Rahmenvereinbarung zur Dienstleistungsunterstützung im Bereich BAIT/DORA mit 3 Losen | Investitions- und Strukturbank Rheinland-Pfalz (ISB) | Öffentliches Auftragswesen in Deutschland

Datum	Dokument
2024-03-19	Auftragsbekanntmachung

Beschreibung der Beschaffung

Unterstützung im Tagesgeschäft der Organisationseinheit IT-Steuerung, d.h. - Rezertifizierung von Berechtigungen und Rollen initiieren und nachhalten - Funktionstrennungskonflikte im Berechtigungsmanagement identifizieren und bereinigen - Weiterentwicklung des bestehenden IKS - Unterstützung in der Aufbereitung des Managementreportings und der Ermittlung der hierfür erforderlichen Kennzahlen und Messgrößen (z.B. KPIs, IKS) - Weiterentwicklung des Managementreportings zur Optimierung der Steuerungsqualität - Unterstützung bei der Abarbeitung von Prüfungsfeststellungen - Bearbeitung von Maßnahmen resultierend aus Feststellungen der in 2023 erfolgten KWG § 44 Prüfung - Weiterentwicklung der Prozesse und Beratung hinsichtlich regulatorischer Entwicklungen in der Organisationseinheit IT-Steuerung des Bereichs Organisation und Informationstechnologie - Umsetzung der Anforderungen aus der Verordnung (EU) 2022/2554 über die digitale Operationale Resilienz im Finanzsektor (Digital Operational Resilience Act) - Analyse von regulatorischen Entwicklungen, z.B. der aufsichtsrechtlichen Standards und deren Auswirkung auf die IT-Steuerung und das Prozessmanagement der ISB - Weiterentwicklung des Informationsverbundes mittels Einsatzes einer Anwendung (z.B. RIMAGO) Für den geplanten Leistungszeitraum werden folgende Abrufmengen geschätzt: 2024 (2. Halbjahr): 525 PT 2025 bis einschl. 2027: 945 PT 2028 (1. Halbjahr): 473 PT Die Abrufe finden jährlich statt, es besteht keine Abnahmeverpflichtung seitens der ISB.

Beschreibung der Beschaffung

Der Informationssicherheitsbeauftragte, die Organisationseinheiten IT-Steuerung, IT-Betrieb und IT-Risikomanagement benötigen Unterstützung und Beratungsleistungen in folgenden Aufgabengebieten: - Informationssicherheitsmanagement: Weiterentwicklung der Aufbau- und Ablauforganisation, der Prozesse und Kontrollen, der Konzeption, der Implementierung sowie der Operationalisierung zu beachtender IT-Standards, u.a. BSI und ISO 2700x - Fachliche Unterstützung des Informationssicherheitsbeauftragten und des ISMS-Teams bei den folgenden Aufgaben: -- Unterstützung bei der jährlichen Überarbeitung der Informationssicherheitsleitlinie sowie der Informationssicherheitsrichtlinien -- Unterstützung bei der Durchführung der 2LoD-Überwachungsfunktion (second line of defence) -- Unterstützung bei der Weiterentwicklung des SOLL-Referenzmaßnahmenkataloges -- Unterstützung bei der Durchführung von Audits -- Unterstützung bei der Weiterentwicklung des Quartalsreportings -- Unterstützung bei der Entwicklung von Sicherheitsvorgaben für externe IT-Dienstleister -- Zusammenarbeit mit dem IT-Risikomanagement Operative Informationssicherheit (Aufbau- und Ablauforganisation, Prozesse und Kontrollen, Konzeption, Implementierung, Operationalisierung, unter Beachtung u.a. der IT-Standards BSI und ISO 2700x: - Überarbeitung und Weiterentwicklung der Richtlinien und Verfahren im Bereich operative Informationssicherheit - Unterstützung der Bank bei der Festlegung einzubeziehender IT-Systeme in die Protokollierung und Überwachung - Unterstützung der Bank bei der Operationalisierung des Security Operations Center - Unterstützung der Bank bei der Weiterentwicklung des SIEM, der Use-Cases und bei der Auswertung von Schwachstellenanalysen und Pentesting - Unterstützung der Bank bei der Operationalisierung der Maßnahmen zur Sicherstellung der Informationssicherheit inkl. bei externen Dienstleistern - Unterstützung der Bank bei der Behandlung von Informationssicherheitsereignissen und -vorfällen - Unterstützung der Bank bei der Operationalisierung des Soll-Ist-Abgleichs sowie der Rezertifizierung technischer Einstellungen - Aufbau eines Informationssicherheitsteams zur Unterstützung des ISB - Überarbeitung und Weiterentwicklung der Vorgaben für das Security Operations Center und Sicherheitsmeldungen (z.B. Cert-Meldungen vom BSI) - Unterstützung des ISB bei der Operationalisierung der "Second Line of Defence"-Überwachungsfunktion - Zusammenarbeit mit dem Informationssicherheitsmanagement - Knowhow-Transfer und Weiterentwicklung des bereits eingesetzten SIEM Im geplanten Leistungszeitraum von 4 Jahren wird mit einer Abrufmenge von durchschnittlich rd. 290 PT jährlich kalkuliert. Gestaffelt auf das 1. Jahr mit 525 PT, 2. Jahr mit 315 PT, 3. Jahr mit 210 PT und 4. Jahr mit 105 PT. Die Abrufe finden halbjährlich statt, es besteht keine Abnahmeverpflichtung seitens der ISB.

Beschreibung der Beschaffung

Aufgaben IT-Risikomanagement: - Unterstützung bei der Steuerung und Überwachung der gemeldeten und erkannten IT-Risiken sowie der Durchführung der regelmäßigen IT-Risikoinventur - Durchführung von Risikoanalysen - Unterstützung bei der Durchführung der Business Impact Analyse und Schutzbedarfsanalyse unter Berücksichtigung des Informationsverbunds, des Informationssicherheitsmanagements und des Notfallmanagements - Unterstützung bei der Durchführung der Schadensfallanalyse und des IT-Schadensfallmanagements - Unterstützung bei der Einleitung und Steuerung von risikoreduzierenden Maßnahmen - Unterstützung bei der Berichterstattung der Informations- und Informationssicherheitsrisiken - Durchführung und Dokumentation der Kontrollen bezüglich des IT-Risikomanagements Aufgaben IT-Notfallmanagement: - Zusammenarbeit mit dem zentralen Notfallbeauftragten der ISB und fachlichen Funktionen - Mitwirkung bei der Erstellung von BCM Notfallhandbüchern und bei der Erstellung von entsprechenden Zumeldungen - Mitwirkung bei der Erstellung und Unterstützung bei der Überprüfung von IT-Notfallplänen (Geschäftsfortführungspläne, Wiederanlauf- bzw. Wiederherstellungspläne): z. B. Bereitstellung der Templates und Koordination des Inputs - Unterstützung bei der Koordination- und Überwachung der IT-Testplanung und Testdurchführung - Unterstützung bei der Einwertung der Ergebnisse aus dem Soll/Ist Vergleich bezüglich BCM Referenzmaßnahmen in Verbindung mit Auslagerungen - Unterstützung bei der Analyse und Dokumentation von Ereignissen und Notfällen im Rahmen des IT-Notfallmanagements - Unterstützung bei der Berichterstattung des IT-Notfallmanagements - Durchführung und Dokumentation der Kontrollen bezüglich des IT-Notfallmanagements Im geplanten Leistungszeitraum von 4 Jahren wird mit einer Abrufmenge von 630 PT jährlich kalkuliert. Die Abrufe finden jährlich statt, es besteht keine Abnahmeverpflichtung seitens der ISB.

Liste und kurze Beschreibung der Auswahlkriterien

Technische und berufliche Leistungsfähigkeit: - Referenzen 1. mindestens drei Projektreferenzen im Zusammenhang mit dem Berechtigungsmanagement gem. Leistungsbeschreibung 2. mindestens eine Projektreferenz im Zusammenhang mit der Weiterentwicklung des IKS gem. Leistungsbeschreibung 3. mindestens eine Projektreferenz im Zusammenhang mit dem Managementreporting gem. Leistungsbeschreibung bei Banken 4. mindestens drei Projektreferenzen im Zusammenhang mit der Bearbeitung von Maßnahmen aus KWG § 44 Prüfung gem. Leistungsbeschreibung bei Banken 5. mindestens drei Projektreferenzen im Zusammenhang mit der Analyse von regulatorischen Entwicklungen gem. Leistungsbeschreibung bei Banken 6. mindestens eine Projektreferenz im Zusammenhang mit der Weiterentwicklung des Informationsverbundes gem. Leistungsbeschreibung - Eigenerklärung zu technischen Fachkräften: 1. Mindestens vier entsprechend qualifizierte und entscheidungsbefugte Mitarbeiter, die als Verantwortungsträger für die durchzuführenden Aufgaben vorgesehen werden können. Bitte anonyme Mitarbeiterprofile einreichen. 2. Das Profil von mindestens vier für die Leistungserbringung in Aussicht genommenen Personen umfasst Berufserfahrung mit Banken. 3. Der Bewerber kann bei Bedarf für Vertretung des angebotenen Personals sorgen. 4. Sämtliche eingesetzte Personen erklären sich bereit, nach Zuschlagserteilung und vor Beginn der Leistungserbringung das Dokument "D1 Vertraulichkeitszusage Externe Mitarbeiter" gem. Vergabeunterlagen zu unterzeichnen. - Eigenerklärung je Person über: 1. Name der Person 2. Lebensläufe / CV 3. Berufserfahrung in den geforderten Themengebieten 4. Kenntnisse und Befähigung zur Durchführung gemäß den Tätigkeiten aus der Leistungsbeschreibung - Eigenerklärung zur Qualitätssicherung 1. Nachweis, dass das Unternehmen und / oder die eingesetzten Personen über eine Zertifizierung nach ITIL (oder vergleichbar) verfügen. 2. Nachweis, dass das Unternehmen über eine Zertifizierung nach ISO 27001 (oder vergleichbar) verfügt.

Bekanntmachungs-ID: CXP4YQNH4CX

1. Die Vergabeunterlagen stehen auf der Vergabeplattform https://www.dtvp.de/ zum Download zur Verfügung; die Bieter werden gebeten, die Vergabeunterlagen unverzüglich auf Vollständigkeit zu prüfen. 2. Die Beantwortung von Fragen zum Verfahren sowie sämtliche Kommunikation zwischen den Beteiligten und der Vergabestelle erfolgt ausschließlich über das Deutsche Vergabeportal unter https://www.dtvp.de. Die Interessenten sind daher verpflichtet, regelmäßig im Postfach auf der Vergabeplattform nachzusehen, ob Nachrichten eingegangen sind. Der Auftraggeber kann von der Beantwortung von Bewerber-/Bieterfragen absehen, welche nicht über das Vergabeportal eingereicht werden. 3. Etwaige Fragen von interessierten Unternehmen müssen bis spätestens 15.04.2024 um 23:59 Uhr über das o. g. Vergabeportal übersendet werden. Der Auftraggeber behält sich vor, danach eingehende Anfragen nicht mehr zu beantworten. Fragen zu dem Vergabeverfahren werden wegen der Gleichbehandlung der Bieter nur in Textform und anonymisiert beantwortet. 4. Für die Angebote sind die hierfür zur Verfügung gestellten Vordrucke zu verwenden, die über das Vergabeportal abgerufen werden können. 5. Angebote sind über die Vergabeplattform im entsprechenden Projektraum über das Bietertool im Reiter "Angebote" einzureichen. Auf andere Art übermittelte Angebote, insbesondere schriftliche Angebote oder Angebote per E-Mail sind nicht zulässig. Angebote dürfen nicht über die Nachrichtenfunktion des Bietertools eingereicht werden. 6. Der Bieter hat sich rechtzeitig mit der Funktion der Vergabeplattform zur Abgabe von Angeboten vertraut zu machen und sich über etwaige Wartungsarbeiten der Vergabeplattform (Downtimes) zu informieren. Es wird darauf hingewiesen, dass ggf. Dateianhänge nur bis zu einer bestimmten Größe hochgeladen werden können. Im Falle von Störungen der Vergabeplattform hat sich der Bieter an den Support des Plattformbetreibers zu wenden und parallel dazu den Auftraggeber zu informieren. 7. Soweit vom Bieter auszufüllende Bestandteile der Vergabeunterlagen mit Unterschrift und Firmenstempel zu versehen sind, gilt bei elektronischer Angebotsabgabe in Textform das Folgende: Anstelle von Originalunterschrift und Firmenstempel ist nur der Name der natürlichen Person, die die Erklärung abgibt, anzugeben. Dies kann auch durch eine eingescannte Unterschrift erfolgen. 8. Die Verfahrenssprache ist deutsch. Es werden daher nur Angaben und Nachweise in deutscher Sprache akzeptiert (ggf. in deutscher Übersetzung). 9. Maßgeblich ist allein der Text der europaweiten Bekanntmachung im Amtsblatt der EU. 10. Der Auftraggeber behält sich vor, von seinem Nachforderungsrecht Gebrauch zu machen.