Ausschreibung Managed SOC/SIEM

Kurze Beschreibung

Erweiterung der bestehenden Ereignisprotokollierung (Splunk) um eine SIEM-Funktion sowie Managed Service für die resultierende Lösung, siehe hierzu auch die Ausführungen in dem Entwurf der Leistungsbeschreibung.
Die Projektsprache ist Deutsch. Erstellung und Abstimmung der erforderlichen Dokumente sowie die Dienstleistungen und Service-Leistungen erfolgen in deutscher Sprache.

Hauptstandort oder Erfüllungsort

Universitätsklinikum Köln AöR, UK-IT Kerpener Str. 62 50937 Köln Die Erfüllungsorte der Dienstleistung sind durch die abrufberechtigten Auftraggeber der Rahmenvereinbarung bestimmt. Auftraggeber sind die in der EU-Bekanntmachung unter: Öffentlicher Auftraggeber als Auftraggeber genannten öffentlichen Auftraggeber, wobei sich das UK Aachen entsprechend § 21 VgV einen Abruf aus dem geschlossenen Vertrag vorbehält, UK Aachen Pauwelsstraße 30 52074 Aachen

Beschreibung der Beschaffung

Gegenstand der Ausschreibung ist die Erweiterung der bestehenden Ereignisprotokollierung (Splunk) um eine SIEM-Funktion.
Der Bieter soll darüber hinaus für die resultierende SIEM-Lösung einen Managed Service bereitstellen. Hierzu gehören Implementierung, Konfiguration und Betrieb inkl. Service der SIEM-Lösung sowie die Einbindung aller relevanten Netz-, Sicherheits-, System- und Anwendungskomponenten in die SIEM-Lösung. Ebenfalls soll der Bieter während der Vertragsdauer ein SOC-Team mit unterschiedlichen Skill-Leveln für das Sicherheits-Monitoring der eingebundenen Komponenten bereitstellen. Das SOC-Team soll auch weitere SIEM-bezogene Dienstleistungen wie z.B. Anpassungen der SIEM-Lösung oder von Konnektoren vornehmen.
Die Software-Überlassung (inkl. Lizensierung) soll unabhängig von den geforderten Dienstleistungen vereinbart werden, um eine Nutzung der SIEM-Lösung durch UKK auch nach Ende des Leistungsvertrags zu gewährleisten.

Objektive Kriterien für die Auswahl der begrenzten Anzahl von Bewerbern

Aus dem Kreis der Bewerber, die die formellen und materiellen Anforderungen an die Eignung (§ 122 Abs. 1 GWB, §§ 42 ff. VgV) gemäß den Teilnahmebedingungen unter Abschnitt III.1.1) bis III.1.3) erfüllen, werden nur die genannte Anzahl Bewerber vom Auftraggeber ausgewählt und zur Angebotsabgabe aufgefordert (§ 51 Abs. 2 VgV). Eine solche Reduzierung des Teilnehmerkreises erfolgt nur, sofern eine ausreichende Anzahl an formell und materiell geeigneten Bewerbern vorhanden ist. Die Auswahl der zur Angebotsabgabe aufzufordernden Bewerber erfolgt objektiv und diskriminierungsfrei anhand folgender Auswahlkriterien. Die von den Bewerbern je Auswahlkriterium erreichten Punkte werden je Bewerber zu einer Ge-samtpunktzahl addiert (siehe Eignungsmatrix).
Anhand der erreichten Gesamtpunktzahlen wird eine Rangfolge der Bewerber erstellt. Die entsprechend Bestplatzierten werden zur Angebotsabgabe aufgefordert. Falls mehr als die genannte Höchstzahl Bewerber einen gleichen Punktehöchststand erreichen, werden entsprechend mehr Bewerber zur Angebotsabgabe aufgefordert.
1. Auswahlkriterium 1: Für den Nachweis der Zertifizierung nach ISO 27001 oder ISO 27001 auf Basis von BSI IT-Grundschutz oder vergleichbar mit einem den Ausschreibungsgegenstand umfassenden Gültigkeitsbereich erhält der Bewerber 2 Punkte (D2).
2. Auswahlkriterium 2: Für den Nachweis der Zertifizierung nach ISO 9001 oder vergleich-bar mit einem den Ausschreibungsgegenstand umfassenden Gültigkeitsbereich erhält der Bewerber 2 Punkte (D3).
3. Auswahlkriterium 3: Für zwei weitere Referenzen gemäß den Anforderungen nach Ab-schnitt III.1.3) (D10), die über die Mindestanzahl von Referenzen hinausgeht, erhält der Bewerber 4 Punkte. Es kann eine unbeschränkte Anzahl von solchen Referenzen angegeben werden; es sind jedoch lediglich 4 Punkte erreichbar.
4. Auswahlkriterium 4: Für eine der unter Abschnitt III.1.3) (D10) geforderten Referenzen, für die der Bewerber einen Auftraggeber im Klinik- oder KRITIS-Umfeld angibt, erhält der Bewerber 4 Punkte. Es kann eine unbeschränkte Anzahl von solchen Referenzen ange-geben werden; es sind jedoch lediglich 4 Punkte erreichbar.
5. Auswahlkriterium 5: Für zwei weitere Referenzen gemäß den Anforderungen nach Ab-schnitt III.1.3) (D11), die über die Mindestzahl von Referenzen hinausgeht, erhält der Be-werber 4 Punkte. Es kann eine unbeschränkte Anzahl von solchen Referenzen angegeben werden; es sind jedoch lediglich 4 Punkte erreichbar.
6. Auswahlkriterium 6: Für mindestens eine der unter Abschnitt III.1.3) (D11) geforderten Referenzen, für die der Bewerber einen Auftraggeber im Klinik- oder KRITIS-Umfeld an-gibt, erhält der Bewerber 4 Punkte. Es kann eine unbeschränkte Anzahl von solchen Referenzen angegeben werden; es sind jedoch lediglich 4 Punkte erreichbar.
7. Auswahlkriterium 7: Für zwei Referenzen gemäß den Anforderungen nach Abschnitt III.1.3) (D11), deren Projektinhalt mit einer SIEM-Lösung des Herstellers Splunk Inc. er-bracht wurde, erhält der Bewerber 4 Punkte. Es kann eine unbeschränkte Anzahl von solchen Referenzen angegeben werden; es sind jedoch lediglich 4 Punkte erreichbar.
8. Auswahlkriterium 8: Für zwei weitere Referenzen gemäß den Anforderungen nach Ab-schnitt III.1.3) (D12), die über die Mindestzahl von Referenzen hinausgeht, erhält der Be-werber 4 Punkte. Es kann eine unbeschränkte Anzahl von solchen Referenzen angegeben werden; es sind jedoch lediglich 4 Punkte erreichbar.
9. Auswahlkriterium 9: Für mindestens eine der unter Abschnitt III.1.3) (D12) geforderten Referenzen, für die der Bewerber einen Auftraggeber im Klinik- oder KRITIS-Umfeld an-gibt, erhält der Bewerber 4 Punkte. Es kann eine unbeschränkte Anzahl von solchen Referenzen angegeben werden; es sind jedoch lediglich 4 Punkte erreichbar.
10. Auswahlkriterium 10: Für zwei Referenzen gemäß den Anforderungen nach Abschnitt III.1.3) (D12), deren Projektinhalt mit einer SIEM-Lösung des Herstellers Splunk Inc. er-bracht wurde, erhält der Bewerber 4 Punkte. Es kann eine unbeschränkte Anzahl von solchen Referenzen angegeben werden; es sind jedoch lediglich 4 Punkte erreichbar.

Liste und kurze Beschreibung der Bedingungen

(A1) Darstellung des Bewerbers (Leistungsspektrum und Kerngeschäft des Unternehmens) und der Unternehmensorganisation (Hauptsitz, ggf. Niederlassungen, Struktur/Aufbau) sowie - falls zutreffend - ausführliche Darstellung der Konzernverbundenheit/-angehörigkeit mit anderen Unternehmen.
(A2) Unterschriebene Eigenerklärung des Bewerbers, in Bezug auf das Vergabeverfahren sowie den Auftragsgegenstand keine unzulässigen, wettbewerbswidrigen Verhaltensweisen, insbesondere Verstöße gegen das UWG und GWB, zu begehen oder sich hieran zu beteiligen.
(A3) Unterschriebene Eigenerklärung des Bewerbers, dass keine Ausschlussgründe vorliegen (Formular 521 EU)
(A4) Unterschriebene Eigenerklärung des Bewerbers, dass die Bestimmungen des MiLoG und AentG eingehalten sind.
(A5) Nachweis der Eintragung im Berufs- und Handelsregister (ggf. Kopie) nach Maßgabe der Rechtsvorschriften des zuständigen Landes der Gemeinschaft oder des Vertrags-staates des EWR-Abkommens nicht älter als sechs Monate
(A6) Unterschriebene Eigenerklärung des Bewerbers zur Bereitschaft zum Abschluss des AV-Vertrages mit UKK
(A7) Unterschriebene Eigenerklärung des Bewerbers zur Bereitschaft zum Abschluss einer Verschwiegenheitsvereinbarung
Sofern der Bewerber eine Bewerbergemeinschaft darstellt oder Unterauftragnehmer einsetzen will, sind zusätzlich die in (A1) bis (A7) geforderten Nachweise, Angaben und Erklärungen von jedem beteiligten Unternehmen der Bewerbergemeinschaft sowie Unterauftragnehmer einzureichen. Darüber hinaus müssen für jedes beteiligte Unternehmen die vorgesehenen Projektanteile dargelegt werden.
(B1) Darstellung des beteiligten Unternehmens (Leistungsspektrum und Kerngeschäft des Unternehmens) und der Unternehmensorganisation (Hauptsitz, ggf. Niederlassungen, Struktur/Aufbau) sowie - falls zutreffend - ausführliche Darstellung der Konzernverbundenheit/-angehörigkeit mit anderen Unternehmen
(B2) Unterschriebene Eigenerklärung des beteiligten Unternehmens, in Bezug auf das Vergabeverfahren sowie den Auftragsgegenstand keine unzulässigen, wettbewerbswidrigen Verhaltensweisen, insbesondere Verstöße gegen das UWG und GWB, zu begehen oder sich hieran zu beteiligen.
(B3) Unterschriebene Eigenerklärung des beteiligten Unternehmens, dass keine Ausschlussgründe vorliegen
(Formular 521 EU)
(B4) Unterschriebene Eigenerklärung des beteiligten Unternehmens, dass die Bestimmun-gen des MiLoG und AentG eingehalten sind
(B5) Nachweis der Eintragung im Berufs- und Handelsregister (ggf. Kopie) nach Maßgabe der Rechtsvorschriften des zuständigen Landes der Gemeinschaft oder des Vertrags-staates des EWR-Abkommens nicht älter als sechs Monate
(B6) Unterschriebene Eigenerklärung des beteiligten Unternehmens zur Bereitschaft zum Abschluss eines AV-Vertrages mit UKK
(B7) Unterschriebene Eigenerklärung des beteiligten Unternehmens zur Bereitschaft zum Abschluss einer Verschwiegenheitsvereinbarung
(B8) Detaillierte Darstellung der vorgesehenen Tätigkeiten des beteiligten Unternehmens (Mitglied der Bietergemeinschaft oder Unterauftragnehmer) im Projekt

Liste und kurze Beschreibung der Auswahlkriterien

(C1) Unterschriebene Eigenerklärung über den Gesamtumsatz des Bewerbers sowie evtl. Unterauftragnehmer oder der Unternehmen der Bietergemeinschaft jeweils bezogen auf die letzten 3 abgeschlossenen Geschäftsjahre entsprechend dem Gründungsdatum oder dem Datum der Tätigkeitsaufnahme des Unternehmens. (Mindestanforderung)
(C2) Unterschriebene Eigenerklärung über den Umsatz des Bewerbers sowie evtl. Unterauftragnehmer oder der Unternehmen der Bietergemeinschaft in den ausgeschriebenen und für das Unternehmen vorgesehenen Tätigkeitsbereichen jeweils bezogen auf die letzten 3 abgeschlossenen Geschäftsjahre entsprechend dem Gründungsdatum oder dem Datum der Tätigkeitsaufnahme des Unternehmens.
Mindestanforderung: Insgesamt zweifacher geschätzter Auftragswert (siehe II.2.6)
(C3) Unterschriebene Eigenerklärung, dass eine aktuell gültige Haftpflichtversicherung oder eine vergleichbare marktübliche Versicherung mit einer Haftpflichtdeckungshöhe von 5.000.000 EUR für Personenschäden und Sachschäden je Schadensfall und Versicherungsjahr besteht. Falls eine Versicherung mit dieser Deckungshöhe derzeit nicht besteht, genügt die Vorlage von (i) einer unterschriebenen Eigenerklärung des Bewerbers, dass er im Auftragsfall bereit ist, eine entsprechende Versicherung auf erstes Anfordern des Auftraggebers abzuschließen und (ii) die Erklärung eines Versicherers (in nicht beglaubigter Kopie), dass dieser zum Abschluss einer entsprechenden Versicherung mit dem Bewerber bereit ist. Auf Verlangen der Vergabestelle ist das Bestehen der unter III.1.2) (C2) geforderten Versicherung auf erstes Anfordern durch entsprechende Verträge oder Dokumente/Bescheinigungen des Versicherers bis zur Zuschlagserteilung nachzuweisen.

Liste und kurze Beschreibung der Auswahlkriterien

Hersteller-Support
(D1) Der Bewerber oder der entsprechende Unterauftragnehmer oder ein Mitglied der Bewerbergemeinschaft weisen per Zertifikat nach, dass er einen ausreichend qualifizierten Zugang zum Hersteller-Support des Herstellers der SIEM-Lösung hat. (Mindestanforderung)
Qualitätsmanagement / Sicherheitsmanagement
Falls der Bewerber für das Projekt Unterauftragnehmer einplant oder eine Bewerbergemeinschaft darstellt, sind die Kriterien (D2)und (D3) von allen beteiligten Unternehmen auszufüllen!
(D2) Die beteiligten Unternehmen weisen als Dienstleister für SIEM-Lösungen nachhaltig nach, dass sie die Informationssicherheit für ihre Tätigkeiten angemessen berücksichtigen. Für die entsprechenden Organisationseinheiten erfolgt dies über eine Zertifizierung nach ISO 27001 oder ISO 27001 auf Basis von BSI IT-Grundschutz oder vergleichbar, die einen dem Ausschreibungsgegenstand angemessenen Gültigkeitsbereich abdeckt. (Bewertungskriterium)
(D3) Außerdem weisen die beteiligten Unternehmen ein nachhaltiges Qualitätsmanagement nach. Dies kann über eine Zertifizierung nach ISO 9001 oder einen vergleichbaren Nachweis erfolgen, die einen dem Ausschreibungsgegenstand angemessenen Gültigkeitsbereich abdeckt. (Bewertungskriterium)
Projektbeteiligte und Rollenqualifikation
Falls der Bewerber für das Projekt Unterauftragnehmer einplant oder eine Bewerbergemeinschaft darstellt, sind die Kriterien (D4) bis (D7) von allen beteiligten Unternehmen auszufüllen!
(D4) Angabe der durchschnittlichen jährlichen Beschäftigtenzahl in den letzten drei Jahren (Mindestanforderung)
(D5) Angabe der durchschnittlichen jährlichen Beschäftigtenzahl in den ausgeschriebenen Tätigkeitsbereichen, Dienstleistungen SIEM/SOC, in den letzten drei Jahren (Mindestanforderung).
(D6) Angabe der technischen Fachkräfte, die im Zusammenhang mit der Leistungserbrin-gung für Lieferung, Betrieb und Implementierung eingesetzt werden sollen, ggf. in anonymisierter Form unter Angabe der geplanten Rolle bei der Leistungserbringung (Mindestanforderung).
(D7) Angabe der technischen Fachkräfte, die im Zusammenhang mit der Leistungserbrin-gung für Anpassung (Customizing) und Nutzung der Lösung (SOC-Team) eingesetzt werden sollen, ggf. in anonymisierter Form unter Angabe der geplanten Rolle (Analys-ten-Level, Software-Architekt etc.) bei der Leistungserbringung (Mindestanforderung).
(D8) Nachweis, dass Personal mindestens entsprechend vier Vollzeitkräften verfügbar ist, das nachhaltig bzw. per Zertifikat für die vorgesehene SIEM-Lösung geschult wurde, dessen Skill-Level alle vorgesehenen Tätigkeiten des SOC-Teams (insbesondere Security Analyst 2 und 3) abdecken kann und das für den Managed Service bedarfs-gerecht für UKK eingesetzt werden kann. (Mindestanforderung)
(D9) Angabe des vorgesehenen Projektleiters, der für die Dauer des Projekts ein fester Ansprechpartner in allen Projektbelangen für UKK ist. (Mindestanforderung)
Für die Projektbeteiligten gemäß (D6) bis (D9) sind deren Rollenqualifikationen in Form von anonymisierten Personalprofilen (gemäß Vorlage Personalprofil) darzulegen. Diese beinhalten die berufliche Befähigung (Ausbildung) sowie Qualifikationen und ggf. Zertifikate. Jedes Per-sonalprofil muss dabei auch Erfahrungen und ggf. Zertifikate hinsichtlich der ausgeschriebe-nen Leistung beinhalten.
Die Einreichung von Bildungsnachweisen ist nicht erforderlich. Bei Bedarf werden Nachwei-dokumente durch die Vergabestelle nachgefordert.
Referenzen gemäß (D10) bis (D12):
Gehen Sie bei der Angabe der Referenzen auf folgende Punkte ein (gemäß Vorlage Projektreferenz):
- Auftraggeber inkl. Adresse
- (detaillierte) Darstellung des Auftragsgegenstands / der Leistungen
- Umfang, Dauer, Zeitpunkt und Auftragsvolumen
- Durchführendes Unternehmen: Bewerber oder Unterauftragnehmer oder Mitglied der Bewerbergemeinschaft
Aus den Ausführungen muss ersichtlich werden, warum die beschriebenen Projekte aus Ihrer Sicht die genannten Anforderungen erfüllen und somit als Referenz geeignet sind. Die Darstellung sollte ca. eine DIN A4-Seite pro Referenzprojekt umfassen.
Ein Ansprechpartner sollte bei Bedarf für Rückfragen vermittelt werden können.
Es ist zulässig, eine entsprechende Referenz eines im Teilnahmeantrag benannten Unterauftragnehmers oder Unternehmen der Bewerbergemeinschaft vorzulegen.
(D10) Benennen Sie mindestens zwei erfolgreich abgeschlossene Projekte für Lieferung und Service bezüglich Bereitstellung von SIEM-Lösungen des Herstellers Splunk Inc., welche dem im Entwurf der Leistungsbeschreibung dargestellten Art, Umfang und Projektsprache dieses Projekts entsprechen, die in den letzten drei Jahren von Ihrem Unternehmen oder dem für die Tätigkeit vorgesehenen Unternehmen durchgeführt wurden (Mindestanforderung sowie Bewertungskriterium).
(D11) Benennen Sie mindestens zwei erfolgreich abgeschlossene Projekte für Konzeptionierung, Implementierung und Anpassung (Customizing) einer SIEM-Lösung, bevorzugt des Herstellers Splunk Inc., welche dem im Entwurf der Leistungsbeschreibung dar-gestellten Art, Umfang und Projektsprache dieses Projekts entsprechen, die in den letzten drei Jahren von Ihrem Unternehmen oder dem für die Tätigkeit vorgesehenen Unternehmen durchgeführt wurden (Mindestanforderung sowie Bewertungskriterium).
(D12) Benennen Sie mindestens zwei erfolgreich abgeschlossene Projekte für Dienstleistungen hinsichtlich der Nutzung einer SIEM-Lösung (Bereitstellung eines SOC-Teams), bevorzugt des Herstellers Splunk Inc., welche dem im Entwurf der Leistungsbeschreibung dargestellten Art, Umfang und Projektsprache dieses Projekts entsprechen, die in den letzten drei Jahren von Ihrem Unternehmen oder dem für die Tätigkeit vorgesehenen Unternehmen durchgeführt wurden (Mindestanforderung sowie Bewertungskriterium).
Hinweis: Ein Referenzprojekt kann zugleich sowohl zur Erfüllung von (D10) bis (D12) ange-geben werden. Sollte der Vergabestelle eine Überprüfung bei dem Referenzauftraggeber nicht möglich sein, ist die eingereichte Referenz des Unternehmens kein tauglicher Nachweis der fachlichen und technischen Leistungsfähigkeit.
Die Unternehmen sind darlegungs- und beweispflichtig für die Umstände und berechtigten Gründe, die die Geheimhaltung begründen; die Vergabestelle behält sich die Überprüfung dieser Angaben vor. Es wird darauf hingewiesen, dass Unternehmen von der Teilnahme an diesem Vergabeverfahren ausgeschlossen werden können, wenn der Nachweis in erheblichem Ausmaß falsche Angaben enthält oder geforderte Auskünfte nicht erteilt wurden.
Im Übrigen behält sich der Auftraggeber die Überprüfung der Darstellung bei dem angegebenen Referenzgeber sowie eigene Ermittlungen im Rahmen der materiellen Eignungsprüfung vor.

Erste Umsetzung (Produktivname mindestens für Systeme gemäß Phase 1 der Leistungsbeschreibung) bis Mitte 2023
Wirtschaftlichstes Angebot gemäß Bestangebots-Quotienten-Methode mit 60% Gewichtung für die Technische Bewertung und 40% Gewichtung des Preises
Die Anforderungen und Kriterien für die Technische Bewertung werden im Verlauf der Verhandlungen transparent und diskriminierungsfrei konkretisiert.
Bekanntmachungs-ID: CXS0YYLYYEM