1. Nabywca
1.1.
Nabywca
Oficjalna nazwa: HUS-yhtymä
Status prawny nabywcy: Instytucja regionalna
Sektor działalności instytucji zamawiającej: Zdrowie
2. Procedura
2.1.
Procedura
Tytuł: Tietoturvatestauspalvelut
Opis: HUS-yhtymä (jäljempänä myös tilaaja tai hankintayksikkö) pyytää tarjouksia tietoturvatestauspalveluista tämän tarjouspyynnön ja sen liitteiden ehtojen mukaisesti. Tietoturvatestauksessa käytetään pääsääntöisesti määrämuotoista tietoturvamallia. Testaus noudattaa tarvittavia ja yleisesti hyväksyttyjä viitekehyksiä ja standardeja kuten CC (Common Criteria for Information Technology Security Evaluation), OWASP (Open Web Application Security Project) mukaan lukien OWASP ASVS ja OWASP LLM, WASC (Web Application Security Consortium), NIST sekä soveltuvin osin ISO IEC 27001 ja ISO IEC 27002 sekä EAL (Evaluation Assurance Level) -määrityksiä. Testaus voi sisältää tietoturvan vaatimustason määrittelyn, tietoturva-arkkitehtuurin ja keskitettyjen kontrollien läpikäynnin prosessi- ja tietojärjestelmätasolla. Testauksen perusteella laaditaan selkeät ja priorisoidut muutosehdotukset löydettyjen tietoturvapuutteiden korjaamiseksi. Tietoturvatestaus kohdistuu tietojärjestelmien lisäksi rajapintoihin, integraatioihin, pilviympäristöihin (IaaS, PaaS, SaaS), identiteetin ja pääsynhallintaratkaisuihin (IAM), mobiilisovelluksiin sekä tarvittaessa lääkintälaitteisiin liittyviin tietojärjestelmäkokonaisuuksiin. Tietoturvatestauksen sisältö voi olla esimerkiksi: - käyttöönottotarkastuksia, tietoturva-arviointeja ja kvanttivalmiuden arviointeja - toistuvia haavoittuvuusskannauksia ja haavoittuvuudenhallintaa - penetraatiotestausta (ml. web-, mobiili-, infra- ja API-testaukset sekä tarvittaessa red team -harjoitukset) - palvelunestohyökkäysten simulointia sovitussa laajuudessa - konfiguraatioiden ja tietoturva-asetusten tarkastuksia (baseline compliance) - ohjelmistokomponenttien ja riippuvuuksien tietoturvan arviointia (supply chain) - testauksen suunnittelu, toteutus, hallinta ja ylläpitotehtäviä Tekoäly- ja LLM-ratkaisujen osalta testaus kattaa erityisesti: - syötteiden ja promptien manipulointiin liittyvät riskit (prompt injection) - tietovuotoriskit ja mallien kautta tapahtuvan tiedon paljastumisen - mallien väärinkäytön ja ohittamisen riskit - käyttöoikeuksien, rajapintojen ja integraatioiden turvallisuuden - tekoälyjärjestelmien liitynnät muihin tietojärjestelmiin Testaus toteutetaan tilaajan kanssa sovittujen menettelytapojen mukaisesti. Näihin sisältyvät muun muassa testauksen rajaukset, aikataulutus, hyväksytyt testausmenetelmät, tuotantoympäristöön kohdistuvien testien erityisjärjestelyt, häiriötilanteiden hallinta sekä tietoturvallinen tietojen käsittely testauksen aikana. Lisäksi sovitaan palvelun tuottamiseen osallistuvista asiantuntijoista. Toimittaja vastaa dokumentaatiosta, joka sisältää vähintään: - testaussuunnitelman - testauksen aikaiset väliraportit - testitulokset ja havaintokohtaiset kuvaukset - loppuraportin johtopäätöksin. Raportoinnin tulee sisältää havaintojen selkeä riskiluokittelu (kriittinen, korkea, keskitaso, matala), vaikutusten arviointi sekä konkreettiset korjaussuositukset. Raporttiin tulee sisältyä myös yhteenveto sekä tekninen yksityiskohtainen kuvaus havainnoista ja testausmenetelmistä. Hankinnan kohteena oleva palvelu voi sisältää myös tietoturvatestauksen jatkuvien toimintamallien kehittämistä ja käyttöönottoa sekä testauksen integroimista osaksi ohjelmistokehityksen elinkaarta (DevSecOps). Toimittajan edellytetään sitoutuvan tilaajan tietoturva- ja tietosuojavaatimuksiin sekä huomioivan sosiaali- ja terveydenhuollon toimintaympäristön erityispiirteet, mukaan lukien potilastietojen käsittelyyn liittyvät vaatimukset.
Identyfikator procedury: 5cc0f0cd-5b49-4473-8ae3-ec6aa6e4b4f4
Wewnętrzny identyfikator: HUS 045-2026
Rodzaj procedury: Otwarta
Procedura jest przyspieszona: nie
Główne aspekty procedury: Hankintayksikkö valitsee tässä hankintamenettelyssä puitejärjestelyyn kolme (3) toimittajaa, jollei soveltuvuusvaatimukset täyttäviä tarjoajia tai hyväksyttäviä tarjouksia ole vähemmän. Puitejärjestelyyn valitut toimittajat asetetaan tarjousvertailun perusteella etusijajärjestykseen. Puitejärjestelyyn perustuvat hankinnat tehdään etusijajärjestyksen mukaisesti ilman kilpailuttamista tarjouspyynnön liitteessä 1 kuvatun mukaisesti.
2.1.1.
Przeznaczenie
Charakter zamówienia: Usługi
Główna klasyfikacja (cpv): 72800000 Usługi audytu komputerowego i testowania komputerów
Dodatkowa klasyfikacja (cpv): 72000000 Usługi informatyczne: konsultacyjne, opracowywania oprogramowania, internetowe i wsparcia, 72220000 Usługi doradcze w zakresie systemów i doradztwo techniczne, 72222100 Usługi w zakresie systemów informacji lub strategicznej analizy technologicznej
2.1.2.
Miejsce realizacji
Podpodział krajowy (NUTS): Helsinki-Uusimaa (FI1B1)
Kraj: Finlandia
Informacje dodatkowe: Tilaaja voi edellyttää sopimuksen kohteena olevan palvelun tuottamista tilaajan tiloissa.
2.1.3.
Wartość
Szacunkowa wartość bez VAT: 800 000,00 EUR
Maksymalna wartość umowy ramowej: 800 000,00 EUR
2.1.4.
Informacje ogólne
Podstawa prawna:
Dyrektywa 2014/24/UE
2.1.6.
Podstawy wykluczenia
Powody wykluczenia źródła: Jednolity europejski dokument zamówienia (ESPD), Dokumenty zamówienia
5. Część zamówienia
5.1.
Część zamówienia: LOT-0000
Tytuł: Tietoturvatestauspalvelut
Opis: HUS-yhtymä (jäljempänä myös tilaaja tai hankintayksikkö) pyytää tarjouksia tietoturvatestauspalveluista tämän tarjouspyynnön ja sen liitteiden ehtojen mukaisesti. Tietoturvatestauksessa käytetään pääsääntöisesti määrämuotoista tietoturvamallia. Testaus noudattaa tarvittavia ja yleisesti hyväksyttyjä viitekehyksiä ja standardeja kuten CC (Common Criteria for Information Technology Security Evaluation), OWASP (Open Web Application Security Project) mukaan lukien OWASP ASVS ja OWASP LLM, WASC (Web Application Security Consortium), NIST sekä soveltuvin osin ISO IEC 27001 ja ISO IEC 27002 sekä EAL (Evaluation Assurance Level) -määrityksiä. Testaus voi sisältää tietoturvan vaatimustason määrittelyn, tietoturva-arkkitehtuurin ja keskitettyjen kontrollien läpikäynnin prosessi- ja tietojärjestelmätasolla. Testauksen perusteella laaditaan selkeät ja priorisoidut muutosehdotukset löydettyjen tietoturvapuutteiden korjaamiseksi. Tietoturvatestaus kohdistuu tietojärjestelmien lisäksi rajapintoihin, integraatioihin, pilviympäristöihin (IaaS, PaaS, SaaS), identiteetin ja pääsynhallintaratkaisuihin (IAM), mobiilisovelluksiin sekä tarvittaessa lääkintälaitteisiin liittyviin tietojärjestelmäkokonaisuuksiin. Tietoturvatestauksen sisältö voi olla esimerkiksi: - käyttöönottotarkastuksia, tietoturva-arviointeja ja kvanttivalmiuden arviointeja - toistuvia haavoittuvuusskannauksia ja haavoittuvuudenhallintaa - penetraatiotestausta (ml. web-, mobiili-, infra- ja API-testaukset sekä tarvittaessa red team -harjoitukset) - palvelunestohyökkäysten simulointia sovitussa laajuudessa - konfiguraatioiden ja tietoturva-asetusten tarkastuksia (baseline compliance) - ohjelmistokomponenttien ja riippuvuuksien tietoturvan arviointia (supply chain) - testauksen suunnittelu, toteutus, hallinta ja ylläpitotehtäviä Tekoäly- ja LLM-ratkaisujen osalta testaus kattaa erityisesti: - syötteiden ja promptien manipulointiin liittyvät riskit (prompt injection) - tietovuotoriskit ja mallien kautta tapahtuvan tiedon paljastumisen - mallien väärinkäytön ja ohittamisen riskit - käyttöoikeuksien, rajapintojen ja integraatioiden turvallisuuden - tekoälyjärjestelmien liitynnät muihin tietojärjestelmiin Testaus toteutetaan tilaajan kanssa sovittujen menettelytapojen mukaisesti. Näihin sisältyvät muun muassa testauksen rajaukset, aikataulutus, hyväksytyt testausmenetelmät, tuotantoympäristöön kohdistuvien testien erityisjärjestelyt, häiriötilanteiden hallinta sekä tietoturvallinen tietojen käsittely testauksen aikana. Lisäksi sovitaan palvelun tuottamiseen osallistuvista asiantuntijoista. Toimittaja vastaa dokumentaatiosta, joka sisältää vähintään: - testaussuunnitelman - testauksen aikaiset väliraportit - testitulokset ja havaintokohtaiset kuvaukset - loppuraportin johtopäätöksin. Raportoinnin tulee sisältää havaintojen selkeä riskiluokittelu (kriittinen, korkea, keskitaso, matala), vaikutusten arviointi sekä konkreettiset korjaussuositukset. Raporttiin tulee sisältyä myös yhteenveto sekä tekninen yksityiskohtainen kuvaus havainnoista ja testausmenetelmistä. Hankinnan kohteena oleva palvelu voi sisältää myös tietoturvatestauksen jatkuvien toimintamallien kehittämistä ja käyttöönottoa sekä testauksen integroimista osaksi ohjelmistokehityksen elinkaarta (DevSecOps). Toimittajan edellytetään sitoutuvan tilaajan tietoturva- ja tietosuojavaatimuksiin sekä huomioivan sosiaali- ja terveydenhuollon toimintaympäristön erityispiirteet, mukaan lukien potilastietojen käsittelyyn liittyvät vaatimukset.
Wewnętrzny identyfikator: HUS 045-2026
5.1.1.
Przeznaczenie
Charakter zamówienia: Usługi
Główna klasyfikacja (cpv): 72800000 Usługi audytu komputerowego i testowania komputerów
Dodatkowa klasyfikacja (cpv): 72000000 Usługi informatyczne: konsultacyjne, opracowywania oprogramowania, internetowe i wsparcia, 72220000 Usługi doradcze w zakresie systemów i doradztwo techniczne, 72222100 Usługi w zakresie systemów informacji lub strategicznej analizy technologicznej
5.1.2.
Miejsce realizacji
Podpodział krajowy (NUTS): Helsinki-Uusimaa (FI1B1)
Kraj: Finlandia
Informacje dodatkowe: Tilaaja voi edellyttää sopimuksen kohteena olevan palvelun tuottamista tilaajan tiloissa.
5.1.3.
Szacowany okres obowiązywania
Okres obowiązywania: 48 Miesiące
5.1.5.
Wartość
Szacunkowa wartość bez VAT: 800 000,00 EUR
Maksymalna wartość umowy ramowej: 800 000,00 EUR
5.1.6.
Informacje ogólne
Zastrzeżony udział:
Udział nie jest zastrzeżony.
Należy podać imiona i nazwiska oraz kwalifikacje zawodowe członków personelu wyznaczonych do realizacji zamówienia: Wymagane w ofercie
Projekt zamówienia niefinansowany z funduszy UE
Zamówienie jest objęte zakresem Porozumienia w sprawie zamówień rządowych (GPA): tak
Przedmiotowe zamówienie jest odpowiednie również dla małych i średnich przedsiębiorstw (MŚP): tak
5.1.7.
Zamówienia strategiczne
Promowany cel społeczny: Uczciwe warunki pracy
5.1.9.
Kryteria kwalifikacji
Źródła kryteriów wyboru: Jednolity europejski dokument zamówienia (ESPD), Dokumenty zamówienia
5.1.10.
Kryteria udzielenia zamówienia
Kryterium:
Rodzaj: Cena
Nazwa: Hinta
Opis: Asiantuntijatyön hinta
Kategoria kryterium udzielenia zamówienia waga: Waga (wartość procentowa, dokładna)
Kryterium udzielenia - Liczba: 60
Kryterium:
Rodzaj: Jakość
Nazwa: Laatu
Opis: Asiantuntijoiden kokemus ja osaaminen
Kategoria kryterium udzielenia zamówienia waga: Waga (wartość procentowa, dokładna)
Kryterium udzielenia - Liczba: 40
5.1.11.
Dokumenty zamówienia
Termin występowania z wnioskiem o dodatkowe informacje: 05/08/2026 09:00:00 (UTC+00:00) czas zachodnioeuropejski, GMT
5.1.12.
Warunki udzielenia zamówienia
Warunki procedury:
Wymagane jest poświadczenie bezpieczeństwa
Opis: Turvallisuusselvitystä voidaan vaatia.
Warunki zgłoszenia:
Zgłoszenie elektroniczne: Wymagane
Języki, w których można składać oferty lub wnioski o dopuszczenie do udziału: fiński
Katalog elektroniczny: Niedozwolone
Oferty wariantowe: Niedozwolone
Oferenci mogą złożyć więcej niż jedną ofertę: Niedozwolone
Termin składania ofert: 19/08/2026 09:00:00 (UTC+00:00) czas zachodnioeuropejski, GMT
Okres, przez który oferta musi pozostać ważna: 4 Miesiące
Informacje na temat publicznego otwarcia:
Data otwarcia: 19/08/2026 09:15:00 (UTC+00:00) czas zachodnioeuropejski, GMT
Warunki zamówienia:
Wykonanie zamówienia musi odbywać się w ramach programów zatrudnienia chronionego: Nie
Wymagana jest umowa o poufności: tak
Dodatkowe informacje na temat umowy o poufności: Salassapitosopimusta (NDA) voidaan vaatia.
Fakturowanie elektroniczne: Wymagane
Stosowane będą zlecenia elektroniczne: tak
Stosowane będą płatności elektroniczne: tak
5.1.15.
Techniki
Umowa ramowa:
Umowa ramowa, bez ponownego poddania zamówienia procedurze konkurencyjnej
Maksymalna liczba uczestników: 3
Informacje o dynamicznym systemie zakupów:
Brak dynamicznego systemu zakupów
5.1.16.
Dalsze informacje, mediacja i odwołanie
Organ odwoławczy: Markkinaoikeus
Informacje o terminach odwołania: Muutoksenhakumenettelyjen määräaikoihin sovelletaan julkisista hankinnoista ja käyttöoikeussopimuksista annettua lakia (1397/2016).
Organizacja udzielająca dodatkowych informacji na temat procedur odwoławczych: HUS-yhtymä
8. Organizacje
8.1.
ORG-0001
Oficjalna nazwa: Markkinaoikeus
Numer rejestracyjny: 3006157-6
Adres pocztowy: Radanrakentajantie 5
Miejscowość: Helsinki
Kod pocztowy: 00520
Podpodział krajowy (NUTS): Helsinki-Uusimaa (FI1B1)
Kraj: Finlandia
Telefon: +358 295643300
Role tej organizacji:
Organ odwoławczy
8.1.
ORG-0002
Oficjalna nazwa: HUS-yhtymä
Numer rejestracyjny: 1567535-0
Adres pocztowy: PL 445 (Uutistie 5, 01770 Vantaa)
Miejscowość: HUS
Kod pocztowy: 00029
Podpodział krajowy (NUTS): Helsinki-Uusimaa (FI1B1)
Kraj: Finlandia
Punkt kontaktowy: ICT-hankintakategoria
Telefon: +358 947111
Role tej organizacji:
Nabywca
Organizacja udzielająca dodatkowych informacji na temat procedur odwoławczych
8.1.
ORG-0003
Oficjalna nazwa: Hansel Oy (Hilma)
Numer rejestracyjny: FI09880841
Adres pocztowy: Mannerheiminaukio 1a
Miejscowość: Helsinki
Kod pocztowy: 00100
Podpodział krajowy (NUTS): Helsinki-Uusimaa (FI1B1)
Kraj: Finlandia
Punkt kontaktowy: eSender
Telefon: 029 55 636 30
Role tej organizacji:
TED eSender
Identyfikator/wersja ogłoszenia: 13a3a3b7-7d3d-49c1-93e4-70158c578c2b - 01
Typ formularza: Procedura konkurencyjna
Rodzaj ogłoszenia: Ogłoszenie o zamówieniu lub ogłoszenie o koncesji – tryb standardowy
Podrodzaj ogłoszenia: 16
Ogłoszenie – data wysłania: 08/07/2026 14:59:43 (UTC+00:00) czas zachodnioeuropejski, GMT
Ogłoszenie - Data wysłania (eSender): 08/07/2026 14:59:44 (UTC+00:00) czas zachodnioeuropejski, GMT
Języki, w których przedmiotowe ogłoszenie jest oficjalnie dostępne: fiński
Numer publikacji ogłoszenia: 476317-2026
Numer wydania Dz.U. S: 131/2026
Data publikacji: 10/07/2026