476317-2026 - Javni razpis
Finska – Storitve računalniške revizije in preskušanja – Tietoturvatestauspalvelut
OJ S 131/2026 10/07/2026
Obvestilo o koncesiji ali naročilu – standardna ureditev
Storitve
1. Kupec
1.1.
Kupec
Uradno imeHUS-yhtymä
E-naslovkilpailutus.ict@hus.fi
Pravna vrsta kupcaRegionalni organ
Dejavnost javnega naročnikaZdravje
2. Postopek
2.1.
Postopek
NaslovTietoturvatestauspalvelut
OpisHUS-yhtymä (jäljempänä myös tilaaja tai hankintayksikkö) pyytää tarjouksia tietoturvatestauspalveluista tämän tarjouspyynnön ja sen liitteiden ehtojen mukaisesti. Tietoturvatestauksessa käytetään pääsääntöisesti määrämuotoista tietoturvamallia. Testaus noudattaa tarvittavia ja yleisesti hyväksyttyjä viitekehyksiä ja standardeja kuten CC (Common Criteria for Information Technology Security Evaluation), OWASP (Open Web Application Security Project) mukaan lukien OWASP ASVS ja OWASP LLM, WASC (Web Application Security Consortium), NIST sekä soveltuvin osin ISO IEC 27001 ja ISO IEC 27002 sekä EAL (Evaluation Assurance Level) -määrityksiä. Testaus voi sisältää tietoturvan vaatimustason määrittelyn, tietoturva-arkkitehtuurin ja keskitettyjen kontrollien läpikäynnin prosessi- ja tietojärjestelmätasolla. Testauksen perusteella laaditaan selkeät ja priorisoidut muutosehdotukset löydettyjen tietoturvapuutteiden korjaamiseksi. Tietoturvatestaus kohdistuu tietojärjestelmien lisäksi rajapintoihin, integraatioihin, pilviympäristöihin (IaaS, PaaS, SaaS), identiteetin ja pääsynhallintaratkaisuihin (IAM), mobiilisovelluksiin sekä tarvittaessa lääkintälaitteisiin liittyviin tietojärjestelmäkokonaisuuksiin. Tietoturvatestauksen sisältö voi olla esimerkiksi: - käyttöönottotarkastuksia, tietoturva-arviointeja ja kvanttivalmiuden arviointeja - toistuvia haavoittuvuusskannauksia ja haavoittuvuudenhallintaa - penetraatiotestausta (ml. web-, mobiili-, infra- ja API-testaukset sekä tarvittaessa red team -harjoitukset) - palvelunestohyökkäysten simulointia sovitussa laajuudessa - konfiguraatioiden ja tietoturva-asetusten tarkastuksia (baseline compliance) - ohjelmistokomponenttien ja riippuvuuksien tietoturvan arviointia (supply chain) - testauksen suunnittelu, toteutus, hallinta ja ylläpitotehtäviä Tekoäly- ja LLM-ratkaisujen osalta testaus kattaa erityisesti: - syötteiden ja promptien manipulointiin liittyvät riskit (prompt injection) - tietovuotoriskit ja mallien kautta tapahtuvan tiedon paljastumisen - mallien väärinkäytön ja ohittamisen riskit - käyttöoikeuksien, rajapintojen ja integraatioiden turvallisuuden - tekoälyjärjestelmien liitynnät muihin tietojärjestelmiin Testaus toteutetaan tilaajan kanssa sovittujen menettelytapojen mukaisesti. Näihin sisältyvät muun muassa testauksen rajaukset, aikataulutus, hyväksytyt testausmenetelmät, tuotantoympäristöön kohdistuvien testien erityisjärjestelyt, häiriötilanteiden hallinta sekä tietoturvallinen tietojen käsittely testauksen aikana. Lisäksi sovitaan palvelun tuottamiseen osallistuvista asiantuntijoista. Toimittaja vastaa dokumentaatiosta, joka sisältää vähintään: - testaussuunnitelman - testauksen aikaiset väliraportit - testitulokset ja havaintokohtaiset kuvaukset - loppuraportin johtopäätöksin. Raportoinnin tulee sisältää havaintojen selkeä riskiluokittelu (kriittinen, korkea, keskitaso, matala), vaikutusten arviointi sekä konkreettiset korjaussuositukset. Raporttiin tulee sisältyä myös yhteenveto sekä tekninen yksityiskohtainen kuvaus havainnoista ja testausmenetelmistä. Hankinnan kohteena oleva palvelu voi sisältää myös tietoturvatestauksen jatkuvien toimintamallien kehittämistä ja käyttöönottoa sekä testauksen integroimista osaksi ohjelmistokehityksen elinkaarta (DevSecOps). Toimittajan edellytetään sitoutuvan tilaajan tietoturva- ja tietosuojavaatimuksiin sekä huomioivan sosiaali- ja terveydenhuollon toimintaympäristön erityispiirteet, mukaan lukien potilastietojen käsittelyyn liittyvät vaatimukset.
Identifikator postopka5cc0f0cd-5b49-4473-8ae3-ec6aa6e4b4f4
Notranji identifikatorHUS 045-2026
Vrsta postopkaOdprti postopek
Postopek je pospešenne
Glavne značilnosti postopkaHankintayksikkö valitsee tässä hankintamenettelyssä puitejärjestelyyn kolme (3) toimittajaa, jollei soveltuvuusvaatimukset täyttäviä tarjoajia tai hyväksyttäviä tarjouksia ole vähemmän. Puitejärjestelyyn valitut toimittajat asetetaan tarjousvertailun perusteella etusijajärjestykseen. Puitejärjestelyyn perustuvat hankinnat tehdään etusijajärjestyksen mukaisesti ilman kilpailuttamista tarjouspyynnön liitteessä 1 kuvatun mukaisesti.
2.1.1.
Namen
Vrsta javnega naročilaStoritve
Glavna klasifikacijska oznaka (cpv): 72800000 Storitve računalniške revizije in preskušanja
Dodatna klasifikacija (cpv): 72000000 Storitve informacijske tehnologije: svetovanje, razvoj programske opreme, internet in podpora, 72220000 Storitve sistemskega in tehničnega svetovanja, 72222100 Storitve strateške revizije informacijskih sistemov ali tehnologij
2.1.2.
Kraj izvajanja
Podregija države (NUTS)Helsinki-Uusimaa (FI1B1)
DržavaFinska
Dodatne informacijeTilaaja voi edellyttää sopimuksen kohteena olevan palvelun tuottamista tilaajan tiloissa.
2.1.3.
Vrednost
Ocenjena vrednost brez DDV800 000,00 EUR
Najvišja vrednost okvirnega sporazuma800 000,00 EUR
2.1.4.
Splošne informacije
Pravna podlaga
Direktiva 2014/24/EU
2.1.6.
Razlogi za izključitev
Viri izključitvenih razlogovEnotni evropski dokument v zvezi z oddajo javnega naročilaDokument v zvezi z oddajo naročila
5. Sklop
5.1.
SklopLOT-0000
NaslovTietoturvatestauspalvelut
OpisHUS-yhtymä (jäljempänä myös tilaaja tai hankintayksikkö) pyytää tarjouksia tietoturvatestauspalveluista tämän tarjouspyynnön ja sen liitteiden ehtojen mukaisesti. Tietoturvatestauksessa käytetään pääsääntöisesti määrämuotoista tietoturvamallia. Testaus noudattaa tarvittavia ja yleisesti hyväksyttyjä viitekehyksiä ja standardeja kuten CC (Common Criteria for Information Technology Security Evaluation), OWASP (Open Web Application Security Project) mukaan lukien OWASP ASVS ja OWASP LLM, WASC (Web Application Security Consortium), NIST sekä soveltuvin osin ISO IEC 27001 ja ISO IEC 27002 sekä EAL (Evaluation Assurance Level) -määrityksiä. Testaus voi sisältää tietoturvan vaatimustason määrittelyn, tietoturva-arkkitehtuurin ja keskitettyjen kontrollien läpikäynnin prosessi- ja tietojärjestelmätasolla. Testauksen perusteella laaditaan selkeät ja priorisoidut muutosehdotukset löydettyjen tietoturvapuutteiden korjaamiseksi. Tietoturvatestaus kohdistuu tietojärjestelmien lisäksi rajapintoihin, integraatioihin, pilviympäristöihin (IaaS, PaaS, SaaS), identiteetin ja pääsynhallintaratkaisuihin (IAM), mobiilisovelluksiin sekä tarvittaessa lääkintälaitteisiin liittyviin tietojärjestelmäkokonaisuuksiin. Tietoturvatestauksen sisältö voi olla esimerkiksi: - käyttöönottotarkastuksia, tietoturva-arviointeja ja kvanttivalmiuden arviointeja - toistuvia haavoittuvuusskannauksia ja haavoittuvuudenhallintaa - penetraatiotestausta (ml. web-, mobiili-, infra- ja API-testaukset sekä tarvittaessa red team -harjoitukset) - palvelunestohyökkäysten simulointia sovitussa laajuudessa - konfiguraatioiden ja tietoturva-asetusten tarkastuksia (baseline compliance) - ohjelmistokomponenttien ja riippuvuuksien tietoturvan arviointia (supply chain) - testauksen suunnittelu, toteutus, hallinta ja ylläpitotehtäviä Tekoäly- ja LLM-ratkaisujen osalta testaus kattaa erityisesti: - syötteiden ja promptien manipulointiin liittyvät riskit (prompt injection) - tietovuotoriskit ja mallien kautta tapahtuvan tiedon paljastumisen - mallien väärinkäytön ja ohittamisen riskit - käyttöoikeuksien, rajapintojen ja integraatioiden turvallisuuden - tekoälyjärjestelmien liitynnät muihin tietojärjestelmiin Testaus toteutetaan tilaajan kanssa sovittujen menettelytapojen mukaisesti. Näihin sisältyvät muun muassa testauksen rajaukset, aikataulutus, hyväksytyt testausmenetelmät, tuotantoympäristöön kohdistuvien testien erityisjärjestelyt, häiriötilanteiden hallinta sekä tietoturvallinen tietojen käsittely testauksen aikana. Lisäksi sovitaan palvelun tuottamiseen osallistuvista asiantuntijoista. Toimittaja vastaa dokumentaatiosta, joka sisältää vähintään: - testaussuunnitelman - testauksen aikaiset väliraportit - testitulokset ja havaintokohtaiset kuvaukset - loppuraportin johtopäätöksin. Raportoinnin tulee sisältää havaintojen selkeä riskiluokittelu (kriittinen, korkea, keskitaso, matala), vaikutusten arviointi sekä konkreettiset korjaussuositukset. Raporttiin tulee sisältyä myös yhteenveto sekä tekninen yksityiskohtainen kuvaus havainnoista ja testausmenetelmistä. Hankinnan kohteena oleva palvelu voi sisältää myös tietoturvatestauksen jatkuvien toimintamallien kehittämistä ja käyttöönottoa sekä testauksen integroimista osaksi ohjelmistokehityksen elinkaarta (DevSecOps). Toimittajan edellytetään sitoutuvan tilaajan tietoturva- ja tietosuojavaatimuksiin sekä huomioivan sosiaali- ja terveydenhuollon toimintaympäristön erityispiirteet, mukaan lukien potilastietojen käsittelyyn liittyvät vaatimukset.
Notranji identifikatorHUS 045-2026
5.1.1.
Namen
Vrsta javnega naročilaStoritve
Glavna klasifikacijska oznaka (cpv): 72800000 Storitve računalniške revizije in preskušanja
Dodatna klasifikacija (cpv): 72000000 Storitve informacijske tehnologije: svetovanje, razvoj programske opreme, internet in podpora, 72220000 Storitve sistemskega in tehničnega svetovanja, 72222100 Storitve strateške revizije informacijskih sistemov ali tehnologij
5.1.2.
Kraj izvajanja
Podregija države (NUTS)Helsinki-Uusimaa (FI1B1)
DržavaFinska
Dodatne informacijeTilaaja voi edellyttää sopimuksen kohteena olevan palvelun tuottamista tilaajan tiloissa.
5.1.3.
Predvideno trajanje
Trajanje48 Meseci
5.1.5.
Vrednost
Ocenjena vrednost brez DDV800 000,00 EUR
Najvišja vrednost okvirnega sporazuma800 000,00 EUR
5.1.6.
Splošne informacije
Pridržana udeležba
Udeležba ni pridržana.
Navesti je treba imena in poklicne kvalifikacije osebja, ki izvaja javno naročiloRazpisna zahteva
Projekt javnega naročanja se ne financira s sredstvi EU
Javno naročilo je zajeto v Sporazumu o javnih naročilihda
To javno naročilo je primerno tudi za mala in srednja podjetja (MSP)da
5.1.7.
Strateško javno naročanje
Spodbujani socialni ciljPošteni delovni pogoji
5.1.9.
Merila za izbor
Viri izbirnih kriterijevEnotni evropski dokument v zvezi z oddajo javnega naročilaDokument v zvezi z oddajo naročila
5.1.10.
Merila za oddajo javnega naročila
Merilo
VrstaCena
ImeHinta
OpisAsiantuntijatyön hinta
Kategorija merila za oddajo javnega naročila težaPonder (odstotek, točen)
Številka v merilu za oddajo60
Merilo
VrstaKakovost
ImeLaatu
OpisAsiantuntijoiden kokemus ja osaaminen
Kategorija merila za oddajo javnega naročila težaPonder (odstotek, točen)
Številka v merilu za oddajo40
5.1.11.
Dokumenti v zvezi z oddajo javnega naročila
Rok za zahtevanje dodatnih informacij05/08/2026 09:00:00 (UTC+00:00) Zahodnoevropski čas, GMT
Naslov dokumentov v zvezi z oddajo javnega naročilahttps://tarjouspalvelu.fi/huslogistiikka?id=614344&tpk=e3ca2628-15f9-4666-8803-d42a6748fb82
5.1.12.
Pogoji javnega naročila
Pogoji postopka
Zahtevano je varnostno preverjanje
OpisTurvallisuusselvitystä voidaan vaatia.
Pogoji za predložitev
Elektronska predložitevObvezno
Naslov za predložitevhttps://tarjouspalvelu.fi/huslogistiikka?id=614344&tpk=e3ca2628-15f9-4666-8803-d42a6748fb82
Jeziki, v katerih se lahko oddajo ponudbe ali prijave za sodelovanjefinščina
Elektronski katalogNi dovoljeno
Variantne ponudbeNi dovoljeno
Ponudniki lahko predložijo več kot eno ponudboNi dovoljeno
Rok za prejem ponudb19/08/2026 09:00:00 (UTC+00:00) Zahodnoevropski čas, GMT
Obdobje, v katerem mora ponudba ostati veljavna4 Meseci
Informacije o javnem odpiranju
Datum odprtja19/08/2026 09:15:00 (UTC+00:00) Zahodnoevropski čas, GMT
Pogoji javnega naročila
Izvajanje javnega naročila je treba zagotoviti v okviru programov zaščitenega zaposlovanjaNe
Zahteva se sporazum o nerazkrivanju podatkovda
Dodatne informacije o sporazumu o nerazkrivanju podatkovSalassapitosopimusta (NDA) voidaan vaatia.
Elektronsko izdajanje računovObvezno
Uporabljeno bo elektronsko naročanjeda
Uporabljeno bo elektronsko plačevanjeda
5.1.15.
Tehnike
Okvirni sporazum
Okvirni sporazum brez ponovnega odpiranja konkurence
Največje število udeležencev3
Informacije o dinamičnem nabavnem sistemu
Ni dinamičnega nabavnega sistema
5.1.16.
Dodatne informacije, mediacija in revizija
Organizacija za revizijoMarkkinaoikeus
Informacije o rokih za revizijo: Muutoksenhakumenettelyjen määräaikoihin sovelletaan julkisista hankinnoista ja käyttöoikeussopimuksista annettua lakia (1397/2016).
Organizacija, ki daje dodatne informacije o revizijskih postopkihHUS-yhtymä
8. Organizacije
8.1.
ORG-0001
Uradno imeMarkkinaoikeus
Registrska številka3006157-6
Poštni naslovRadanrakentajantie 5
MestoHelsinki
Poštna številka00520
Podregija države (NUTS)Helsinki-Uusimaa (FI1B1)
DržavaFinska
E-naslovmarkkinaoikeus@oikeus.fi
Tel.+358 295643300
Spletni naslovhttp://www.oikeus.fi/markkinaoikeus
Vloge te organizacije
Organizacija za revizijo
8.1.
ORG-0002
Uradno imeHUS-yhtymä
Registrska številka1567535-0
Poštni naslovPL 445 (Uutistie 5, 01770 Vantaa)
MestoHUS
Poštna številka00029
Podregija države (NUTS)Helsinki-Uusimaa (FI1B1)
DržavaFinska
Kontaktna točkaICT-hankintakategoria
E-naslovkilpailutus.ict@hus.fi
Tel.+358 947111
Spletni naslovhttp://www.hus.fi
Vloge te organizacije
Kupec
Organizacija, ki daje dodatne informacije o revizijskih postopkih
8.1.
ORG-0003
Uradno imeHansel Oy (Hilma)
Registrska številkaFI09880841
Poštni naslovMannerheiminaukio 1a
MestoHelsinki
Poštna številka00100
Podregija države (NUTS)Helsinki-Uusimaa (FI1B1)
DržavaFinska
Kontaktna točkaeSender
E-naslovtekninen@hankintailmoitukset.fi
Tel.029 55 636 30
Spletni naslovhttp://hankintailmoitukset.fi
Vloge te organizacije
TED eSender
Informacije o obvestilu
Identifikator/različica obvestila13a3a3b7-7d3d-49c1-93e4-70158c578c2b  -  01
Vrsta obrazcaJavni razpis
Vrsta obvestilaObvestilo o koncesiji ali naročilu – standardna ureditev
Podvrsta obvestila16
Datum pošiljanja obvestila08/07/2026 14:59:43 (UTC+00:00) Zahodnoevropski čas, GMT
Datum pošiljanja obvestila (ePošiljatelja)08/07/2026 14:59:44 (UTC+00:00) Zahodnoevropski čas, GMT
Jeziki, v katerih je uradno dostopno to obvestilofinščina
Številka objave obvestila476317-2026
Številka izdaje UL S131/2026
Datum objave10/07/2026