Rahmenvereinbarung für Beratungsdienstleistungen im Bereich IT-Sicherheit

Beschreibung der Beschaffung

Die Rentenbank passt ihre IT-Sicherheitsarchitektur kontinuierlich und risikobasiert an die aktuelle Bedrohungslage an. Die Vorhaben sind in der „Roadmap IT-Sicherheit“ gebündelt. Diese hat die wesentlichen Ziele die IT-Sicherheitsarchitektur zu implementieren, aktuelle regulatorische Anforderungen der IT-Compliance umzusetzen sowie Maßnahmen aus Prüfungsvorhaben umzusetzen. Die Umsetzung der dazu erforderlichen Maßnahmen erfolgt schrittweise unter Beachtung von Risikogesichtspunkten. Um diese Ziele erreichen zu können, benötigt die Rentenbank externe Beratungsdienstleistungen.

Die Implementierung der IT-Sicherheitsarchitektur führt zu einer weitreichenden Änderung in vielen IT-Bereichen, insbesondere
• dem Berechtigungsmanagement,
• dem Security Monitoring und Security Incident Management,
• der Netzwerksicherheit und der operativen IT-Sicherheit,
• dem Asset-Management,
• der Thread Intelligence & dem Vulnerability Management,
• der Anwendungssicherheit.

Die Rentenbank überprüft und erweitert kontinuierlich die IT-Sicherheitsarchitektur, um flexibel und nachhaltig auf geänderte Bedrohungslagen und Vorgaben zu reagieren. Im Jahr 2022 wurde die Rentenbank IT einer Prüfung nach § 44 KWG unterzogen. Mit Blick auf die verfolgte Zielsetzung bildet daher die Umsetzung der gegenüber der Aufsicht zugesagten Maßnahmen einen wesentlichen Schwerpunkt.

Hierzu benötigt die Rentenbank Unterstützungs- und Beratungsleistungen zu einzelnen Themenstellungen im Bereich der Roadmap IT-Sicherheit im Zuge von Einzelmaßnahmen oder Projekten.

Mit dieser Ausschreibung werden die dafür erforderlichen Beratungsleistungen für folgende Themen vergeben:
• die kontinuierliche Erweiterung und Anpassung der Zielarchitektur an die aktuelle Sicherheitslage,
• Ausbau des Security Monitoring und Security Incident Management, z.B. Evaluierung einer EDR-Lösung (Endpoint Detection and Response) mit Ausbau zu Host Isolation sowie Evaluierung des Einsatz eines SOAR-Systems (Security Orchestration, Automation and Response),
• kontinuierliche Erweiterung des Identity & Access Management, z.B. Digitale Anbindung aller Anwendungen an das Active Directory/ Omada Identity und Ausbau SSO,
• Erweiterung des Asset Management, z.B. Etablierung eines umfassenden Asset-Management inkl. Asset Bewertung, Asset-Beziehungen und Integration des Asset Managements in wesentliche Bereiche der IT-Sicherheitsarchitektur (IAM, Netzwerk, SIEM, Endpoint Protection, Schwachstellenscan),
• kontinuierliche Erweiterung der Netzwerksicherheit, z.B. die Umsetzung einer dynamischen Netzwerksegmentierungsstrategie sowie der Zielarchitektur IDS/IPS,
• die Umsetzung der Zielarchitektur Schwachstellenmanagement, z.B. Erweiterung der Automatisierung im Schwachstellenmanagement,
• Unterstützungsleistungen bei der Sicherstellung der IT-Compliance (z.B. Abarbeitung von Feststellungen aus der IT44-Prüfung),
• das Projektmanagement auf Programm- und Projektebene sowie begleitendes Test-, Anforderungs- und Qualitäts-Management.

Die Beratungsleistungen sind Teil des Transformationsprozesses der Rentenbank hin zu einer zukunftsfähigen und tragfähigen IT-Architektur. Ziel ist die Schaffung von ausreichender Flexibilität für die Umsetzung der zu erwartenden Geschäftsanforderungen sowie der aufsichtsrechtlichen bzw. gesetzlichen Anforderungen.

Dazu werden insbesondere folgende Beratungsleistungen benötigt, die im Rahmen von Einzelbeauftragungen abgerufen werden sollen:

• Los 1: Weiterentwicklung und Architektur – IT-Beratungsleistungen und Fachberater im IT-Sicherheitsumfeld:
o Implementierungsberater/Senior-Implementierungsberater für alle beschriebenen Bereiche der IT-Sicherheit
o Architekt/Senior Architekt
o Schnittstellen-Entwickler
o Fachberater
o Senior Fachberater

• Los 2: ITB (IT Betrieb)-Unterstützung – IT-Beratungsleistungen im IT-Sicherheitsumfeld:
o Providermanagement
o Benutzer-Administration im Projektkontext
o Datenbank-Administration / Applikationsbetrieb Windows / Linux im Projektkontext

• Los 3: Projektleitung, PMO und Querschnittsfunktionen – Berater im IT-Sicherheitsumfeld:
o Projektleitung
o Projektunterstützung (PMO)
o Test- und Releasemanagement
o Ressourcenmanagement

Zur Beschaffung der benötigten Beratungsleistungen soll eine Rahmenvereinbarung mit mindestens drei und höchstens zwölf Unternehmen je Los abgeschlossen werden. Auf Basis dieser Rahmenvereinbarung wird die Rentenbank ihren Bedarf an Beratungsdienstleistungen durch Abschluss zeitlich befristeter Einzelaufträge decken. Die Einzelaufträge werden im Wettbewerb zwischen den Rahmenvereinbarungspartnern gemäß § 21 Abs. 4 und 5 VgV vergeben.

Die Einzelheiten der zu erbringenden Leistung ergeben sich aus dieser Leistungsbeschreibung, die im Zuschlagsfall Bestandteil der Rahmenvereinbarung wird, und den Einzelaufträgen, die nach Abschluss der Rahmenvereinbarung erteilt werden.

Die Rahmenvereinbarung hat eine Laufzeit von 24 Monaten. Die Laufzeit kann durch die Rentenbank zweimal um jeweils 12 Monate verlängert werden.

Die Rahmenvereinbarung wird für jedes Los individuell geschlossen.

Liste und kurze Beschreibung der Bedingungen

Mit dem Angebot ist der Nachweis über die Eintragung in ein Berufs- oder Handelsregister durch Vorlage eines höchstens sechs Monate alten Registerausdrucks nachzuweisen. Ausländische Bieter können einen gleichwertigen Nachweis der Erlaubnis zur Berufsausübung nach Maßgabe des Rechts des Staates, in dem sie niedergelassen sind, erbringen.

Mit dem Angebot ist außerdem eine Darstellung des Unternehmens des Bieters (höchstens zehn DIN-A-4-Seiten) hinsichtlich Rechtsform, Unternehmensstruktur und Tätigkeitsfeldern einzureichen.

Mit dem Angebot ist die Eigenerklärung zum Nichtvorliegen von Ausschlussgründen gemäß Anlage 4 zu den Bewerbungsbedingungen einzureichen.

Ferner ist mit dem Angebot die Eigenerklärung zur Umsetzung von Artikel 5k Absatz 1 der Verordnung (EU) 833/2014 des Rates vom 31. Juli 2014 gemäß Anlage 9 zu den Bewerbungsbedingungen einzureichen.

Liste und kurze Beschreibung der Auswahlkriterien

Mit dem Angebot ist die Eigenerklärung über die wirtschaftliche und finanzielle Leistungsfähigkeit gemäß Anlage 8 einzureichen.

Darin sind Angaben über den Umsatz des Bieters innerhalb der letzten drei abgeschlossenen Geschäftsjahre zu machen. Diese haben sich zu beziehen

- auf den Umsatz des Bieters insgesamt und
- im Los 1: auf den Umsatz des Bieters im Bereich Weiterentwicklung und Architektur – IT-Beratungsleistungen und Fachberater im IT-Sicherheitsumfeld,
- im Los 2: auf den Umsatz des Bieters im Bereich ITB-Unterstützung – IT-Beratungsleistungen im IT-Sicherheitsumfeld,
- im Los 3: auf den Umsatz des Bieters im Bereich Projektleitung, PMO und Querschnittsfunktionen – Beratungsleistungen im IT-Sicherheitsumfeld.

Mindestanforderung: Der Bieter muss in den letzten drei abgeschlossenen Geschäftsjahre insgesamt folgende Mindestumsätze erzielt haben:

- im Los 1: einen Mindestumsatz i. H. v. 2.100.000 EUR im Bereich „Weiterentwicklung und Architektur – IT-Beratungsleistungen und Fachberater im IT-Sicherheitsumfeld“ innerhalb der letzten drei abgeschlossenen Geschäftsjahre;
- im Los 2: einen Mindestumsatz i. H. v. 900.000 EUR im Bereich „ITB-Unterstützung – IT-Beratungsleistungen im IT-Sicherheitsumfeld“ innerhalb der letzten drei abgeschlossenen Geschäftsjahre;
- im Los 3: einen Mindestumsatz i. H. v. 1.500.000 EUR im Bereich „Projektleitung, PMO und Querschnittsfunktionen – Beratungsleistungen im IT-Sicherheitsumfeld“ innerhalb der letzten drei abgeschlossenen Geschäftsjahre.

Die Verteilung des Mindestumsatzes auf die einzelnen Jahre ist unerheblich.


Mit dem Angebot ist außerdem der Nachweis über das Bestehen einer Betriebshaftpflichtversicherung durch Vorlage eines Versicherungsnachweises zu erbringen. Die Versicherung muss folgende Mindestdeckungssummen aufweisen:

jeweils 1 500 000 EUR je Schadensfall für Personenschäden, für Sachschäden und für Vermögensschäden.

Alternativ kann mit der Eigenerklärung über die wirtschaftliche und finanzielle Leistungsfähigkeit gemäß Anlage 8 verbindlich zugesagt werden, eine solche Versicherung mit den geforderten Mindestdeckungssummen im Falle des Zuschlags abzuschließen.

Mindestanforderung: Es muss eine Betriebshaftpflichtversicherung mit den genannten Mindestdeckungssummen durch Vorlage eines Versicherungsnachweises oder der Eigenerklärung über die Zusage eines Abschlusses nachgewiesen werden.

Liste und kurze Beschreibung der Auswahlkriterien

Mit dem Angebot ist ferner die Eigenerklärung über die technische und berufliche Leistungsfähigkeit gemäß Anlage 7 einzureichen.

Darin sind Angaben zu Referenzaufträgen zu machen, die das Unternehmen im Zeitraum von 2020 bis heute ausgeführt hat. Auch laufende Referenzprojekte sowie Referenzaufträge, die für die Landwirtschaftliche Rentenbank ausgeführt wurden, werden berücksichtigt. Zu jedem Referenzauftrag sind folgende Angaben zu machen:

o Auftraggeber des Referenzauftrags,
o Kontaktdaten eines Ansprechpartners beim Auftraggeber des Referenzauftrags,
o Auftragsvolumen des Referenzauftrags,
o Auftragsgegenstand/Inhalt des Referenzauftrags
o Rolle des/der Berater in dem Referenzprojekt,
o Dauer der Leistungserbringung.

Mindestanforderungen:

a) Der Bieter muss in dem genannten Zeitraum im jeweiligen Los mindestens drei Referenzprojekte bei Unternehmen ausgeführt haben, die mindestens eine der folgenden Voraussetzungen erfüllen:

- Es muss sich um ein Unternehmen handeln, das der Regulierung gemäß den Bankaufsichtlichen Anforderungen an die IT (BAIT) unterliegt.
- Es muss sich um ein Unternehmen handeln, das den Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) unterliegt.
- Es muss sich um ein Unternehmen handeln, das eine kritische Infrastruktur i. S. v. § 2 Abs. 10 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik i. V. m. der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz betreibt.


b) Bei jedem der unter a) genannten Referenzprojekte muss der Bieter mindestens drei der folgenden Rollen einmal im Rahmen einer Umsetzung ausgeführt haben (bei Rollen mit zwei Senioritätsstufen ist für die höchste Senioritätsstufe eine Referenz einzureichen, z.B. Referenz für Senior Business Analyst und nicht für Business Analyst):

- im Los 1:
• Implementierungsberater/Senior Implementierungsberater IT-Sicherheit
• Architekt/Senior Architekt
• Schnittstellen-Entwickler
• Fachberater/Senior Fachberater

- im Los 2:
• Providermanager im Projektkontext
• Benutzeradministration im Projektkontext
• Datenbank-Administration/Applikationsbetrieb Windows
und/oder Linux im Projektkontext

- im Los 3:
• Projektleiter
• Projektunterstützung (PMO)
• Test- und Releasemanager
• Ressourcenmanager

Die Abdeckung aller Rollen in dem jeweiligen Los ist nicht erforderlich.

c) In Los 1 müssen im Rahmen der unter a) genannten Referenzprojekte Produktionssysteme in einem Kreditinstitut auf der Basis der in Abbildung 1 gezeigten Cluster (Berechtigungsmanagement, SIEM/SOC, Netzwerksicherheit und operative IT-Sicherheit, CMDB, Schwachstellen-Management/IT-Compliancescans) aufgebaut / weiterentwickelt worden sein.

d) Bei jedem der unter a) genannten Referenzprojekte müssen die unter b) genannten Rollen jeweils mindestens über sechs Monate ausgeübt worden sein. Der Bieter muss zudem pro Rolle eine Mindestverfügbarkeit von 80 %, bezogen auf die Kapazitäten der jeweiligen Rolle und des Gesamtprojekts, gewährleistet haben.



In der Eigenerklärung über die technische und berufliche Leistungsfähigkeit gemäß Anlage 7 sind ferner Angaben über die Anzahl der Kunden des Bieters in den vergangenen drei Kalenderjahren (2021 bis 2023) zu machen. Diese haben sich zu beziehen

- auf die Anzahl der Kunden insgesamt und
- im Los 1: auf die Anzahl der Kunden aus der Branche der Finanz- und Versicherungsinstitute im Bereich „Weiterentwicklung und Architektur – IT-Beratungsleistungen und Fachberater im IT-Sicherheitsumfeld“;
- im Los 2: auf die Anzahl der Kunden aus der Branche der Finanz- und Versicherungsinstitute im Bereich „ITB-Unterstützung – IT-Beratungsleistungen im IT-Sicherheitsumfeld“.

Mindestanforderung:

Der Bieter muss in den vergangenen drei Kalenderjahren (2021 bis 2023) für mindestens drei Kunden in folgenden Bereichen tätig geworden sein:

- im Los 1: im Bereich „Weiterentwicklung und Architektur – IT-Beratungsleistungen und Fachberater im IT-Sicherheitsumfeld“;
- im Los 2: im Bereich „ITB-Unterstützung – IT-Beratungsleistungen im IT-Sicherheitsumfeld“.

Die Kunden müssen ferner eine der folgenden Anforderungen erfüllen:

- Es muss sich um ein Unternehmen handeln, das der Regulierung gemäß den Bankaufsichtlichen Anforderungen an die IT (BAIT) unterliegt.
- Es muss sich um ein Unternehmen handeln, das den Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) unterliegt.
- Es muss sich um ein Unternehmen handeln, das eine kritische Infrastruktur i. S. v. § 2 Abs. 10 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik i. V. m. der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz betreibt.

Zusätzliche Informationen

1. Bietergemeinschaften sind zugelassen und Einzelbietern gleichgestellt. Bietergemeinschaften haben im Zuschlagsfall eine Rechtsform anzunehmen, bei der eine gesamtschuldnerische Haftung aller Mitglieder sichergestellt ist. Bietergemeinschaften haben mit dem Angebot die Bietergemeinschaftserklärung nach Anlage 3 zu den Bewerbungsbedingungen einzureichen. Bietergemeinschaften haben mit ihrem Angebot den Ausdruck aus dem Handelsregister, die Unternehmensdarstellung und die Eigenerklärung über das Nichtvorliegen von Ausschlussgründen (Anlage 4 zu den Bewerbungsbedingungen) für jedes Mitglied gesondert abzugeben. Alle übrigen Bestandteile des Angebots sind lediglich einmal für die Bietergemeinschaft als Ganzes einzureichen. 2. a) Ein Bieter kann im Hinblick auf die erforderliche wirtschaftliche und finanzielle sowie technische und berufliche Leistungsfähigkeit die Kapazitäten anderer Unternehmen in Anspruch nehmen. Will er von dieser Möglichkeit Gebrauch machen, hat er mit dem Angebot die Eigenerklärung über den Einsatz von Drittunternehmen und Unterauftragnehmern (Anlage 5 zu den Bewerbungsbedingungen) einzureichen und die dort geforderten Angaben zu Drittunternehmen zu machen. Er hat ferner nachzuweisen, dass ihm die für den Auftrag erforderlichen Mittel tatsächlich zur Verfügung stehen werden, beispielsweise indem er für jedes vorgesehene Drittunternehmen eine Verpflichtungserklärung (Anlage 6 zu den Bewerbungsbedingungen) mit seinem Angebot vorlegt. Nimmt ein Bieter im Hinblick auf die einschlägige berufliche Leistungsfähigkeit oder Erfahrung die Kapazitäten eines anderen Unternehmens in Anspruch, muss dieses Unternehmen die Leistung, für die die Kapazitäten benötigt werden, tatsächlich erbringen. Die Möglichkeit der Eignungsleihe besteht unabhängig von der Rechtsnatur der zwischen dem Bieter und den anderen Unternehmen bestehenden Verbindungen. 2. b) Will ein Bieter Teile des Auftrags an Unterauftragnehmer vergeben, hat er dies mit dem Angebot mitzuteilen und hierfür die Eigenerklärung über den Einsatz von Drittunternehmern und Unterauftragnehmern (Anlage 5 zu den Bewerbungsbedingungen) zu verwenden. Gleiches gilt für Unterauftragnehmer von Unterauftragnehmern und Unterauftragnehmer aller weiteren Stufen. Die Namen der Unterauftragnehmer können bereits mit dem Angebot benannt werden. Werden sie nicht mit dem Angebot benannt, sind sie auf gesonderte Aufforderung der Auftraggeberin zu benennen. Benennt der Bieter die Unterauftragnehmer bereit mit dem Angebot, hat er fernen nachzuweisen, dass ihm die für den Auftrag erforderlichen Mittel tatsächlich zur Verfügung stehen werden, beispielsweise indem er für den vorgesehenen Unterauftragnehmer eine Verpflichtungserklärung (Anlage 6 zu den Bewerbungsbedingungen) mit seinem Angebot vorlegt; andernfalls ist der Nachweis auf gesonderte Aufforderung der Auftraggeberin zu erbringen. Diese Verpflichtung besteht unabhängig davon, ob sich der Bieter gleichzeitig auf die Kapazitäten der Unterauftragnehmer zum Nachweis seiner Leistungsfähigkeit oder Fachkunde beruft. 2. c) Dritte und Unterauftragnehmer müssen die Anforderungen an die Eignung und das Nichtvorliegen von Ausschlussgründen erfüllen. Zum Nachweis dessen sind für Dritte und Unterauftragnehmer, die bereits mit dem Angebot benannt werden, in jedem Fall mit dem Angebot die Eigenerklärung über das Nichtvorliegen von Ausschlussgründen (Anlage 4 zu den Bewerbungsbedingungen) vorzulegen. Die Eigenerklärung über die technische und berufliche Leistungsfähigkeit gemäß Anlage 7 zu den Bewerbungsbedingungen und die Eigenerklärung über die wirtschaftliche und finanzielle Leistungsfähigkeit gemäß Anlage 8 zu den Bewerbungsbedingungen sind insoweit für Dritte und Unterauftragnehmer vorzulegen, wie sich der Bieter auf ihre Eignung beruft oder sie einen jeweils entsprechenden Leistungsteil übernehmen sollen. 3. Informationen zur elektronischen Einreichung der Angebote finden sich unter www.deutsche-evergabe.de. 4. Weitere Anforderungen an die Angebote ergeben sich aus den Vergabeunterlagen.

Genaue Informationen über Fristen für Überprüfungsverfahren

Für die Einleitung eines Nachprüfungsverfahrens vor der Vergabekammer gelten u. a. die §§ 160 f. GWB. Diese haben folgenden Wortlaut: "§ 160 Einleitung, Antrag (1) Die Vergabekammer leitet ein Nachprüfungsverfahren nur auf Antrag ein. (2) Antragsbefugt ist jedes Unternehmen, das ein Interesse an dem öffentlichen Auftrag oder der Konzession hat und eine Verletzung in seinen Rechten nach § 97 Absatz 6 durch Nichtbeachtung von Vergabevorschriften geltend macht. Dabei ist dar-zulegen, dass dem Unternehmen durch die behauptete Verletzung der Vergabevorschriften ein Schaden entstanden ist oder zu entstehen droht. (3) Der Antrag ist unzulässig, soweit 1. der Antragsteller den geltend gemachten Verstoß gegen Vergabevorschriften vor Einreichen des Nachprüfungsantrags erkannt und gegenüber dem Auftraggeber nicht innerhalb einer Frist von zehn Kalendertagen gerügt hat; der Ablauf der Frist nach § 134 Absatz 2 bleibt unberührt, 2. Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, nicht spätestens bis zum Ablauf der in der Bekanntmachung benannten Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden, 3. Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, nicht spätestens bis zum Ablauf der Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden, 4. mehr als 15 Kalendertage nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, vergangen sind. Satz 1 gilt nicht bei einem Antrag auf Feststellung der Unwirksamkeit des Vertrags nach § 135 Absatz 1 Nummer 2. § 134 Absatz 1 Satz 2 bleibt unberührt. § 161 Form, Inhalt (1) Der Antrag ist schriftlich bei der Vergabekammer einzureichen und unverzüglich zu begründen. Er soll ein bestimmtes Begehren enthalten. Ein Antragsteller ohne Wohnsitz oder gewöhnlichen Aufenthalt, Sitz oder Geschäftsleitung im Geltungsbe-reich dieses Gesetzes hat einen Empfangsbevollmächtigten im Geltungsbereich dieses Gesetzes zu benennen. (2) Die Begründung muss die Bezeichnung des Antragsgegners, eine Beschreibung der behaupteten Rechtsverletzung mit Sachverhaltsdarstellung und die Bezeichnung der verfügbaren Beweismittel enthalten sowie darlegen, dass die Rüge gegenüber dem Auftraggeber erfolgt ist; sie soll, soweit bekannt, die sonstigen Beteiligten benennen." Ferner wird auf die Frist gemäß § 135 Abs. 2 GWB hingewiesen. Hiernach kann die Unwirksamkeit eines öffentlichen Auftrags wegen eines Verstoßes gegen § 134 GWB (Informations- und Wartepflicht) oder wegen einer Vergabe ohne vorheriger Veröffentlichung einer Bekanntmachung im Amtsblatt der EU nur in einem Nachprüfungsverfahren festgestellt werden, wenn sie im Nachprüfungsverfahren innerhalb von 30 Kalendertagen nach der Information der betroffenen Bieter und Bewerber durch den öffentlichen Auftraggeber über den Abschluss des Vertrags, jedoch nicht später als sechs Monate nach Vertragsschluss geltend gemacht worden ist. Hat der Auftraggeber die Auftragsvergabe im Amtsblatt der EU bekannt gemacht, endet die Frist zur Geltendmachung der Unwirksamkeit 30 Kalendertage nach Veröffentlichung der Bekanntmachung der Auftragsvergabe im Amtsblatt der EU.

Liste und kurze Beschreibung der Bedingungen

Mit dem Angebot ist der Nachweis über die Eintragung in ein Berufs- oder Handelsregister durch Vorlage eines höchstens sechs Monate alten Registerausdrucks nachzuweisen.
Ausländische Bieter können einen gleichwertigen Nachweis der Erlaubnis zur Berufsausübung nach Maßgabe des Rechts des Staates, in dem sie niedergelassen sind, erbringen.
Mit dem Angebot ist außerdem eine Darstellung des Unternehmens des Bieters (höchstens zehn DIN-A-4-Seiten) hinsichtlich Rechtsform, Unternehmensstruktur und Tätigkeitsfeldern einzureichen.
Mit dem Angebot ist die Eigenerklärung zum Nichtvorliegen von Ausschlussgründen gemäß Anlage 4 zu den Bewerbungsbedingungen einzureichen. Ferner ist mit dem Angebot die Eigenerklärung zur Umsetzung von
Artikel 5k Absatz 1 der Verordnung (EU) 833/2014 des Rates vom 31. Juli 2014 gemäß Anlage 9 zu den Bewerbungsbedingungen einzureichen.

Liste und kurze Beschreibung der Auswahlkriterien

Mit dem Angebot ist die Eigenerklärung über die wirtschaftliche und finanzielle Leistungsfähigkeit gemäß Anlage 8 einzureichen. Darin sind Angaben über den Umsatz des Bieters innerhalb der letzten drei abgeschlossenen
Geschäftsjahre zu machen. Diese haben sich zu beziehen - auf den Umsatz des Bieters insgesamt und - im Los 1: auf den Umsatz des Bieters im Bereich Weiterentwicklung und Architektur – IT-Beratungsleistungen und Fachberater im
IT-Sicherheitsumfeld, - im Los 2: auf den Umsatz des Bieters im Bereich ITB-Unterstützung – IT-Beratungsleistungen im IT-Sicherheitsumfeld, - im Los 3: auf den Umsatz des Bieters im Bereich Projektleitung, PMO und
Querschnittsfunktionen – Beratungsleistungen im IT-Sicherheitsumfeld. Mindestanforderung: Der Bieter muss in den letzten drei abgeschlossenen Geschäftsjahre insgesamt folgende Mindestumsätze erzielt haben:
- im Los 1: einen Mindestumsatz i. H. v. 2.100.000 EUR im Bereich „Weiterentwicklung und Architektur – IT-Beratungsleistungen und Fachberater im IT-Sicherheitsumfeld“ innerhalb der letzten drei abgeschlossenen Geschäftsjahre;
- im Los 2: einen Mindestumsatz i. H. v. 900.000 EUR im Bereich „ITB-Unterstützung – IT-Beratungsleistungen im IT-Sicherheitsumfeld“ innerhalb der letzten drei abgeschlossenen Geschäftsjahre;
- im Los 3: einen Mindestumsatz i. H. v. 1.500.000 EUR im Bereich „Projektleitung, PMO und Querschnittsfunktionen – Beratungsleistungen im IT-Sicherheitsumfeld“ innerhalb der letzten drei abgeschlossenen Geschäftsjahre.
Die Verteilung des Mindestumsatzes auf die einzelnen Jahre ist unerheblich. Mit dem Angebot ist außerdem der Nachweis über das Bestehen einer Betriebshaftpflichtversicherung durch Vorlage eines Versicherungsnachweises zu erbringen.
Die Versicherung muss folgende Mindestdeckungssummen aufweisen: jeweils 1 500 000 EUR je Schadensfall für Personenschäden, für Sachschäden und für Vermögensschäden. Alternativ kann mit der Eigenerklärung über die wirtschaftliche
und finanzielle Leistungsfähigkeit gemäß Anlage 8 verbindlich zugesagt werden, eine solche Versicherung mit den geforderten Mindestdeckungssummen im Falle des Zuschlags abzuschließen. Mindestanforderung:
Es muss eine Betriebshaftpflichtversicherung mit den genannten Mindestdeckungssummen durch Vorlage eines Versicherungsnachweises oder der Eigenerklärung über die Zusage eines Abschlusses nachgewiesen werden.

Liste und kurze Beschreibung der Auswahlkriterien

Mit dem Angebot ist ferner die Eigenerklärung über die technische und berufliche Leistungsfähigkeit gemäß Anlage 7 einzureichen. Darin sind Angaben zu Referenzaufträgen zu machen, die das Unternehmen im Zeitraum von
2020 bis heute ausgeführt hat. Auch laufende Referenzprojekte sowie Referenzaufträge, die für die Landwirtschaftliche Rentenbank ausgeführt wurden, werden berücksichtigt. Zu jedem Referenzauftrag sind folgende Angaben zu machen:
o Auftraggeber des Referenzauftrags, o Kontaktdaten eines Ansprechpartners beim Auftraggeber des Referenzauftrags, o Auftragsvolumen des Referenzauftrags, o Auftragsgegenstand/Inhalt des Referenzauftrags o Rolle des/der Berater
in dem Referenzprojekt, o Dauer der Leistungserbringung. Mindestanforderungen: a) Der Bieter muss in dem genannten Zeitraum im jeweiligen Los mindestens drei Referenzprojekte bei Unternehmen ausgeführt haben, die mindestens eine
der folgenden Voraussetzungen erfüllen: - Es muss sich um ein Unternehmen handeln, das der Regulierung gemäß den Bankaufsichtlichen Anforderungen an die IT (BAIT) unterliegt. - Es muss sich um ein Unternehmen handeln, das den
Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) unterliegt. - Es muss sich um ein Unternehmen handeln, das eine kritische Infrastruktur i. S. v. § 2 Abs. 10 des Gesetzes über das Bundesamt für Sicherheit in der
Informationstechnik i. V. m. der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz betreibt. b) Bei den unter a) genannten Referenzprojekten muss der Bieter insgesamt, d. h. über alle genannten
Referenzprojekte hinweg, mindestens drei verschiedene Rollen der im Folgenden beschriebenen Rollen einmal im Rahmen einer Umsetzung ausgeführt haben (bei Rollen mit zwei Senioritätsstufen ist für die höchste Senioritätsstufe
eine Referenz einzureichen, z.B. Referenz für Senior Business Analyst und nicht für Business Analyst): - im Los 1: • Implementierungsberater/Senior Implementierungsberater IT-Sicherheit • Architekt/Senior Architekt
• Schnittstellen-Entwickler • Fachberater/Senior Fachberater - im Los 2: • Providermanager im Projektkontext • Benutzeradministration im Projektkontext • Datenbank-Administration/Applikationsbetrieb Windows und/oder Linux
im Projektkontext - im Los 3: • Projektleiter • Projektunterstützung (PMO) • Test- und Releasemanager • Ressourcenmanager Die Abdeckung aller Rollen in dem jeweiligen Los ist nicht erforderlich, sofern in dem jeweiligen Los
insgesamt mindestens drei der genannten Rollen übernommen wurden. Die Übernahme von mindestens drei Rollen innerhalb desselben Referenzauftrags ist ebenfalls nicht erforderlich, sofern die Mindestzahl von drei erreicht wird.
c) In Los 1 müssen im Rahmen der unter a) genannten Referenzprojekte Produktionssysteme in einem Kreditinstitut auf der Basis eines der in Abbildung 1 gezeigten Cluster (Berechtigungsmanagement, SIEM/SOC, Netzwerksicherheit
und operative IT-Sicherheit, CMDB, Schwachstellen-Management/IT-Compliancescans) aufgebaut / weiterentwickelt worden sein. d) Bei jedem der unter a) genannten Referenzprojekte müssen die unter b) genannten Rollen jeweils
mindestens über sechs Monate ausgeübt worden sein. Der Bieter muss zudem pro Rolle eine Mindestverfügbarkeit von 80 %, bezogen auf die Kapazitäten der jeweiligen Rolle und des Gesamtprojekts, gewährleistet haben.
In der Eigenerklärung über die technische und berufliche Leistungsfähigkeit gemäß Anlage 7 sind ferner Angaben über die Anzahl der Kunden des Bieters in den vergangenen drei Kalenderjahren (2021 bis 2023) zu machen.
Diese haben sich zu beziehen - auf die Anzahl der Kunden insgesamt und - im Los 1: auf die Anzahl der Kunden aus der Branche der Finanz- und Versicherungsinstitute im Bereich „Weiterentwicklung und Architektur – IT-Beratungsleistungen
und Fachberater im IT-Sicherheitsumfeld“; - im Los 2: auf die Anzahl der Kunden aus der Branche der Finanz- und Versicherungsinstitute im Bereich „ITB-Unterstützung – IT-Beratungsleistungen im IT-Sicherheitsumfeld“.
Mindestanforderung: Der Bieter muss in den vergangenen drei Kalenderjahren (2021 bis 2023) für mindestens drei Kunden in folgenden Bereichen tätig geworden sein: - im Los 1: im Bereich „Weiterentwicklung und
Architektur – IT-Beratungsleistungen und Fachberater im IT-Sicherheitsumfeld“; - im Los 2: im Bereich „ITB-Unterstützung – IT-Beratungsleistungen im IT-Sicherheitsumfeld“. Die Kunden müssen ferner eine der folgenden
Anforderungen erfüllen: - Es muss sich um ein Unternehmen handeln, das der Regulierung gemäß den Bankaufsichtlichen Anforderungen an die IT (BAIT) unterliegt. - Es muss sich um ein Unternehmen handeln, das den
Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) unterliegt. - Es muss sich um ein Unternehmen handeln, das eine kritische Infrastruktur i. S. v. § 2 Abs. 10 des Gesetzes über das Bundesamt für Sicherheit in der
Informationstechnik i. V. m. der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz betreibt.