemus ja osaaminen
Kategorija piešķiršanas kritērija svars: Svērums (precīza procentuālā attiecība)
Piešķiršanas kritērija skaitlis: 40
5.1.11.
Iepirkuma dokumenti
Termiņš papildu informācijas pieprasīšanai: 05/08/2026 09:00:00 (UTC+00:00) Rietumeiropas laiks
5.1.12.
Iepirkuma noteikumi
Procedūras noteikumi:
Ir vajadzīga drošības pielaide
Apraksts: Turvallisuusselvitystä voidaan vaatia.
Iesniegšanas noteikumi:
Elektroniskā iesniegšana: Prasīts
Valodas, kurās var iesniegt piedāvājumus vai dalības pieprasījumus: somu valoda
Elektroniskais katalogs: Nav atļauts
Varianti: Nav atļauts
Pretendenti var iesniegt vairākus piedāvājumus: Nav atļauts
Piedāvājumu saņemšanas termiņš: 19/08/2026 09:00:00 (UTC+00:00) Rietumeiropas laiks
Laiks, kurā piedāvājumam jāsaglabājas derīgam: 4 Mēneši
Informācija par publisko atvēršanu:
Atvēršanas datums: 19/08/2026 09:15:00 (UTC+00:00) Rietumeiropas laiks
Līguma noteikumi:
Līguma izpilde jāveic saskaņā ar aizsargātas nodarbinātības programmām: Nē
Tiek prasīts informācijas neizpaušanas līgums: jā
Papildu informācija par informācijas neizpaušanas līgumu: Salassapitosopimusta (NDA) voidaan vaatia.
Elektroniskie rēķini: Prasīts
Tiks izmantoti elektroniskie pasūtījumi: jā
Tiks izmantoti elektroniskie maksājumi: jā
5.1.15.
Paņēmieni
Pamatnolīgums:
Pamatnolīgums bez konkursa atsākšanas
Maksimālais dalībnieku skaits: 3
Informācija par dinamisko iepirkumu sistēmu:
Nav dinamiskās iepirkumu sistēmas
5.1.16.
Papildu informācija, mediācija un pārskatīšana
Pārskatīšanas organizācija: Markkinaoikeus
Informācija par pārskatīšanas termiņiem: Muutoksenhakumenettelyjen määräaikoihin sovelletaan julkisista hankinnoista ja käyttöoikeussopimuksista annettua lakia (1397/2016).
Organizācija, kas sniedz sīkāku informāciju par pārskatīšanas procedūru: HUS-yhtymä
8. Organizācijas
8.1.
ORG-0001
Oficiālais nosaukums: Markkinaoikeus
Reģistrācijas numurs: 3006157-6
Pasta adrese: Radanrakentajantie 5
Pilsēta: Helsinki
Pasta indekss: 00520
Valsts apakšiedalījums (NUTS): Helsinki-Uusimaa (FI1B1)
Valsts: Somija
Tālrunis: +358 295643300
Šīs organizācijas lomas:
Pārskatīšanas organizācija
8.1.
ORG-0002
Oficiālais nosaukums: HUS-yhtymä
Reģistrācijas numurs: 1567535-0
Pasta adrese: PL 445 (Uutistie 5, 01770 Vantaa)
Pilsēta: HUS
Pasta indekss: 00029
Valsts apakšiedalījums (NUTS): Helsinki-Uusimaa (FI1B1)
Valsts: Somija
Kontaktpunkts: ICT-hankintakategoria
Tālrunis: +358 947111
Šīs organizācijas lomas:
Pircējs
Organizācija, kas sniedz sīkāku informāciju par pārskatīšanas procedūru
8.1.
ORG-0003
Oficiālais nosaukums: Hansel Oy (Hilma)
Reģistrācijas numurs: FI09880841
Pasta adrese: Mannerheiminaukio 1a
Pilsēta: Helsinki
Pasta indekss: 00100
Valsts apakšiedalījums (NUTS): Helsinki-Uusimaa (FI1B1)
Valsts: Somija
Kontaktpunkts: eSender
Tālrunis: 029 55 636 30
Šīs organizācijas lomas:
TED eSender
Paziņojuma identifikators/versija: 13a3a3b7-7d3d-49c1-93e4-70158c578c2b - 01
Veidlapas tips: Konkurss
Paziņojuma veids: Paziņojums par līgumu vai paziņojums par koncesiju — standarta režīms
Paziņojuma apakšveids: 16
Paziņojuma nosūtīšanas datums: 08/07/2026 14:59:43 (UTC+00:00) Rietumeiropas laiks
Paziņojuma nosūtīšanas datums (e- sūtītājs): 08/07/2026 14:59:44 (UTC+00:00) Rietumeiropas laiks
Valodas, kurās oficiāli pieejams šis paziņojums: somu valoda
Paziņojuma publikācijas numurs: 476317-2026
OV S sērijas izdevuma numurs: 131/2026
Publicēšanas datums: 10/07/2026