MHH - Einführung Network Access Control (NAC) | Medizinische Hochschule Hannover | Öffentliches Auftragswesen in Deutschland

Datum	Dokument
2023-12-22	Auftragsbekanntmachung
2024-01-31	Auftragsbekanntmachung

Kurze Beschreibung

Im Rahmen des Krankenhauszukunftsgesetzes (KHZG) erfolgt die Beschaffung, d.h. der Kauf einer NAC-Lösung und der Implementierungsleistung zur Kontrolle kabelbasierter (LAN)/kabelloser (WLAN) Zugriffe auf das Netzwerk der MHH. Des Weiteren wird der Support für die NAC-Lösung mit ausgeschrieben.

Beschreibung der Beschaffung

Ziel dieses Vergabeverfahrens ist die Beschaffung, d.h. der Kauf einer NAC-Lösung des Herstellers HPE Aruba und der Implementierungsleistung zur Kontrolle kabelbasierter(LAN)/kabelloser(WLAN) Zugriffe auf das Netzwerk der MHH.

Sach- und auftragsbezogene Gründe bzgl. Aruba: Die gesamte Netzwerkinfrastruktur im Campus-Bereich der MHH wird mit HPE Aruba-Komponenten betrieben. Wo Komponenten anderer Hersteller noch im Einsatz sind, werden diese nach EOS/EOL durch Aruba-Komponenten ersetzt. Abgesehen von der Performance ergeben sich Vorteile im Monitoring und Administration der Netzwerkkomponenten. Diese Vorteile der herstellereinheitlichen Netzwerkinfrastruktur setzen sich mit der Einführung der Network Access Control fort. Hier einige Beispiele für Funktionen, die anderenfalls nicht zur Verfügung stünden:
Switch & WLAN Downloadable User Roles:
Für die einfache Integration des NAC-Systems muss die Möglichkeit bestehen User-Rollen dynamisch über das NAC-System auf Aruba Switche und Aruba Access Points verteilen zu können. Bei einer Änderung innerhalb einer Rolle auf dem NAC-System muss diese automatisch auf alle Netzwerkkomponenten ausgerollt werden.
Integration mit Aruba AirWave & Aruba Activate:
Das NAC-System muss sich in die bereits genutzte Aruba AirWave Installation integrieren lassen. Es muss ein Link zwischen Aruba AirWave und dem NAC-System vorhanden sein. Hierdurch soll das Troubleshooting beschleunigt werden und eine Onlineabfrage über den Netzwerkstatus des Endgerätes ermöglicht werden. Außerdem muss die Möglichkeit bestehen über Aruba Activate eine Endgeräte-Autorisierung durchführen zu können.
WLAN SSID MPSK:
Das NAC-System muss im Zusammenspiel mit dem bestehenden Aruba WLAN die Möglichkeit haben, in einer WPA-PSK gesicherten SSID für unterschiedliche Endgeräte unterschiedliche Pre-shared Keys zu verwenden (Multiple Pre shared Key).

Die Projektumsetzung erfolgt in Phasen und Arbeitspaketen in enger Zusammenarbeit und Abstimmung mit der MIT (MHH Information Technology) der MHH. Die Anforderungen an die einzelnen Phasen sind in Anlage 11 Leistungsverzeichnis NAC beschrieben.

Liste und kurze Beschreibung der Auswahlkriterien

Wirtschaftliche und finanzielle Leistungsfähigkeit: Angaben und Formalitäten, die erforderlich sind, um die Einhaltung der Auflagen dieses Vergabeverfahrens zu überprüfen.
1) Angaben über den Gesamtumsatz des Unternehmens, bezogen auf die letzten 3 abgeschlossenen Geschäftsjahre (z. B. 2020-2022) (Anlage 1 Eigenerklärung zur Eignung).
2) Angaben der Berufs- bzw. Betriebshaftpflichtversicherung (Anlage 1 Eigenerklärung zur Eignung).
3) Angaben zu den Mitarbeitern/Innen jährlich im Durchschnitt (Anlage 1 Eigenerklärung zur Eignung).
4) Erklärung Tariftreue und Mindestentlohnung (NTVergG) (Anlage 3 Erklärung zum NTVergG).
5) Vorvertragliche Erklärung zu § 4 Abs. 1 NTVergG (Niedersächsisches Tariftreue- und Vergabegesetz) - Dienstleistungen (Anlage 3a Erklärung zum NTVergG)
6) Erklärung der Bewerber-/ Bietergemeinschaft (Anlage 6 Erklärung der Bewerber-Bietergemeinschaft) - falls zutreffend.
7) Verpflichtungserklärung von eingebundenen Drittunternehmen (Anlage 7 Verpflichtungserklärung Drittunternehmen) - falls zutreffend.

Geforderte Mindeststandards (Nichterfüllung führt zum Ausschluss):
zu 2) Nachweis einer Haftpflichtversicherung mit folgenden Mindestdeckungssummen:
5,0 Mio. EUR für Personenschäden- und Sachschäden, jeweils 2-fach maximiert je Versicherungsjahr
5,0 Mio. EUR für Vermögensschäden, jeweils 2-fach maximiert je Versicherungsjahr
Sofern der Nachweis nicht bereits mit dem Angebot in der geforderten Höhe erbracht werden kann, reicht zunächst die schriftliche Zusage eines Versicherungsunternehmens, dass im Auftragsfall eine Versicherung in der geforderten Höhe erfolgt.

Liste und kurze Beschreibung der Bedingungen

Eignung zur Berufsausübung: Für die Eignungsprüfung sind folgende Nachweise/Bestätigungen im Hinblick auf die erforderliche Fachkunde, Leistungs-fähigkeit und Zuverlässigkeit entscheidend:
1) Bescheinigung der Eintragung im Handels- bzw. Berufsregister (Anlage 1 Eigenerklärung zur Eignung).
2) Angaben, ob ein Insolvenzverfahren oder ein vergleichbares gesetzlich geregeltes Verfahren eröffnet/die Eröffnung beantragt/mangels Masse abgelehnt/ein Insolvenzplan rechtskräftig bestätigt wurde oder ob sich das Unternehmen in Liquidation befindet (Anlage 1 Eigenerklärung zur Eignung).
3) Angabe, dass nachweislich keine schwere Verfehlung begangen wurde, die die Zuverlässigkeit als Bewerber in Frage stellt (Anlage 1 Eigenerklärung zur Eignung).
4) Angaben, dass die Verpflichtung zur Zahlung von Steuern und Abgaben sowie der Beiträge zur gesetzlichen Sozialversicherung ordnungsgemäß erfüllt ist (Anlage 1 Eigenerklärung zur Eignung).
5) Angaben zu §§ 123-125 GWB (Anlage 1 Eigenerklärung zur Eignung)
6) Eigenerklärung Sanktionsvereinbarung EU - Anlage zum BMWK-Rundschreiben vom 14.04.2022 (Anlage 8)
7) CSX 59 Eigenerklärung Informationen zum Bieter (eForms)

Liste und kurze Beschreibung der Auswahlkriterien

Technische und berufliche Leistungsfähigkeit: Angaben und Formalitäten, die erforderlich sind, um die Einhaltung der Auflagen dieses Vergabeverfahrens zu überprüfen.
1) Referenzliste (Anlage 2)
2) Eigenerklärung Ausbildungsbetrieb (Anlage 4).
3) Eigenerklärung Förderung der Chancengleichheit und Gleichstellung von Frauen und Männern im Beruf (Anlage 5).
4) MHH Vertraulichkeitserklärung / Declaration of Confidentiality (Anlage 9)
5) Auftragsverarbeitungsvertrag nach Art. 28 DSGVO / Order processing contract according to Art. 28 GDPR (Anlage 10)
6) Konzept - Darstellung der Auswahl der technischen und organisatorischen Maßnahmen zum Datenschutzkonzept gemäß DSGVO.
7) Konzept - Darstellung der beschriebenen Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen gemäß DSGVO.
8) Nachweis Zertifizierung nach ISO 9001 (Qualitätsmanagement) oder gleichwertig
9) Nachweis Zertifizierung nach ISO 27001 Zertifizierung (IT-Sicherheit) oder gleichwertig
10) Nachweis Zertifizierung nach ISO 14001 Zertifizierung (Umweltmanagement/Nachhaltigkeit) oder gleichwertig

Durch die Größe der MHH (KRITIS-Betrieb) und die unterschiedlichen Anwendungsbereiche (KV, F&L, Administration), die IT-seitig wiederum unterschiedlich stark abzusichern sind, bedarf es einer komplexen Netzwerkstruktur. Daher werden im folgenden technische Zertifizierungen gefordert, deren Qualifikation zur Implementierung einer Aruba Network Access Control notwendig sind. Je nachdem wie viel Implementierungsaufwand im jeweiligen Bereich (Switching, Network Security, Mobility, Edge, Design, Clearpass) abgeschätzt wird, wird für diesen über ein Associate-Zertifikat, auch ein Expert und/oder Professional-Zertifikat gefordert:
11) Nachweis HPE Aruba Networking Platinum Partner Status inkl. folgender Spezialkompetenzen
o ClearPass Policy Management
o Aruba Central
12) Nachweis HPE Aruba Support Partner - Global Partner Branded Support
13) Nachweis HPE Aruba Managed Service Provider
14) Nachweis Aruba Certified Switching Professional (ACSP)
15) Nachweis Aruba Certified Switching Associate (ACSA)
16) Nachweis Aruba Certified Network Security Associate (ACNSA)
17) Nachweis Aruba Certified Mobility Professional (ACMP)
18) Nachweis Aruba Certified Mobility Associate (ACMA)
19) Nachweis Aruba Certified Edge Professional (ACEP)
20) Nachweis Aruba Certified Edge Associate (ACEA)
21) Nachweis Aruba Certified Design Professional (ACDP)
22) Nachweis Aruba Certified Design Expert (ACDX)
23) Nachweis Aruba Certified ClearPass Professional (ACCP)
24) Nachweis Aruba Certified ClearPass Expert (ACCX)
25) Nachweis Aruba Certified ClearPass Associate (ACCA)

Geforderte Mindeststandards (Nichterfüllung führt zum Ausschluss):
Zu 3) Referenzliste (Anlage 2)
Es sind mindestens 3 Referenzen anzugeben, die mit dem Auftragsgegenstand vergleichbar sind, d.h. mind. 25.000 Lizenzen je Referenz. Aufgrund der komplexen Netzwerk-Infrastruktur muss mindestens eine Referenz aus einem Universitätsklinikum und mindestens zwei Referenzen von einem öffentlichen Auftraggeber bzw. Krankenhaus eingereicht werden. Mit Abgabe eines Angebotes bzw. Teilnahmeantrags erklärt sich der Bieter/Bewerber mit der Prüfung bzw. Kontaktaufnahme vorgelegter Referenzen einverstanden. Die Einhaltung der datenschutzrechtlichen Bestimmungen obliegt dem Bieter/Bewerber. Gefordert wird die Abgabe von Referenzen mit einem Liefer-/Leistungszeitraum aus den letzten 5 Jahren.

Bekanntmachungs-ID: CXS0YDWY10FVSD97

Vertragsstrafenklausel:
Nummer 17.8 des EVB-IT Systemvertrages sieht eine Regelung zu Vertragsstrafen für die Nichteinhaltung der in Tabellenblatt 05. Dienstleistung des Leistungsverzeichnisses (Anlage 11) geregelten vertraglich vereinbarten Wiederherstellungszeiten vor. Diese Regelung stellt der Auftraggeber im Vergabeverfahren ausdrücklich zur Disposition und zur Verhandlung im Rahmen der Bieterkorrespondenz.

Die Bieter haben im Vergabeverfahren die uneingeschränkte Möglichkeit, Ergänzungen oder Änderungen zu der Vertragsstrafenklausel in Nummer 17.8 des EVB-IT Systemvertrages bis zu 10 Kalendertage vor Ablauf der Angebotsfrist über den Kommunikationsbereich der Vergabeplattform zu übermitteln. Der Auftraggeber wird die Vorschläge prüfen und eine für alle Bieter einheitliche Klausel zur Vertragsstrafe vor Ablauf der Angebotsfrist im Rahmen der Bieterkorrespondenz kommunizieren.

ACHTUNG - Auflagen zur Durchsetzung kontaktreduzierender Maßnahmen / Hygienemaßnahmen - COVID-19:
Vermeiden Sie, soweit wie möglich, direkten Kontakt zu Patienten und Mitarbeitern der MHH. Sollte dies nicht möglich sein, so bitten wir Sie einen Mindestabstand von 2 Metern einzuhalten. Auf Hände schütteln, ist komplett zu verzichten. Beachten Sie die aktuellen Hygienemaßnahmen in den Einsatzbereichen. In den Einsatzbereichen ist die Leistungserbringungen unter Beachtung dieser aktuellen Hygienemaßnahmen möglich. Sehen Sie von Besuchen in den Fachabteilungen ab. Nutzen Sie zur Kommunikation Telefon, Email und Post (für Servicescheine u. ä).

Genaue Informationen über Fristen für Überprüfungsverfahren

Die Vergabestelle weist darauf hin, dass ein Antrag auf Einleitung eines Nachprüfungsverfahrens gemäß § 160
Abs. 3 GWB nur zulässig ist, wenn.
1. der Antragsteller den gerügten Verstoß gegen Vergabevorschriften im Vergabeverfahren erkannt und gegenüber dem Auftraggeber unverzüglich gerügt hat,
2. Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, spätestens bis Ablauf der in der Bekanntmachung benannten Frist zur Angebotsabgabe oder zur Bewerbung gegenüber dem Auftraggeber gerügt werden,
3. Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, spätestens bis zum Ablauf der in der Bekanntmachung benannten Frist zur Angebotsabgabe oder zur Bewerbung gegenüber dem Auftraggeber gerügt werden,
4. nicht mehr als 15 Kalendertage nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, vergangen sind.

Liste und kurze Beschreibung der Bedingungen

Eignung zur Berufsausübung: Für die Eignungsprüfung sind folgende Nachweise/Bestätigungen im Hinblick auf die erforderliche Fachkunde, Leistungsfähigkeit und Zuverlässigkeit entscheidend:
1) Bescheinigung der Eintragung im Handels- bzw. Berufsregister (Anlage 1 Eigenerklärung zur Eignung).
2) Angaben, ob ein Insolvenzverfahren oder ein vergleichbares gesetzlich geregeltes Verfahren eröffnet/die Eröffnung beantragt/mangels Masse abgelehnt/ein Insolvenzplan rechtskräftig bestätigt wurde oder ob sich das Unternehmen in Liquidation befindet (Anlage 1 Eigenerklärung zur Eignung).
3) Angabe, dass nachweislich keine schwere Verfehlung begangen wurde, die die Zuverlässigkeit als Bewerber in Frage stellt (Anlage 1 Eigenerklärung zur Eignung).
4) Angaben, dass die Verpflichtung zur Zahlung von Steuern und Abgaben sowie der Beiträge zur gesetzlichen Sozialversicherung ordnungsgemäß erfüllt ist (Anlage 1 Eigenerklärung zur Eignung).
5) Angaben zu §§ 123-125 GWB (Anlage 1 Eigenerklärung zur Eignung)
6) Eigenerklärung Sanktionsvereinbarung EU - Anlage zum BMWK-Rundschreiben vom 14.04.2022 (Anlage 8)
7) CSX 59 Eigenerklärung Informationen zum Bieter (eForms)

Liste und kurze Beschreibung der Auswahlkriterien

Technische und berufliche Leistungsfähigkeit: Angaben und Formalitäten, die erforderlich sind, um die Einhaltung der Auflagen dieses Vergabeverfahrens zu überprüfen.
1) Referenzliste V2 30.01.2024 (Anlage 2)
2) Eigenerklärung Ausbildungsbetrieb (Anlage 4).
3) Eigenerklärung Förderung der Chancengleichheit und Gleichstellung von Frauen und Männern im Beruf (Anlage 5).
4) MHH Vertraulichkeitserklärung / Declaration of Confidentiality (Anlage 9)
5) Auftragsverarbeitungsvertrag nach Art. 28 DSGVO / Order processing contract according to Art. 28 GDPR (Anlage 10)
6) Konzept - Darstellung der Auswahl der technischen und organisatorischen Maßnahmen zum Datenschutzkonzept gemäß DSGVO.
7) Konzept - Darstellung der beschriebenen Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen gemäß DSGVO.
8) Nachweis Zertifizierung nach ISO 9001 (Qualitätsmanagement) oder gleichwertig
9) Nachweis Zertifizierung nach ISO 27001 Zertifizierung (IT-Sicherheit) oder gleichwertig
10) Nachweis Zertifizierung nach ISO 14001 Zertifizierung (Umweltmanagement/Nachhaltigkeit) oder gleichwertig

Durch die Größe der MHH (KRITIS-Betrieb) und die unterschiedlichen Anwendungsbereiche (KV, F&L, Administration), die IT-seitig wiederum unterschiedlich stark abzusichern sind, bedarf es einer komplexen Netzwerkstruktur. Daher werden im folgenden technische Zertifizierungen gefordert, deren Qualifikation zur Implementierung einer Aruba Network Access Control notwendig sind. Je nachdem wie viel Implementierungsaufwand im jeweiligen Bereich (Switching, Network Security, Mobility, Edge, Design, Clearpass) abgeschätzt wird, wird für diesen über ein Associate-Zertifikat, auch ein Expert und/oder Professional-Zertifikat gefordert:
11) Nachweis HPE Aruba Networking Platinum Partner Status inkl. folgender Spezialkompetenzen
o ClearPass Policy Management
12) Nachweis HPE Aruba Support Partner - Global Partner Branded Support
13) entfällt
14) Nachweis Aruba Certified Switching Professional (ACSP) oder Aruba Certified Professional - Campus Access (ACP-CA) (Zertifikate werden als gleichwertig anerkannt)
15) Nachweis Aruba Certified Switching Associate (ACSA) oder Aruba Certified Associate - Campus Access (ACA-CA) (Zertifikate werden als gleichwertig anerkannt)
16) Nachweis Aruba Certified Network Security Associate (ACNSA) oder Aruba Certified Associate - Network Security (ACA-NS) (Zertifikate werden als gleichwertig anerkannt)
17) Nachweis Aruba Certified Mobility Professional (ACMP) oder Aruba Certified Professional - Campus Access (ACP-CA) (Zertifikate werden als gleichwertig anerkannt)
18) Nachweis Aruba Certified Mobility Associate (ACMA) oder Aruba Certified Associate - Campus Access (ACA-CA) (Zertifikate werden als gleichwertig anerkannt)
19) Nachweis Aruba Certified Edge Professional (ACEP)
20) Nachweis Aruba Certified Edge Associate (ACEA)
21) Nachweis Aruba Certified Design Professional (ACDP)
22) Nachweis Aruba Certified Design Expert (ACDX)
23) Nachweis Aruba Certified ClearPass Professional (ACCP) oder Aruba Certified Professional - Network Security (ACP-NS) (Zertifikate werden als gleichwertig anerkannt)
24) Nachweis Aruba Certified ClearPass Expert (ACCX) oder Aruba Certified Expert - Network Security (ACX-NS) (Zertifikate werden als gleichwertig anerkannt)
25) Nachweis Aruba Certified ClearPass Associate (ACCA) oder Aruba Certified Associate - Network Security (ACA-NS) (Zertifikate werden als gleichwertig anerkannt)

Geforderte Mindeststandards (Nichterfüllung führt zum Ausschluss):
Zu 3) Referenzliste V2 30.01.2024 (Anlage 2)
Es sind mindestens 3 Referenzen anzugeben, die mit dem Auftragsgegenstand vergleichbar sind, d.h. mind. 10.000 Lizenzen je Referenz. Aufgrund der komplexen Netzwerk-Infrastruktur muss mindestens eine Referenz aus einem Universitätsklinikum und mindestens zwei Referenzen von einem öffentlichen Auftraggeber bzw. Krankenhaus eingereicht werden. Mit Abgabe eines Angebotes bzw. Teilnahmeantrags erklärt sich der Bieter/Bewerber mit der Prüfung bzw. Kontaktaufnahme vorgelegter Referenzen einverstanden. Die Einhaltung der datenschutzrechtlichen Bestimmungen obliegt dem Bieter/Bewerber. Gefordert wird die Abgabe von Referenzen mit einem Liefer-/Leistungszeitraum aus den letzten 5 Jahren.

Text

1. Auftragsgegenstand:
Mindestvertragslaufzeit auf 60 Monate angepasst

2. Fristen: verlängert
Frist zum Einreichen der Bieterfragen: 13.02.2024
Frist zur finalen Mitteilung der Vertragsstrafe (siehe Punkt 1.4): 16.02.2024
Ende der Angebotsfrist (Abgabe der Angebote): 23.02.2024, 11:00 Uhr
Ende der Zuschlags-/Bindefrist: 19.04.2024
Ausführungsbeginn: 22.04.2024

3. Eignung/Bedingungen:
- Referenzliste (Anlage 2) auf 10.000 Lizenzen angepasst
- Preisblatt (Anlage 12) angepasst
- Nachweis HPE Aruba Networking Platinum Partner Status inkl. folgender Spezialkompetenzen
o ClearPass Policy Management
o Aruba Central - entfällt
- Nachweis HPE Aruba Managed Service Provider (entfällt)
- Nachweis Aruba Certified Switching Professional (ACSP), ergänzt um: oder Aruba Certified Professional - Campus Access (ACP-CA) (Zertifikate werden als gleichwertig anerkannt)
- Nachweis Aruba Certified Switching Associate (ACSA), ergänzt um: oder Aruba Certified Associate - Campus Access (ACA-CA) (Zertifikate werden als gleichwertig anerkannt)
- Nachweis Aruba Certified Network Security Associate (ACNSA), ergänzt um: oder Aruba Certified Associate - Network Security (ACA-NS) (Zertifikate werden als gleichwertig anerkannt)
- Nachweis Aruba Certified Mobility Professional (ACMP), ergänzt um: oder Aruba Certified Professional - Campus Access (ACP-CA) (Zertifikate werden als gleichwertig anerkannt)
- Nachweis Aruba Certified Mobility Associate (ACMA), ergänzt um: oder Aruba Certified Associate - Campus Access (ACA-CA) (Zertifikate werden als gleichwertig anerkannt)
- Nachweis Aruba Certified ClearPass Professional (ACCP), ergänzt um: oder Aruba Certified Professional - Network Security (ACP-NS) (Zertifikate werden als gleichwertig anerkannt)
- Nachweis Aruba Certified ClearPass Expert (ACCX), ergänzt um: oder Aruba Certified Expert - Network Security (ACX-NS) (Zertifikate werden als gleichwertig anerkannt)
- Nachweis Aruba Certified ClearPass Associate (ACCA), ergänzt um: oder Aruba Certified Associate - Network Security (ACA-NS) (Zertifikate werden als gleichwertig anerkannt)

4. Vergabeunterlagen, ausgetauscht:
- Anlage 2 Referenzliste
- Anlage 12 Preisblatt
- Vergabeinfos Ablauf Bedingungen Bewertung VgV