1. Cumpărător
1.1.
Cumpărător
Denumire oficială: HUS-yhtymä
Forma juridică a achizitorului: Autoritate regională
Activitatea autorității contractante: Sănătate
2. Procedură
2.1.
Procedură
Titlu: Tietoturvatestauspalvelut
Descriere: HUS-yhtymä (jäljempänä myös tilaaja tai hankintayksikkö) pyytää tarjouksia tietoturvatestauspalveluista tämän tarjouspyynnön ja sen liitteiden ehtojen mukaisesti. Tietoturvatestauksessa käytetään pääsääntöisesti määrämuotoista tietoturvamallia. Testaus noudattaa tarvittavia ja yleisesti hyväksyttyjä viitekehyksiä ja standardeja kuten CC (Common Criteria for Information Technology Security Evaluation), OWASP (Open Web Application Security Project) mukaan lukien OWASP ASVS ja OWASP LLM, WASC (Web Application Security Consortium), NIST sekä soveltuvin osin ISO IEC 27001 ja ISO IEC 27002 sekä EAL (Evaluation Assurance Level) -määrityksiä. Testaus voi sisältää tietoturvan vaatimustason määrittelyn, tietoturva-arkkitehtuurin ja keskitettyjen kontrollien läpikäynnin prosessi- ja tietojärjestelmätasolla. Testauksen perusteella laaditaan selkeät ja priorisoidut muutosehdotukset löydettyjen tietoturvapuutteiden korjaamiseksi. Tietoturvatestaus kohdistuu tietojärjestelmien lisäksi rajapintoihin, integraatioihin, pilviympäristöihin (IaaS, PaaS, SaaS), identiteetin ja pääsynhallintaratkaisuihin (IAM), mobiilisovelluksiin sekä tarvittaessa lääkintälaitteisiin liittyviin tietojärjestelmäkokonaisuuksiin. Tietoturvatestauksen sisältö voi olla esimerkiksi: - käyttöönottotarkastuksia, tietoturva-arviointeja ja kvanttivalmiuden arviointeja - toistuvia haavoittuvuusskannauksia ja haavoittuvuudenhallintaa - penetraatiotestausta (ml. web-, mobiili-, infra- ja API-testaukset sekä tarvittaessa red team -harjoitukset) - palvelunestohyökkäysten simulointia sovitussa laajuudessa - konfiguraatioiden ja tietoturva-asetusten tarkastuksia (baseline compliance) - ohjelmistokomponenttien ja riippuvuuksien tietoturvan arviointia (supply chain) - testauksen suunnittelu, toteutus, hallinta ja ylläpitotehtäviä Tekoäly- ja LLM-ratkaisujen osalta testaus kattaa erityisesti: - syötteiden ja promptien manipulointiin liittyvät riskit (prompt injection) - tietovuotoriskit ja mallien kautta tapahtuvan tiedon paljastumisen - mallien väärinkäytön ja ohittamisen riskit - käyttöoikeuksien, rajapintojen ja integraatioiden turvallisuuden - tekoälyjärjestelmien liitynnät muihin tietojärjestelmiin Testaus toteutetaan tilaajan kanssa sovittujen menettelytapojen mukaisesti. Näihin sisältyvät muun muassa testauksen rajaukset, aikataulutus, hyväksytyt testausmenetelmät, tuotantoympäristöön kohdistuvien testien erityisjärjestelyt, häiriötilanteiden hallinta sekä tietoturvallinen tietojen käsittely testauksen aikana. Lisäksi sovitaan palvelun tuottamiseen osallistuvista asiantuntijoista. Toimittaja vastaa dokumentaatiosta, joka sisältää vähintään: - testaussuunnitelman - testauksen aikaiset väliraportit - testitulokset ja havaintokohtaiset kuvaukset - loppuraportin johtopäätöksin. Raportoinnin tulee sisältää havaintojen selkeä riskiluokittelu (kriittinen, korkea, keskitaso, matala), vaikutusten arviointi sekä konkreettiset korjaussuositukset. Raporttiin tulee sisältyä myös yhteenveto sekä tekninen yksityiskohtainen kuvaus havainnoista ja testausmenetelmistä. Hankinnan kohteena oleva palvelu voi sisältää myös tietoturvatestauksen jatkuvien toimintamallien kehittämistä ja käyttöönottoa sekä testauksen integroimista osaksi ohjelmistokehityksen elinkaarta (DevSecOps). Toimittajan edellytetään sitoutuvan tilaajan tietoturva- ja tietosuojavaatimuksiin sekä huomioivan sosiaali- ja terveydenhuollon toimintaympäristön erityispiirteet, mukaan lukien potilastietojen käsittelyyn liittyvät vaatimukset.
Identificatorul procedurii: 5cc0f0cd-5b49-4473-8ae3-ec6aa6e4b4f4
Identificator intern: HUS 045-2026
Tip de procedură: Deschisă
Procedura este accelerată: nu
Principalele caracteristici ale procedurii: Hankintayksikkö valitsee tässä hankintamenettelyssä puitejärjestelyyn kolme (3) toimittajaa, jollei soveltuvuusvaatimukset täyttäviä tarjoajia tai hyväksyttäviä tarjouksia ole vähemmän. Puitejärjestelyyn valitut toimittajat asetetaan tarjousvertailun perusteella etusijajärjestykseen. Puitejärjestelyyn perustuvat hankinnat tehdään etusijajärjestyksen mukaisesti ilman kilpailuttamista tarjouspyynnön liitteessä 1 kuvatun mukaisesti.
2.1.1.
Scop
Natura contractului: Servicii
Clasificarea principală (cpv): 72800000 Servicii de audit informatic şi de testări informatice
Clasificare suplimentară (cpv): 72000000 Servicii IT: consultanţă, dezvoltare de software, internet şi asistenţă, 72220000 Servicii de consultanţă privind sistemele informatice şi servicii de consultanţă tehnică, 72222100 Servicii de analiză strategică a sistemelor sau a tehnologiei informaţiilor
2.1.2.
Locul de executare
Subdiviziunea țării (NUTS): Helsinki-Uusimaa (FI1B1)
Țara: Finlanda
Informații suplimentare: Tilaaja voi edellyttää sopimuksen kohteena olevan palvelun tuottamista tilaajan tiloissa.
2.1.3.
Valoare
Valoarea estimată fără TVA: 800 000,00 EUR
Valoarea maximă a acordului-cadru: 800 000,00 EUR
2.1.4.
Informații generale
Temei juridic:
Directiva 2014/24/UE
2.1.6.
Motive de excludere
Sursele motivelor de excludere: Documentul european de achiziție unic (DEAU), Document de achiziție
5. Lot
5.1.
Lot: LOT-0000
Titlu: Tietoturvatestauspalvelut
Descriere: HUS-yhtymä (jäljempänä myös tilaaja tai hankintayksikkö) pyytää tarjouksia tietoturvatestauspalveluista tämän tarjouspyynnön ja sen liitteiden ehtojen mukaisesti. Tietoturvatestauksessa käytetään pääsääntöisesti määrämuotoista tietoturvamallia. Testaus noudattaa tarvittavia ja yleisesti hyväksyttyjä viitekehyksiä ja standardeja kuten CC (Common Criteria for Information Technology Security Evaluation), OWASP (Open Web Application Security Project) mukaan lukien OWASP ASVS ja OWASP LLM, WASC (Web Application Security Consortium), NIST sekä soveltuvin osin ISO IEC 27001 ja ISO IEC 27002 sekä EAL (Evaluation Assurance Level) -määrityksiä. Testaus voi sisältää tietoturvan vaatimustason määrittelyn, tietoturva-arkkitehtuurin ja keskitettyjen kontrollien läpikäynnin prosessi- ja tietojärjestelmätasolla. Testauksen perusteella laaditaan selkeät ja priorisoidut muutosehdotukset löydettyjen tietoturvapuutteiden korjaamiseksi. Tietoturvatestaus kohdistuu tietojärjestelmien lisäksi rajapintoihin, integraatioihin, pilviympäristöihin (IaaS, PaaS, SaaS), identiteetin ja pääsynhallintaratkaisuihin (IAM), mobiilisovelluksiin sekä tarvittaessa lääkintälaitteisiin liittyviin tietojärjestelmäkokonaisuuksiin. Tietoturvatestauksen sisältö voi olla esimerkiksi: - käyttöönottotarkastuksia, tietoturva-arviointeja ja kvanttivalmiuden arviointeja - toistuvia haavoittuvuusskannauksia ja haavoittuvuudenhallintaa - penetraatiotestausta (ml. web-, mobiili-, infra- ja API-testaukset sekä tarvittaessa red team -harjoitukset) - palvelunestohyökkäysten simulointia sovitussa laajuudessa - konfiguraatioiden ja tietoturva-asetusten tarkastuksia (baseline compliance) - ohjelmistokomponenttien ja riippuvuuksien tietoturvan arviointia (supply chain) - testauksen suunnittelu, toteutus, hallinta ja ylläpitotehtäviä Tekoäly- ja LLM-ratkaisujen osalta testaus kattaa erityisesti: - syötteiden ja promptien manipulointiin liittyvät riskit (prompt injection) - tietovuotoriskit ja mallien kautta tapahtuvan tiedon paljastumisen - mallien väärinkäytön ja ohittamisen riskit - käyttöoikeuksien, rajapintojen ja integraatioiden turvallisuuden - tekoälyjärjestelmien liitynnät muihin tietojärjestelmiin Testaus toteutetaan tilaajan kanssa sovittujen menettelytapojen mukaisesti. Näihin sisältyvät muun muassa testauksen rajaukset, aikataulutus, hyväksytyt testausmenetelmät, tuotantoympäristöön kohdistuvien testien erityisjärjestelyt, häiriötilanteiden hallinta sekä tietoturvallinen tietojen käsittely testauksen aikana. Lisäksi sovitaan palvelun tuottamiseen osallistuvista asiantuntijoista. Toimittaja vastaa dokumentaatiosta, joka sisältää vähintään: - testaussuunnitelman - testauksen aikaiset väliraportit - testitulokset ja havaintokohtaiset kuvaukset - loppuraportin johtopäätöksin. Raportoinnin tulee sisältää havaintojen selkeä riskiluokittelu (kriittinen, korkea, keskitaso, matala), vaikutusten arviointi sekä konkreettiset korjaussuositukset. Raporttiin tulee sisältyä myös yhteenveto sekä tekninen yksityiskohtainen kuvaus havainnoista ja testausmenetelmistä. Hankinnan kohteena oleva palvelu voi sisältää myös tietoturvatestauksen jatkuvien toimintamallien kehittämistä ja käyttöönottoa sekä testauksen integroimista osaksi ohjelmistokehityksen elinkaarta (DevSecOps). Toimittajan edellytetään sitoutuvan tilaajan tietoturva- ja tietosuojavaatimuksiin sekä huomioivan sosiaali- ja terveydenhuollon toimintaympäristön erityispiirteet, mukaan lukien potilastietojen käsittelyyn liittyvät vaatimukset.
Identificator intern: HUS 045-2026
5.1.1.
Scop
Natura contractului: Servicii
Clasificarea principală (cpv): 72800000 Servicii de audit informatic şi de testări informatice
Clasificare suplimentară (cpv): 72000000 Servicii IT: consultanţă, dezvoltare de software, internet şi asistenţă, 72220000 Servicii de consultanţă privind sistemele informatice şi servicii de consultanţă tehnică, 72222100 Servicii de analiză strategică a sistemelor sau a tehnologiei informaţiilor
5.1.2.
Locul de executare
Subdiviziunea țării (NUTS): Helsinki-Uusimaa (FI1B1)
Țara: Finlanda
Informații suplimentare: Tilaaja voi edellyttää sopimuksen kohteena olevan palvelun tuottamista tilaajan tiloissa.
5.1.3.
Durata estimată
Durată: 48 Luni
5.1.5.
Valoare
Valoarea estimată fără TVA: 800 000,00 EUR
Valoarea maximă a acordului-cadru: 800 000,00 EUR
5.1.6.
Informații generale
Participare rezervată:
Participarea nu este rezervată.
Trebuie să fie specificate numele și calificările profesionale ale personalului însărcinat cu executarea contractului: Cerință referitoare la ofertă
Proiect de achiziții publice nefinanțat din fonduri UE
Achiziția face obiectul Acordului privind achizițiile publice (AAP): da
Această procedură de achiziții publice este adecvată și pentru întreprinderile mici și mijlocii (IMM-uri): da
5.1.7.
Achiziție publică strategică
Obiectiv social promovat: Condiții de muncă echitabile
5.1.9.
Criterii de selecție
Sursele criteriilor de selecție: Documentul european de achiziție unic (DEAU), Document de achiziție
5.1.10.
Criterii de atribuire
Criteriu:
Tip: Preț
Denumire: Hinta
Descriere: Asiantuntijatyön hinta
Categorie a criteriului de atribuire greutate: Ponderare (procentaj, valoare exactă)
Număr legat de criteriul de atribuire: 60
Criteriu:
Tip: Calitate
Denumire: Laatu
Descriere: Asiantuntijoiden kokemus ja osaaminen
Categorie a criteriului de atribuire greutate: Ponderare (procentaj, valoare exactă)
Număr legat de criteriul de atribuire: 40
5.1.11.
Documentele achiziției
Termenul-limită pentru solicitarea de informații suplimentare: 05/08/2026 09:00:00 (UTC+00:00) ora Europei Occidentale, GMT
5.1.12.
Condițiile achiziției publice
Condițiile procedurii:
Este necesară autorizarea de securitate
Descriere: Turvallisuusselvitystä voidaan vaatia.
Condiții de depunere:
Depunere electronică: Obligatorie
Limbile în care pot fi depuse ofertele sau cererile de participare: finlandeză
Catalog electronic: Nu este permisă
Variante: Nu este permisă
Ofertanții pot depune mai multe oferte: Nu este permisă
Termenul-limită pentru primirea ofertelor: 19/08/2026 09:00:00 (UTC+00:00) ora Europei Occidentale, GMT
Durata în care oferta trebuie să rămână valabilă: 4 Luni
Informații privind deschiderea publică:
Data deschiderii: 19/08/2026 09:15:00 (UTC+00:00) ora Europei Occidentale, GMT
Clauzele contractuale:
Executarea contractului trebuie efectuată în cadrul unor programe de angajare protejată: Nu
Este necesar un acord de confidențialitate: da
Informații suplimentare privind acordul de confidențialitate: Salassapitosopimusta (NDA) voidaan vaatia.
Facturare electronică: Obligatorie
Se va utiliza comanda electronică: da
Se va utiliza plata electronică: da
5.1.15.
Aspecte tehnice
Acord-cadru:
Acord-cadru, fără reluarea procedurii concurențiale
Numărul maxim de participanți: 3
Informații despre sistemul dinamic de achiziții:
Nu există un sistem dinamic de achiziție
5.1.16.
Informații suplimentare, mediere și căi de atac
Organizația responsabilă cu căile de atac: Markkinaoikeus
Informații privind termenele-limită pentru reexaminare: Muutoksenhakumenettelyjen määräaikoihin sovelletaan julkisista hankinnoista ja käyttöoikeussopimuksista annettua lakia (1397/2016).
Organizația care furnizează mai multe informații cu privire la căile de atac: HUS-yhtymä
8. Organizații
8.1.
ORG-0001
Denumire oficială: Markkinaoikeus
Număr de înregistrare: 3006157-6
Adresă poștală: Radanrakentajantie 5
Localitate: Helsinki
Cod poștal: 00520
Subdiviziunea țării (NUTS): Helsinki-Uusimaa (FI1B1)
Țara: Finlanda
Telefon: +358 295643300
Rolurile acestei organizații:
Organizația responsabilă cu căile de atac
8.1.
ORG-0002
Denumire oficială: HUS-yhtymä
Număr de înregistrare: 1567535-0
Adresă poștală: PL 445 (Uutistie 5, 01770 Vantaa)
Localitate: HUS
Cod poștal: 00029
Subdiviziunea țării (NUTS): Helsinki-Uusimaa (FI1B1)
Țara: Finlanda
Punct de contact: ICT-hankintakategoria
Telefon: +358 947111
Rolurile acestei organizații:
Cumpărător
Organizația care furnizează mai multe informații cu privire la căile de atac
8.1.
ORG-0003
Denumire oficială: Hansel Oy (Hilma)
Număr de înregistrare: FI09880841
Adresă poștală: Mannerheiminaukio 1a
Localitate: Helsinki
Cod poștal: 00100
Subdiviziunea țării (NUTS): Helsinki-Uusimaa (FI1B1)
Țara: Finlanda
Punct de contact: eSender
Telefon: 029 55 636 30
Rolurile acestei organizații:
TED eSender
Identificatorul/versiunea anunțului: 13a3a3b7-7d3d-49c1-93e4-70158c578c2b - 01
Tip de formular: Procedură concurențială
Tip de anunț: Anunț de participare sau de concesionare - regim standard
Subtipul anunțului: 16
Data notificării expedierii: 08/07/2026 14:59:43 (UTC+00:00) ora Europei Occidentale, GMT
Data de expediere a anunțului eSender: 08/07/2026 14:59:44 (UTC+00:00) ora Europei Occidentale, GMT
Limbile în care acest anunț este disponibil oficial: finlandeză
Numărul de publicare al anunțului: 476317-2026
Numărul ediției JO S: 131/2026
Data publicării: 10/07/2026