1. Upphandlare
1.1.
Upphandlare
Officiellt namn: HUS-yhtymä
Köparens rättsliga status: Regional myndighet
Den upphandlande myndighetens verksamhet: Hälso- och sjukvård
2. Förfarande
2.1.
Förfarande
Titel: Tietoturvatestauspalvelut
Beskrivning: HUS-yhtymä (jäljempänä myös tilaaja tai hankintayksikkö) pyytää tarjouksia tietoturvatestauspalveluista tämän tarjouspyynnön ja sen liitteiden ehtojen mukaisesti. Tietoturvatestauksessa käytetään pääsääntöisesti määrämuotoista tietoturvamallia. Testaus noudattaa tarvittavia ja yleisesti hyväksyttyjä viitekehyksiä ja standardeja kuten CC (Common Criteria for Information Technology Security Evaluation), OWASP (Open Web Application Security Project) mukaan lukien OWASP ASVS ja OWASP LLM, WASC (Web Application Security Consortium), NIST sekä soveltuvin osin ISO IEC 27001 ja ISO IEC 27002 sekä EAL (Evaluation Assurance Level) -määrityksiä. Testaus voi sisältää tietoturvan vaatimustason määrittelyn, tietoturva-arkkitehtuurin ja keskitettyjen kontrollien läpikäynnin prosessi- ja tietojärjestelmätasolla. Testauksen perusteella laaditaan selkeät ja priorisoidut muutosehdotukset löydettyjen tietoturvapuutteiden korjaamiseksi. Tietoturvatestaus kohdistuu tietojärjestelmien lisäksi rajapintoihin, integraatioihin, pilviympäristöihin (IaaS, PaaS, SaaS), identiteetin ja pääsynhallintaratkaisuihin (IAM), mobiilisovelluksiin sekä tarvittaessa lääkintälaitteisiin liittyviin tietojärjestelmäkokonaisuuksiin. Tietoturvatestauksen sisältö voi olla esimerkiksi: - käyttöönottotarkastuksia, tietoturva-arviointeja ja kvanttivalmiuden arviointeja - toistuvia haavoittuvuusskannauksia ja haavoittuvuudenhallintaa - penetraatiotestausta (ml. web-, mobiili-, infra- ja API-testaukset sekä tarvittaessa red team -harjoitukset) - palvelunestohyökkäysten simulointia sovitussa laajuudessa - konfiguraatioiden ja tietoturva-asetusten tarkastuksia (baseline compliance) - ohjelmistokomponenttien ja riippuvuuksien tietoturvan arviointia (supply chain) - testauksen suunnittelu, toteutus, hallinta ja ylläpitotehtäviä Tekoäly- ja LLM-ratkaisujen osalta testaus kattaa erityisesti: - syötteiden ja promptien manipulointiin liittyvät riskit (prompt injection) - tietovuotoriskit ja mallien kautta tapahtuvan tiedon paljastumisen - mallien väärinkäytön ja ohittamisen riskit - käyttöoikeuksien, rajapintojen ja integraatioiden turvallisuuden - tekoälyjärjestelmien liitynnät muihin tietojärjestelmiin Testaus toteutetaan tilaajan kanssa sovittujen menettelytapojen mukaisesti. Näihin sisältyvät muun muassa testauksen rajaukset, aikataulutus, hyväksytyt testausmenetelmät, tuotantoympäristöön kohdistuvien testien erityisjärjestelyt, häiriötilanteiden hallinta sekä tietoturvallinen tietojen käsittely testauksen aikana. Lisäksi sovitaan palvelun tuottamiseen osallistuvista asiantuntijoista. Toimittaja vastaa dokumentaatiosta, joka sisältää vähintään: - testaussuunnitelman - testauksen aikaiset väliraportit - testitulokset ja havaintokohtaiset kuvaukset - loppuraportin johtopäätöksin. Raportoinnin tulee sisältää havaintojen selkeä riskiluokittelu (kriittinen, korkea, keskitaso, matala), vaikutusten arviointi sekä konkreettiset korjaussuositukset. Raporttiin tulee sisältyä myös yhteenveto sekä tekninen yksityiskohtainen kuvaus havainnoista ja testausmenetelmistä. Hankinnan kohteena oleva palvelu voi sisältää myös tietoturvatestauksen jatkuvien toimintamallien kehittämistä ja käyttöönottoa sekä testauksen integroimista osaksi ohjelmistokehityksen elinkaarta (DevSecOps). Toimittajan edellytetään sitoutuvan tilaajan tietoturva- ja tietosuojavaatimuksiin sekä huomioivan sosiaali- ja terveydenhuollon toimintaympäristön erityispiirteet, mukaan lukien potilastietojen käsittelyyn liittyvät vaatimukset.
Förfarandets identifierare: 5cc0f0cd-5b49-4473-8ae3-ec6aa6e4b4f4
Intern identifierare: HUS 045-2026
Typ av förfarande: Öppet
Förfarandet är påskyndat: nej
Förfarandets viktigaste kännetecken: Hankintayksikkö valitsee tässä hankintamenettelyssä puitejärjestelyyn kolme (3) toimittajaa, jollei soveltuvuusvaatimukset täyttäviä tarjoajia tai hyväksyttäviä tarjouksia ole vähemmän. Puitejärjestelyyn valitut toimittajat asetetaan tarjousvertailun perusteella etusijajärjestykseen. Puitejärjestelyyn perustuvat hankinnat tehdään etusijajärjestyksen mukaisesti ilman kilpailuttamista tarjouspyynnön liitteessä 1 kuvatun mukaisesti.
2.1.1.
Föremålet för upphandlingen
Kontraktets art: Tjänster
Huvudklassificering (cpv): 72800000 Tjänster för datorloggning och -provning
Ytterligare klassificering (cpv): 72000000 IT-tjänster: konsultverksamhet, programvaruutveckling, Internet och stöd, 72220000 Systemtjänster och tekniska konsulttjänster, 72222100 Strategisk granskning av informationssystem eller informationsteknik
2.1.2.
Leveransplats
Del av land (NUTS): Helsinki-Uusimaa (FI1B1)
Land: Finland
Kompletterande information: Tilaaja voi edellyttää sopimuksen kohteena olevan palvelun tuottamista tilaajan tiloissa.
2.1.3.
Värde
Beräknat värde exklusive moms: 800 000,00 EUR
Högsta värde för ramavtalet: 800 000,00 EUR
2.1.4.
Allmänna upplysningar
Rättslig grund:
Direktiv 2014/24/EU
2.1.6.
Uteslutningsgrunder
Källor till uteslutningsgrunder: Europeiskt enhetligt upphandlingsdokument, Upphandlingsdokument
5. Del (anbudsområde)
5.1.
Del (anbudsområde): LOT-0000
Titel: Tietoturvatestauspalvelut
Beskrivning: HUS-yhtymä (jäljempänä myös tilaaja tai hankintayksikkö) pyytää tarjouksia tietoturvatestauspalveluista tämän tarjouspyynnön ja sen liitteiden ehtojen mukaisesti. Tietoturvatestauksessa käytetään pääsääntöisesti määrämuotoista tietoturvamallia. Testaus noudattaa tarvittavia ja yleisesti hyväksyttyjä viitekehyksiä ja standardeja kuten CC (Common Criteria for Information Technology Security Evaluation), OWASP (Open Web Application Security Project) mukaan lukien OWASP ASVS ja OWASP LLM, WASC (Web Application Security Consortium), NIST sekä soveltuvin osin ISO IEC 27001 ja ISO IEC 27002 sekä EAL (Evaluation Assurance Level) -määrityksiä. Testaus voi sisältää tietoturvan vaatimustason määrittelyn, tietoturva-arkkitehtuurin ja keskitettyjen kontrollien läpikäynnin prosessi- ja tietojärjestelmätasolla. Testauksen perusteella laaditaan selkeät ja priorisoidut muutosehdotukset löydettyjen tietoturvapuutteiden korjaamiseksi. Tietoturvatestaus kohdistuu tietojärjestelmien lisäksi rajapintoihin, integraatioihin, pilviympäristöihin (IaaS, PaaS, SaaS), identiteetin ja pääsynhallintaratkaisuihin (IAM), mobiilisovelluksiin sekä tarvittaessa lääkintälaitteisiin liittyviin tietojärjestelmäkokonaisuuksiin. Tietoturvatestauksen sisältö voi olla esimerkiksi: - käyttöönottotarkastuksia, tietoturva-arviointeja ja kvanttivalmiuden arviointeja - toistuvia haavoittuvuusskannauksia ja haavoittuvuudenhallintaa - penetraatiotestausta (ml. web-, mobiili-, infra- ja API-testaukset sekä tarvittaessa red team -harjoitukset) - palvelunestohyökkäysten simulointia sovitussa laajuudessa - konfiguraatioiden ja tietoturva-asetusten tarkastuksia (baseline compliance) - ohjelmistokomponenttien ja riippuvuuksien tietoturvan arviointia (supply chain) - testauksen suunnittelu, toteutus, hallinta ja ylläpitotehtäviä Tekoäly- ja LLM-ratkaisujen osalta testaus kattaa erityisesti: - syötteiden ja promptien manipulointiin liittyvät riskit (prompt injection) - tietovuotoriskit ja mallien kautta tapahtuvan tiedon paljastumisen - mallien väärinkäytön ja ohittamisen riskit - käyttöoikeuksien, rajapintojen ja integraatioiden turvallisuuden - tekoälyjärjestelmien liitynnät muihin tietojärjestelmiin Testaus toteutetaan tilaajan kanssa sovittujen menettelytapojen mukaisesti. Näihin sisältyvät muun muassa testauksen rajaukset, aikataulutus, hyväksytyt testausmenetelmät, tuotantoympäristöön kohdistuvien testien erityisjärjestelyt, häiriötilanteiden hallinta sekä tietoturvallinen tietojen käsittely testauksen aikana. Lisäksi sovitaan palvelun tuottamiseen osallistuvista asiantuntijoista. Toimittaja vastaa dokumentaatiosta, joka sisältää vähintään: - testaussuunnitelman - testauksen aikaiset väliraportit - testitulokset ja havaintokohtaiset kuvaukset - loppuraportin johtopäätöksin. Raportoinnin tulee sisältää havaintojen selkeä riskiluokittelu (kriittinen, korkea, keskitaso, matala), vaikutusten arviointi sekä konkreettiset korjaussuositukset. Raporttiin tulee sisältyä myös yhteenveto sekä tekninen yksityiskohtainen kuvaus havainnoista ja testausmenetelmistä. Hankinnan kohteena oleva palvelu voi sisältää myös tietoturvatestauksen jatkuvien toimintamallien kehittämistä ja käyttöönottoa sekä testauksen integroimista osaksi ohjelmistokehityksen elinkaarta (DevSecOps). Toimittajan edellytetään sitoutuvan tilaajan tietoturva- ja tietosuojavaatimuksiin sekä huomioivan sosiaali- ja terveydenhuollon toimintaympäristön erityispiirteet, mukaan lukien potilastietojen käsittelyyn liittyvät vaatimukset.
Intern identifierare: HUS 045-2026
5.1.1.
Föremålet för upphandlingen
Kontraktets art: Tjänster
Huvudklassificering (cpv): 72800000 Tjänster för datorloggning och -provning
Ytterligare klassificering (cpv): 72000000 IT-tjänster: konsultverksamhet, programvaruutveckling, Internet och stöd, 72220000 Systemtjänster och tekniska konsulttjänster, 72222100 Strategisk granskning av informationssystem eller informationsteknik
5.1.2.
Leveransplats
Del av land (NUTS): Helsinki-Uusimaa (FI1B1)
Land: Finland
Kompletterande information: Tilaaja voi edellyttää sopimuksen kohteena olevan palvelun tuottamista tilaajan tiloissa.
5.1.3.
Uppskattad löptid
Varaktighet: 48 Månader
5.1.5.
Värde
Beräknat värde exklusive moms: 800 000,00 EUR
Högsta värde för ramavtalet: 800 000,00 EUR
5.1.6.
Allmänna upplysningar
Reserverad upphandling:
Deltagande är inte reserverat.
Namn på och yrkeskvalifikationer för den personal som ska utföra kontraktet måste anges: Ska anges i anbudet
Upphandlingsprojekt som inte finansieras med EU-medel
Upphandlingen omfattas av Världshandelsorganisationens avtal om offentlig upphandling, GPA: ja
Upphandlingen är också lämplig för små och medelstora företag: ja
5.1.7.
Strategisk upphandling
Socialt mål som främjas: Rättvisa arbetsvillkor
5.1.9.
Urvalskriterier
Källor till urvalskriterier: Europeiskt enhetligt upphandlingsdokument, Upphandlingsdokument
5.1.10.
Tilldelningskriterier
Kriterium:
Typ: Pris
Namn: Hinta
Beskrivning: Asiantuntijatyön hinta
Kategori av tilldelningskriteriet vikt: Viktning (procentandel, exakt)
Sifferangivelse för tilldelningskriterium: 60
Kriterium:
Typ: Kvalitet
Namn: Laatu
Beskrivning: Asiantuntijoiden kokemus ja osaaminen
Kategori av tilldelningskriteriet vikt: Viktning (procentandel, exakt)
Sifferangivelse för tilldelningskriterium: 40
5.1.11.
Upphandlingsdokument
Sista dag för att begära kompletterande information: 05/08/2026 09:00:00 (UTC+00:00) Västeuropeisk tid
5.1.12.
Upphandlingsvillkor
Villkor för förfarandet:
Säkerhetsprövning krävs
Beskrivning: Turvallisuusselvitystä voidaan vaatia.
Villkor för inlämning:
Elektronisk inlämning: Krävs
De språk som kan användas i anbuden eller anbudsansökningarna: finska
Elektronisk katalog: Ej tillåten
Alternativa anbud: Ej tillåten
Anbudsgivare får lämna in fler än ett anbud: Ej tillåten
Tidsfrist för mottagande av anbud: 19/08/2026 09:00:00 (UTC+00:00) Västeuropeisk tid
Varaktighet under vilken anbudet måste förbli giltigt: 4 Månader
Information om offentlig anbudsöppning:
Öppningsdatum: 19/08/2026 09:15:00 (UTC+00:00) Västeuropeisk tid
Kontraktsvillkor:
Kontraktet måste genomföras inom ramen för program för skyddad anställning: Nej
Sekretessavtal krävs: ja
Kompletterande information om sekretessavtalet: Salassapitosopimusta (NDA) voidaan vaatia.
Elektronisk fakturering: Krävs
Elektronisk beställning kommer att användas: ja
Elektronisk betalning kommer att användas: ja
5.1.15.
Metoder
Ramavtal:
Ramavtal utan förnyad konkurrensutsättning
Högst antal deltagare: 3
Information om det dynamiska inköpssystemet:
Upphandlingen avser inte ett dynamiskt inköpssystem
5.1.16.
Kompletterande information, medling och prövning
Prövningsorganisation: Markkinaoikeus
Information om tidsfrist för prövning: Muutoksenhakumenettelyjen määräaikoihin sovelletaan julkisista hankinnoista ja käyttöoikeussopimuksista annettua lakia (1397/2016).
Organisation som ger mer information om prövningsförfaranden: HUS-yhtymä
8. Organisationer
8.1.
ORG-0001
Officiellt namn: Markkinaoikeus
Registreringsnummer: 3006157-6
Postadress: Radanrakentajantie 5
Ort: Helsinki
Postnummer: 00520
Del av land (NUTS): Helsinki-Uusimaa (FI1B1)
Land: Finland
Tfn: +358 295643300
Den här organisationens roller:
Prövningsorganisation
8.1.
ORG-0002
Officiellt namn: HUS-yhtymä
Registreringsnummer: 1567535-0
Postadress: PL 445 (Uutistie 5, 01770 Vantaa)
Ort: HUS
Postnummer: 00029
Del av land (NUTS): Helsinki-Uusimaa (FI1B1)
Land: Finland
Kontaktpunkt: ICT-hankintakategoria
Tfn: +358 947111
Den här organisationens roller:
Upphandlare
Organisation som ger mer information om prövningsförfaranden
8.1.
ORG-0003
Officiellt namn: Hansel Oy (Hilma)
Registreringsnummer: FI09880841
Postadress: Mannerheiminaukio 1a
Ort: Helsinki
Postnummer: 00100
Del av land (NUTS): Helsinki-Uusimaa (FI1B1)
Land: Finland
Kontaktpunkt: eSender
Tfn: 029 55 636 30
Den här organisationens roller:
TED eSender
Identifierare/version för meddelandet: 13a3a3b7-7d3d-49c1-93e4-70158c578c2b - 01
Formulärtyp: Konkurrensutsättning
Meddelandetyp: Meddelande om upphandling eller koncession – standardsystem
Meddelandets undertyp: 16
Avsändningsdatum för meddelandet: 08/07/2026 14:59:43 (UTC+00:00) Västeuropeisk tid
Datum för avsändning av meddelandet (eSender): 08/07/2026 14:59:44 (UTC+00:00) Västeuropeisk tid
Språk som det här meddelandet finns officiellt tillgängligt på: finska
Meddelandets publiceringsnummer: 476317-2026
EUT S-nummer: 131/2026
Publiceringsdatum: 10/07/2026