1. Xerrej
1.1.
Xerrej
Isem uffiċjali: HUS-yhtymä
Tip legali tax-xerrej: Awtorità reġjonali
Attività tal-awtorità kontraenti: Saħħa
2. Proċedura
2.1.
Proċedura
Titlu: Tietoturvatestauspalvelut
Deskrizzjoni: HUS-yhtymä (jäljempänä myös tilaaja tai hankintayksikkö) pyytää tarjouksia tietoturvatestauspalveluista tämän tarjouspyynnön ja sen liitteiden ehtojen mukaisesti. Tietoturvatestauksessa käytetään pääsääntöisesti määrämuotoista tietoturvamallia. Testaus noudattaa tarvittavia ja yleisesti hyväksyttyjä viitekehyksiä ja standardeja kuten CC (Common Criteria for Information Technology Security Evaluation), OWASP (Open Web Application Security Project) mukaan lukien OWASP ASVS ja OWASP LLM, WASC (Web Application Security Consortium), NIST sekä soveltuvin osin ISO IEC 27001 ja ISO IEC 27002 sekä EAL (Evaluation Assurance Level) -määrityksiä. Testaus voi sisältää tietoturvan vaatimustason määrittelyn, tietoturva-arkkitehtuurin ja keskitettyjen kontrollien läpikäynnin prosessi- ja tietojärjestelmätasolla. Testauksen perusteella laaditaan selkeät ja priorisoidut muutosehdotukset löydettyjen tietoturvapuutteiden korjaamiseksi. Tietoturvatestaus kohdistuu tietojärjestelmien lisäksi rajapintoihin, integraatioihin, pilviympäristöihin (IaaS, PaaS, SaaS), identiteetin ja pääsynhallintaratkaisuihin (IAM), mobiilisovelluksiin sekä tarvittaessa lääkintälaitteisiin liittyviin tietojärjestelmäkokonaisuuksiin. Tietoturvatestauksen sisältö voi olla esimerkiksi: - käyttöönottotarkastuksia, tietoturva-arviointeja ja kvanttivalmiuden arviointeja - toistuvia haavoittuvuusskannauksia ja haavoittuvuudenhallintaa - penetraatiotestausta (ml. web-, mobiili-, infra- ja API-testaukset sekä tarvittaessa red team -harjoitukset) - palvelunestohyökkäysten simulointia sovitussa laajuudessa - konfiguraatioiden ja tietoturva-asetusten tarkastuksia (baseline compliance) - ohjelmistokomponenttien ja riippuvuuksien tietoturvan arviointia (supply chain) - testauksen suunnittelu, toteutus, hallinta ja ylläpitotehtäviä Tekoäly- ja LLM-ratkaisujen osalta testaus kattaa erityisesti: - syötteiden ja promptien manipulointiin liittyvät riskit (prompt injection) - tietovuotoriskit ja mallien kautta tapahtuvan tiedon paljastumisen - mallien väärinkäytön ja ohittamisen riskit - käyttöoikeuksien, rajapintojen ja integraatioiden turvallisuuden - tekoälyjärjestelmien liitynnät muihin tietojärjestelmiin Testaus toteutetaan tilaajan kanssa sovittujen menettelytapojen mukaisesti. Näihin sisältyvät muun muassa testauksen rajaukset, aikataulutus, hyväksytyt testausmenetelmät, tuotantoympäristöön kohdistuvien testien erityisjärjestelyt, häiriötilanteiden hallinta sekä tietoturvallinen tietojen käsittely testauksen aikana. Lisäksi sovitaan palvelun tuottamiseen osallistuvista asiantuntijoista. Toimittaja vastaa dokumentaatiosta, joka sisältää vähintään: - testaussuunnitelman - testauksen aikaiset väliraportit - testitulokset ja havaintokohtaiset kuvaukset - loppuraportin johtopäätöksin. Raportoinnin tulee sisältää havaintojen selkeä riskiluokittelu (kriittinen, korkea, keskitaso, matala), vaikutusten arviointi sekä konkreettiset korjaussuositukset. Raporttiin tulee sisältyä myös yhteenveto sekä tekninen yksityiskohtainen kuvaus havainnoista ja testausmenetelmistä. Hankinnan kohteena oleva palvelu voi sisältää myös tietoturvatestauksen jatkuvien toimintamallien kehittämistä ja käyttöönottoa sekä testauksen integroimista osaksi ohjelmistokehityksen elinkaarta (DevSecOps). Toimittajan edellytetään sitoutuvan tilaajan tietoturva- ja tietosuojavaatimuksiin sekä huomioivan sosiaali- ja terveydenhuollon toimintaympäristön erityispiirteet, mukaan lukien potilastietojen käsittelyyn liittyvät vaatimukset.
Identifikatur tal-proċedura: 5cc0f0cd-5b49-4473-8ae3-ec6aa6e4b4f4
Identifikatur intern: HUS 045-2026
Tip ta’ proċedura: Miftuħa
Il-proċedura hija aċċellerata: le
Elementi prinċipali tal-proċedura: Hankintayksikkö valitsee tässä hankintamenettelyssä puitejärjestelyyn kolme (3) toimittajaa, jollei soveltuvuusvaatimukset täyttäviä tarjoajia tai hyväksyttäviä tarjouksia ole vähemmän. Puitejärjestelyyn valitut toimittajat asetetaan tarjousvertailun perusteella etusijajärjestykseen. Puitejärjestelyyn perustuvat hankinnat tehdään etusijajärjestyksen mukaisesti ilman kilpailuttamista tarjouspyynnön liitteessä 1 kuvatun mukaisesti.
2.1.1.
Għan
Natura tal-kuntratt: Servizzi
Klassifikazzjoni prinċipali (cpv): 72800000 Servizzi ta' ttestjar u verifika tal-kompjuter
Klassifikazzjoni addizzjonali (cpv): 72000000 Servizzi ta' IT: konsulenza, żvilupp ta' softwer, Internet u appoġġ, 72220000 Servizzi dwar is-sistemi ta' konsulenza teknika speċjali, 72222100 Servizzi tas-sistemi ta' l-informatika jew ta' reviżjoni strateġiku tat-teknoloġija
2.1.2.
Post tal-prestazzjoni
Sottodiviżjoni tal-pajjiż (NUTS): Helsinki-Uusimaa (FI1B1)
Pajjiż: Il-Finlandja
Informazzjoni addizzjonali: Tilaaja voi edellyttää sopimuksen kohteena olevan palvelun tuottamista tilaajan tiloissa.
2.1.3.
Valur
Valur stmat mingħajr VAT: 800 000,00 EUR
Valur massimu tal-ftehim qafas: 800 000,00 EUR
2.1.4.
Informazzjoni ġenerali
Bażi legali:
Direttiva 2014/24/UE
2.1.6.
Raġunijiet għall-esklużjoni
Sors tal-motivi għall-eżklussjoni: Dokument Uniku Ewropew tal-Akkwist (DUEA), Dokument tal-Akkwist
5. Lott
5.1.
Lott: LOT-0000
Titlu: Tietoturvatestauspalvelut
Deskrizzjoni: HUS-yhtymä (jäljempänä myös tilaaja tai hankintayksikkö) pyytää tarjouksia tietoturvatestauspalveluista tämän tarjouspyynnön ja sen liitteiden ehtojen mukaisesti. Tietoturvatestauksessa käytetään pääsääntöisesti määrämuotoista tietoturvamallia. Testaus noudattaa tarvittavia ja yleisesti hyväksyttyjä viitekehyksiä ja standardeja kuten CC (Common Criteria for Information Technology Security Evaluation), OWASP (Open Web Application Security Project) mukaan lukien OWASP ASVS ja OWASP LLM, WASC (Web Application Security Consortium), NIST sekä soveltuvin osin ISO IEC 27001 ja ISO IEC 27002 sekä EAL (Evaluation Assurance Level) -määrityksiä. Testaus voi sisältää tietoturvan vaatimustason määrittelyn, tietoturva-arkkitehtuurin ja keskitettyjen kontrollien läpikäynnin prosessi- ja tietojärjestelmätasolla. Testauksen perusteella laaditaan selkeät ja priorisoidut muutosehdotukset löydettyjen tietoturvapuutteiden korjaamiseksi. Tietoturvatestaus kohdistuu tietojärjestelmien lisäksi rajapintoihin, integraatioihin, pilviympäristöihin (IaaS, PaaS, SaaS), identiteetin ja pääsynhallintaratkaisuihin (IAM), mobiilisovelluksiin sekä tarvittaessa lääkintälaitteisiin liittyviin tietojärjestelmäkokonaisuuksiin. Tietoturvatestauksen sisältö voi olla esimerkiksi: - käyttöönottotarkastuksia, tietoturva-arviointeja ja kvanttivalmiuden arviointeja - toistuvia haavoittuvuusskannauksia ja haavoittuvuudenhallintaa - penetraatiotestausta (ml. web-, mobiili-, infra- ja API-testaukset sekä tarvittaessa red team -harjoitukset) - palvelunestohyökkäysten simulointia sovitussa laajuudessa - konfiguraatioiden ja tietoturva-asetusten tarkastuksia (baseline compliance) - ohjelmistokomponenttien ja riippuvuuksien tietoturvan arviointia (supply chain) - testauksen suunnittelu, toteutus, hallinta ja ylläpitotehtäviä Tekoäly- ja LLM-ratkaisujen osalta testaus kattaa erityisesti: - syötteiden ja promptien manipulointiin liittyvät riskit (prompt injection) - tietovuotoriskit ja mallien kautta tapahtuvan tiedon paljastumisen - mallien väärinkäytön ja ohittamisen riskit - käyttöoikeuksien, rajapintojen ja integraatioiden turvallisuuden - tekoälyjärjestelmien liitynnät muihin tietojärjestelmiin Testaus toteutetaan tilaajan kanssa sovittujen menettelytapojen mukaisesti. Näihin sisältyvät muun muassa testauksen rajaukset, aikataulutus, hyväksytyt testausmenetelmät, tuotantoympäristöön kohdistuvien testien erityisjärjestelyt, häiriötilanteiden hallinta sekä tietoturvallinen tietojen käsittely testauksen aikana. Lisäksi sovitaan palvelun tuottamiseen osallistuvista asiantuntijoista. Toimittaja vastaa dokumentaatiosta, joka sisältää vähintään: - testaussuunnitelman - testauksen aikaiset väliraportit - testitulokset ja havaintokohtaiset kuvaukset - loppuraportin johtopäätöksin. Raportoinnin tulee sisältää havaintojen selkeä riskiluokittelu (kriittinen, korkea, keskitaso, matala), vaikutusten arviointi sekä konkreettiset korjaussuositukset. Raporttiin tulee sisältyä myös yhteenveto sekä tekninen yksityiskohtainen kuvaus havainnoista ja testausmenetelmistä. Hankinnan kohteena oleva palvelu voi sisältää myös tietoturvatestauksen jatkuvien toimintamallien kehittämistä ja käyttöönottoa sekä testauksen integroimista osaksi ohjelmistokehityksen elinkaarta (DevSecOps). Toimittajan edellytetään sitoutuvan tilaajan tietoturva- ja tietosuojavaatimuksiin sekä huomioivan sosiaali- ja terveydenhuollon toimintaympäristön erityispiirteet, mukaan lukien potilastietojen käsittelyyn liittyvät vaatimukset.
Identifikatur intern: HUS 045-2026
5.1.1.
Għan
Natura tal-kuntratt: Servizzi
Klassifikazzjoni prinċipali (cpv): 72800000 Servizzi ta' ttestjar u verifika tal-kompjuter
Klassifikazzjoni addizzjonali (cpv): 72000000 Servizzi ta' IT: konsulenza, żvilupp ta' softwer, Internet u appoġġ, 72220000 Servizzi dwar is-sistemi ta' konsulenza teknika speċjali, 72222100 Servizzi tas-sistemi ta' l-informatika jew ta' reviżjoni strateġiku tat-teknoloġija
5.1.2.
Post tal-prestazzjoni
Sottodiviżjoni tal-pajjiż (NUTS): Helsinki-Uusimaa (FI1B1)
Pajjiż: Il-Finlandja
Informazzjoni addizzjonali: Tilaaja voi edellyttää sopimuksen kohteena olevan palvelun tuottamista tilaajan tiloissa.
5.1.3.
Tul ta’ żmien stmat
Tul ta’ żmien: 48 Xhur
5.1.5.
Valur
Valur stmat mingħajr VAT: 800 000,00 EUR
Valur massimu tal-ftehim qafas: 800 000,00 EUR
5.1.6.
Informazzjoni ġenerali
Parteċipazzjoni riżervata:
Il-parteċipazzjoni mhijiex riżervata.
Iridu jingħataw l-ismijiet u l-kwalifiki professjonali tal-istaff assenjat biex iwettaq il-kuntratt: Rekwiżit tal-offerta
Proġett ta’ akkwist mhux iffinanzjat mill-Fondi tal-UE
L-akkwist huwa kopert mill-Ftehim dwar l-Akkwisti Pubbliċi (GPA): iva
Dan l-akkwist huwa adattat ukoll għall-intrapriżi żgħar u ta’ daqs medju (SMEs): iva
5.1.7.
Akkwist strateġiku
Għan soċjali promoss: Kundizzjonijiet tax-xogħol ġusti
5.1.9.
Kriterji tal-għażla
Sors tal-kriterji ta' għażla: Dokument Uniku Ewropew tal-Akkwist (DUEA), Dokument tal-Akkwist
5.1.10.
Kriterji tal-għoti
Kriterju:
Tip: Prezz
Isem: Hinta
Deskrizzjoni: Asiantuntijatyön hinta
Kategorija tal-kriterju tal-għoti piż: Fattur ta’ ponderazzjoni (persentaġġ, eżatt)
Numru tal-kriterju għall-għoti: 60
Kriterju:
Tip: Kwalità
Isem: Laatu
Deskrizzjoni: Asiantuntijoiden kokemus ja osaaminen
Kategorija tal-kriterju tal-għoti piż: Fattur ta’ ponderazzjoni (persentaġġ, eżatt)
Numru tal-kriterju għall-għoti: 40
5.1.11.
Dokumenti tal-akkwist
Skadenza biex tintalab informazzjoni addizzjonali: 05/08/2026 09:00:00 (UTC+00:00) Ħin tal-Ewropa tal-Punent, GMT
5.1.12.
Termini tal-akkwist
Termini tal-proċedura:
Hija meħtieġa approvazzjoni tas-sigurtà
Deskrizzjoni: Turvallisuusselvitystä voidaan vaatia.
Termini tas-sottomissjoni:
Sottomissjoni elettronika: Meħtieġa
Lingwi li bihom jistgħu jiġu sottomessi offerti jew talbiet għall-parteċipazzjoni: Finlandiż
Katalogu elettroniku: Mhux permessa
Varjanti: Mhux permessa
L-offerenti jistgħu jitfgħu aktar minn offerta waħda: Mhux permessa
Skadenza biex jintlaqgħu l-offerti: 19/08/2026 09:00:00 (UTC+00:00) Ħin tal-Ewropa tal-Punent, GMT
Perjodu waqt li l-offerta għandha tibqa' valida: 4 Xhur
Informazzjoni dwar il-ftuħ pubbliku:
Data tal-ftuħ: 19/08/2026 09:15:00 (UTC+00:00) Ħin tal-Ewropa tal-Punent, GMT
Termini tal-kuntratt:
L-eżekuzzjoni tal-kuntratt għandha titwettaq fil-qafas ta’ programmi ta’ impjiegi protetti: Le
Hu meħtieġ ftehim ta’ kunfidenzjalità: iva
Informazzjoni addizzjonali dwar il-ftehim ta’ kunfidenzjalità: Salassapitosopimusta (NDA) voidaan vaatia.
Fatturazzjoni elettronika: Meħtieġa
Se tintuża l-ordni elettronika: iva
Se jintuża l-pagament elettroniku: iva
5.1.15.
Tekniki
Ftehim qafas:
Ftehim qafas, mingħajr ma terġa’ tinfetaħ il-kompetizzjoni
Numru massimu ta’ parteċipanti: 3
Informazzjoni dwar is-sistema dinamika tax-xiri:
Ebda sistema dinamika ta’ xiri
5.1.16.
Aktar informazzjoni, medjazzjoni u rieżami
Organizzazzjoni tar-rieżami: Markkinaoikeus
Informazzjoni dwar l-iskadenzi tar-rieżami: Muutoksenhakumenettelyjen määräaikoihin sovelletaan julkisista hankinnoista ja käyttöoikeussopimuksista annettua lakia (1397/2016).
Organizzazzjoni li tipprovdi iktar informazzjoni dwar proċeduri tar-rieżami: HUS-yhtymä
8. Organizzazzjonijiet
8.1.
ORG-0001
Isem uffiċjali: Markkinaoikeus
Numru tar-reġistrazzjoni: 3006157-6
Indirizz postali: Radanrakentajantie 5
Belt: Helsinki
Kodiċi postali: 00520
Sottodiviżjoni tal-pajjiż (NUTS): Helsinki-Uusimaa (FI1B1)
Pajjiż: Il-Finlandja
Telefown: +358 295643300
Rwoli ta’ din l-organizzazzjoni:
Organizzazzjoni tar-rieżami
8.1.
ORG-0002
Isem uffiċjali: HUS-yhtymä
Numru tar-reġistrazzjoni: 1567535-0
Indirizz postali: PL 445 (Uutistie 5, 01770 Vantaa)
Belt: HUS
Kodiċi postali: 00029
Sottodiviżjoni tal-pajjiż (NUTS): Helsinki-Uusimaa (FI1B1)
Pajjiż: Il-Finlandja
Punt ta’ kuntatt: ICT-hankintakategoria
Telefown: +358 947111
Rwoli ta’ din l-organizzazzjoni:
Xerrej
Organizzazzjoni li tipprovdi iktar informazzjoni dwar proċeduri tar-rieżami
8.1.
ORG-0003
Isem uffiċjali: Hansel Oy (Hilma)
Numru tar-reġistrazzjoni: FI09880841
Indirizz postali: Mannerheiminaukio 1a
Belt: Helsinki
Kodiċi postali: 00100
Sottodiviżjoni tal-pajjiż (NUTS): Helsinki-Uusimaa (FI1B1)
Pajjiż: Il-Finlandja
Punt ta’ kuntatt: eSender
Telefown: 029 55 636 30
Rwoli ta’ din l-organizzazzjoni:
TED eSender
Identifikatur/verżjoni tal-avviż: 13a3a3b7-7d3d-49c1-93e4-70158c578c2b - 01
Tip ta’ formola: Kompetizzjoni
Tip ta’ avviż: Avviż tal-kuntratt jew tal-konċessjoni – reġim standard
Sottotip tal-avviż: 16
Data ta’ meta ntbagħat l-avviż: 08/07/2026 14:59:43 (UTC+00:00) Ħin tal-Ewropa tal-Punent, GMT
Data tad-dispaċċ tal-avviż (eSender): 08/07/2026 14:59:44 (UTC+00:00) Ħin tal-Ewropa tal-Punent, GMT
Lingwi li bihom dan l-avviż huwa disponibbli uffiċjalment: Finlandiż
Numru tal-pubblikazzjoni tal-avviż: 476317-2026
Numru tal-ħarġa tal-ĠU S: 131/2026
Data tal-pubblikazzjoni: 10/07/2026