Der Auftraggeber betreibt im internen Rechenzentrum ein Logging-/Monitoring-System auf der Basis von Splunk Enterprise zur Speicherung, Auswertung und Recherche von Log-Daten verschiedener Netzwerk- und Sicherheitssysteme sowie bankfachlicher Anwendungen. Gegenstand dieses Vergabeverfahrens ist die Transition, Konfiguration und Betrieb eines On-Premise SIEM-Systems sowie eines SOC zur zeitnahen Alarmierung von Sicherheitsvorfällen (in der Ziellandschaft 7/24) sowie die Unterstützung beim Einleiten von Gegenmaßnahmen. Die Dienstleistung ist eine wesentliche zeitkritische Auslagerung nach MaRisk. Etwaige, aufgrund der am 16. August 2021 veröffentlichten MaRisk-Novelle (Rundschreiben 10/2021 (BA)), erforderliche Anpassungen am Vertragsentwurf werden seitens des Auftraggebers aktuell identifiziert und den Bietern schnellstmöglich, voraussichtlich mit der Aufforderung zur Angebotsabgabe, mitgeteilt. Datenschutzaspekte und die Informationssicherheit sind weitere Kernthemen dieser Ausschreibung.
Deadline
Die Frist für den Eingang der Angebote war 2021-09-27.
Die Ausschreibung wurde veröffentlicht am 2021-08-27.
Anbieter
Die folgenden Lieferanten werden in Vergabeentscheidungen oder anderen Beschaffungsunterlagen erwähnt:
Objekt Umfang der Beschaffung
Titel:
“Beschaffung eines Security Information & Event Management (SIEM)/Security Operations Center (SOC) für die Rentenbank
2021-LR-0003”
Produkte/Dienstleistungen: IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung📦
Kurze Beschreibung:
“Der Auftraggeber betreibt im internen Rechenzentrum ein Logging-/Monitoring-System auf der Basis von Splunk Enterprise zur Speicherung, Auswertung und...”
Kurze Beschreibung
Der Auftraggeber betreibt im internen Rechenzentrum ein Logging-/Monitoring-System auf der Basis von Splunk Enterprise zur Speicherung, Auswertung und Recherche von Log-Daten verschiedener Netzwerk- und Sicherheitssysteme sowie bankfachlicher Anwendungen. Gegenstand dieses Vergabeverfahrens ist die Transition, Konfiguration und Betrieb eines On-Premise SIEM-Systems sowie eines SOC zur zeitnahen Alarmierung von Sicherheitsvorfällen (in der Ziellandschaft 7/24) sowie die Unterstützung beim Einleiten von Gegenmaßnahmen. Die Dienstleistung ist eine wesentliche zeitkritische Auslagerung nach MaRisk. Etwaige, aufgrund der am 16. August 2021 veröffentlichten MaRisk-Novelle (Rundschreiben 10/2021 (BA)), erforderliche Anpassungen am Vertragsentwurf werden seitens des Auftraggebers aktuell identifiziert und den Bietern schnellstmöglich, voraussichtlich mit der Aufforderung zur Angebotsabgabe, mitgeteilt. Datenschutzaspekte und die Informationssicherheit sind weitere Kernthemen dieser Ausschreibung.
1️⃣
Ort der Leistung: Frankfurt am Main, Kreisfreie Stadt🏙️
Hauptstandort oder Erfüllungsort: Landwirtschaftliche Rentenbank Theodor-Heuss-Allee 80 60486 Frankfurt am Main
Beschreibung der Beschaffung:
“Das SIEM-System muss sowohl die bislang genutzten Funktionen für Recherche, regelbasierte Erkennung und Alarmierung von Sicherheitsvorfällen bieten, als...”
Beschreibung der Beschaffung
Das SIEM-System muss sowohl die bislang genutzten Funktionen für Recherche, regelbasierte Erkennung und Alarmierung von Sicherheitsvorfällen bieten, als auch optimal für geplante zukünftige Anforderungen und Erweiterungen geeignet sein. Dazu gehören z. B. das Wachstum vieler Leistungsparameter, die Integration neuer Informationsquellen, die Umsetzung von Anforderungen des Datenschutzes sowie die kontinuierliche Erweiterung und Anpassung. Neben dem Produktivsystem und einem Testsystem gehören auch die Installation und Migration sowie die Erstellung einer Roadmap für Use-Cases zu den geforderten Leistungen.
Folgende Pakete sind Bestandteil der Leistung:
Paket 1: Lieferung der SIEM-Software
Paket 2: Setup und Ersteinrichtung der SIEM-Umgebung, Migration der bestehenden Umgebung
Paket 3: Betrieb der SIEM-Umgebung
Paket 4: SOC-Dienstleistung
Paket 5: Sonstige Unterstützungsleistung
Paket 6: Organisation der Zusammenarbeit und Gremien
Mehr anzeigen Vergabekriterien
Der Preis ist nicht das einzige Zuschlagskriterium, und alle Kriterien werden nur in den Auftragsunterlagen genannt
Laufzeit des Vertrags, der Rahmenvereinbarung oder des dynamischen Beschaffungssystems
Der nachstehende Zeitrahmen ist in Monaten ausgedrückt.
Beschreibung
Dauer: 48
Laufzeit des Vertrags, der Rahmenvereinbarung oder des dynamischen Beschaffungssystems
Dieser Vertrag ist verlängerbar ✅ Beschreibung
Beschreibung der Verlängerungen:
“Die Laufzeit des Servicevertrags beginnt frühestens zum 01.03.2022 und hat eine Laufzeit von zunächst vier Jahren (Grundlaufzeit).
Danach verlängert sich...”
Beschreibung der Verlängerungen
Die Laufzeit des Servicevertrags beginnt frühestens zum 01.03.2022 und hat eine Laufzeit von zunächst vier Jahren (Grundlaufzeit).
Danach verlängert sich der SIEM-Vertrag, sofern er von keinem Vertragspartner mit einer Frist von 18 Monaten zum Ende der jeweiligen Laufzeit gekündigt wird, automatisch um jeweils zwei Jahre ("Verlängerungsperiode", die Grundlaufzeit und Verlängerungsperiode(n) zusammen die "Vertragslaufzeit"). Nach Ablauf einer Vertragslaufzeit von insgesamt acht Jahren endet der SIEM-Vertrag automatisch, ohne dass es einer Kündigung eines Vertragspartners bedarf.
Mehr anzeigen Informationen über die Begrenzung der Zahl der einzuladenden Bewerber
Vorgesehene Mindestanzahl: 3
Rechtliche, wirtschaftliche, finanzielle und technische Informationen Bedingungen für die Teilnahme
Liste und kurze Beschreibung der Bedingungen:
“s. "T1 Teilnahmeantrag 2021-LR-0003", Nr. 2:
Nachweis bzw. Erklärung über die aktuelle Eintragung in ein Berufs- oder Handelsregister bzw. gleichwertiges” Wirtschaftliche und finanzielle Leistungsfähigkeit
Liste und kurze Beschreibung der Auswahlkriterien:
“s. "T1 Teilnahmeantrag 2021-LR-0003", Nr. 3:
3.1 Haftpflichtversicherung (Versicherungsnachweis oder Eigenerklärung): Vorlage des Nachweises einer...”
Liste und kurze Beschreibung der Auswahlkriterien
s. "T1 Teilnahmeantrag 2021-LR-0003", Nr. 3:
3.1 Haftpflichtversicherung (Versicherungsnachweis oder Eigenerklärung): Vorlage des Nachweises einer bestehenden Haftpflichtversicherung bei einem in der EU zugelassenen Versicherer durch mindestens Vorlage der Versicherungspolice oder einer Bestätigung des Bewerbers/ des bevollmächtigten Vertreters der Bewerbergemeinschaft, dass im Auftragsfall eine solche Versicherung abgeschlossen wird. Der eingereichte Nachweis darf nicht älter als 12 Monate sein.
3.2 Jahresumsatz (Eigenerklärung): Erklärung über den Netto-Gesamtumsatz aus den letzten 3 abgeschlossenen Geschäftsjahren in dem Tätigkeitsbereich des Auftrags
“zu 3.1:
- Personen- und Sachschäden pauschal 1 Mio. EUR pro Schadensfall
- Vermögensschäden 1 Mio. EUR pro Schadensfall
zu 3.2:
1.500.000,00 EUR...”
zu 3.1:
- Personen- und Sachschäden pauschal 1 Mio. EUR pro Schadensfall
- Vermögensschäden 1 Mio. EUR pro Schadensfall
zu 3.2:
1.500.000,00 EUR Jahresnettoumsatz, gemittelt; aus den letzten 3 abgeschlossenen Geschäftsjahren
Mehr anzeigen Technische und berufliche Fähigkeiten
Liste und kurze Beschreibung der Auswahlkriterien:
“s. "T1 Teilnahmeantrag 2021-LR-0003", Nr. 4:
4.1 Personelle Leistungsfähigkeit: Erklärung zur Zahl der durchschnittlich jährlich festangestellten...”
Liste und kurze Beschreibung der Auswahlkriterien
s. "T1 Teilnahmeantrag 2021-LR-0003", Nr. 4:
4.1 Personelle Leistungsfähigkeit: Erklärung zur Zahl der durchschnittlich jährlich festangestellten Beschäftigten des Unternehmens im technischen Bereich, bezogen auf die ausgeschriebenen Leistungen zum Zeitpunkt der Abgabe des Teilnahmeantrags und in den beiden davorliegenden Geschäftsjahren mit Qualifikation und Berufserfahrung.
4.2 Referenzen: Es sind 2 wertungsfähige Referenzen abzugeben, die mit der zu vergebenden Leistung vergleichbar sind.
Im Falle der Eignungsleihe ist ein Verfügbarkeitsnachweis des Drittunternehmens erforderlich, dieser kann über das Formblatt "Verpflichtungserklärung Nachunternehmer mit Eignungsleihe (Anlage T4)" erbracht werden.
Mehr anzeigen Bedingungen für die Teilnahme
Bedingungen für die Teilnahme (technische und berufliche Fähigkeiten):
“zu 4.1:
Erklärung zur Zahl der durchschnittlich jährlich festangestellten Beschäftigten des Unternehmens im technischen Bereich, bezogen auf die...”
Bedingungen für die Teilnahme (technische und berufliche Fähigkeiten)
zu 4.1:
Erklärung zur Zahl der durchschnittlich jährlich festangestellten Beschäftigten des Unternehmens im technischen Bereich, bezogen auf die ausgeschriebenen Leistungen zum Zeitpunkt der Abgabe des Teilnahmeantrags und in den beiden davorliegenden Geschäftsjahren mit Qualifikation und Berufserfahrung; Mindesanforderung: 15 Mitarbeiter im Jahr
zu 4.2:
2 wertungsfähige Referenzen, die mit der zu vergebenden Leistung vergleichbar sind; Mindesanforderungen:
- Leistungserbringung innerhalb EU / EWR
- Nicht älter als 3 Jahre
- Mindestens eine Referenz aus dem Banken-/ Finanzdienstleister-Sektor; die weitere Referenz kann aus dem Banken-/Finanzdienstleisters-Sektor oder einem KRITIS relevanten Sektor kommen
- Plattform Splunk
- SIEM/SOC im 7/24 Betrieb
- Deutschsprachiger Support (Ansprechpartner, Dokumentation und Tickets)
- Umsetzung der Datenschutzanforderungen gemäß DSGVO
Mehr anzeigen Bedingungen für den Vertrag
Bedingungen für die Vertragserfüllung:
“s. "T1 Teilnahmeantrag 2021-LR-0003", Nr. 5 MaRisk:
Eignungsanforderungen - Mindestanforderungen an das Risikomanagement (MaRisk):
5.1 Funktionen:...”
Bedingungen für die Vertragserfüllung
s. "T1 Teilnahmeantrag 2021-LR-0003", Nr. 5 MaRisk:
Eignungsanforderungen - Mindestanforderungen an das Risikomanagement (MaRisk):
5.1 Funktionen: Eigenerklärung über das Vorhandensein nachfolgender Funktionen:
a. Business Continuity Management (BCM)
b. Datenschutz
c. Informationssicherheitsbeauftragter
5.2 Technische Anforderungen
Eigenerklärung über das Vorhandensein folgender technischer Anforderungen.
a. Informationssicherheitsmanagementsystem (ISMS)
b. Schwachstellenmanagement
c. Notfallmanagement (BCM)
5.3 Berichterstattung
- Der Bewerber erklärt seine Bereitschaft (Eigenerklärung) zur Bereitstellung vertraglich regelmäßig geschuldeter Berichte (Risikobericht, ggf. Revisionsbericht, BCM-Bericht, Datenschutzbericht) vor Vertragsabschluss.
- Bewerber verfügt über eine Interne Revision
s. "T1 Teilnahmeantrag 2021-LR-0003", Nr. 6 Geheimhaltungserklärung:
Die folgenden Unterlagen und Richtlinien der Rentenbank unterliegen der Geheimhaltung:
- Organisationsanweisung Datenschutz,
- Anhang Aktuell angebundene Logquellen und
- Anhang aktuelle Use-Cases der Leistungsbeschreibung.
Diese Unterlagen werden den Bewerbern bei Aufforderung zur Angebotsabgabe zur Verfügung gestellt, da diese erst für die Erstellung des Angebotes relevant werden.
Voraussetzung für den Erhalt dieser vertraulichen Unterlagen ist der Zugang der ausgefüllten und unterzeichneten Geheimhaltungserklärung (Anlage 20 SIEM-Vetrag) bei der beauftragten Vergabestelle mit Eingang des Teilnahmeantrags.
Verfahren Art des Verfahrens
Wettbewerbliches Verfahren mit Verhandlung
Administrative Informationen
Frist für den Eingang von Angeboten oder Teilnahmeanträgen: 2021-09-27
10:00 📅
Voraussichtliches Datum der Versendung der Aufforderungen zur Angebotsabgabe oder zur Teilnahme an die ausgewählten Bewerber: 2021-10-22 📅
Sprachen, in denen Angebote oder Teilnahmeanträge eingereicht werden können: Deutsch 🗣️
Das Angebot muss gültig sein bis: 2022-03-31 📅
Ergänzende Informationen Zusätzliche Informationen
Bekanntmachungs-ID: CXP4YYZR43P
Körper überprüfen
Name: Vergabekammer des Bundes
Postanschrift: Villemomblerstraße 76
Postort: Bonn
Postleitzahl: 53123
Land: Deutschland 🇩🇪
Telefon: +49 2289499-0📞
Fax: +49 2289499-163 📠 Verfahren zur Überprüfung
Genaue Informationen über Fristen für Überprüfungsverfahren:
“Gemäß §160 Abs. 3 GWB ist ein Nachprüfungsantrag unzulässig, soweit:
(1) der Antragsteller den geltend gemachten Verstoß gegen Vergabevorschriften vor...”
Genaue Informationen über Fristen für Überprüfungsverfahren
Gemäß §160 Abs. 3 GWB ist ein Nachprüfungsantrag unzulässig, soweit:
(1) der Antragsteller den geltend gemachten Verstoß gegen Vergabevorschriften vor Einreichen des Nachprüfungsantrags erkannt und gegenüber dem Auftraggeber nicht innerhalb einer Frist von 10 Kalendertagen gerügt hat; der Ablauf der Frist nach § 134 Absatz 2 bleibt unberührt;
(2) Verstöße gegen Vergabevorschriften, die aufgrund der Vorinformation erkennbar sind, nicht spätestens bis zum Ablauf der in der Vorinformation benannten Frist zur Interessensbestätigung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden;
(3) Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, nicht spätestens bis zum Ablauf der Frist zur Interessensbestätigung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden;
(4) mehr als 15 Kalendertage nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, vergangen sind. Satz 1 gilt nicht bei einem Antrag auf Feststellung der Unwirksamkeit des Vertrags nach § 135 Absatz 1 Nummer 2. § 134 Absatz 1 Satz 2 bleibt unberührt.
Mehr anzeigen Dienststelle, bei der Informationen über das Überprüfungsverfahren eingeholt werden können
Name: Vergabekammer des Bundes
Postanschrift: Villemomblerstraße 76
Postort: Bonn
Postleitzahl: 53123
Land: Deutschland 🇩🇪
Telefon: +49 2289499-0📞
Fax: +49 2289499-163 📠
Quelle: OJS 2021/S 169-442293 (2021-08-27)
Bekanntmachung über vergebene Aufträge (2022-03-09) Objekt Umfang der Beschaffung
Kurze Beschreibung:
“Der Auftraggeber betreibt im internen Rechenzentrum ein Logging-/Monitoring-System auf der Basis von Splunk Enterprise zur Speicherung, Auswertung und...”
Kurze Beschreibung
Der Auftraggeber betreibt im internen Rechenzentrum ein Logging-/Monitoring-System auf der Basis von Splunk Enterprise zur Speicherung, Auswertung und Recherche von Log-Daten verschiedener Netzwerk- und Sicherheitssysteme sowie bankfachlicher Anwendungen. Gegenstand dieses Vergabeverfahrens war die Transition, Konfiguration und Betrieb eines On-Premise SIEM-Systems sowie eines SOC zur zeitnahen Alarmierung von Sicherheitsvorfällen (in der Ziellandschaft 7/24) sowie die Unterstützung beim Einleiten von Gegenmaßnahmen. Die Dienstleistung ist eine wesentliche zeitkritische Auslagerung nach MaRisk. Datenschutzaspekte und die Informationssicherheit waren weitere Kernthemen dieser Ausschreibung.
Mehr anzeigen
Gesamtwert der Beschaffung (ohne MwSt.): EUR 1 💰
Beschreibung
Beschreibung der Beschaffung:
“Das SIEM-System muss sowohl die bislang genutzten Funktionen für Recherche, regelbasierte Erkennung und Alarmierung von Sicherheitsvorfällen bieten, als...”
Beschreibung der Beschaffung
Das SIEM-System muss sowohl die bislang genutzten Funktionen für Recherche, regelbasierte Erkennung und Alarmierung von Sicherheitsvorfällen bieten, als auch optimal für geplante zukünftige Anforderungen und Erweiterungen geeignet sein. Dazu gehörten z. B. das Wachstum vieler Leistungsparameter, die Integration neuer Informationsquellen, die Umsetzung von Anforderungen des Datenschutzes sowie die kontinuierliche Erweiterung und Anpassung. Neben dem Produktivsystem und einem Testsystem gehörten auch die Installation und Migration sowie die Erstellung einer Roadmap für Use-Cases zu den geforderten Leistungen.
Folgende Pakete waren Bestandteil der Leistung:
Paket 1: Lieferung der SIEM-Software
Paket 2: Setup und Ersteinrichtung der SIEM-Umgebung, Migration der bestehenden Umgebung
Paket 3: Betrieb der SIEM-Umgebung
Paket 4: SOC-Dienstleistung
Paket 5: Sonstige Unterstützungsleistung
Paket 6: Organisation der Zusammenarbeit und Gremien
Verfahren Administrative Informationen
Frühere Veröffentlichungen zu diesem Verfahren: 2021/S 169-442293
Auftragsvergabe
1️⃣
Vertragsnummer: 2021-LR-0003
Titel:
“Beschaffung eines Security Information & Event Management (SIEM)/Security Operations Center (SOC) für die Rentenbank”
Datum des Vertragsabschlusses: 2022-02-28 📅
Informationen über Ausschreibungen
Anzahl der eingegangenen Angebote: 1
Anzahl der eingegangenen Angebote von KMU: 1
Anzahl der eingegangenen Angebote von Bietern aus anderen EU-Mitgliedstaaten: 1
Anzahl der eingegangenen Angebote von Bietern aus Nicht-EU-Mitgliedstaaten: 0
Anzahl der auf elektronischem Wege eingegangenen Angebote: 1
Name und Anschrift des Auftragnehmers
Name: GIP S.a.r.L.
Postanschrift: 22, rue Gabriel Lippmann
Postort: Munsbach
Postleitzahl: 5365
Land: Luxemburg 🇱🇺
Region: Luxembourg 🏙️
Der Auftragnehmer ist ein KMU ✅ Angaben zum Wert des Auftrags/der Partie (ohne MwSt.)
Gesamtwert des Auftrags/Loses: EUR 1 💰
“Hinweis zu Ziffer ll.1.7) und V.2.4): Aus Rücksicht auf die Geschäftsgeheimnisse des Bieters und die daraus resultierenden Geheimhaltungspflichten wird von...”
Hinweis zu Ziffer ll.1.7) und V.2.4): Aus Rücksicht auf die Geschäftsgeheimnisse des Bieters und die daraus resultierenden Geheimhaltungspflichten wird von einer Angabe des Auftragswerts abgesehen.
Bekanntmachungs-ID: CXP4YYZRXG9
Mehr anzeigen
Quelle: OJS 2022/S 051-133554 (2022-03-09)