Rahmenvertrag Telearbeit NRW - Telearbeitsplätze für die Landesverwaltung Nordrhein-Westfalen

Kurze Beschreibung

Die Landesverwaltung NRW beabsichtigt auf der Basis bereits bestehender Techniken die Nutzung der mobilen Telearbeit auszubauen.
Derzeit existiert die Lösung "Telearbeit NRW". Die netztechnische Anbindung erfolgt derzeit unter Nutzung von VPN-Technologie über das Internet. Die VPN-Infrastruktur und der Übergang zum geschützten Landesverwaltungsnetz werden zentral bei IT.NRW betrieben. Von hier aus erfolgt eine Weiterleitung über das Landesverwaltungsnetz in das jeweils vorgesehene Behördennetz, ebenfalls per VPN-Technologie. Die Anbindung von externen Endgeräten über das Internet kann über beliebige Verbindungsarten erfolgen (z.B. DSL, UMTS, WLAN). Dabei kommen neben stationären PC und Laptops auch Smartphones und Tablets zum Einsatz.
Mit Zuschlagserteilung wird je Los ein Rahmenvertrag abgeschlossen, der es allen bezugsberechtigten Behörden und Einrichtungen des Landes ermöglicht, die Leistungen, die im Folgenden näher beschrieben werden und sich auf die mobile Telearbeit beziehen, über IT.NRW abzurufen. Zum Leistungspaket gehören:
In LOS 1:
- VPN-Produkte (Hard- und Software, auch Appliances, client- und serverseitig) der Firma NCP
- Inklusive Managementkomponenten (Software und Lizenzen) der Firma NCP zur effizienten Verwaltung der VPN-Infrastruktur
- Inklusive Softwarepflege / Update-Abonnement, Sicherheits-Updates zum Download, Patches für Fehlerkorrekturen, Update auf aktuelle, vom Hersteller freigegebene Softwareversionen
- Supportleistungen Telefonischer Support durch den Hersteller NCP (Standard 5*8 und Erhöhung auf 7*24)
- Personaldienstleistungen (z.B. Installations-, Integrations- und Un-terstützungsleistungen) durch die Firma NCP, auch bei direkter Kontaktaufnahme unter Umgehung der Service-Line des Auftragnehmers
- Personaldienstleistungen (z.B. Installations-, Integrations- und Unterstützungsleistungen) durch den Auftragnehmer. Bei Bedarf muss der Auftragnehmer in der Lage sein, sicherheitsüberprüftes Perso-nal ("einfache Sicherheitsüberprüfung" entsprechend Sicherheits-überwachungsgesetz NRW, Sicherheitsüberprüfungsgesetz Bund oder anderer Bundesländer) bereitzustellen.
Supportleistungen
Da der Support für sicherheitskritische Geräte und Software abgeschlossen wird, muss die Support-Hotline in den Geschäftsräumen des Auftragnehmers in Deutschland positioniert sein (kein ausgelagertes Callcenter). Anrufe, elektronische Tickets oder E-Mails müssen in deutscher Sprache entgegengenommen und beantwortet werden.
Sollten die Anforderungen von Kunden an IT.NRW dies bedingen, muss es optional möglich sein, nach angemessener Vorlaufzeit von drei Monaten die Zeiten für die Annahme von und Reaktion auf Meldungen auf sieben Tage pro Woche 00:00 bis 24:00 Uhr bei identischen Reaktionszeiten auszudehnen. Diese Umstellung muss für ein dabei zu definierendes Paket von Komponenten möglich sein, während andere Komponenten im Standardsupport verbleiben. Es muss mit angemessener Vorlaufzeit möglich sein, einzelne Komponenten wieder in die oben definierte Standard-Wartung zurückzunehmen.
Personaldienstleistungen
Bei kritischen Störungen, in denen die VPN-Infrastruktur so weit ausfällt, dass sie keine Kommunikationsbeziehungen mehr zulässt, muss eine Vor-Ort Unterstützung durch einen deutschsprachigen und qualifizierten Techniker innerhalb von 4 Stunden nach Kontaktaufnahme in den Standorten Düsseldorf oder Hagen erfolgen können.
Bei besonderen Ereignissen (z.B. Messen) muss es möglich sein, auch an Wochenenden oder an Feiertagen einen Support, telefonisch oder Vor-Ort, nach vorheriger Ankündigung mit mindestens vier Wochen Vorlauf zu organisieren.
In LOS 2:
- Digitale Zertifikate für VPN-Clients (mit Chipkarte, und/oder Software-Zertifikat). Bestandteil dieses Loses 2 sind nur die Zertifikate ohne E-Mail Funktionalität.
- Chipkartenleser
In LOS 3:
- Appliances als Verwaltungsinstanzen für OTP-Token zur Authentifizierung der Token, zur Benutzerverwaltung inklusive aller dazu notwendigen Lizenzen, Hardwarewartung

Hauptstandort oder Erfüllungsort

Land NRW vertreten durch den Landesbetrieb Information und Technik NRW Mauerstraße 51 40476 Düsseldorf In der Leistungsbeschreibung ist eine Liste der Ressorts / Dienststellen vorhanden.

Beschreibung der Beschaffung

Die Landesverwaltung NRW beabsichtigt auf der Basis bereits bestehender Techniken die Nutzung der mobilen Telearbeit auszubauen.
Derzeit existiert die Lösung "Telearbeit NRW". Die netztechnische Anbindung erfolgt derzeit unter Nutzung von VPN-Technologie über das Internet. Die VPN-Infrastruktur und der Übergang zum geschützten Landesverwaltungsnetz werden zentral bei IT.NRW betrieben. Von hier aus erfolgt eine Weiterleitung über das Landesverwaltungsnetz in das jeweils vorgesehene Behördennetz, ebenfalls per VPN-Technologie. Die Anbindung von externen Endgeräten über das Internet kann über beliebige Verbindungsarten erfolgen (z.B. DSL, UMTS, WLAN). Dabei kommen neben stationären PC und Laptops auch Smartphones und Tablets zum Einsatz.
Mit Zuschlagserteilung wird je Los ein Rahmenvertrag abgeschlossen, der es allen bezugsberechtigten Behörden und Einrichtungen des Landes ermöglicht, die Leistungen, die im Folgenden näher beschrieben werden und sich auf die mobi-le Telearbeit beziehen, über IT.NRW abzurufen. Zum Leistungspaket gehören:
In LOS 1:
- VPN-Produkte (Hard- und Software, auch Appliances, client- und serverseitig) der Firma NCP
- Inklusive Managementkomponenten (Software und Lizenzen) der Firma NCP zur effizienten Verwaltung der VPN-Infrastruktur
- Inklusive Softwarepflege / Update-Abonnement, Sicherheits-Updates zum Download, Patches für Fehlerkorrekturen, Update auf aktuelle, vom Hersteller freigegebene Softwareversionen
- Supportleistungen Telefonischer Support durch den Hersteller NCP (Standard 5*8 und Erhöhung auf 7*24)
- Personaldienstleistungen (z.B. Installations-, Integrations- und Unterstützungsleistungen) durch die Firma NCP, auch bei direkter Kontaktaufnahme unter Umgehung der Service-Line des Auftragnehmers
- Personaldienstleistungen (z.B. Installations-, Integrations- und Un-terstützungsleistungen) durch den Auftragnehmer. Bei Bedarf muss der Auftragnehmer in der Lage sein, sicherheitsüberprüftes Perso-nal ("einfache Sicherheitsüberprüfung" entsprechend Sicherheitsüberwachungsgesetz NRW, Sicherheitsüberprüfungsgesetz Bund oder anderer Bundesländer) bereitzustellen.
-
Supportleistungen
Da der Support für sicherheitskritische Geräte und Software abgeschlossen wird, muss die Support-Hotline in den Geschäftsräumen des Auftragnehmers in Deutschland positioniert sein (kein ausgelagertes Callcenter). Anrufe, elektronische Tickets oder E-Mails müssen in deutscher Sprache entgegengenommen und beantwortet werden.
Sollten die Anforderungen von Kunden an IT.NRW dies bedingen, muss es opti-onal möglich sein, nach angemessener Vorlaufzeit von drei Monaten die Zeiten für die Annahme von und Reaktion auf Meldungen auf sieben Tage pro Woche 00:00 bis 24:00 Uhr bei identischen Reaktionszeiten auszudehnen. Diese Umstellung muss für ein dabei zu definierendes Paket von Komponenten möglich sein, während andere Komponenten im Standardsupport verbleiben. Es muss mit angemessener Vorlaufzeit möglich sein, einzelne Komponenten wieder in die oben definierte Standard-Wartung zurückzunehmen.
Personaldienstleistungen
Bei kritischen Störungen, in denen die VPN-Infrastruktur so weit ausfällt, dass sie keine Kommunikationsbeziehungen mehr zulässt, muss eine Vor-Ort Unterstützung durch einen deutschsprachigen und qualifizierten Techniker innerhalb von 4 Stunden nach Kontaktaufnahme in den Standorten Düsseldorf oder Hagen erfolgen können.
Bei besonderen Ereignissen (z.B. Messen) muss es möglich sein, auch an Wo-chenenden oder an Feiertagen einen Support, telefonisch oder Vor-Ort, nach vorheriger Ankündigung mit mindestens vier Wochen Vorlauf zu organisieren.
LOS 1 "VPN-Produkte der Firma NCP":
1. Mindestanforderungen an die VPN-Technik und deren Bereitstellung:
Es dürfen ausschließlich Produkte der Firma NCP angeboten werden.
2. Mindestanforderungen an den Abruf von Dienstleistungen:
Der Bieter muss Installations-, Integrations- und Unterstützungsleistungen im Rahmen von Umsetzungsmaßnahmen zur Telearbeit in den Behörden vor Ort anbieten. Hierfür sind im Angebot, je nach Aufgabenart, entsprechende Personaldienstleistungspakete anzubieten. Diese Dienstleistungen unterteilen sich in zwei wesentliche Bereiche:
1. Unterstützung der Behörden und Einrichtungen des Landes bei Umsetzungsmaßnahmen vor Ort, die im Rahmen von Tätigkeiten bei der Inbetriebnahme oder dem laufenden Betrieb (Optimierungsaufgaben im Netz und/oder den Telearbeitsrechnern) von mobilen Telearbeitsplätzen entstehen (z.B. client- und serversei-tig sowie bei Aufgaben rund um die netztechnische Einbindung in Umgebungen mit unterschiedlichen Netzbetriebssystemen und Benutzerverwaltungen). Hierbei sind die durch die Behörden und Einrichtungen bereitgestellten und ggf. vorkonfigurierten Komponenten (z.B. Notebook, PC, Server) zu nutzen. Zu berücksichtigen sind auch Unterstützungen im konzeptionellen Bereich, die mit der Einführung oder Umsetzung von Telearbeit in Verbindung stehen.
2. Im Bedarfsfall Unterstützung von IT.NRW bei der Weiterentwicklung der Telearbeit NRW. Hierzu zählen u.a. Fortschreibung und Optimierung der hierfür aufgebauten technischen und sicherheitstechnischen Infrastruktur (technisch und administrativ) oder die bedarfsorientierte Einbindung neuer Datendienste für die Anbindung von Telearbeitsplätzen.
Die beauftragte Dienstleistung muss spätestens vier Wochen nach Eingang eines Abrufes begonnen werden.
3. Mindestanforderungen an den Abruf von Softwarepflege:
Vom Anbieter wird verbindlich erwartet, dass er den Behörden und Einrichtungen des Landes grundsätzlich Softwarepflege zu den angebotenen und zu den bereits im Einsatz befindlichen NCP-Produkten bereitstellt.
4. Mindestanforderungen an den Abruf von Supportleistungen:
Vom Anbieter wird verbindlich erwartet, dass er den Behörden und Einrichtungen des Landes grundsätzlich
1. Support zu den angebotenen Produkten bereitstellt,
2. Support zu bereits im Einsatz befindlichen Produkten anbietet,
Bezüglich des Supports wird gefordert:
Telefonischer Support durch

Beschreibung der Beschaffung

Die Landesverwaltung NRW beabsichtigt auf der Basis bereits bestehender Techniken die Nutzung der mobilen Telearbeit auszubauen.
Derzeit existiert die Lösung "Telearbeit NRW". Die netztechnische Anbindung erfolgt derzeit unter Nutzung von VPN-Technologie über das Internet. Die VPN-Infrastruktur und der Übergang zum geschützten Landesverwaltungsnetz werden zentral bei IT.NRW betrieben. Von hier aus erfolgt eine Weiterleitung über das Landesverwaltungsnetz in das jeweils vorgesehene Behördennetz, ebenfalls per VPN-Technologie. Die Anbindung von externen Endgeräten über das Internet kann über beliebige Verbindungsarten erfolgen (z.B. DSL, UMTS, WLAN). Dabei kommen neben stationären PC und Laptops auch Smartphones und Tablets zum Einsatz.
Mit Zuschlagserteilung wird je Los ein Rahmenvertrag abgeschlossen, der es al-len bezugsberechtigten Behörden und Einrichtungen des Landes ermöglicht, die Leistungen, die im Folgenden näher beschrieben werden und sich auf die mobi-le Telearbeit beziehen, über IT.NRW abzurufen. Zum Leistungspaket gehören:
In LOS 2:
- Digitale Zertifikate für VPN-Clients (mit Chipkarte, und/oder Software-Zertifikat). Bestandteil dieses Loses 2 sind nur die Zertifikate ohne E-Mail Funktionalität.
- Chipkartenleser
LOS 2 "Digitale Zertifikate und Chipkarten zur Aufnahme der digitalen Zertifi-kate und Chipkartenlesegeräte":
a) Digitale Zertifikate und Chipkarten
Mindestanforderungen an digitale X.509v3-Zertifikate sowie deren Bereitstellung:
Es sind digitale Zertifikate zur Verwendung in Zusammenarbeit mit Software der Firma NCP anzubieten.
Als Kartenleser werden derzeitig Geräte der Firma Onmikey eingesetzt.
Der zur Ausstellung eines digitalen Zertifikates notwendige Registrierungsprozess des zukünftigen Zertifikatsinhabers ist analog zur derzeitigen Handhabung wie folgt zu gestalten:
Bei IT.NRW ist eine Registration Authority (RA) in Form eines mit der notwendigen Hard- und Software ausgestatteten Arbeitsplatzes eingerichtet. Die Ausstellung der beantragten Zertifikate erfolgt durch einen Mitarbeiter von IT.NRW, der sich der Certification Authority (CA) gegenüber mittels einer entsprechenden Chipkarte (oder vergleichbaren Authentisierungsmechanismus) als berechtigt ausweist. Die wahlweise auf Chipkarte (SIM- oder Scheckkartenformat) oder als Softwareprodukt ausgestellten digitalen Zertifikate entsprechen dem X.509v3-Format.
Die angebotenen Chipkarten müssen mit den unter b) aufgelisteten derzeit im Einsatz befindlichen Lesegeräten und den angebotenen Chipkartenlesegeräten funktionsfähig sein.
Für die Bereitstellung der notwendigen technischen Einrichtungen ggfs. anfallende Kosten sind im Angebot entsprechend auszuweisen.
IT.NRW behält sich vor, anstelle der angebotenen Zertifikate mit einer eventuellen zukünftigen eigenen CA selbst generierte und signierte Zertifikate zu ver-wenden.
b) Chipkartenlesegeräte
Mindestanforderungen an die Chipkartenlesegeräte:
Es sind Chipkartenlesegeräte für folgende Schnittstellen für PC-Hardware anzu-bieten:
- USB-Schnittstelle
Es sind Chipkartenlesegeräte für die USB-Schnittstelle sowohl als Tischgerät zur Aufnahme von SmartCards im Kreditkartenformat als auch in Stick-Form zur Aufnahme passender Chipkarten im SIM-Format anzubieten.

Beschreibung der Beschaffung

LOS 3 "OTP Token sowie eine Verwaltungsinstanz für diese Token mit inte-griertem Radius Server":
Derzeitig wird die Lösung "RSA SecurID" der Firma RSA Security LLC eingesetzt. Wird eine andere Lösung angeboten, obliegt es dem Auftragnehmer, die derzeit bei IT.NRW eingesetzte Struktur von zwei RSA SecureID Apliances 130 sowie vier RSA SecureID Apliances 250 jeweils im HA-Verbund sowie die derzeit ca. 53000 Tokens kostenneutral für IT.NRW durch die angebotenen Token und neue Verwaltungsinstanzen vor Ort auszutauschen. Hierbei ist zu beachten, dass auch die Übernahme der bereits konfigurierten Nutzer erfolgen muss sowie eine Anbindung der Verwaltungsinstanzen an die bereits konfigurierten VPN Server mit Software der Firma NCP und Access-Gateways der Firma Citrix. Die ausge-tauschten OTP Token sowie die Verwaltungsinstanzen sind der umweltgerechten Vernichtung zuzuführen.
1. Mindestanforderungen an die Verwaltungsinstanz der OTP-Token sowie deren Bereitstellung:
Es sind alle notwendigen Verwaltungsinstanzen des Herstellers als Appli-ances für den Rackmounteinsatz anzubieten. Reine Software-Lösungen sind nicht zulässig.
Die Hardware der Verwaltungsinstanz muss die Option bieten, mit internen Redundanzmechanismen ausgestattet zu werden, insbesondere mit redundanten Festplatten (RAID), redundanten Netzteilen, redundanten Netzwerkanschlüssen.
Das Betriebssystem der Verwaltungsinstanz muss auf Unix oder Linux ba-sieren. Da sie mit dem Internet kommuniziert, muss sie gegen Angriffe gehärtet sein. Der Auftragnehmer sichert zu, dass der Hersteller der Verwaltungsinstanz laufend Updates und Sicherheitspatches liefert.
Die Verwaltungsinstanz muss die Option bieten, mit mindestens drei räumlich getrennten und nur auf Layer 3 erreichbaren Backup-Verwaltungsinstanzen so zusammenzuarbeiten, dass ohne zusätzliche Software laufend oder zu einstellbaren Zeiten Daten und Statusinformationen ausgetauscht werden, so dass der Ausfall einer Verwaltungsinstanz zu keinen Beeinträchtigungen für die Funktion der Infrastruktur führt.
Der integrierte Radiusserver muss zwingend mit den VPN-Produkten der Firma NCP sowie mit Produkten (Terminalserver, Access-Gateway und wei-tere) der Firma Citrix kompatibel sein.
Die Verwaltung der einzelnen Verwaltungsinstanzen muss über WEB- und Script- Schnittstelle möglich sein. Letztere muss in Syntax und Semantik mit Python vergleichbar und in der Lage sein, über interne Mechanismen die konfigurierten Nutzerkonten auf weitere Geräte dieses Typs, über eine routingfähige Netzwerkverbindung (TCP/IP) zu synchronisieren. Des Weiteren muss über dieselbe Scriptsprache eine Schnittstelle bereitstehen, welche das automatisiertes Anlegen und Löschen von Nutzerdaten sowie deren zugewiesenen OTP-Token zulässt.
2. Mindestanforderungen an die OTP-Token sowie deren Bereitstellung:
Es müssen alle OTP-Hardwaretoken als auch Softtoken von demselben Hersteller wie die o.a. Verwaltungsinstanz angeboten werden.
Es kann im Hersteller-Preiskatalog eine Staffelung der Abnahmemengen erfolgen.
Es müssen im Hersteller-Preiskatalog mindestens die folgenden drei Typen von OTP-Token angeboten enthalten sein:
- ein Standard-Hardwaretoken
- ein Hardware-Token mit numerischer Tastatur
- ein Software-Token.
I) Die Laufzeit aller Token muss in unterschiedlichen Längen abrufbar sein, auf jeden Fall müssen Laufzeiten von 3, 4 oder 5 Jahre im Hersteller-Preiskatalog enthalten sein
II) Das Standardhardwaretoken muss folgende Voraussetzungen ohne Nut-zerinteraktion erfüllen:
Er muss einen genau sechsstelligen numerischen PIN automatisch ohne Nutzerinteraktion anzeigen
Dieser PIN muss ca. alle 60 Sekunden wechseln
Das Token mit numerischer Tastatur muss folgende Voraussetzungen erfüllen:
Er muss einen genau sechsstelligen numerischen Wert anzeigen, sobald über die numerische Tastatur eine Freigabe angefordert wird.
Die dann angezeigte PIN muss ca. 60 Sekunden sichtbar sein.
Soft-Token müssen die folgenden Voraussetzungen erfüllen:
Es muss mindestens für folgenden Typen Endgeräte eine Lösung bereitgestellt werden
1. Android
2. BlackBerry
3. iPhone and iPad
Ein zusätzlich verfügbares Software Development Kit (SDK) für die genannten Umgebungen ist von Vorteil, aber keine zwingende Voraussetzung
3. Mindestanforderungen an den Abruf von Personaldienstleistungen:
Der Bieter muss Unterstützungsleistungen vor Ort anbieten. Hierfür sind im Angebot entsprechende Personaldienstleistungspakete anzubieten. Diese Dienstleistungen unterteilen sich in zwei wesentliche Bereiche:
Unterstützung durch den Anbieter selbst, einerseits für technische Unterstützungsleistungen wie Installationen, größere Updates und Störungsanalyse bei schwierigen Fehlersituationen und andererseits für konzeptionelle Arbeiten.
Unterstützung durch den Hersteller des Produktes für ähnlich gelagerte Dienstleistungen.
Die beauftragte Dienstleistung muss spätestens vier Wochen nach Eingang eines Abrufes begonnen werden.
4. Mindestanforderungen an den Abruf von Softwarepflege:
Vom Anbieter wird verbindlich erwartet, dass er für die Appliances und für notwendige Software auf den Endgeräten grundsätzlich Softwarepflege zu den angebotenen Produkten bereitstellt. Sofern Verwaltungsinstanzen und Token der Firma RSA angeboten werden, wird zusätzlich erwartet, dass auch der Support für die vorhandenen Systeme übernommen wird.
5. Mindestanforderungen an den Abruf von Supportleistungen:
Vom Anbieter wird verbindlich erwartet, dass er den Behörden und Einrichtungen des Landes grundsätzlich
Support zu den angebotenen Produkten bereitstellt,
Sofern Verwaltungsinstanzen und Token der Firma RSA angeboten wer-den, Support zu bereits im Einsatz befindlichen Produkten anbietet.
Bezüglich des Supports wird gefordert:
Telefonischer Support durch die Herstellerfirma.

Genaue Informationen über Fristen für Überprüfungsverfahren

Gemäß §160 Abs.3 nr.4 GBB ist ein Nachprüfungsantrag unzulässig, soweit mehr als fünfzehn Kalendertage nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, vergangen sind.