Hallitus
Pöytäkirja 14.02.2023/Pykälä 17

Kyberturvallisuuden asiantuntijapalvelujen puitejärjestelyhankinta

Hallitus 14.02.2023 § 17

Hankinnan tausta

HSL on kilpailuttanut tietoturvallisuuden ja tietosuojan eri osa-alueiden asiantuntijapalvelut. Hankinnan tarkoitus on solmia puitesopimus kyberturvallisuuden asiantuntijapalveluiden hankinnasta usean palveluntoimittajan kanssa ja siten varmistaa riittävät resurssit HSL:n tietoturvallisuuteen ja tietosuojaan liittyvän asiantuntijatyön tuottamiseksi. Hankinnan tavoite on puitejärjestely, josta voidaan hankkia ketterästi yksittäisiä asiantuntijoita tai kokonaisia tiimejä.

Sopimuskausi on ensin määräaikaisena 48 kuukautta, jonka jälkeen sopimus jatkuu toistaiseksi voimassa olevana. Puitejärjestelyn enimmäiskesto on kahdeksan (8) vuotta, koska hankittava palvelun toteuttaminen vaatii pitkäjänteistä työtä. Puitejärjestelyyn perustuva sopimus voi olla kestoltaan pidempi kuin puitejärjestelyn kesto.

Puitejärjestelyn arvioitu kustannus on noin 15 000 000 euroa ilman arvonlisäveroa.

Hankintamenettely

HSL soveltaa toiminnassaan erityisalojen hankintalakia (1398/2016). HSL kilpailutti hankinnan EU-kynnysarvon ylittävänä hankintana avoimella menettelyllä. Hankinta on jaettu neljään osaan, jotka ovat 1. hallinnollinen tietoturvallisuus, 2. tekninen tietoturvallisuus, 3. PCI DSS (Payment Card Industry Data Security Standard) sekä 4. tietosuoja. Osia koskevat tiedot on tarkemmin määritelty hankinta-asiakirjoissa. Yhdelle tarjoajalle voidaan myöntää kaikki osat. Kaikkia osia ei ollut pakko tarjota.

Hankintailmoitus lähetettiin julkaistavaksi 17.12.2022 ja korjattu hankintailmoitus 29.12.2022 Hilmassa (Ilmoituksen numero 2022-116372) ja Euroopan unionin virallisen lehden verkkoversiossa (TED numero 2022/S 252-734368). Tarjouspyyntö oli saatavilla sähköisesti tarjouspalvelu.fi-portaalista. Määräaika tarjousten jättämiselle oli 31.1.2023 13:00.
 

Määräaikaan mennessä tarjouksen jättivät seuraavat tarjoajat:

Capgemini Finland Oy, CGI Suomi Oy, Consultor Finland Oy, Deloitte Oy, Digia Finland Oy, Elisa Oyj, EY Advisory Oy, Gofore Oyj, KPMG Oy Ab, Loihde Trust Oy, Netox Oy, Netum Oy, Nordcloud, PricewaterhouseCoopers Oy, PrivacyAnt Oy, Proxion Plan Oy, Second Nature Security Oy, Solita Oy, Sweco Finland Oy sekä WithSecure Cyber Security Services Oy.

Kaikki tarjoajat täyttivät tarjouksessaan antamien tietojen perusteella tarjoajalle asetetut soveltuvuusvaatimukset. Tarjoajien tarjouksissaan antamien tietojen perusteella yhtäkään tarjoajaa ei koske hankintalainsäädännössä tarkoitettu pakollinen poissulkemisperuste. Sopimusten tekemiselle on edellytyksenä, ettei pakollisia poissulkemisperusteita ole.

Tarjousten arviointi ja vertailu

Tarjousten vertailuperusteena käytettiin kokonaistaloudellista edullisuutta. Kokonaistaloudellisuuden perusteena oli halvin hinta. Vertailussa käytetään hintaa vertailuperusteena, koska hankintayksikkö katsoo, että asiantuntijoiden osaamisen laatua koskien asetettu vähimmäistaso on riittävä palvelun laadun varmistamiseksi. Hintaan perustuva arviointi perustuu myös työelämän vaihtuvuuteen, jolloin tämänhetkisten asiantuntijoiden vertailu ei anna hankintayksikön näkemyksen mukaan todellista kuvaa tarjoajan tai sen resurssien kyvykkyyksistä hankintasopimuksen toteuttamisaikana.

Tarjousten vertailu- ja valintaperusteet on avattu tarkemmin tarjouspyynnössä.

Tarjouspyynnössä esitettyjen vertailuperusteiden mukaisesti tehdyssä tarjousten vertailussa tarjousten keskinäinen järjestys osakohtaisesti oli seuraava:

Osa 1: Hallinnollinen tietoturvallisuus:

1. Capgemini Finland Oy

2. Nordcloud Oy

3. Digia Finland Oy

4. Consultor Finland Oy

5. Solita Oy

Osa 2: Tekninen tietoturvallisuus

1. Capgemini Finland Oy

2. Digia Finland Oy

3. Nordcloud Oy

4. Consultor Finland Oy

5. Solita Oy

Osa 3: PCI DSS (Payment Card Industry Data Security Standard)

1. Consultor Finland Oy

2. WithSecure Cyber Security Services Oy

3. KPMG Oy Ab

Osa 4: Tietosuoja

1. Capgemini Finland Oy

2. Consultor Finland Oy

3. WithSecure Cyber Security Services Oy

4. KPMG Oy Ab

5. Deloitte Oy

Tarjousten vertailu on esitetty liitteenä (julkinen päätöksenteon jälkeen).  Hankintapäätös tulee julkiseksi hallituksen päätöksenteon jälkeen. Hallintosäännön 9 §:n kohdan 8 mukaan hallitus päättää hankinnoista.

Ehdotus Hallitus päättää

a) valita liitteenä 1 olevan tarjousten kokonaistaloudellista edullisuutta koskevan
vertailun perusteella osan 1: Hallinnollinen tietoturvallisuus toimittajiksi
seuraavat tarjoajat tässä esitetyssä etusijajärjestyksessä: 1. Capgemini Finland Oy; 2. Nordcloud Oy; 3. Digia Finland Oy; 4. Consultor Finland Oy; 5. Solita Oy;

b) valita liitteenä 2 olevan tarjousten kokonaistaloudellista edullisuutta koskevan
vertailun perusteella osan 2: Tekninen tietoturvallisuus toimittajiksi seuraavat tarjoajat tässä esitetyssä etusijajärjestyksessä: 1. Capgemini Finland Oy; 2. Digia Finland Oy; 3. Nordcloud Oy; 4. Consultor Finland Oy; 5. Solita Oy;

c) valita liitteenä 3 olevan tarjousten kokonaistaloudellista edullisuutta koskevan
vertailun perusteella osan 3: PCI DSS toimittajiksi seuraavat tarjoajat tässä esitetyssä etusijajärjestyksessä: 1. Consultor Finland Oy; 2. WithSecure Cyber Security Services Oy; 3. KPMG Oy Ab;

d) valita liitteenä 4 olevan tarjousten kokonaistaloudellista edullisuutta koskevan
vertailun perusteella osan 4: Tietosuoja toimittajiksi seuraavat tarjoajat tässä esitetyssä etusijajärjestyksessä: 1. Capgemini Finland Oy; 2. Consultor Finland Oy; 3. WithSecure Cyber Security Services Oy; 4. KPMG Oy Ab; 5. Deloitte Oy; sekä

d) valtuuttaa toimitusjohtajan päättämään puitejärjestelyyn perustuvista hankinnoista ilman euromääräistä rajaa sekä allekirjoittamaan hankintaa koskevat sopimukset.

 Hankintaa koskeva sopimus ei synny tällä päätöksellä. Hankinnasta laaditaan

 kirjallinen sopimus, joka voidaan erityisalojen hankintalain (1398/2016) 120 §:n

 mukaisesti tehdä aikaisintaan 14 päivän kuluttua siitä, kun ehdokas tai tarjoaja on

 saanut tai hänen katsotaan saaneen päätöksen ja valitusosoituksen tiedoksi.

 Päätös tarkastetaan kokouksessa.

Päätös Hallitus päätti hyväksyä ehdotuksen yksimielisesti.

Päätös tarkastettiin kokouksessa.

Liitteet Kyberturvallisuus vertailutaulukko osa 1 (julkinen päätöksenteon jälkeen)

 Kyberturvallisuus vertailutaulukko osa 2 (julkinen päätöksenteon jälkeen)

 Kyberturvallisuus vertailutaulukko osa 3 (julkinen päätöksenteon jälkeen)

 Kyberturvallisuus vertailutaulukko osa 4 (julkinen päätöksenteon jälkeen)