Rahmenvertrag über Dienstleistungen zum Betrieb der IT-Sicherheitsinfrastruktur des WDR

Kurze Beschreibung

Dienstleistungen zur Administration, Pflege und Weiterentwicklung, sowie der 2nd Level Support der IT-Sicherheitssysteme des WDR (ca. 20 000 Virenscanner an den Endgeräten, ca. 250 Firewalls aus der Branch-, Midrange- und Enterprise-Klasse, VPN-Zugänge, 6 Proxies sowie diverse Sicherheitsdienstleistungen für Mail- und DNS-Dienste)
Die Dienstleistungen werden vom WDR in einem Stunden-Kontingent beauftragt und von geeigneten Spezialisten des Auftragnehmers ausgeführt.
Der entsprechende Rahmenvertrag hat eine Dauer von 3 Jahre mit einer einmaligen 1-jährigen Verlängerungsmöglichkeit.

Beschreibung der Beschaffung

Der WDR betreibt ein IP-Netzwerk mit ca. 50 000 Ports, ca. 1 000 aktive Netzwerkkomponenten, ca. 650 WLANs und ca. 10 aktiven Ebenen. Das Netzwerk hat weltweite Erstreckung mit einem Schwerpunkt in Nordrhein-Westfalen und dort in Köln.
Zum Schutz dieses Netzwerkes werden ca. 20 000 Virenscanner an den Endgeräten, ca. 250 Firewalls aus Branch-, Midrange- und Enterprise-Klasse, VPNZugänge, 6 Proxies sowie diverse Sicherheitsdienstleistungen für Mail- und DNSDienste vom WDR betrieben.
In Köln zu erbringende Dienstleistungen zur Administration, Pflege und Weiterentwicklung sowie 2nd Level Support dieser IT-Sicherheitssysteme sind Gegenstand dieses Nicht-Offenen Verfahrens. Die Dienstleistungen werden vom WDR in einem Stunden-Kontingent beauftragt und von geeigneten Spezialisten des Auftragnehmers ausgeführt.
Der entsprechende Rahmenvertrag hat eine Dauer von 3 Jahre mit einer einmaligen 1-jährigen Verlängerungsmöglichkeit.
An die Erfüllungsgehilfen des Auftragnehmers werden hohe fachliche Anforderungen gestellt, der Austausch von Erfüllungsgehilfen darf nur nach Genehmigung durch den WDR erfolgen, der Einsatz erfolgt in Köln. Der WDR kann je nach aktuellen Vorfällen und Veränderung der IT-Sicherheits-Infrastruktur Tätigkeiten konkretisieren, sowie die beauftragten Kontingente anpassen.
Im Vertragszeitraum von 3 Jahren garantiert der WDR eine Mindestabnahme im Wert von 1,275 Mio.EUR und legt das Maximalvolumen über 4 Jahre auf 2,9 Mio.EUR fest.

Zusätzliche Informationen

Aus Geheimhaltungsgründen wird zum jetzigen Zeitpunkt nur eine gekürzte Fassung der Vergabeunterlage zur Verfügung gestellt. Die vollständige Vergabeunterlage wird den erfolgreichen Bewerbern nach Abschluss des Teilnahmewettbewerbs übermittelt.

Liste und kurze Beschreibung der Bedingungen

Der Bieter hat zu erklären, dass sein Unternehmen in das Berufs- oder Handelsregister bzw. bei ausländischen Bietern in ein vergleichbares Register eingetragen ist.

Liste und kurze Beschreibung der Auswahlkriterien

1. Betriebshaftpflichtversicherung
Der Bieter hat zu erklären, dass er als Unternehmen eine ausreichende Betriebshaftpflichtversicherung mit folgenden Mindest-Deckungssummen abgeschlossen hat bzw. im Falle der Auftragserteilung unverzüglich abschließen wird:
— Personenschäden 2 000 000,00 EUR,
— Sachschäden 1 000 000,00 EUR,
— allg. Vermögensschäden 100 000,00 EUR,
— Schlüsselverlustschäden 150 000,00 EUR,
— Bearbeitungsschäden 100 000,00 EUR und, dass die vorgenannten Mindestdeckungssummen mit jeweils mindestens einer zweifachen Maximierung pro Versicherungsjahr zur Verfügung stehen.
2. Umsatz des Unternehmens:
Der Bieter hat den Gesamtumsatz des Unternehmens sowie den Umsatz aus Leistungen, die mit der zu vergebenden Gesamtleistung oder Teilen dieser Leistung inhaltlich vergleichbar sind, jeweils bezogen auf die letzten 3 Geschäftsjahre (2017 bis 2019 bzw. 2016 bis 2018, sofern die Umsatzzahlen aus 2019 noch nicht vorliegen), anzugeben.
3. Unternehmensstruktur/Betriebsstätte des Bieters:
Der Bieter hat Angaben zur Unternehmensstruktur zu machen. Dies umfasst unter anderem die Organisationsstruktur, den Umfang der Dienstleistungspalette und die durchschnittliche jährliche Beschäftigtenzahl des Unternehmens.

Liste und kurze Beschreibung der Auswahlkriterien

Zum Nachweis der fachlichen Leistungsfähigkeit muss mindestens ein Nachweis aus einem der folgenden Bereiche vorgelegt werden (A).
1. Nachweis einer/mehrere zertifizierter Partnerschaften mit Herstellern von IT-Security-Produkten, die zertifizierte Mitarbeiter im Enterprise-Produkt-Segment voraussetzt. Die relevanten Hersteller sind:
— McAfee,
— Fortinet,
— Palo Alto Networks.
2. Nachweis von Fort-/Weiterbildungssystemen des Unternehmens für ITSecurity-Kenntnisse im Umgang mit Produkten der o. g. Hersteller,
3. Nachweis eines Management-Systems aus den Bereichen:
— Informationssicherheitsmanagements (ggfs. zertifiziert gemäß ISO/IEC 27001),
— IT-Servicemanagements (ggfs. zertifiziert gemäß ISO/IEC 20000.
Die Nachweise sind in Form von Eigenerklärungen unter Verwendung der „Anlage – Fachliche Leistungsfähigkeit des Unternehmens“ einzureichen.
Der WDR behält sich vor, die entsprechenden Zertifikate in Kopie einzufordern.
Sollte gar kein Nachweis zu den vorgenannten Ziffern 1, 2 oder 3 eingereicht werden, führt dies zum Ausschluss.
Im Übrigen werden die eingereichten Nachweise gemäß Kapitel 5.2 bewertet.
Anzahl entsprechend qualifizierter Mitarbeiter:
Der Bewerber hat darzustellen, auf wie viele deutschsprachige Mitarbeiter/ freie Mitarbeiter er zugreifen kann, die über folgende Qualifikationen verfügen:
— 2 Jahre Berufserfahrung in IT-Security Administration, deutschsprachig und mindestens ein Zertifikat zu IT-Security Produkten von McAfee (Anforderung),
— 5 Jahre Berufserfahrung in IT-Security Administration, deutschsprachig und mindestens ein Zertifikat zu IT-Security Produkten von Fortinet oder/und Palo Alto Networks (Anforderung),
— 2 Jahre Berufserfahrung in IT-Security Administration, deutschsprachig und mindestens ein Zertifikat oder 2 Jahre Berufserfahrung zu Cisco Esa (Anforderung).
Soweit die Zahl der entsprechenden Mitarbeiter je Anforderung kleiner als 4 ist, führt dies zum Ausschluss vom Verfahren (A).
Im Übrigen wird die Anzahl der Mitarbeiter gemäß Kapitel 5.2 bewertet.
Die Nachweise sind in Form von Eigenerklärungen unter Verwendung der Anlage „Anzahl entsprechend zertifizierter Mitarbeiter“ einzureichen.
Referenzen:
Dem Teilnahmeantrag sind mindestens 3 geeignete Referenzen über Dienstleistungsaufträge im Bereich der IT-Security aus den letzten höchstens 3 Jahren beizufügen (A).
Die Referenzen werden nach folgenden Kriterien bewertet:
— Tätigkeitsbereich IT-Security Administration und 2nd-Level Support im Midrange/Enterprise Produkt-Segment der Hersteller McAfee, Fortinet und Palo Alto Networks,
— Kontinuierliche Dienstleistungserbringung mit mindestens 2 Personen in Vollzeit im Einsatz; im Bedarfsfall auch mehr Personen im Einsatz,
— Vertragszeitraum mindestens ein Jahr.
Soweit Dienstleistungen bei identischem Auftraggeber über einen Zeitraum von mehr als ein Jahr erbracht wurden, können unterschiedliche Kalenderjahre der Dienstleistungserbringung als zweite Referenz und ggfs. auch als dritte Referenz eingereicht werden. Auftragszeiträume, die in der Zukunft liegen, können als Referenz nicht gewertet werden.
— Einsatz überwiegend vor Ort beim Kunden in deutscher Sprache,
— IT-Security in einem Umfeld mit Medien-Einsatz (Audio und Video, File und Streaming) und sich häufig ändernden Anforderungen an die IT-Infrastruktur, idealerweise bei öffentlich-rechtlichen Unternehmen oder/und Medienunternehmen.
Die Darstellung der Referenzen muss die folgenden Angaben enthalten:
— Name und Anschrift des Auftraggebers,
— Möglichst Angabe eines Ansprechpartners des Referenzkunden mit Telefonnummer,
— Inhalte der Dienstleistungen (IT-Security, Administration, 2nd Level Support),
— Betriebene Produkte (Hersteller, Typen/Produktklassen) und geleisteten Tätigkeiten,
— Eingesetzte Erfüllungsgehilfen und Anzahl der beim Kunden gleichzeitig eingesetzten deutschsprachigen Erfüllungsgehilfen,
— Vertragszeitraum (Beauftragung/Beginn der Leistungserbringung nicht früher als 3 Jahre vor dem Veröffentlichungstermin dieser Unterlage),
— Einsatzort und Anteil der vor Ort Leistungserbringung,
— Branche des Auftraggebers,
— Auftraggeber öffentlich/rechtlich,
— Medieneinsatz (Audio und Video, File und Streaming),
— Nachunternehmer mit prozentualer Angabe von Eigenanteil/Nachunternehmereinsatz.
Angaben zu den Referenzen sind für jede der Referenzen in der „Anlage – Referenzen“ zu machen. Die Anlage ist mit dem Teilnahmeantrag einzureichen.
Der WDR behält sich vor, die angegebenen Referenzen zu überprüfen. Die Überprüfung basiert allein auf den vom Bewerber gemachten Angaben. Der Bewerber hat insofern unbedingt auf die Vollständigkeit und Richtigkeit der von der Vergabestelle geforderten Angaben zu achten.
Sofern und soweit der Bewerber auf Referenzen von Nachunternehmern zurückgreift, so sind nur solche Referenzen des Nachunternehmers zulässig, die inhaltlich mit dem Leistungsteil vergleichbar sind, den der Nachunternehmer konkret im Rahmen der angebotenen Leistung erbringen soll.

Genaue Informationen über Fristen für Überprüfungsverfahren

Der WDR weist darauf hin, dass ein Nachprüfungsantrag unzulässig ist, soweit:
1) der Antragsteller den geltend gemachten Verstoß gegen Vergabevorschriften vor Einreichen des Nachprüfungsantrags erkannt und gegenüber dem WDR nicht innerhalb einer Frist von 10 Kalendertagen gerügt hat; der Ablauf der Frist nach § 134 Absatz 2 GWB bleibt unberührt,
2) Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, nicht spätestens bis zum Ablauf der in der Bekanntmachung benannten Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem WDR gerügt werden,
3) Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, nicht spätestens bis zum Ablauf der Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem WDR gerügt werden,
4) mehr als 15 Kalendertage nach Eingang der Mitteilung des WDR, einer Rüge nicht abhelfen zu wollen, vergangen sind.
Weitere Einzelheiten können § 160 GWB entnommen werden.