476317-2026 - Concurso
Finlândia – Serviços de auditoria informática e de ensaio informático – Tietoturvatestauspalvelut
OJ S 131/2026 10/07/2026
Anúncio de concurso ou de concessão – regime normal
Serviços
1. Adquirente
1.1.
Adquirente
Nome oficialHUS-yhtymä
Correio eletrónicokilpailutus.ict@hus.fi
Forma jurídica do adquirenteAutoridade regional
Atividade da autoridade adjudicanteSaúde
2. Procedimento
2.1.
Procedimento
TítuloTietoturvatestauspalvelut
DescriçãoHUS-yhtymä (jäljempänä myös tilaaja tai hankintayksikkö) pyytää tarjouksia tietoturvatestauspalveluista tämän tarjouspyynnön ja sen liitteiden ehtojen mukaisesti. Tietoturvatestauksessa käytetään pääsääntöisesti määrämuotoista tietoturvamallia. Testaus noudattaa tarvittavia ja yleisesti hyväksyttyjä viitekehyksiä ja standardeja kuten CC (Common Criteria for Information Technology Security Evaluation), OWASP (Open Web Application Security Project) mukaan lukien OWASP ASVS ja OWASP LLM, WASC (Web Application Security Consortium), NIST sekä soveltuvin osin ISO IEC 27001 ja ISO IEC 27002 sekä EAL (Evaluation Assurance Level) -määrityksiä. Testaus voi sisältää tietoturvan vaatimustason määrittelyn, tietoturva-arkkitehtuurin ja keskitettyjen kontrollien läpikäynnin prosessi- ja tietojärjestelmätasolla. Testauksen perusteella laaditaan selkeät ja priorisoidut muutosehdotukset löydettyjen tietoturvapuutteiden korjaamiseksi. Tietoturvatestaus kohdistuu tietojärjestelmien lisäksi rajapintoihin, integraatioihin, pilviympäristöihin (IaaS, PaaS, SaaS), identiteetin ja pääsynhallintaratkaisuihin (IAM), mobiilisovelluksiin sekä tarvittaessa lääkintälaitteisiin liittyviin tietojärjestelmäkokonaisuuksiin. Tietoturvatestauksen sisältö voi olla esimerkiksi: - käyttöönottotarkastuksia, tietoturva-arviointeja ja kvanttivalmiuden arviointeja - toistuvia haavoittuvuusskannauksia ja haavoittuvuudenhallintaa - penetraatiotestausta (ml. web-, mobiili-, infra- ja API-testaukset sekä tarvittaessa red team -harjoitukset) - palvelunestohyökkäysten simulointia sovitussa laajuudessa - konfiguraatioiden ja tietoturva-asetusten tarkastuksia (baseline compliance) - ohjelmistokomponenttien ja riippuvuuksien tietoturvan arviointia (supply chain) - testauksen suunnittelu, toteutus, hallinta ja ylläpitotehtäviä Tekoäly- ja LLM-ratkaisujen osalta testaus kattaa erityisesti: - syötteiden ja promptien manipulointiin liittyvät riskit (prompt injection) - tietovuotoriskit ja mallien kautta tapahtuvan tiedon paljastumisen - mallien väärinkäytön ja ohittamisen riskit - käyttöoikeuksien, rajapintojen ja integraatioiden turvallisuuden - tekoälyjärjestelmien liitynnät muihin tietojärjestelmiin Testaus toteutetaan tilaajan kanssa sovittujen menettelytapojen mukaisesti. Näihin sisältyvät muun muassa testauksen rajaukset, aikataulutus, hyväksytyt testausmenetelmät, tuotantoympäristöön kohdistuvien testien erityisjärjestelyt, häiriötilanteiden hallinta sekä tietoturvallinen tietojen käsittely testauksen aikana. Lisäksi sovitaan palvelun tuottamiseen osallistuvista asiantuntijoista. Toimittaja vastaa dokumentaatiosta, joka sisältää vähintään: - testaussuunnitelman - testauksen aikaiset väliraportit - testitulokset ja havaintokohtaiset kuvaukset - loppuraportin johtopäätöksin. Raportoinnin tulee sisältää havaintojen selkeä riskiluokittelu (kriittinen, korkea, keskitaso, matala), vaikutusten arviointi sekä konkreettiset korjaussuositukset. Raporttiin tulee sisältyä myös yhteenveto sekä tekninen yksityiskohtainen kuvaus havainnoista ja testausmenetelmistä. Hankinnan kohteena oleva palvelu voi sisältää myös tietoturvatestauksen jatkuvien toimintamallien kehittämistä ja käyttöönottoa sekä testauksen integroimista osaksi ohjelmistokehityksen elinkaarta (DevSecOps). Toimittajan edellytetään sitoutuvan tilaajan tietoturva- ja tietosuojavaatimuksiin sekä huomioivan sosiaali- ja terveydenhuollon toimintaympäristön erityispiirteet, mukaan lukien potilastietojen käsittelyyn liittyvät vaatimukset.
Identificador do procedimento5cc0f0cd-5b49-4473-8ae3-ec6aa6e4b4f4
Identificador internoHUS 045-2026
Tipo de procedimentoAberto
O procedimento é aceleradonão
Principais características do processoHankintayksikkö valitsee tässä hankintamenettelyssä puitejärjestelyyn kolme (3) toimittajaa, jollei soveltuvuusvaatimukset täyttäviä tarjoajia tai hyväksyttäviä tarjouksia ole vähemmän. Puitejärjestelyyn valitut toimittajat asetetaan tarjousvertailun perusteella etusijajärjestykseen. Puitejärjestelyyn perustuvat hankinnat tehdään etusijajärjestyksen mukaisesti ilman kilpailuttamista tarjouspyynnön liitteessä 1 kuvatun mukaisesti.
2.1.1.
Finalidade
Natureza do contratoServiços
Classificação principal (cpv): 72800000 Serviços de auditoria informática e de ensaio informático
Classificação adicional (cpv): 72000000 Serviços de TI: consultoria, desenvolvimento de software, Internet e apoio, 72220000 Serviços de consultoria técnica e em matéria de sistemas, 72222100 Serviços de análise estratégica em matéria de sistemas ou de tecnologias da informação
2.1.2.
Local de execução
Subdivisão do país (NUTS)Helsinki-Uusimaa (FI1B1)
PaísFinlândia
Informações adicionaisTilaaja voi edellyttää sopimuksen kohteena olevan palvelun tuottamista tilaajan tiloissa.
2.1.3.
Valor
Valor estimado, sem IVA800 000,00 EUR
Valor máximo do acordo-quadro800 000,00 EUR
2.1.4.
Informações gerais
Base jurídica
Diretiva 2014/24/UE
2.1.6.
Motivos de exclusão
Fontes dos motivos de exclusãoDocumento europeu único de contratação pública (DEUCP)Documento do concurso
5. Lote
5.1.
LoteLOT-0000
TítuloTietoturvatestauspalvelut
DescriçãoHUS-yhtymä (jäljempänä myös tilaaja tai hankintayksikkö) pyytää tarjouksia tietoturvatestauspalveluista tämän tarjouspyynnön ja sen liitteiden ehtojen mukaisesti. Tietoturvatestauksessa käytetään pääsääntöisesti määrämuotoista tietoturvamallia. Testaus noudattaa tarvittavia ja yleisesti hyväksyttyjä viitekehyksiä ja standardeja kuten CC (Common Criteria for Information Technology Security Evaluation), OWASP (Open Web Application Security Project) mukaan lukien OWASP ASVS ja OWASP LLM, WASC (Web Application Security Consortium), NIST sekä soveltuvin osin ISO IEC 27001 ja ISO IEC 27002 sekä EAL (Evaluation Assurance Level) -määrityksiä. Testaus voi sisältää tietoturvan vaatimustason määrittelyn, tietoturva-arkkitehtuurin ja keskitettyjen kontrollien läpikäynnin prosessi- ja tietojärjestelmätasolla. Testauksen perusteella laaditaan selkeät ja priorisoidut muutosehdotukset löydettyjen tietoturvapuutteiden korjaamiseksi. Tietoturvatestaus kohdistuu tietojärjestelmien lisäksi rajapintoihin, integraatioihin, pilviympäristöihin (IaaS, PaaS, SaaS), identiteetin ja pääsynhallintaratkaisuihin (IAM), mobiilisovelluksiin sekä tarvittaessa lääkintälaitteisiin liittyviin tietojärjestelmäkokonaisuuksiin. Tietoturvatestauksen sisältö voi olla esimerkiksi: - käyttöönottotarkastuksia, tietoturva-arviointeja ja kvanttivalmiuden arviointeja - toistuvia haavoittuvuusskannauksia ja haavoittuvuudenhallintaa - penetraatiotestausta (ml. web-, mobiili-, infra- ja API-testaukset sekä tarvittaessa red team -harjoitukset) - palvelunestohyökkäysten simulointia sovitussa laajuudessa - konfiguraatioiden ja tietoturva-asetusten tarkastuksia (baseline compliance) - ohjelmistokomponenttien ja riippuvuuksien tietoturvan arviointia (supply chain) - testauksen suunnittelu, toteutus, hallinta ja ylläpitotehtäviä Tekoäly- ja LLM-ratkaisujen osalta testaus kattaa erityisesti: - syötteiden ja promptien manipulointiin liittyvät riskit (prompt injection) - tietovuotoriskit ja mallien kautta tapahtuvan tiedon paljastumisen - mallien väärinkäytön ja ohittamisen riskit - käyttöoikeuksien, rajapintojen ja integraatioiden turvallisuuden - tekoälyjärjestelmien liitynnät muihin tietojärjestelmiin Testaus toteutetaan tilaajan kanssa sovittujen menettelytapojen mukaisesti. Näihin sisältyvät muun muassa testauksen rajaukset, aikataulutus, hyväksytyt testausmenetelmät, tuotantoympäristöön kohdistuvien testien erityisjärjestelyt, häiriötilanteiden hallinta sekä tietoturvallinen tietojen käsittely testauksen aikana. Lisäksi sovitaan palvelun tuottamiseen osallistuvista asiantuntijoista. Toimittaja vastaa dokumentaatiosta, joka sisältää vähintään: - testaussuunnitelman - testauksen aikaiset väliraportit - testitulokset ja havaintokohtaiset kuvaukset - loppuraportin johtopäätöksin. Raportoinnin tulee sisältää havaintojen selkeä riskiluokittelu (kriittinen, korkea, keskitaso, matala), vaikutusten arviointi sekä konkreettiset korjaussuositukset. Raporttiin tulee sisältyä myös yhteenveto sekä tekninen yksityiskohtainen kuvaus havainnoista ja testausmenetelmistä. Hankinnan kohteena oleva palvelu voi sisältää myös tietoturvatestauksen jatkuvien toimintamallien kehittämistä ja käyttöönottoa sekä testauksen integroimista osaksi ohjelmistokehityksen elinkaarta (DevSecOps). Toimittajan edellytetään sitoutuvan tilaajan tietoturva- ja tietosuojavaatimuksiin sekä huomioivan sosiaali- ja terveydenhuollon toimintaympäristön erityispiirteet, mukaan lukien potilastietojen käsittelyyn liittyvät vaatimukset.
Identificador internoHUS 045-2026
5.1.1.
Finalidade
Natureza do contratoServiços
Classificação principal (cpv): 72800000 Serviços de auditoria informática e de ensaio informático
Classificação adicional (cpv): 72000000 Serviços de TI: consultoria, desenvolvimento de software, Internet e apoio, 72220000 Serviços de consultoria técnica e em matéria de sistemas, 72222100 Serviços de análise estratégica em matéria de sistemas ou de tecnologias da informação
5.1.2.
Local de execução
Subdivisão do país (NUTS)Helsinki-Uusimaa (FI1B1)
PaísFinlândia
Informações adicionaisTilaaja voi edellyttää sopimuksen kohteena olevan palvelun tuottamista tilaajan tiloissa.
5.1.3.
Duração estimada
Duração48 Meses
5.1.5.
Valor
Valor estimado, sem IVA800 000,00 EUR
Valor máximo do acordo-quadro800 000,00 EUR
5.1.6.
Informações gerais
Participação reservada
A participação não está reservada.
Há que indicar os nomes e as qualificações profissionais do pessoal encarregado da execução do contratoRequisito na proposta
Projeto de contratação pública não financiado por fundos da UE
O concurso é abrangido pelo Acordo sobre Contratos Públicos (ACP)sim
Este concurso também é adequado para as pequenas e médias empresas (PME)sim
5.1.7.
Contratação estratégica
Objetivo social promovidoCondições de trabalho justas
5.1.9.
Critérios de seleção
Fontes dos critérios de seleçãoDocumento europeu único de contratação pública (DEUCP)Documento do concurso
5.1.10.
Critérios de adjudicação
Critério
TipoPreço
NomeHinta
DescriçãoAsiantuntijatyön hinta
Categoria do critério de adjudicação pesoPonderação (percentagem, valor exato)
N.º do critério de adjudicação60
Critério
TipoQualidade
NomeLaatu
DescriçãoAsiantuntijoiden kokemus ja osaaminen
Categoria do critério de adjudicação pesoPonderação (percentagem, valor exato)
N.º do critério de adjudicação40
5.1.11.
Documentos do concurso
Prazo para solicitar informações adicionais05/08/2026 09:00:00 (UTC+00:00) hora da Europa Ocidental, GMT
Endereço dos documentos do concursohttps://tarjouspalvelu.fi/huslogistiikka?id=614344&tpk=e3ca2628-15f9-4666-8803-d42a6748fb82
5.1.12.
Condições do concurso
Condições do procedimento
É exigida uma credenciação de segurança
DescriçãoTurvallisuusselvitystä voidaan vaatia.
Condições de apresentação
Apresentação por via eletrónicaNecessário
Endereço para apresentaçãohttps://tarjouspalvelu.fi/huslogistiikka?id=614344&tpk=e3ca2628-15f9-4666-8803-d42a6748fb82
Línguas em que podem ser apresentadas as propostas ou pedidos de participaçãofinlandês
Catálogo eletrónicoNão autorizado
VariantesNão autorizado
Os proponentes podem apresentar mais do que uma propostaNão autorizado
Prazo para a receção das propostas19/08/2026 09:00:00 (UTC+00:00) hora da Europa Ocidental, GMT
Duração durante a qual a proposta deve permanecer válida4 Meses
Informações sobre a abertura pública
Data de abertura19/08/2026 09:15:00 (UTC+00:00) hora da Europa Ocidental, GMT
Condições do contrato
A execução do contrato tem de ser efetuada no âmbito de programas de emprego protegidoNão
É exigido um acordo de não divulgaçãosim
Informações adicionais sobre o acordo de não divulgaçãoSalassapitosopimusta (NDA) voidaan vaatia.
Faturação eletrónicaNecessário
Serão utilizadas encomendas eletrónicassim
Será utilizado o pagamento eletrónicosim
5.1.15.
Técnicas
Acordo-quadro
Acordo-quadro, sem reabertura de concurso
Número máximo de participantes3
Informações sobre o sistema de aquisição dinâmico
Inexistência de sistema de aquisição dinâmico
5.1.16.
Informações adicionais, mediação e recurso
Instância de recursoMarkkinaoikeus
Informações sobre os prazos de recurso: Muutoksenhakumenettelyjen määräaikoihin sovelletaan julkisista hankinnoista ja käyttöoikeussopimuksista annettua lakia (1397/2016).
Organização que fornece mais informações sobre os procedimentos de recursoHUS-yhtymä
8. Organizações
8.1.
ORG-0001
Nome oficialMarkkinaoikeus
Número de registo3006157-6
Endereço postalRadanrakentajantie 5
CidadeHelsinki
Código postal00520
Subdivisão do país (NUTS)Helsinki-Uusimaa (FI1B1)
PaísFinlândia
Correio eletrónicomarkkinaoikeus@oikeus.fi
Telefone+358 295643300
Endereço Internethttp://www.oikeus.fi/markkinaoikeus
Funções desta organização
Instância de recurso
8.1.
ORG-0002
Nome oficialHUS-yhtymä
Número de registo1567535-0
Endereço postalPL 445 (Uutistie 5, 01770 Vantaa)
CidadeHUS
Código postal00029
Subdivisão do país (NUTS)Helsinki-Uusimaa (FI1B1)
PaísFinlândia
Ponto de contactoICT-hankintakategoria
Correio eletrónicokilpailutus.ict@hus.fi
Telefone+358 947111
Endereço Internethttp://www.hus.fi
Funções desta organização
Adquirente
Organização que fornece mais informações sobre os procedimentos de recurso
8.1.
ORG-0003
Nome oficialHansel Oy (Hilma)
Número de registoFI09880841
Endereço postalMannerheiminaukio 1a
CidadeHelsinki
Código postal00100
Subdivisão do país (NUTS)Helsinki-Uusimaa (FI1B1)
PaísFinlândia
Ponto de contactoeSender
Correio eletrónicotekninen@hankintailmoitukset.fi
Telefone029 55 636 30
Endereço Internethttp://hankintailmoitukset.fi
Funções desta organização
TED eSender
Informações sobre o anúncio
Identificador/versão do anúncio13a3a3b7-7d3d-49c1-93e4-70158c578c2b  -  01
Tipo de formulárioConcurso
Tipo de anúncioAnúncio de concurso ou de concessão – regime normal
Subtipo de anúncio16
Data de envio do anúncio08/07/2026 14:59:43 (UTC+00:00) hora da Europa Ocidental, GMT
Data de envio do anúncio eSender08/07/2026 14:59:44 (UTC+00:00) hora da Europa Ocidental, GMT
Línguas em que o presente anúncio está oficialmente disponívelfinlandês
Número de publicação do anúncio476317-2026
N.º de edição do JO S131/2026
Data de publicação10/07/2026