SIEM-Lösung mit Schwachstellen-Scanner

Kurze Beschreibung

Gegenstand der Ausschreibung ist die Beschaffung einer SIEM-Lösung und eines Schwachstellen-Scanners.
Der Bieter soll darüber hinaus für die SIEM-Lösung und den Schwachstellen-Scanner einen Managed Service bereitstellen. Hierzu gehören Implementierung, Konfiguration und Betrieb inkl. Service der jeweiligen Lösung sowie die Einbindung aller relevanten Netz-, Sicherheits-, System- und Anwendungskomponenten. Ebenfalls soll der Bieter während der Vertragsdauer ein SOC-Team mit unterschiedlichen Skill-Leveln für das Sicherheits-Monitoring und Schwachstellen-Scans der eingebundenen Komponenten bereitstellen. Dieses SOC-Team soll auch weitere SIEM-bezogene Dienstleistungen wie z.B. Anpassungen der SIEM-Lösung oder von Konnektoren vornehmen.
Die Software-Überlassung (oder -Kauf) soll unabhängig von den geforderten Dienstleistungen vereinbart werden, um eine Nutzung der SIEM-Lösung durch UKL auch nach Ende des Dienstleistungsvertrags zu gewährleisten.

Objektive Kriterien für die Auswahl der begrenzten Anzahl von Bewerbern

Aus dem Kreis der Bewerber, die die formellen und materiellen Anforderungen an die Eignung (§ 122 Abs. 1 GWB, §§ 42 ff. VgV) gemäß den Teilnahmebedingungen unter Abschnitt III.1.1) bis III.1.3) erfüllen, werden nur die genannte Anzahl Bewerber vom Auftraggeber ausgewählt und zur Angebotsabgabe aufgefordert (§ 51 Abs. 2 VgV). Eine solche Reduzierung des Teilnehmerkreises erfolgt nur, sofern eine ausreichende Anzahl an formell und materiell geeigneten Bewerbern vorhanden ist. Die Auswahl der zur Angebotsabgabe aufzufordernden Bewerber erfolgt objektiv und diskriminierungsfrei anhand folgender Auswahlkriterien. Die von den Bewerbern je Auswahlkriterium erreichten Punkte werden je Bewerber zu einer Ge-samtpunktzahl addiert (siehe Eignungsmatrix).
Anhand der erreichten Gesamtpunktzahlen wird eine Rangfolge der Bewerber erstellt. Die entsprechend Bestplatzierten werden zur Angebotsabgabe aufgefordert. Falls mehr als die genannte Höchstzahl Bewerber einen gleichen Punktehöchststand erreichen, werden entsprechend mehr Bewerber zur Angebotsabgabe aufgefordert.
1. Auswahlkriterium 1: Für den Nachweis der Zertifizierung nach ISO 27001 oder ISO 27001 auf Basis von BSI IT-Grundschutz oder vergleichbar mit einem den Ausschreibungsgegenstand umfassenden Gültigkeitsbereich erhält der Bewerber 2 Punkte (D2).
2. Auswahlkriterium 2: Für den Nachweis des Verständnisses des BSI IT-Grundschutzes durch Projektreferenzen oder Zertifikate des eingesetzten Personals (z.B. durch IT-Grundschutz-Praktiker) erhält der Bewerber 1 Punkt (D3).
3. Auswahlkriterium 3: Für eine vollständige und nachvollziehbare Beschreibung des Datenschutz-Management-Systems erhält der Bieter 2 Punkte (D4).
4. Auswahlkriterium 4: Für den Nachweis der Zertifizierung nach ISO 9001 oder vergleichbar mit einem den Ausschreibungsgegenstand umfassenden Gültigkeitsbereich erhält der Bewerber 2 Punkte (D5).
5. Auswahlkriterium 5: Für zwei weitere Referenzen gemäß den Anforderungen nach Abschnitt III.1.3) (D13), die über die Mindestanzahl von Referenzen hinausgeht, erhält der Bewerber 4 Punkte. Es kann eine unbeschränkte Anzahl von solchen Referenzen angegeben werden; es sind jedoch lediglich 4 Punkte erreichbar.
6. Auswahlkriterium 6: Für eine der unter Abschnitt III.1.3) (D13) geforderten Referenzen, für die der Bewerber einen Auftraggeber im Klinik- oder KRITIS-Umfeld angibt, erhält der Bewerber 4 Punkte. Es kann eine unbeschränkte Anzahl von solchen Referenzen angegeben werden; es sind jedoch lediglich 4 Punkte erreichbar.
7. Auswahlkriterium 7: Für zwei weitere Referenzen gemäß den Anforderungen nach Abschnitt III.1.3) (D14), die über die Mindestzahl von Referenzen hinausgeht, erhält der Bewerber 4 Punkte. Es kann eine unbeschränkte Anzahl von solchen Referenzen angegeben werden; es sind jedoch lediglich 4 Punkte erreichbar
8. Auswahlkriterium 8: Für mindestens eine der unter Abschnitt III.1.3) (D14) geforderten Referenzen, für die der Bewerber einen Auftraggeber im Klinik- oder KRITIS-Umfeld angibt, erhält der Bewerber 4 Punkte. Es kann eine unbeschränkte Anzahl von solchen Referenzen angegeben werden; es sind jedoch lediglich 4 Punkte erreichbar.
9. Auswahlkriterium 9: Für zwei weitere Referenzen gemäß den Anforderungen nach Abschnitt III.1.3) (D15), die über die Mindestzahl von Referenzen hinausgeht, erhält der Bewerber 4 Punkte. Es kann eine unbeschränkte Anzahl von solchen Referenzen angegeben werden; es sind jedoch lediglich 4 Punkte erreichbar.
10. Auswahlkriterium 10: Für mindestens eine der unter Abschnitt III.1.3) (D15) geforderten Referenzen, für die der Bewerber einen Auftraggeber im Klinik- oder KRITIS-Umfeld angibt, erhält der Bewerber 4 Punkte. Es kann eine unbeschränkte Anzahl von solchen Referenzen angegeben werden; es sind jedoch lediglich 4 Punkte erreichbar.
11. Auswahlkriterium 11: Für zwei weitere Referenzen gemäß den Anforderungen nach Abschnitt III.1.3) (D16), die über die Mindestzahl von Referenzen hinausgeht, erhält der Bewerber 2 Punkte. Es kann eine unbeschränkte Anzahl von solchen Referenzen angegeben werden; es sind jedoch lediglich 2 Punkte erreichbar.
12. Auswahlkriterium 12: Für mindestens eine der unter Abschnitt III.1.3) (D16) geforderten Referenzen, für die der Bewerber einen Auftraggeber im Klinik- oder KRITIS-Umfeld angibt, erhält der Bewerber 2 Punkte. Es kann eine unbeschränkte Anzahl von solchen Referenzen angegeben werden; es sind jedoch lediglich 2 Punkte erreichbar.
13. Auswahlkriterium 13: Für zwei weitere Referenzen gemäß den Anforderungen nach Abschnitt III.1.3) (D17), die über die Mindestzahl von Referenzen hinausgeht, erhält der Bewerber 2 Punkte. Es kann eine unbeschränkte Anzahl von solchen Referenzen angegeben werden; es sind jedoch lediglich 2 Punkte erreichbar.
14. Auswahlkriterium 14: Für mindestens eine der unter Abschnitt III.1.3) (D17) geforderten Referenzen, für die der Bewerber einen Auftraggeber im Klinik- oder KRITIS-Umfeld angibt, erhält der Bewerber 2 Punkte. Es kann eine unbeschränkte Anzahl von solchen Referenzen angegeben werden; es sind jedoch lediglich 2 Punkte erreichbar.

Liste und kurze Beschreibung der Bedingungen

A0 - Anlage 1: Übersicht der vom Bieter zu erbringenden Nachweise und Erklärungen
A1 - Anlage 2: Darstellung des Bewerbers (Leistungsspektrum und Kerngeschäft des Unternehmens) und der Unternehmensorganisation (Hauptsitz, ggf. Niederlassungen, Struktur/Aufbau) sowie - falls zutreffend - ausführliche Darstellung der Konzernverbundenheit/-angehörigkeit mit anderen Unternehmen.
A2 - Anlage 3: unterschriebene Eigenerklärung zum Nichtvorliegen von Ausschlussgründen, zu § 21 AEntG, § 98c AufhG, § 19 MiLoG, § 21 SchwarzArbG und zur Zahlung von Steuern, Abgaben und Beiträgen zur Sozialversicherung
A3 - Anlage 4: Vertraulichkeitserklärung zur Beachtung des Datenschutzes, insbesondere zur Wahrung der Vertraulichkeit, und zur Wahrung des Geschäfts- und Betriebsgeheimnisses
A4 - Anlage 5: Vertrag zur Auftragsverarbeitung gem. Art. 28 DSGVO
A5 - Anlage 6: Anerkennung der Compliance-Grundsätze des UKL
A6 - Vorlage von Nachweisen für Handelsregisterauszug, Bankauskunft, Versicherungsschutz
B1 bis B3 - Formblatt Anlage 1 bis 3: Sofern Sie eine Bewerbergemeinschaft bilden oder Unterauftragnehmer einsetzen, sind zusätzlich zu den Formularen B1 bis B3 die in A1 bis A6 dieses Fragebogens geforderten Nachweise, Angaben und Erklärungen von jedem beteiligten Unternehmen einzureichen.

Liste und kurze Beschreibung der Auswahlkriterien

C1 - Unterschriebene Eigenerklärung über den Gesamtumsatz jeweils bezogen auf die letzten 3 abgeschlossenen Geschäftsjahre entsprechend dem Gründungsdatum oder dem Datum der Tätigkeitsaufnahme des Unternehmens
C2 - Unterschriebene Eigenerklärung über den Umsatz im ausgeschriebenen und für das Unternehmen vorgesehenen Tätigkeitsbereich jeweils bezogen auf die letzten 3 abgeschlossenen Geschäftsjahre entsprechend dem Gründungsdatum oder dem Datum der Tätigkeitsaufnahme des Unternehmens
C3 - Unterschriebene Eigenerklärung, dass eine aktuell gültige Haftpflichtversicherung oder eine vergleichbare marktübliche Versicherung mit einer Haftpflichtdeckungshöhe von 5.000.000 EUR für Personenschäden und Sachschäden je Schadensfall und Versicherungsjahr besteht. Falls eine Versicherung mit dieser Deckungshöhe derzeit nicht besteht, genügt die Vorlage von (1.) einer unterschriebenen Eigenerklärung des Bewerbers, dass er im Auftragsfall bereit ist, eine entsprechende Versicherung auf erstes Anfordern des Auftraggebers abzuschließen und (2.) die Erklärung eines Versicherers (in nicht beglaubigter Kopie), dass dieser zum Abschluss einer entsprechenden Versicherung mit dem Bewerber bereit ist. Auf Verlangen der Vergabestelle ist das Bestehen der unter III.1.2) (C2) geforderten Versicherung auf erstes Anfordern durch entsprechende Verträge oder Dokumente/Bescheinigungen des Versicherers bis zur Zuschlagserteilung nachzuweisen.

Liste und kurze Beschreibung der Auswahlkriterien

Qualitätsmanagement / Sicherheitsmanagement
D1 - Nachweis per Zertifikat, dass ein ausreichend qualifizierter Zugang zum Hersteller-Support des Herstellers besteht,
- für den Hersteller der SIEM-Lösung
- für den Hersteller des Schwachstellen-Scanners"
D2 - Alle beteiligten Unternehmen weisen als Dienstleister für SIEM-Lösungen nachhaltig nach, dass sie die Informationssicherheit für seine Tätigkeiten angemessen berück-sichtigen. Für die entsprechenden Organisationseinheiten erfolgt dies über eine Zertifizierung nach ISO 27001 oder ISO 27001 auf Basis von BSI IT-Grundschutz oder vergleichbar, die einen dem Ausschreibungs-gegenstand angemessenen Gültigkeitsbereich abdeckt (Bewertungskriterium).
D3 - Alle beteiligten Unternehmen weisen als Lieferant bzw. Dienstleister für SIEM-Lösungen nachhaltig nach, dass sie über ein umfassendes Verständnis des BSI IT-Grundschutzes verfügen. Für den Nachweis werden entsprechende Projektreferenzen oder Zertifikate des eingesetzten Personals akzeptiert (Bewertungskriterium).
D4 - Darüber hinaus weisen alle beteiligten Unternehmen eine angemessene Berücksichtigung der Datenschutz-Grundverordnung (DS-GVO) nach. Hierzu soll das jeweilige Datenschutz-Management-System, welches für das jeweilige Unternehmen festgelegt und umgesetzt ist, darlegen (Bewertungskriterium).
D5 - Außerdem weisen alle beteiligten Unternehmen ein nachhaltiges Qualitätsmanagement nach. Dies kann über eine Zertifizierung nach ISO 9001 oder einen vergleichbaren Nachweis erfolgen, die einen dem Ausschreibungsgegenstand angemessenen Gültigkeitsbereich abdeckt (Bewertungskriterium).
Sofern Sie eine Bewerbergemeinschaft bilden oder Unterauftragnehmer einsetzen, sind die Kriterien D2 bis D7 für jedes beteiligte Unternehmen der Bewerbergemeinschaft bzw. von jedem Unterauftragnehmer zu beantworten.)
Projektbeteiligte und Rollenqualifikationen
D6 - Angabe der durchschnittlichen jährlichen Beschäftigtenzahl in den letzten drei Jahren (Mindestanforderung).
D7 - Angabe der durchschnittlichen jährlichen Beschäftigtenzahl in den ausgeschriebenen Tätigkeitsbereichen, Lieferung und Dienstleistungen SIEM/SOC und Schwachstellen-Scans, in den letzten drei Jahren (Mindestanforderung).
D8 - Angabe der technischen Fachkräfte, die im Zusammenhang mit der Leistungserbringung für Lieferung, Betrieb und Implementierung eingesetzt werden sollen, ggf. in anonymisierter Form unter Angabe der geplanten Rolle bei der Leistungserbringung. (Mindestanforderung)
D9 - Angabe der technischen Fachkräfte, die im Zusammenhang mit der Leistungserbringung für Anpassung (Customizing) und Nutzung der Lösung (SOC-Team) eingesetzt werden sollen, ggf. in anonymisierter Form unter Angabe der geplanten Rolle (Analysten-Level, Software-Architekt etc.) bei der Leistungserbringung. (Mindestanforderung)
D10 - Der Bewerber weist nach, dass Personal mindestens entsprechend vier Vollzeitkräften verfügbar ist, das nachhaltig bzw. per Zertifikat für die vorgesehene SIEM-Lösung geschult wurde, dessen Skill-Level alle vorgesehenen Tätigkeiten des SOC-Teams (insbesondere Security Analyst 2 und 3) abdecken kann und das für den Managed Service bedarfsgerecht für UKL eingesetzt werden kann. (Mindestanforderung)
D11 - Der Bewerber weist nach, dass Personal mindestens entsprechend zwei Vollzeitkräften verfügbar ist, das im Projekt für Schwachstellen-Scans bedarfsgerecht für UKL eingesetzt werden kann und das nachhaltig bzw. per Zertifikat für die vorgesehene Lösung geschult wurde. (Mindestanforderung)
D12 - Angabe des vorgesehenen Projektleiters, der für die Dauer des Projekts ein fester Ansprechpartner in allen Projektbelangen für UKL ist. (Mindestanforderung)
Falls der Bewerber für das Projekt Unterauftragnehmer einplant oder eine Bewerbergemeinschaft darstellt, sind die Kriterien (D6) bis (D9) von allen beteiligten Unternehmen auszufüllen!
Für die Projektbeteiligten gemäß (D8) bis (D12) sind deren Rollenqualifikationen in Form von anonymisierten Personalprofilen (gemäß Vorlage Personalprofil) darzulegen. Diese beinhalten die berufliche Befähigung (Ausbildung) sowie Qualifikationen und ggf. Zertifikate. Jedes Personalprofil muss dabei auch Erfahrungen und ggf. Zertifikate hinsichtlich der ausgeschriebenen Leistung beinhalten.
Die Einreichung von Bildungsnachweisen ist nicht erforderlich. Bei Bedarf werden Nachweisdokumente durch die Vergabestelle nachgefordert.
Referenzen
Gehen Sie bei der Angabe der Referenzen auf folgende Punkte ein (gemäß Vorlage Projektreferenz):
- Auftraggeber inkl. Adresse
- (detaillierte) Darstellung des Auftragsgegenstands / der Leistungen
- Umfang, Dauer, Zeitpunkt und Auftragsvolumen
- Durchführendes Unternehmen: Bewerber oder Unterauftragnehmer oder Mitglied der Bewerbergemeinschaft
Aus den Ausführungen muss ersichtlich werden, warum die beschriebenen Projekte aus Ihrer Sicht die genannten Anforderungen erfüllen und somit als Referenz geeignet sind. Die Darstellung sollte ca. eine DIN A4-Seite pro Referenzprojekt und Kriterium (D13) bis (D17) umfassen.
Ein Ansprechpartner sollte bei Bedarf für Rückfragen vermittelt werden können.
Es ist zulässig, eine entsprechende Referenz eines Unterauftragnehmers oder Unternehmen der Bewerbergemeinschaft vorzulegen, sofern dieses Unternehmen im Teilnahmeantrag benannt und dort für diese Tätigkeit vorgesehen ist.
(D13) Benennen Sie mindestens zwei erfolgreich abgeschlossene Projekte für Lieferung und Service bezüglich Bereitstellung von SIEM-Lösungen, welche dem im Entwurf der Leistungsbeschreibung beschriebenen Umfang dieses Projekts entsprechen und die in den letzten drei Jahren von dem für die Tätigkeit vorgesehenen Unternehmen durchgeführt wurden (Mindestanforderung sowie Bewertungskriterium).
(D14) Benennen Sie mindestens zwei erfolgreich abgeschlossene Projekte für Konzeptionierung, Implementierung und Anpassung (Customizing) einer SIEM-Lösung, welche dem im Entwurf der Leistungsbeschreibung beschriebenen Umfang dieses Projekts entsprechen und die in den letzten drei Jahren von dem für die Tätigkeit vorgesehenen Unternehmen durchgeführt wurden (Mindestanforderung sowie Bewertungskriterium).
(D15) Benennen Sie mindestens zwei erfolgreich abgeschlossene Projekte für Dienstleistungen hinsichtlich der Nutzung einer SIEM-Lösung (Bereitstellung eines SOC-Teams), welche dem im Entwurf der Leistungsbeschreibung beschriebenen Umfang dieses Projekts entsprechen und die in den letzten drei Jahren von dem für die Tätigkeit vor-gesehenen Unternehmen durchgeführt wurden (Mindestanforderung sowie Bewertungskriterium).
(D16) Benennen Sie mindestens zwei erfolgreich abgeschlossene Projekte für Lieferung und Service sowie Implementierung und Customizing bezüglich einer Lösung für Schwachstellen-Scans, welche dem im Entwurf der Leistungsbeschreibung beschriebenen Umfang dieses Projekts entsprechen und die in den letzten drei Jahren von dem für die Tätigkeit vorgesehenen Unternehmen durchgeführt wurden (Mindestanforderung sowie Bewertungskriterium).
(D17) Benennen Sie mindestens zwei erfolgreich abgeschlossene Projekte für Dienstleistungen hinsichtlich der Nutzung einer Lösung für Schwachstellen-Scans, welche dem im Entwurf der Leistungsbeschreibung beschriebenen Umfang dieses Projekts entsprechen und die in den letzten drei Jahren von dem für die Tätigkeit vorgesehenen Unternehmen durchgeführt wurden (Mindestanforderung sowie Bewertungskriterium).
Hinweis: Ein Referenzprojekt kann zugleich zur Erfüllung von (D13) bis (D17) oder Teilen hiervon angegeben werden. Die Zuordnung zu den Kriterien muss in der Beschreibung des Projekts klar erkennbar sein und detailliert dargestellt werden.
Sollte der Vergabestelle eine Überprüfung bei dem Referenzauftraggeber nicht möglich sein, ist die eingereichte Referenz des Unternehmens kein tauglicher Nachweis der fachlichen und technischen Leistungsfähigkeit.
Die Unternehmen sind darlegungs- und beweispflichtig für die Umstände und berechtigten Gründe, die die Geheimhaltung begründen; die Vergabestelle behält sich die Überprüfung dieser Angaben vor. Es wird darauf hingewiesen, dass Unternehmen von der Teilnahme an diesem Vergabeverfahren ausgeschlossen werden können, wenn der Nachweis in erheblichem Ausmaß falsche Angaben enthält oder geforderte Auskünfte nicht erteilt wurden.
Im Übrigen behält sich der Auftraggeber die Überprüfung der Darstellung bei dem angegebenen Referenzgeber sowie eigene Ermittlungen im Rahmen der materiellen Eignungsprüfung vor.

Bedingungen für die Vertragserfüllung

Folgende Rahmenbedingungen gelten:
- Erste Umsetzung (Produktivnahme mindestens für die in der Leistungsbeschreibung genannten Systeme) bis spätestens Ende 2023
- Die Bewertung der Angebote und ggf. Abschichtung der Bieter erfolgt auf Basis des wirtschaftlichsten Angebots gemäß Bestangebots-Quotienten-Methode mit 60% Gewichtung für die technische Bewertung (gemäß Kriterienkatalog und technischer Bewertung der Vergabegespräche) und 40% Gewichtung des Preises.
- Es werden keine Verhandlungen über die genannten Mindestanforderungen in der Ausschreibungsankündigung und in den Ausschreibungsunterlagen (VGV $17, Absatz 10 sowie VK Sachsen, 13.02.2017, 1/SVK/032-16) geführt.
- Die Anforderungen und Kriterien für die technische Bewertung sowie die anzubietenden Positionen für die initialen Angebote werden mit den Ausschreibungsunterlagen bekannt gegeben. Hier werden die Mindestanforderungen für die initialen Angebote genannt (OLG Düsseldorf, 28.3.2018, Verg 54/17).
- Während der Verhandlungen wird über alle Bewertungskriterien der Ausschreibungsunterlagen verhandelt. Diese Anforderungen und Kriterien werden dabei sukzessive geschärft und ggf. als zusätzliche Mindestanforderungen für die nächste Angebotsrunde festgelegt.
- Die Konkretisierung von Anforderungen und Kriterien für die technische Bewertung erfolgt transparent und diskriminierungsfrei.