476317-2026 - Konkurrensutsättning
Finland – Tjänster för datorloggning och -provning – Tietoturvatestauspalvelut
OJ S 131/2026 10/07/2026
Meddelande om upphandling eller koncession – standardsystem
Tjänster
1. Upphandlare
1.1.
Upphandlare
Officiellt namnHUS-yhtymä
E-postadresskilpailutus.ict@hus.fi
Köparens rättsliga statusRegional myndighet
Den upphandlande myndighetens verksamhetHälso- och sjukvård
2. Förfarande
2.1.
Förfarande
TitelTietoturvatestauspalvelut
BeskrivningHUS-yhtymä (jäljempänä myös tilaaja tai hankintayksikkö) pyytää tarjouksia tietoturvatestauspalveluista tämän tarjouspyynnön ja sen liitteiden ehtojen mukaisesti. Tietoturvatestauksessa käytetään pääsääntöisesti määrämuotoista tietoturvamallia. Testaus noudattaa tarvittavia ja yleisesti hyväksyttyjä viitekehyksiä ja standardeja kuten CC (Common Criteria for Information Technology Security Evaluation), OWASP (Open Web Application Security Project) mukaan lukien OWASP ASVS ja OWASP LLM, WASC (Web Application Security Consortium), NIST sekä soveltuvin osin ISO IEC 27001 ja ISO IEC 27002 sekä EAL (Evaluation Assurance Level) -määrityksiä. Testaus voi sisältää tietoturvan vaatimustason määrittelyn, tietoturva-arkkitehtuurin ja keskitettyjen kontrollien läpikäynnin prosessi- ja tietojärjestelmätasolla. Testauksen perusteella laaditaan selkeät ja priorisoidut muutosehdotukset löydettyjen tietoturvapuutteiden korjaamiseksi. Tietoturvatestaus kohdistuu tietojärjestelmien lisäksi rajapintoihin, integraatioihin, pilviympäristöihin (IaaS, PaaS, SaaS), identiteetin ja pääsynhallintaratkaisuihin (IAM), mobiilisovelluksiin sekä tarvittaessa lääkintälaitteisiin liittyviin tietojärjestelmäkokonaisuuksiin. Tietoturvatestauksen sisältö voi olla esimerkiksi: - käyttöönottotarkastuksia, tietoturva-arviointeja ja kvanttivalmiuden arviointeja - toistuvia haavoittuvuusskannauksia ja haavoittuvuudenhallintaa - penetraatiotestausta (ml. web-, mobiili-, infra- ja API-testaukset sekä tarvittaessa red team -harjoitukset) - palvelunestohyökkäysten simulointia sovitussa laajuudessa - konfiguraatioiden ja tietoturva-asetusten tarkastuksia (baseline compliance) - ohjelmistokomponenttien ja riippuvuuksien tietoturvan arviointia (supply chain) - testauksen suunnittelu, toteutus, hallinta ja ylläpitotehtäviä Tekoäly- ja LLM-ratkaisujen osalta testaus kattaa erityisesti: - syötteiden ja promptien manipulointiin liittyvät riskit (prompt injection) - tietovuotoriskit ja mallien kautta tapahtuvan tiedon paljastumisen - mallien väärinkäytön ja ohittamisen riskit - käyttöoikeuksien, rajapintojen ja integraatioiden turvallisuuden - tekoälyjärjestelmien liitynnät muihin tietojärjestelmiin Testaus toteutetaan tilaajan kanssa sovittujen menettelytapojen mukaisesti. Näihin sisältyvät muun muassa testauksen rajaukset, aikataulutus, hyväksytyt testausmenetelmät, tuotantoympäristöön kohdistuvien testien erityisjärjestelyt, häiriötilanteiden hallinta sekä tietoturvallinen tietojen käsittely testauksen aikana. Lisäksi sovitaan palvelun tuottamiseen osallistuvista asiantuntijoista. Toimittaja vastaa dokumentaatiosta, joka sisältää vähintään: - testaussuunnitelman - testauksen aikaiset väliraportit - testitulokset ja havaintokohtaiset kuvaukset - loppuraportin johtopäätöksin. Raportoinnin tulee sisältää havaintojen selkeä riskiluokittelu (kriittinen, korkea, keskitaso, matala), vaikutusten arviointi sekä konkreettiset korjaussuositukset. Raporttiin tulee sisältyä myös yhteenveto sekä tekninen yksityiskohtainen kuvaus havainnoista ja testausmenetelmistä. Hankinnan kohteena oleva palvelu voi sisältää myös tietoturvatestauksen jatkuvien toimintamallien kehittämistä ja käyttöönottoa sekä testauksen integroimista osaksi ohjelmistokehityksen elinkaarta (DevSecOps). Toimittajan edellytetään sitoutuvan tilaajan tietoturva- ja tietosuojavaatimuksiin sekä huomioivan sosiaali- ja terveydenhuollon toimintaympäristön erityispiirteet, mukaan lukien potilastietojen käsittelyyn liittyvät vaatimukset.
Förfarandets identifierare5cc0f0cd-5b49-4473-8ae3-ec6aa6e4b4f4
Intern identifierareHUS 045-2026
Typ av förfarandeÖppet
Förfarandet är påskyndatnej
Förfarandets viktigaste känneteckenHankintayksikkö valitsee tässä hankintamenettelyssä puitejärjestelyyn kolme (3) toimittajaa, jollei soveltuvuusvaatimukset täyttäviä tarjoajia tai hyväksyttäviä tarjouksia ole vähemmän. Puitejärjestelyyn valitut toimittajat asetetaan tarjousvertailun perusteella etusijajärjestykseen. Puitejärjestelyyn perustuvat hankinnat tehdään etusijajärjestyksen mukaisesti ilman kilpailuttamista tarjouspyynnön liitteessä 1 kuvatun mukaisesti.
2.1.1.
Föremålet för upphandlingen
Kontraktets artTjänster
Huvudklassificering (cpv): 72800000 Tjänster för datorloggning och -provning
Ytterligare klassificering (cpv): 72000000 IT-tjänster: konsultverksamhet, programvaruutveckling, Internet och stöd, 72220000 Systemtjänster och tekniska konsulttjänster, 72222100 Strategisk granskning av informationssystem eller informationsteknik
2.1.2.
Leveransplats
Del av land (NUTS)Helsinki-Uusimaa (FI1B1)
LandFinland
Kompletterande informationTilaaja voi edellyttää sopimuksen kohteena olevan palvelun tuottamista tilaajan tiloissa.
2.1.3.
Värde
Beräknat värde exklusive moms800 000,00 EUR
Högsta värde för ramavtalet800 000,00 EUR
2.1.4.
Allmänna upplysningar
Rättslig grund
Direktiv 2014/24/EU
2.1.6.
Uteslutningsgrunder
Källor till uteslutningsgrunderEuropeiskt enhetligt upphandlingsdokumentUpphandlingsdokument
5. Del (anbudsområde)
5.1.
Del (anbudsområde)LOT-0000
TitelTietoturvatestauspalvelut
BeskrivningHUS-yhtymä (jäljempänä myös tilaaja tai hankintayksikkö) pyytää tarjouksia tietoturvatestauspalveluista tämän tarjouspyynnön ja sen liitteiden ehtojen mukaisesti. Tietoturvatestauksessa käytetään pääsääntöisesti määrämuotoista tietoturvamallia. Testaus noudattaa tarvittavia ja yleisesti hyväksyttyjä viitekehyksiä ja standardeja kuten CC (Common Criteria for Information Technology Security Evaluation), OWASP (Open Web Application Security Project) mukaan lukien OWASP ASVS ja OWASP LLM, WASC (Web Application Security Consortium), NIST sekä soveltuvin osin ISO IEC 27001 ja ISO IEC 27002 sekä EAL (Evaluation Assurance Level) -määrityksiä. Testaus voi sisältää tietoturvan vaatimustason määrittelyn, tietoturva-arkkitehtuurin ja keskitettyjen kontrollien läpikäynnin prosessi- ja tietojärjestelmätasolla. Testauksen perusteella laaditaan selkeät ja priorisoidut muutosehdotukset löydettyjen tietoturvapuutteiden korjaamiseksi. Tietoturvatestaus kohdistuu tietojärjestelmien lisäksi rajapintoihin, integraatioihin, pilviympäristöihin (IaaS, PaaS, SaaS), identiteetin ja pääsynhallintaratkaisuihin (IAM), mobiilisovelluksiin sekä tarvittaessa lääkintälaitteisiin liittyviin tietojärjestelmäkokonaisuuksiin. Tietoturvatestauksen sisältö voi olla esimerkiksi: - käyttöönottotarkastuksia, tietoturva-arviointeja ja kvanttivalmiuden arviointeja - toistuvia haavoittuvuusskannauksia ja haavoittuvuudenhallintaa - penetraatiotestausta (ml. web-, mobiili-, infra- ja API-testaukset sekä tarvittaessa red team -harjoitukset) - palvelunestohyökkäysten simulointia sovitussa laajuudessa - konfiguraatioiden ja tietoturva-asetusten tarkastuksia (baseline compliance) - ohjelmistokomponenttien ja riippuvuuksien tietoturvan arviointia (supply chain) - testauksen suunnittelu, toteutus, hallinta ja ylläpitotehtäviä Tekoäly- ja LLM-ratkaisujen osalta testaus kattaa erityisesti: - syötteiden ja promptien manipulointiin liittyvät riskit (prompt injection) - tietovuotoriskit ja mallien kautta tapahtuvan tiedon paljastumisen - mallien väärinkäytön ja ohittamisen riskit - käyttöoikeuksien, rajapintojen ja integraatioiden turvallisuuden - tekoälyjärjestelmien liitynnät muihin tietojärjestelmiin Testaus toteutetaan tilaajan kanssa sovittujen menettelytapojen mukaisesti. Näihin sisältyvät muun muassa testauksen rajaukset, aikataulutus, hyväksytyt testausmenetelmät, tuotantoympäristöön kohdistuvien testien erityisjärjestelyt, häiriötilanteiden hallinta sekä tietoturvallinen tietojen käsittely testauksen aikana. Lisäksi sovitaan palvelun tuottamiseen osallistuvista asiantuntijoista. Toimittaja vastaa dokumentaatiosta, joka sisältää vähintään: - testaussuunnitelman - testauksen aikaiset väliraportit - testitulokset ja havaintokohtaiset kuvaukset - loppuraportin johtopäätöksin. Raportoinnin tulee sisältää havaintojen selkeä riskiluokittelu (kriittinen, korkea, keskitaso, matala), vaikutusten arviointi sekä konkreettiset korjaussuositukset. Raporttiin tulee sisältyä myös yhteenveto sekä tekninen yksityiskohtainen kuvaus havainnoista ja testausmenetelmistä. Hankinnan kohteena oleva palvelu voi sisältää myös tietoturvatestauksen jatkuvien toimintamallien kehittämistä ja käyttöönottoa sekä testauksen integroimista osaksi ohjelmistokehityksen elinkaarta (DevSecOps). Toimittajan edellytetään sitoutuvan tilaajan tietoturva- ja tietosuojavaatimuksiin sekä huomioivan sosiaali- ja terveydenhuollon toimintaympäristön erityispiirteet, mukaan lukien potilastietojen käsittelyyn liittyvät vaatimukset.
Intern identifierareHUS 045-2026
5.1.1.
Föremålet för upphandlingen
Kontraktets artTjänster
Huvudklassificering (cpv): 72800000 Tjänster för datorloggning och -provning
Ytterligare klassificering (cpv): 72000000 IT-tjänster: konsultverksamhet, programvaruutveckling, Internet och stöd, 72220000 Systemtjänster och tekniska konsulttjänster, 72222100 Strategisk granskning av informationssystem eller informationsteknik
5.1.2.
Leveransplats
Del av land (NUTS)Helsinki-Uusimaa (FI1B1)
LandFinland
Kompletterande informationTilaaja voi edellyttää sopimuksen kohteena olevan palvelun tuottamista tilaajan tiloissa.
5.1.3.
Uppskattad löptid
Varaktighet48 Månader
5.1.5.
Värde
Beräknat värde exklusive moms800 000,00 EUR
Högsta värde för ramavtalet800 000,00 EUR
5.1.6.
Allmänna upplysningar
Reserverad upphandling
Deltagande är inte reserverat.
Namn på och yrkeskvalifikationer för den personal som ska utföra kontraktet måste angesSka anges i anbudet
Upphandlingsprojekt som inte finansieras med EU-medel
Upphandlingen omfattas av Världshandelsorganisationens avtal om offentlig upphandling, GPAja
Upphandlingen är också lämplig för små och medelstora företagja
5.1.7.
Strategisk upphandling
Socialt mål som främjasRättvisa arbetsvillkor
5.1.9.
Urvalskriterier
Källor till urvalskriterierEuropeiskt enhetligt upphandlingsdokumentUpphandlingsdokument
5.1.10.
Tilldelningskriterier
Kriterium
TypPris
NamnHinta
BeskrivningAsiantuntijatyön hinta
Kategori av tilldelningskriteriet viktViktning (procentandel, exakt)
Sifferangivelse för tilldelningskriterium60
Kriterium
TypKvalitet
NamnLaatu
BeskrivningAsiantuntijoiden kokemus ja osaaminen
Kategori av tilldelningskriteriet viktViktning (procentandel, exakt)
Sifferangivelse för tilldelningskriterium40
5.1.11.
Upphandlingsdokument
Sista dag för att begära kompletterande information05/08/2026 09:00:00 (UTC+00:00) Västeuropeisk tid
Adress till upphandlingsdokumentenhttps://tarjouspalvelu.fi/huslogistiikka?id=614344&tpk=e3ca2628-15f9-4666-8803-d42a6748fb82
5.1.12.
Upphandlingsvillkor
Villkor för förfarandet
Säkerhetsprövning krävs
BeskrivningTurvallisuusselvitystä voidaan vaatia.
Villkor för inlämning
Elektronisk inlämningKrävs
Adress för inlämninghttps://tarjouspalvelu.fi/huslogistiikka?id=614344&tpk=e3ca2628-15f9-4666-8803-d42a6748fb82
De språk som kan användas i anbuden eller anbudsansökningarnafinska
Elektronisk katalogEj tillåten
Alternativa anbudEj tillåten
Anbudsgivare får lämna in fler än ett anbudEj tillåten
Tidsfrist för mottagande av anbud19/08/2026 09:00:00 (UTC+00:00) Västeuropeisk tid
Varaktighet under vilken anbudet måste förbli giltigt4 Månader
Information om offentlig anbudsöppning
Öppningsdatum19/08/2026 09:15:00 (UTC+00:00) Västeuropeisk tid
Kontraktsvillkor
Kontraktet måste genomföras inom ramen för program för skyddad anställningNej
Sekretessavtal krävsja
Kompletterande information om sekretessavtaletSalassapitosopimusta (NDA) voidaan vaatia.
Elektronisk faktureringKrävs
Elektronisk beställning kommer att användasja
Elektronisk betalning kommer att användasja
5.1.15.
Metoder
Ramavtal
Ramavtal utan förnyad konkurrensutsättning
Högst antal deltagare3
Information om det dynamiska inköpssystemet
Upphandlingen avser inte ett dynamiskt inköpssystem
5.1.16.
Kompletterande information, medling och prövning
PrövningsorganisationMarkkinaoikeus
Information om tidsfrist för prövning: Muutoksenhakumenettelyjen määräaikoihin sovelletaan julkisista hankinnoista ja käyttöoikeussopimuksista annettua lakia (1397/2016).
Organisation som ger mer information om prövningsförfarandenHUS-yhtymä
8. Organisationer
8.1.
ORG-0001
Officiellt namnMarkkinaoikeus
Registreringsnummer3006157-6
PostadressRadanrakentajantie 5
OrtHelsinki
Postnummer00520
Del av land (NUTS)Helsinki-Uusimaa (FI1B1)
LandFinland
E-postadressmarkkinaoikeus@oikeus.fi
Tfn+358 295643300
Webbadresshttp://www.oikeus.fi/markkinaoikeus
Den här organisationens roller
Prövningsorganisation
8.1.
ORG-0002
Officiellt namnHUS-yhtymä
Registreringsnummer1567535-0
PostadressPL 445 (Uutistie 5, 01770 Vantaa)
OrtHUS
Postnummer00029
Del av land (NUTS)Helsinki-Uusimaa (FI1B1)
LandFinland
KontaktpunktICT-hankintakategoria
E-postadresskilpailutus.ict@hus.fi
Tfn+358 947111
Webbadresshttp://www.hus.fi
Den här organisationens roller
Upphandlare
Organisation som ger mer information om prövningsförfaranden
8.1.
ORG-0003
Officiellt namnHansel Oy (Hilma)
RegistreringsnummerFI09880841
PostadressMannerheiminaukio 1a
OrtHelsinki
Postnummer00100
Del av land (NUTS)Helsinki-Uusimaa (FI1B1)
LandFinland
KontaktpunkteSender
E-postadresstekninen@hankintailmoitukset.fi
Tfn029 55 636 30
Webbadresshttp://hankintailmoitukset.fi
Den här organisationens roller
TED eSender
Information om meddelandet
Identifierare/version för meddelandet13a3a3b7-7d3d-49c1-93e4-70158c578c2b  -  01
FormulärtypKonkurrensutsättning
MeddelandetypMeddelande om upphandling eller koncession – standardsystem
Meddelandets undertyp16
Avsändningsdatum för meddelandet08/07/2026 14:59:43 (UTC+00:00) Västeuropeisk tid
Datum för avsändning av meddelandet (eSender)08/07/2026 14:59:44 (UTC+00:00) Västeuropeisk tid
Språk som det här meddelandet finns officiellt tillgängligt påfinska
Meddelandets publiceringsnummer476317-2026
EUT S-nummer131/2026
Publiceringsdatum10/07/2026