1. Kupec
1.1.
Kupec
Uradno ime: HUS-yhtymä
Pravna vrsta kupca: Regionalni organ
Dejavnost javnega naročnika: Zdravje
2. Postopek
2.1.
Postopek
Naslov: Tietoturvatestauspalvelut
Opis: HUS-yhtymä (jäljempänä myös tilaaja tai hankintayksikkö) pyytää tarjouksia tietoturvatestauspalveluista tämän tarjouspyynnön ja sen liitteiden ehtojen mukaisesti. Tietoturvatestauksessa käytetään pääsääntöisesti määrämuotoista tietoturvamallia. Testaus noudattaa tarvittavia ja yleisesti hyväksyttyjä viitekehyksiä ja standardeja kuten CC (Common Criteria for Information Technology Security Evaluation), OWASP (Open Web Application Security Project) mukaan lukien OWASP ASVS ja OWASP LLM, WASC (Web Application Security Consortium), NIST sekä soveltuvin osin ISO IEC 27001 ja ISO IEC 27002 sekä EAL (Evaluation Assurance Level) -määrityksiä. Testaus voi sisältää tietoturvan vaatimustason määrittelyn, tietoturva-arkkitehtuurin ja keskitettyjen kontrollien läpikäynnin prosessi- ja tietojärjestelmätasolla. Testauksen perusteella laaditaan selkeät ja priorisoidut muutosehdotukset löydettyjen tietoturvapuutteiden korjaamiseksi. Tietoturvatestaus kohdistuu tietojärjestelmien lisäksi rajapintoihin, integraatioihin, pilviympäristöihin (IaaS, PaaS, SaaS), identiteetin ja pääsynhallintaratkaisuihin (IAM), mobiilisovelluksiin sekä tarvittaessa lääkintälaitteisiin liittyviin tietojärjestelmäkokonaisuuksiin. Tietoturvatestauksen sisältö voi olla esimerkiksi: - käyttöönottotarkastuksia, tietoturva-arviointeja ja kvanttivalmiuden arviointeja - toistuvia haavoittuvuusskannauksia ja haavoittuvuudenhallintaa - penetraatiotestausta (ml. web-, mobiili-, infra- ja API-testaukset sekä tarvittaessa red team -harjoitukset) - palvelunestohyökkäysten simulointia sovitussa laajuudessa - konfiguraatioiden ja tietoturva-asetusten tarkastuksia (baseline compliance) - ohjelmistokomponenttien ja riippuvuuksien tietoturvan arviointia (supply chain) - testauksen suunnittelu, toteutus, hallinta ja ylläpitotehtäviä Tekoäly- ja LLM-ratkaisujen osalta testaus kattaa erityisesti: - syötteiden ja promptien manipulointiin liittyvät riskit (prompt injection) - tietovuotoriskit ja mallien kautta tapahtuvan tiedon paljastumisen - mallien väärinkäytön ja ohittamisen riskit - käyttöoikeuksien, rajapintojen ja integraatioiden turvallisuuden - tekoälyjärjestelmien liitynnät muihin tietojärjestelmiin Testaus toteutetaan tilaajan kanssa sovittujen menettelytapojen mukaisesti. Näihin sisältyvät muun muassa testauksen rajaukset, aikataulutus, hyväksytyt testausmenetelmät, tuotantoympäristöön kohdistuvien testien erityisjärjestelyt, häiriötilanteiden hallinta sekä tietoturvallinen tietojen käsittely testauksen aikana. Lisäksi sovitaan palvelun tuottamiseen osallistuvista asiantuntijoista. Toimittaja vastaa dokumentaatiosta, joka sisältää vähintään: - testaussuunnitelman - testauksen aikaiset väliraportit - testitulokset ja havaintokohtaiset kuvaukset - loppuraportin johtopäätöksin. Raportoinnin tulee sisältää havaintojen selkeä riskiluokittelu (kriittinen, korkea, keskitaso, matala), vaikutusten arviointi sekä konkreettiset korjaussuositukset. Raporttiin tulee sisältyä myös yhteenveto sekä tekninen yksityiskohtainen kuvaus havainnoista ja testausmenetelmistä. Hankinnan kohteena oleva palvelu voi sisältää myös tietoturvatestauksen jatkuvien toimintamallien kehittämistä ja käyttöönottoa sekä testauksen integroimista osaksi ohjelmistokehityksen elinkaarta (DevSecOps). Toimittajan edellytetään sitoutuvan tilaajan tietoturva- ja tietosuojavaatimuksiin sekä huomioivan sosiaali- ja terveydenhuollon toimintaympäristön erityispiirteet, mukaan lukien potilastietojen käsittelyyn liittyvät vaatimukset.
Identifikator postopka: 5cc0f0cd-5b49-4473-8ae3-ec6aa6e4b4f4
Notranji identifikator: HUS 045-2026
Vrsta postopka: Odprti postopek
Postopek je pospešen: ne
Glavne značilnosti postopka: Hankintayksikkö valitsee tässä hankintamenettelyssä puitejärjestelyyn kolme (3) toimittajaa, jollei soveltuvuusvaatimukset täyttäviä tarjoajia tai hyväksyttäviä tarjouksia ole vähemmän. Puitejärjestelyyn valitut toimittajat asetetaan tarjousvertailun perusteella etusijajärjestykseen. Puitejärjestelyyn perustuvat hankinnat tehdään etusijajärjestyksen mukaisesti ilman kilpailuttamista tarjouspyynnön liitteessä 1 kuvatun mukaisesti.
2.1.1.
Namen
Vrsta javnega naročila: Storitve
Glavna klasifikacijska oznaka (cpv): 72800000 Storitve računalniške revizije in preskušanja
Dodatna klasifikacija (cpv): 72000000 Storitve informacijske tehnologije: svetovanje, razvoj programske opreme, internet in podpora, 72220000 Storitve sistemskega in tehničnega svetovanja, 72222100 Storitve strateške revizije informacijskih sistemov ali tehnologij
2.1.2.
Kraj izvajanja
Podregija države (NUTS): Helsinki-Uusimaa (FI1B1)
Država: Finska
Dodatne informacije: Tilaaja voi edellyttää sopimuksen kohteena olevan palvelun tuottamista tilaajan tiloissa.
2.1.3.
Vrednost
Ocenjena vrednost brez DDV: 800 000,00 EUR
Najvišja vrednost okvirnega sporazuma: 800 000,00 EUR
2.1.4.
Splošne informacije
Pravna podlaga:
Direktiva 2014/24/EU
2.1.6.
Razlogi za izključitev
Viri izključitvenih razlogov: Enotni evropski dokument v zvezi z oddajo javnega naročila, Dokument v zvezi z oddajo naročila
5. Sklop
5.1.
Sklop: LOT-0000
Naslov: Tietoturvatestauspalvelut
Opis: HUS-yhtymä (jäljempänä myös tilaaja tai hankintayksikkö) pyytää tarjouksia tietoturvatestauspalveluista tämän tarjouspyynnön ja sen liitteiden ehtojen mukaisesti. Tietoturvatestauksessa käytetään pääsääntöisesti määrämuotoista tietoturvamallia. Testaus noudattaa tarvittavia ja yleisesti hyväksyttyjä viitekehyksiä ja standardeja kuten CC (Common Criteria for Information Technology Security Evaluation), OWASP (Open Web Application Security Project) mukaan lukien OWASP ASVS ja OWASP LLM, WASC (Web Application Security Consortium), NIST sekä soveltuvin osin ISO IEC 27001 ja ISO IEC 27002 sekä EAL (Evaluation Assurance Level) -määrityksiä. Testaus voi sisältää tietoturvan vaatimustason määrittelyn, tietoturva-arkkitehtuurin ja keskitettyjen kontrollien läpikäynnin prosessi- ja tietojärjestelmätasolla. Testauksen perusteella laaditaan selkeät ja priorisoidut muutosehdotukset löydettyjen tietoturvapuutteiden korjaamiseksi. Tietoturvatestaus kohdistuu tietojärjestelmien lisäksi rajapintoihin, integraatioihin, pilviympäristöihin (IaaS, PaaS, SaaS), identiteetin ja pääsynhallintaratkaisuihin (IAM), mobiilisovelluksiin sekä tarvittaessa lääkintälaitteisiin liittyviin tietojärjestelmäkokonaisuuksiin. Tietoturvatestauksen sisältö voi olla esimerkiksi: - käyttöönottotarkastuksia, tietoturva-arviointeja ja kvanttivalmiuden arviointeja - toistuvia haavoittuvuusskannauksia ja haavoittuvuudenhallintaa - penetraatiotestausta (ml. web-, mobiili-, infra- ja API-testaukset sekä tarvittaessa red team -harjoitukset) - palvelunestohyökkäysten simulointia sovitussa laajuudessa - konfiguraatioiden ja tietoturva-asetusten tarkastuksia (baseline compliance) - ohjelmistokomponenttien ja riippuvuuksien tietoturvan arviointia (supply chain) - testauksen suunnittelu, toteutus, hallinta ja ylläpitotehtäviä Tekoäly- ja LLM-ratkaisujen osalta testaus kattaa erityisesti: - syötteiden ja promptien manipulointiin liittyvät riskit (prompt injection) - tietovuotoriskit ja mallien kautta tapahtuvan tiedon paljastumisen - mallien väärinkäytön ja ohittamisen riskit - käyttöoikeuksien, rajapintojen ja integraatioiden turvallisuuden - tekoälyjärjestelmien liitynnät muihin tietojärjestelmiin Testaus toteutetaan tilaajan kanssa sovittujen menettelytapojen mukaisesti. Näihin sisältyvät muun muassa testauksen rajaukset, aikataulutus, hyväksytyt testausmenetelmät, tuotantoympäristöön kohdistuvien testien erityisjärjestelyt, häiriötilanteiden hallinta sekä tietoturvallinen tietojen käsittely testauksen aikana. Lisäksi sovitaan palvelun tuottamiseen osallistuvista asiantuntijoista. Toimittaja vastaa dokumentaatiosta, joka sisältää vähintään: - testaussuunnitelman - testauksen aikaiset väliraportit - testitulokset ja havaintokohtaiset kuvaukset - loppuraportin johtopäätöksin. Raportoinnin tulee sisältää havaintojen selkeä riskiluokittelu (kriittinen, korkea, keskitaso, matala), vaikutusten arviointi sekä konkreettiset korjaussuositukset. Raporttiin tulee sisältyä myös yhteenveto sekä tekninen yksityiskohtainen kuvaus havainnoista ja testausmenetelmistä. Hankinnan kohteena oleva palvelu voi sisältää myös tietoturvatestauksen jatkuvien toimintamallien kehittämistä ja käyttöönottoa sekä testauksen integroimista osaksi ohjelmistokehityksen elinkaarta (DevSecOps). Toimittajan edellytetään sitoutuvan tilaajan tietoturva- ja tietosuojavaatimuksiin sekä huomioivan sosiaali- ja terveydenhuollon toimintaympäristön erityispiirteet, mukaan lukien potilastietojen käsittelyyn liittyvät vaatimukset.
Notranji identifikator: HUS 045-2026
5.1.1.
Namen
Vrsta javnega naročila: Storitve
Glavna klasifikacijska oznaka (cpv): 72800000 Storitve računalniške revizije in preskušanja
Dodatna klasifikacija (cpv): 72000000 Storitve informacijske tehnologije: svetovanje, razvoj programske opreme, internet in podpora, 72220000 Storitve sistemskega in tehničnega svetovanja, 72222100 Storitve strateške revizije informacijskih sistemov ali tehnologij
5.1.2.
Kraj izvajanja
Podregija države (NUTS): Helsinki-Uusimaa (FI1B1)
Država: Finska
Dodatne informacije: Tilaaja voi edellyttää sopimuksen kohteena olevan palvelun tuottamista tilaajan tiloissa.
5.1.3.
Predvideno trajanje
Trajanje: 48 Meseci
5.1.5.
Vrednost
Ocenjena vrednost brez DDV: 800 000,00 EUR
Najvišja vrednost okvirnega sporazuma: 800 000,00 EUR
5.1.6.
Splošne informacije
Pridržana udeležba:
Udeležba ni pridržana.
Navesti je treba imena in poklicne kvalifikacije osebja, ki izvaja javno naročilo: Razpisna zahteva
Projekt javnega naročanja se ne financira s sredstvi EU
Javno naročilo je zajeto v Sporazumu o javnih naročilih: da
To javno naročilo je primerno tudi za mala in srednja podjetja (MSP): da
5.1.7.
Strateško javno naročanje
Spodbujani socialni cilj: Pošteni delovni pogoji
5.1.9.
Merila za izbor
Viri izbirnih kriterijev: Enotni evropski dokument v zvezi z oddajo javnega naročila, Dokument v zvezi z oddajo naročila
5.1.10.
Merila za oddajo javnega naročila
Merilo:
Vrsta: Cena
Ime: Hinta
Opis: Asiantuntijatyön hinta
Kategorija merila za oddajo javnega naročila teža: Ponder (odstotek, točen)
Številka v merilu za oddajo: 60
Merilo:
Vrsta: Kakovost
Ime: Laatu
Opis: Asiantuntijoiden kokemus ja osaaminen
Kategorija merila za oddajo javnega naročila teža: Ponder (odstotek, točen)
Številka v merilu za oddajo: 40
5.1.11.
Dokumenti v zvezi z oddajo javnega naročila
Rok za zahtevanje dodatnih informacij: 05/08/2026 09:00:00 (UTC+00:00) Zahodnoevropski čas, GMT
5.1.12.
Pogoji javnega naročila
Pogoji postopka:
Zahtevano je varnostno preverjanje
Opis: Turvallisuusselvitystä voidaan vaatia.
Pogoji za predložitev:
Elektronska predložitev: Obvezno
Jeziki, v katerih se lahko oddajo ponudbe ali prijave za sodelovanje: finščina
Elektronski katalog: Ni dovoljeno
Variantne ponudbe: Ni dovoljeno
Ponudniki lahko predložijo več kot eno ponudbo: Ni dovoljeno
Rok za prejem ponudb: 19/08/2026 09:00:00 (UTC+00:00) Zahodnoevropski čas, GMT
Obdobje, v katerem mora ponudba ostati veljavna: 4 Meseci
Informacije o javnem odpiranju:
Datum odprtja: 19/08/2026 09:15:00 (UTC+00:00) Zahodnoevropski čas, GMT
Pogoji javnega naročila:
Izvajanje javnega naročila je treba zagotoviti v okviru programov zaščitenega zaposlovanja: Ne
Zahteva se sporazum o nerazkrivanju podatkov: da
Dodatne informacije o sporazumu o nerazkrivanju podatkov: Salassapitosopimusta (NDA) voidaan vaatia.
Elektronsko izdajanje računov: Obvezno
Uporabljeno bo elektronsko naročanje: da
Uporabljeno bo elektronsko plačevanje: da
5.1.15.
Tehnike
Okvirni sporazum:
Okvirni sporazum brez ponovnega odpiranja konkurence
Največje število udeležencev: 3
Informacije o dinamičnem nabavnem sistemu:
Ni dinamičnega nabavnega sistema
5.1.16.
Dodatne informacije, mediacija in revizija
Organizacija za revizijo: Markkinaoikeus
Informacije o rokih za revizijo: Muutoksenhakumenettelyjen määräaikoihin sovelletaan julkisista hankinnoista ja käyttöoikeussopimuksista annettua lakia (1397/2016).
Organizacija, ki daje dodatne informacije o revizijskih postopkih: HUS-yhtymä
8. Organizacije
8.1.
ORG-0001
Uradno ime: Markkinaoikeus
Registrska številka: 3006157-6
Poštni naslov: Radanrakentajantie 5
Mesto: Helsinki
Poštna številka: 00520
Podregija države (NUTS): Helsinki-Uusimaa (FI1B1)
Država: Finska
Tel.: +358 295643300
Vloge te organizacije:
Organizacija za revizijo
8.1.
ORG-0002
Uradno ime: HUS-yhtymä
Registrska številka: 1567535-0
Poštni naslov: PL 445 (Uutistie 5, 01770 Vantaa)
Mesto: HUS
Poštna številka: 00029
Podregija države (NUTS): Helsinki-Uusimaa (FI1B1)
Država: Finska
Kontaktna točka: ICT-hankintakategoria
Tel.: +358 947111
Vloge te organizacije:
Kupec
Organizacija, ki daje dodatne informacije o revizijskih postopkih
8.1.
ORG-0003
Uradno ime: Hansel Oy (Hilma)
Registrska številka: FI09880841
Poštni naslov: Mannerheiminaukio 1a
Mesto: Helsinki
Poštna številka: 00100
Podregija države (NUTS): Helsinki-Uusimaa (FI1B1)
Država: Finska
Kontaktna točka: eSender
Tel.: 029 55 636 30
Vloge te organizacije:
TED eSender
Identifikator/različica obvestila: 13a3a3b7-7d3d-49c1-93e4-70158c578c2b - 01
Vrsta obrazca: Javni razpis
Vrsta obvestila: Obvestilo o koncesiji ali naročilu – standardna ureditev
Podvrsta obvestila: 16
Datum pošiljanja obvestila: 08/07/2026 14:59:43 (UTC+00:00) Zahodnoevropski čas, GMT
Datum pošiljanja obvestila (ePošiljatelja): 08/07/2026 14:59:44 (UTC+00:00) Zahodnoevropski čas, GMT
Jeziki, v katerih je uradno dostopno to obvestilo: finščina
Številka objave obvestila: 476317-2026
Številka izdaje UL S: 131/2026
Datum objave: 10/07/2026