1. Adquirente
1.1.
Adquirente
Nome oficial: HUS-yhtymä
Forma jurídica do adquirente: Autoridade regional
Atividade da autoridade adjudicante: Saúde
2. Procedimento
2.1.
Procedimento
Título: Tietoturvatestauspalvelut
Descrição: HUS-yhtymä (jäljempänä myös tilaaja tai hankintayksikkö) pyytää tarjouksia tietoturvatestauspalveluista tämän tarjouspyynnön ja sen liitteiden ehtojen mukaisesti. Tietoturvatestauksessa käytetään pääsääntöisesti määrämuotoista tietoturvamallia. Testaus noudattaa tarvittavia ja yleisesti hyväksyttyjä viitekehyksiä ja standardeja kuten CC (Common Criteria for Information Technology Security Evaluation), OWASP (Open Web Application Security Project) mukaan lukien OWASP ASVS ja OWASP LLM, WASC (Web Application Security Consortium), NIST sekä soveltuvin osin ISO IEC 27001 ja ISO IEC 27002 sekä EAL (Evaluation Assurance Level) -määrityksiä. Testaus voi sisältää tietoturvan vaatimustason määrittelyn, tietoturva-arkkitehtuurin ja keskitettyjen kontrollien läpikäynnin prosessi- ja tietojärjestelmätasolla. Testauksen perusteella laaditaan selkeät ja priorisoidut muutosehdotukset löydettyjen tietoturvapuutteiden korjaamiseksi. Tietoturvatestaus kohdistuu tietojärjestelmien lisäksi rajapintoihin, integraatioihin, pilviympäristöihin (IaaS, PaaS, SaaS), identiteetin ja pääsynhallintaratkaisuihin (IAM), mobiilisovelluksiin sekä tarvittaessa lääkintälaitteisiin liittyviin tietojärjestelmäkokonaisuuksiin. Tietoturvatestauksen sisältö voi olla esimerkiksi: - käyttöönottotarkastuksia, tietoturva-arviointeja ja kvanttivalmiuden arviointeja - toistuvia haavoittuvuusskannauksia ja haavoittuvuudenhallintaa - penetraatiotestausta (ml. web-, mobiili-, infra- ja API-testaukset sekä tarvittaessa red team -harjoitukset) - palvelunestohyökkäysten simulointia sovitussa laajuudessa - konfiguraatioiden ja tietoturva-asetusten tarkastuksia (baseline compliance) - ohjelmistokomponenttien ja riippuvuuksien tietoturvan arviointia (supply chain) - testauksen suunnittelu, toteutus, hallinta ja ylläpitotehtäviä Tekoäly- ja LLM-ratkaisujen osalta testaus kattaa erityisesti: - syötteiden ja promptien manipulointiin liittyvät riskit (prompt injection) - tietovuotoriskit ja mallien kautta tapahtuvan tiedon paljastumisen - mallien väärinkäytön ja ohittamisen riskit - käyttöoikeuksien, rajapintojen ja integraatioiden turvallisuuden - tekoälyjärjestelmien liitynnät muihin tietojärjestelmiin Testaus toteutetaan tilaajan kanssa sovittujen menettelytapojen mukaisesti. Näihin sisältyvät muun muassa testauksen rajaukset, aikataulutus, hyväksytyt testausmenetelmät, tuotantoympäristöön kohdistuvien testien erityisjärjestelyt, häiriötilanteiden hallinta sekä tietoturvallinen tietojen käsittely testauksen aikana. Lisäksi sovitaan palvelun tuottamiseen osallistuvista asiantuntijoista. Toimittaja vastaa dokumentaatiosta, joka sisältää vähintään: - testaussuunnitelman - testauksen aikaiset väliraportit - testitulokset ja havaintokohtaiset kuvaukset - loppuraportin johtopäätöksin. Raportoinnin tulee sisältää havaintojen selkeä riskiluokittelu (kriittinen, korkea, keskitaso, matala), vaikutusten arviointi sekä konkreettiset korjaussuositukset. Raporttiin tulee sisältyä myös yhteenveto sekä tekninen yksityiskohtainen kuvaus havainnoista ja testausmenetelmistä. Hankinnan kohteena oleva palvelu voi sisältää myös tietoturvatestauksen jatkuvien toimintamallien kehittämistä ja käyttöönottoa sekä testauksen integroimista osaksi ohjelmistokehityksen elinkaarta (DevSecOps). Toimittajan edellytetään sitoutuvan tilaajan tietoturva- ja tietosuojavaatimuksiin sekä huomioivan sosiaali- ja terveydenhuollon toimintaympäristön erityispiirteet, mukaan lukien potilastietojen käsittelyyn liittyvät vaatimukset.
Identificador do procedimento: 5cc0f0cd-5b49-4473-8ae3-ec6aa6e4b4f4
Identificador interno: HUS 045-2026
Tipo de procedimento: Aberto
O procedimento é acelerado: não
Principais características do processo: Hankintayksikkö valitsee tässä hankintamenettelyssä puitejärjestelyyn kolme (3) toimittajaa, jollei soveltuvuusvaatimukset täyttäviä tarjoajia tai hyväksyttäviä tarjouksia ole vähemmän. Puitejärjestelyyn valitut toimittajat asetetaan tarjousvertailun perusteella etusijajärjestykseen. Puitejärjestelyyn perustuvat hankinnat tehdään etusijajärjestyksen mukaisesti ilman kilpailuttamista tarjouspyynnön liitteessä 1 kuvatun mukaisesti.
2.1.1.
Finalidade
Natureza do contrato: Serviços
Classificação principal (cpv): 72800000 Serviços de auditoria informática e de ensaio informático
Classificação adicional (cpv): 72000000 Serviços de TI: consultoria, desenvolvimento de software, Internet e apoio, 72220000 Serviços de consultoria técnica e em matéria de sistemas, 72222100 Serviços de análise estratégica em matéria de sistemas ou de tecnologias da informação
2.1.2.
Local de execução
Subdivisão do país (NUTS): Helsinki-Uusimaa (FI1B1)
País: Finlândia
Informações adicionais: Tilaaja voi edellyttää sopimuksen kohteena olevan palvelun tuottamista tilaajan tiloissa.
2.1.3.
Valor
Valor estimado, sem IVA: 800 000,00 EUR
Valor máximo do acordo-quadro: 800 000,00 EUR
2.1.4.
Informações gerais
Base jurídica:
Diretiva 2014/24/UE
2.1.6.
Motivos de exclusão
Fontes dos motivos de exclusão: Documento europeu único de contratação pública (DEUCP), Documento do concurso
5. Lote
5.1.
Lote: LOT-0000
Título: Tietoturvatestauspalvelut
Descrição: HUS-yhtymä (jäljempänä myös tilaaja tai hankintayksikkö) pyytää tarjouksia tietoturvatestauspalveluista tämän tarjouspyynnön ja sen liitteiden ehtojen mukaisesti. Tietoturvatestauksessa käytetään pääsääntöisesti määrämuotoista tietoturvamallia. Testaus noudattaa tarvittavia ja yleisesti hyväksyttyjä viitekehyksiä ja standardeja kuten CC (Common Criteria for Information Technology Security Evaluation), OWASP (Open Web Application Security Project) mukaan lukien OWASP ASVS ja OWASP LLM, WASC (Web Application Security Consortium), NIST sekä soveltuvin osin ISO IEC 27001 ja ISO IEC 27002 sekä EAL (Evaluation Assurance Level) -määrityksiä. Testaus voi sisältää tietoturvan vaatimustason määrittelyn, tietoturva-arkkitehtuurin ja keskitettyjen kontrollien läpikäynnin prosessi- ja tietojärjestelmätasolla. Testauksen perusteella laaditaan selkeät ja priorisoidut muutosehdotukset löydettyjen tietoturvapuutteiden korjaamiseksi. Tietoturvatestaus kohdistuu tietojärjestelmien lisäksi rajapintoihin, integraatioihin, pilviympäristöihin (IaaS, PaaS, SaaS), identiteetin ja pääsynhallintaratkaisuihin (IAM), mobiilisovelluksiin sekä tarvittaessa lääkintälaitteisiin liittyviin tietojärjestelmäkokonaisuuksiin. Tietoturvatestauksen sisältö voi olla esimerkiksi: - käyttöönottotarkastuksia, tietoturva-arviointeja ja kvanttivalmiuden arviointeja - toistuvia haavoittuvuusskannauksia ja haavoittuvuudenhallintaa - penetraatiotestausta (ml. web-, mobiili-, infra- ja API-testaukset sekä tarvittaessa red team -harjoitukset) - palvelunestohyökkäysten simulointia sovitussa laajuudessa - konfiguraatioiden ja tietoturva-asetusten tarkastuksia (baseline compliance) - ohjelmistokomponenttien ja riippuvuuksien tietoturvan arviointia (supply chain) - testauksen suunnittelu, toteutus, hallinta ja ylläpitotehtäviä Tekoäly- ja LLM-ratkaisujen osalta testaus kattaa erityisesti: - syötteiden ja promptien manipulointiin liittyvät riskit (prompt injection) - tietovuotoriskit ja mallien kautta tapahtuvan tiedon paljastumisen - mallien väärinkäytön ja ohittamisen riskit - käyttöoikeuksien, rajapintojen ja integraatioiden turvallisuuden - tekoälyjärjestelmien liitynnät muihin tietojärjestelmiin Testaus toteutetaan tilaajan kanssa sovittujen menettelytapojen mukaisesti. Näihin sisältyvät muun muassa testauksen rajaukset, aikataulutus, hyväksytyt testausmenetelmät, tuotantoympäristöön kohdistuvien testien erityisjärjestelyt, häiriötilanteiden hallinta sekä tietoturvallinen tietojen käsittely testauksen aikana. Lisäksi sovitaan palvelun tuottamiseen osallistuvista asiantuntijoista. Toimittaja vastaa dokumentaatiosta, joka sisältää vähintään: - testaussuunnitelman - testauksen aikaiset väliraportit - testitulokset ja havaintokohtaiset kuvaukset - loppuraportin johtopäätöksin. Raportoinnin tulee sisältää havaintojen selkeä riskiluokittelu (kriittinen, korkea, keskitaso, matala), vaikutusten arviointi sekä konkreettiset korjaussuositukset. Raporttiin tulee sisältyä myös yhteenveto sekä tekninen yksityiskohtainen kuvaus havainnoista ja testausmenetelmistä. Hankinnan kohteena oleva palvelu voi sisältää myös tietoturvatestauksen jatkuvien toimintamallien kehittämistä ja käyttöönottoa sekä testauksen integroimista osaksi ohjelmistokehityksen elinkaarta (DevSecOps). Toimittajan edellytetään sitoutuvan tilaajan tietoturva- ja tietosuojavaatimuksiin sekä huomioivan sosiaali- ja terveydenhuollon toimintaympäristön erityispiirteet, mukaan lukien potilastietojen käsittelyyn liittyvät vaatimukset.
Identificador interno: HUS 045-2026
5.1.1.
Finalidade
Natureza do contrato: Serviços
Classificação principal (cpv): 72800000 Serviços de auditoria informática e de ensaio informático
Classificação adicional (cpv): 72000000 Serviços de TI: consultoria, desenvolvimento de software, Internet e apoio, 72220000 Serviços de consultoria técnica e em matéria de sistemas, 72222100 Serviços de análise estratégica em matéria de sistemas ou de tecnologias da informação
5.1.2.
Local de execução
Subdivisão do país (NUTS): Helsinki-Uusimaa (FI1B1)
País: Finlândia
Informações adicionais: Tilaaja voi edellyttää sopimuksen kohteena olevan palvelun tuottamista tilaajan tiloissa.
5.1.3.
Duração estimada
Duração: 48 Meses
5.1.5.
Valor
Valor estimado, sem IVA: 800 000,00 EUR
Valor máximo do acordo-quadro: 800 000,00 EUR
5.1.6.
Informações gerais
Participação reservada:
A participação não está reservada.
Há que indicar os nomes e as qualificações profissionais do pessoal encarregado da execução do contrato: Requisito na proposta
Projeto de contratação pública não financiado por fundos da UE
O concurso é abrangido pelo Acordo sobre Contratos Públicos (ACP): sim
Este concurso também é adequado para as pequenas e médias empresas (PME): sim
5.1.7.
Contratação estratégica
Objetivo social promovido: Condições de trabalho justas
5.1.9.
Critérios de seleção
Fontes dos critérios de seleção: Documento europeu único de contratação pública (DEUCP), Documento do concurso
5.1.10.
Critérios de adjudicação
Critério:
Tipo: Preço
Nome: Hinta
Descrição: Asiantuntijatyön hinta
Categoria do critério de adjudicação peso: Ponderação (percentagem, valor exato)
N.º do critério de adjudicação: 60
Critério:
Tipo: Qualidade
Nome: Laatu
Descrição: Asiantuntijoiden kokemus ja osaaminen
Categoria do critério de adjudicação peso: Ponderação (percentagem, valor exato)
N.º do critério de adjudicação: 40
5.1.11.
Documentos do concurso
Prazo para solicitar informações adicionais: 05/08/2026 09:00:00 (UTC+00:00) hora da Europa Ocidental, GMT
5.1.12.
Condições do concurso
Condições do procedimento:
É exigida uma credenciação de segurança
Descrição: Turvallisuusselvitystä voidaan vaatia.
Condições de apresentação:
Apresentação por via eletrónica: Necessário
Línguas em que podem ser apresentadas as propostas ou pedidos de participação: finlandês
Catálogo eletrónico: Não autorizado
Variantes: Não autorizado
Os proponentes podem apresentar mais do que uma proposta: Não autorizado
Prazo para a receção das propostas: 19/08/2026 09:00:00 (UTC+00:00) hora da Europa Ocidental, GMT
Duração durante a qual a proposta deve permanecer válida: 4 Meses
Informações sobre a abertura pública:
Data de abertura: 19/08/2026 09:15:00 (UTC+00:00) hora da Europa Ocidental, GMT
Condições do contrato:
A execução do contrato tem de ser efetuada no âmbito de programas de emprego protegido: Não
É exigido um acordo de não divulgação: sim
Informações adicionais sobre o acordo de não divulgação: Salassapitosopimusta (NDA) voidaan vaatia.
Faturação eletrónica: Necessário
Serão utilizadas encomendas eletrónicas: sim
Será utilizado o pagamento eletrónico: sim
5.1.15.
Técnicas
Acordo-quadro:
Acordo-quadro, sem reabertura de concurso
Número máximo de participantes: 3
Informações sobre o sistema de aquisição dinâmico:
Inexistência de sistema de aquisição dinâmico
5.1.16.
Informações adicionais, mediação e recurso
Instância de recurso: Markkinaoikeus
Informações sobre os prazos de recurso: Muutoksenhakumenettelyjen määräaikoihin sovelletaan julkisista hankinnoista ja käyttöoikeussopimuksista annettua lakia (1397/2016).
Organização que fornece mais informações sobre os procedimentos de recurso: HUS-yhtymä
8. Organizações
8.1.
ORG-0001
Nome oficial: Markkinaoikeus
Número de registo: 3006157-6
Endereço postal: Radanrakentajantie 5
Cidade: Helsinki
Código postal: 00520
Subdivisão do país (NUTS): Helsinki-Uusimaa (FI1B1)
País: Finlândia
Telefone: +358 295643300
Funções desta organização:
Instância de recurso
8.1.
ORG-0002
Nome oficial: HUS-yhtymä
Número de registo: 1567535-0
Endereço postal: PL 445 (Uutistie 5, 01770 Vantaa)
Cidade: HUS
Código postal: 00029
Subdivisão do país (NUTS): Helsinki-Uusimaa (FI1B1)
País: Finlândia
Ponto de contacto: ICT-hankintakategoria
Telefone: +358 947111
Funções desta organização:
Adquirente
Organização que fornece mais informações sobre os procedimentos de recurso
8.1.
ORG-0003
Nome oficial: Hansel Oy (Hilma)
Número de registo: FI09880841
Endereço postal: Mannerheiminaukio 1a
Cidade: Helsinki
Código postal: 00100
Subdivisão do país (NUTS): Helsinki-Uusimaa (FI1B1)
País: Finlândia
Ponto de contacto: eSender
Telefone: 029 55 636 30
Funções desta organização:
TED eSender
Identificador/versão do anúncio: 13a3a3b7-7d3d-49c1-93e4-70158c578c2b - 01
Tipo de formulário: Concurso
Tipo de anúncio: Anúncio de concurso ou de concessão – regime normal
Subtipo de anúncio: 16
Data de envio do anúncio: 08/07/2026 14:59:43 (UTC+00:00) hora da Europa Ocidental, GMT
Data de envio do anúncio eSender: 08/07/2026 14:59:44 (UTC+00:00) hora da Europa Ocidental, GMT
Línguas em que o presente anúncio está oficialmente disponível: finlandês
Número de publicação do anúncio: 476317-2026
N.º de edição do JO S: 131/2026
Data de publicação: 10/07/2026