O 1080/2020.34-1-9 Informationssicherheit – Datenschutz – IT-Notfallmanagement

Kurze Beschreibung

Beratungs- und Unterstützungsleistungen im Bereich Informationssicherheit, Datenschutz und IT-Notfallmanagement im Umfang von 200 Personentage mit der Option zum Abruf um weitere 200 Personentage.

Beschreibung der Beschaffung

Das Landesamt für Finanzen (LfF) ist eine zentrale Landesbehörde des Freistaates Bayern. Die Behörde versteht sich als Dienstleister für die Bayerische Staatsverwaltung. Sie ist insbesondere zuständig für die Festsetzung, Anordnung und Abrechnung der Bezüge für die Beamtinnen/Beamten, Arbeitnehmer/innen sowie Versorgungsempfänger/innen des Freistaates Bayern, die Abwicklung eines wesentlichen Teils der staatlichen Kassengeschäfte und die Prozessführung für den Freistaat Bayern, insbesondere vor den Zivilgerichten. Zudem ist das Landesamt ein bedeutender IT-Dienstleister für alle Ressorts. Die Fachverfahren für die genannten Tätigkeitsbereiche werden z. T. selbst entwickelt, es kommt aber auch Software zum Einsatz, die von externen Firmen zugekauft ist und ggf. angepasst wurde. Das LfF führt ein am IT-Grundschutz des BSI orientiertes ISMS - unter Anwendung der Standardabsicherung als Vorgehensweise - ein, um dies dauerhaft zu betreiben. Unter den Tätigkeitsbereichen des LfF befinden sich auch Geschäftsprozesse, deren Daten und Informationen mit erhöhtem Schutzbedarf in Bezug auf Vertraulichkeit, Integrität bzw. Verfügbarkeit klassifiziert sind. Zudem wird ein nach BSI standardisiertes IT-Notfallmanagement etabliert. Neben einem allgemeinen IT-Notfallkonzept sind für noch zu definierende, besonders kritische Geschäftsprozesse eigene Notfallhandbücher, ggf. auch unter Einbezug vorhandener Dokumentationen, zu erstellen. Im Bereich Datenschutz sind Datenschutz-Folgenabschätzungen (DSFA) durchzuführen und alle in diesem Zuge notwendigen Dokumentationsarbeiten zu leisten. Das LfF vergibt in diesem Zusammenhang Beratungs- und Unterstützungsleistungen im Bereich Informationssicherheit, Datenschutz und IT-Notfallmanagement im Umfang von 200 Personentage mit der Option zum Abruf um weitere 200 Personentage. Das Aufgabenverhältnis verteilt sich vorauss. zu 75 % auf den Bereich Informationssicherheit, 15 % auf den Bereich Datenschutz u. zu 10 % auf das IT-Notfallmanagement. Verschiebungen der Aufgabenverhältnisse sind möglich. Für die Auftragserfüllung ist Vor-Ort-Präsenz gewünscht und ggf. auch erforderlich. Die Vor-Ort-Präsenz erfolgt überwiegend an der DSt.in Regensburg, z. T. auch an der DSt. in München u. in wenigen Fällen an den anderen DSt. des LfF. Im Schnitt beträgt der Umfang der Leistungserbringung 3 Tage pro Woche in den Bereichen Informationssicherheit u. IT-Notfallmanagement. Leistungen im Bereich Datenschutz müssen ggf. parallel hierzu mit bis zu 3 Tagen pro Woche geleistet werden. Leistungen im Bereich Informationssicherheit sind kontinuierlich, in den anderen Bereichen nach Bedarf des Auftraggebers zu erbringen. Die Leistungsdauer umfasst voraussichtlich einen Zeitraum von ca. 2,5 Jahren (inkl. Option) ab Zuschlagserteilung.

Liste und kurze Beschreibung der Auswahlkriterien

Geben Sie den Jahresumsatz, bezogen auf den Ausschreibungsgegenstand in EURO (brutto) für die letzten 3 abgeschlossenen Geschäftsjahre an. Angaben von Bietern/allen Mitgliedern einer Bietergemeinschaft/Unterauftragnehmern sind getrennt aufzuführen.
Bei Bietergemeinschaften sind diese Angaben von jedem Mitglied der Bietergemeinschaft gesondert zu erbringen. Bei der Einschaltung von Unterauftragnehmern sind diese Angaben auch von sämtlichen Unterauftragnehmern gesondert erforderlich.

Liste und kurze Beschreibung der Auswahlkriterien

a) Die Arbeitssprache ist Deutsch. Die Korrespondenz und die Arbeitsergebnisse müssen in deutscher Sprache abgefasst werden. Erforderlich sind Kenntnisse mindestens auf Niveau B2 des Gemeinsamen Europäischen Referenzrahmens für Sprachen. Werden zur Durchführung der Arbeiten nur Personen eingesetzt, die über die entsprechende Qualifikation verfügen?
b) Beschreiben Sie das Leitbild und die Kernkompetenzen Ihrer Firma/Ihres Unternehmens. Gehen Sie dabei insbesondere auf Ihr Leistungsportfolio, bezogen auf den Ausschreibungsgegenstand ein.
c) Bitte geben Sie geeignete Referenzen über früher ausgeführte Liefer- und Dienstleistungen aus den letzten 3 Jahren mit Angabe des Werts, des Erbringungszeitpunkts sowie des öffentlichen oder privaten Empfängers (nach Möglichkeit mit Name des Ansprechpartners und Kontaktdaten) an, die mit dem Auftragsgegenstand (Unterstützung in den Bereichen Informationssicherheit, Datenschutz und/oder IT-Notfallmanagement) vergleichbar sind. Beschreiben Sie dabei detailliert Art, Dauer und Umfang der Leistungserbringung. Als vergleichbar gelten nur Referenzen aus denen hervorgeht, dass die Leistungserbringung in jedem der Bereiche Informationssicherheit, Datenschutz und IT-Notfallmanagement erfolgte. Hinweis: sollten dem Bieter einzelne Angaben (z. B. des Werts oder der Name des Ansprechpartners) auf Grund von Vertraulichkeitsvereinbarungen nicht möglich sein, ist vom Bieter sicherzustellen, dass bei der Beschreibung zu „Art, Dauer und Leistungsumfang des Projekts" umfassende Angaben gemacht werden, welche Rückschlüsse auf die Vergleichbarkeit der Referenzen ermöglichen. Bei Bietergemeinschaften oder bei Einschaltung von Unterauftragnehmern können Referenzen von jedem Mitglied der Bietergemeinschaft bzw. von jedem Unterauftragnehmer aufgenommen werden. In diesem Fall ist an geeigneter Stelle anzugeben, welche/s Firma/Unternehmen für den jeweiligen Auftrag verantwortlich war.
d) Beschreiben Sie die Maßnahmen zur Qualitätssicherung Ihrer/Ihres Firma/Unternehmens hinsichtlich Wissensstand laufender (nach Stand der Technik) und künftiger Themen im Bereich Informationssicherheit/Datenschutz/IT-Notfallmanagement.
e) Seit wie vielen Jahren ist Ihre/Ihr Firma/Unternehmen im Bereich Informationssicherheit tätig?
f) Seit wie vielen Jahren ist Ihre/Ihr Firma/Unternehmen im Bereich Datenschutz tätig?
g) Seit wie vielen Jahren ist Ihre/Ihr Firma/Unternehmen im Bereich (IT-)Notfallmanagement tätig?
h) Ist Ihre/Ihr Firma/Unternehmen zertifizierter IT-Sicherheitsdienstleister im Geltungsbereich IS-Revision und/oder IS-Beratung?
Hinweis zu b, d-g) Bei Bietergemeinschaften sind diese Angaben von jedem Mitglied der Bietergemeinschaft gesondert zu erbringen. Bei der Einschaltung von Unterauftragnehmern sind diese Angaben auch von sämtlichen Unterauftragnehmern gesondert erforderlich.
i) Legen Sie folgende (Eigen-)Erklärungen gem. Anlage A2 vor: Erklärung zu wettbewerbsbeschränkenden Absprachen, Angabe über Ausschlussgründe gemäß § 123 GWB, Abgaben-Erklärung (Verpflichtung zur Zahlung von Steuern und Abgaben sowie der Beiträge zur gesetzlichen Sozialversicherung erfüllt), Erklärung zu Insolvenzverfahren und Liquidation.
j) Legen Sie folgende Erklärung gem. Anlage A3 vor: Schutzerklärung (Scientology-Erklärung). Hinweis i, j): Bei Bietergemeinschaften sind diese (Eigen-)Erklärungen von jedem Mitglied der Bietergemeinschaft gesondert zu erbringen. Bei der Einschaltung von Unterauftragnehmern ist diese (Eigen-)Erklärung auch von sämtlichen Unterauftragnehmern gesondert erforderlich.
k) Können Sie zusichern, dass die zum Einsatz kommenden Mitarbeiter das grundsätzliche Einverständnis zur Durchführung einer einfachen Sicherheitsüberprüfung (Ü1) nach dem Bayerischen Sicherheitsüberprüfungsgesetz erklären?
l) Können Sie zusichern, dass die zum Einsatz kommenden Mitarbeiter vor dem Einsatz die notwendige Verpflichtungserklärung nach § 1 Verpflichtungsgesetz abgeben (vgl. Anlage A11)?

Angebote können ausschließlich elektronisch über die Vergabeplattform Deutsche eVergabe unter www.auftraege.bayern.de abgegeben werden.
Bieterfragen können bis zum 22.5.2020 – 16.00 Uhr gestellt werden. Nach diesem Zeitpunkt gestellte Anfragen können nicht mehr berücksichtigt werden.

Genaue Informationen über Fristen für Überprüfungsverfahren

(1) Etwaige Vergabeverstöße muss der Bewerber/Bieter gemäß § 160 Abs. 3 Nr. 1 GWB innerhalb von 10 Tagen nach Kenntnisnahme rügen.
(2) Verstöße gegen Vergabevorschriften, die auf Grund der Bekanntmachung erkennbar sind, sind nach § 160 Abs. 3 Nr. 2 GWB spätestens bis zum Ablauf der in der Bekanntmachung benannten Frist zur Abgabe der Bewerbung oder der Angebote gegenüber dem Auftraggeber zu rügen.
(3) Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, sind nach § 160 Abs. 3 Nr. 3 GWB spätestens bis zum Ablauf der Frist zur Bewerbungs- oder Angebotsabgabe gegenüber dem Auftraggeber zu rügen.
(4) Ein Vergabenachprüfungsantrag ist nach § 160 Abs. 3 Nr. 4 GWB innerhalb von 15 Kalendertagen nach der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, bei der Vergabekammer einzureichen.