Informationssicherheit und IT-Notfallmanagement

Kurze Beschreibung

Beratungs- und Unterstützungsleistungen im Bereich Informationssicherheit und IT-Notfallmanagement im Umfang von 200 Personentage mit der Option zum Abruf um weitere 200 Personentage.

Beschreibung der Beschaffung

Das Landesamt für Finanzen (LfF) ist eine zentrale Landesbehörde des Freistaates Bayern. Die Behörde versteht sich als Dienstleister für die Bayerische Staatsverwaltung. Sie ist insbesondere zuständig für die Festsetzung, Anordnung und Abrechnung der Bezüge für die Beamtinnen/Beamten, Arbeitnehmer/innen sowie Versorgungsempfänger/innen des Freistaates Bayern, die Abwicklung eines wesentlichen Teils der staatlichen Kassengeschäfte und die Prozessführung für den Freistaat Bayern, insbesondere vor den Zivilgerichten. Das LfF ist mit der FinanzIT BAYERN ein bedeutender IT-Dienstleister für alle Ressorts. Die FinanzIT BAYERN als Teil des LfF ist örtlich in Regensburg ansässig. Die Fachverfahren für die genannten Tätigkeitsbereiche werden zum Teil selbst entwickelt, es kommt aber auch Software zum Einsatz, die von externen Firmen zugekauft ist und ggf. angepasst wurde.

Im Bereich Informationssicherheit ist das LfF verpflichtet, ein am IT-Grundschutz des BSI orientiertes ISMS dauerhaft zu betreiben. Nach Maßgabe des IT-Beauftragten der Bayerischen Staatsregierung ist hierbei die Standardabsicherung als Vorgehensweise anzuwenden. Unter den Tätigkeitsbereichen des LfF befinden sich auch Geschäftsprozesse, deren Daten und Informationen miterhöhtem Schutzbedarf in Bezug auf Vertraulichkeit, Integrität bzw. Verfügbarkeit klassifiziert sind. Neben einem ISMS ist ein nach BSI standardisiertes Notfallmanagement von Bedeutung. Die anzuwendende Methodik soll sich dabei am BSI- Standard 200-4 orientieren. Die existierenden Prozesse, Konzepte und Unterlagen sollen geprüft und erweitert werden.

Das LfF hat eine entsprechende hausinterne IT-Sicherheits- und Datenschutzorganisation aufgebaut, die für die Umsetzung der oben genannten Aufgabengebiete Informationssicherheit und IT-Notfallmanagement zuständig ist und bereits eine Reihe von Konzeptionen und Dokumentationen erstellt und Maßnahmen getroffen hat. Aufgrund des Aufgabenumfangs sind hierfür jedoch nach Maßgabe des Auftraggebers umfangreiche Beratungs- und Unterstützungsdienstleistungen erforderlich. Der Schwerpunkt liegt dabei auf der Unterstützung im Bereich Informationssicherheit. Für den Bereich Informationssicherheit sind vorranging die aktuellen BSI-Standards 200-1, 200-2 und 200-3 anzuwenden. Für das Management der Informationssicherheit wird das Tool „HiScout“ der Firma HiSolutions AG in einer bayernweiten Zentralinstallation eingesetzt. Zudem hat der IT-Beauftragte der Bayerischen Staatsregierung bzw. auf die Gegebenheiten des Finanzressorts das Bayerische Staatsministerium der Finanzen und für Heimat im Bereich Informationssicherheitsmanagement eine Reihe von Mustern und Handreichungen erstellt, die als weitere Basis dienen und für die Erstellung bestimmter weiterer Dokumente herangezogen werden können. Für das IT-Notfallmanagement ist vorrangig der Standard 200-4 anzuwenden. Auch hier sind bestimmte Muster und Handreichungen als Orientierungshilfe vorhanden.

Das LfF vergibt in diesem Zusammenhang Beratungs- und Unterstützungsleistungen im Bereich Informationssicherheit und IT-Notfallmanagement im Umfang von 200 Personentage mit der Option zum Abruf um weitere 200 Personentage. Es besteht jedoch keine Verpflichtung zum Abruf der o. g. Personentage. Das Aufgabenverhältnis verteilt sich voraussichtlich zu 85% auf den Bereich Informationssicherheit und 15% auf den Bereich IT-Notfallmanagement. Verschiebungen der Aufgabenverhältnisse sind möglich.

Die Auftragserfüllung kann i. d. Regel remote erfolgen. Wenn vom Auftraggeber gewünscht, ist jedoch Vor-Ort-Präsenz erforderlich. Die Leistungserbringung hat bei Vor-Ort-Präsenz überwiegend bei der FinanzIT BAYERN, Bahnhofstr. 7, 93047 Regensburg zu erfolgen. In Fällen in denen es z. B. um Gebäudesicherheit (INF-Bausteine) und um Vor-Ort-Begehungen geht, an den übrigen Dienststellen bzw. der Zentralabteilung des Landesamts für Finanzen in Bayern.

Die Leistungsdauer erstreckt sich voraussichtlich über einen Zeitraum von etwa zweieinhalb Jahren ab Zuschlagserteilung. Der zeitliche Umfang der Leistungserbringung beträgt voraussichtlich im Durchschnitt zwei Tage pro Woche hinsichtlich der Summe der zu erbringenden Beratungstage der beiden Bereiche Informationssicherheit und IT-Notfallmanagement. Der Auftragnehmer muss in der Lage sein, den Umfang der Leistungserbringung in Absprache zwischen Auftraggeber und Auftragnehmer dem Arbeitsanfall anzupassen. Ab Beginn der Leistungserbringung sind die Leistungen im Bereich Informationssicherheit kontinuierlich zu erbringen. Für den Bereich IT-Notfallmanagement richtet sich der Zeitraum der Leistungserbringung nach dem Bedarf des Auftraggebers; eine zeitliche Verteilung ist hier nicht planbar. In diesen Fällen muss der Auftragnehmer auf Anforderung des Auftraggebers mit einer Vorlaufzeit von drei Wochen den angebotenen Berater für die Leistungserbringung bereitstellen.
Der Beginn der Leistungserbringung hat spätestens zwei Wochen nach Zuschlagserteilung zu erfolgen.

Liste und kurze Beschreibung der Regeln und Kriterien

Geben Sie den Jahresumsatz, bezogen auf den Ausschreibungsgegenstand in EURO (brutto) für die letzten drei abgeschlossenen Geschäftsjahre an. Angaben von Bietern / allen Mitgliedern einer Bietergemeinschaft / Unterauftragnehmern sind getrennt aufzuführen.

Bei Bietergemeinschaften sind diese Angaben von jedem Mitglied der Bietergemeinschaft gesondert zu erbringen. Bei der Einschaltung von Unterauftragnehmern sind diese Angaben auch von sämtlichen Unterauftragnehmern gesondert erforderlich.

Zur Bewertung werden die Umsatzzahlen addiert.

Liste und kurze Beschreibung der Regeln und Kriterien

Bitte geben Sie geeignete Referenzen über früher ausgeführte Liefer- und Dienstleistungen aus den letzten drei Jahren mit Angabe des Werts, des Erbringungszeitpunkts sowie des öffentlichen oder privaten Empfängers (nach Möglichkeit mit Name des Ansprechpartners und Kontaktdaten) an, die mit dem Auftragsgegenstand (Dienstleistung in den Bereichen Informationssicherheit und IT-Notfallmanagement) vergleichbar sind. Beschreiben Sie dabei detailliert Art, Dauer und Umfang der Leistungserbringung. Als vergleichbar gelten nur Referenzen aus denen hervorgeht, dass die Leistungserbringung in jedem der Bereiche Informationssicherheit und IT-Notfallmanagement erfolgte.

Hinweis: sollten dem Bieter Angaben auf Grund von Vertraulichkeitsvereinbarungen nicht möglich sein, hat der Bieter von dem jeweiligen öffentlichen oder privaten Empfänger des Referenzprojektes die Einwilligung zur Verwendung der Daten für den konkreten Fall zu erfragen bzw. einzuholen. Sollten Angaben des Bieters zu Referenzen unvollständig oder unklar sein und eine genaue Bewertung und/oder Vergleichbarkeit der Referenz nicht möglich sein, kann dies ggf. zu einer Nichtberücksichtigung der Referenz und möglicherweise zu einem Ausschluss des Angebots führen.

Bei Bietergemeinschaften oder bei Einschaltung von Unterauftragnehmern können Referenzen von jedem Mitglied der Bietergemeinschaft bzw. von jedem Unterauftragnehmer aufgenommen werden. In diesem Fall ist an geeigneter Stelle anzugeben, welche/s Firma/Unternehmen für den jeweiligen Auftrag verantwortlich war.

Liste und kurze Beschreibung der Regeln und Kriterien

Übergreifende Eignungsanforderung:

Die Arbeitssprache ist Deutsch. Die Korrespondenz und die Arbeitsergebnisse müssen in deutscher Sprache abgefasst werden. Erforderlich sind Kenntnisse mindestens auf Niveau C1 des Gemeinsamen Europäischen Referenzrahmens für Sprachen. Werden zur Durchführung der Arbeiten nur Personen eingesetzt, die über die entsprechende Qualifikation verfügen?

Liste und kurze Beschreibung der Regeln und Kriterien

Beschreiben Sie die Maßnahmen zur Qualitätssicherung Ihrer/Ihres Firma/Unternehmens hinsichtlich Wissensstand laufender (nach Stand der Technik) und künftiger Themen im Bereich Informationssicherheit und IT-Notfallmanagement.

Bei Bietergemeinschaften sind diese Angaben von jedem Mitglied der Bietergemeinschaft gesondert zu erbringen. Bei der Einschaltung von Unterauftragnehmern sind diese Angaben auch von sämtlichen Unterauftragnehmern gesondert erforderlich.

Liste und kurze Beschreibung der Regeln und Kriterien

Seit wie vielen Jahren ist Ihre/Ihr Firma/Unternehmen im Bereich Informationssicherheit tätig?

Bei Bietergemeinschaften sind diese Angaben von jedem Mitglied der Bietergemeinschaft gesondert zu erbringen. Bei der Einschaltung von Unterauftragnehmern sind diese Angaben auch von sämtlichen Unterauftragnehmern gesondert erforderlich.

Liste und kurze Beschreibung der Regeln und Kriterien

Seit wie vielen Jahren ist Ihre/Ihr Firma/Unternehmen im Bereich (IT-)Notfallmanagement tätig?

Bei Bietergemeinschaften sind diese Angaben von jedem Mitglied der Bietergemeinschaft gesondert zu erbringen. Bei der Einschaltung von Unterauftragnehmern sind diese Angaben auch von sämtlichen Unterauftragnehmern gesondert erforderlich.

Liste und kurze Beschreibung der Regeln und Kriterien

Legen Sie folgende (Eigen-)Erklärungen gem. Anlage A2 vor:
a) Erklärung zu wettbewerbsbeschränkenden Absprachen
b) Angabe über Ausschlussgründe gemäß § 123 GWB
c) Abgaben-Erklärung (Verpflichtung zur Zahlung von Steuern und Abgaben
sowie der Beiträge zur gesetzlichen Sozialversicherung erfüllt)
d) Erklärung zu Insolvenzverfahren und Liquidation

Können diese Nachweise erbracht werden?

Bei Bietergemeinschaften sind diese (Eigen-)Erklärungen von jedem Mitglied der Bietergemeinschaft gesondert zu erbringen. Bei der Einschaltung von Unterauftragnehmern sind diese (Eigen-)Erklärungen auch von sämtlichen Unterauftragnehmern gesondert erforderlich.

Liste und kurze Beschreibung der Regeln und Kriterien

Legen Sie folgende Erklärung gem. Anlage A3 vor:
Schutzerklärung (Scientology-Erklärung)

Kann dieser Nachweis erbracht werden?

Bei Bietergemeinschaften sind diese (Eigen-)Erklärungen von jedem Mitglied der Bietergemeinschaft gesondert zu erbringen. Bei der Einschaltung von Unterauftragnehmern sind diese (Eigen-)Erklärungen auch von sämtlichen Unterauftragnehmern gesondert erforderlich.

Liste und kurze Beschreibung der Regeln und Kriterien

Legen Sie folgende Erklärung gem. Anlage A4 vor:
Erklärung zu Artikel 5k Absatz 1 der Verordnung (EU) Nr. 833/2014 (Maßnahmen der Europäischen Union gegenüber der Russischen Föderation)

Kann dieser Nachweis erbracht werden?

Bei Bietergemeinschaften sind diese (Eigen-)Erklärungen von jedem Mitglied der Bietergemeinschaft gesondert zu erbringen. Bei der Einschaltung von Unterauftragnehmern sind diese (Eigen-)Erklärungen auch von sämtlichen Unterauftragnehmern gesondert erforderlich.

Liste und kurze Beschreibung der Regeln und Kriterien

Können Sie zusichern, dass die zum Einsatz kommenden Mitarbeiter das grundsätzliche Einverständnis zur Durchführung einer einfachen Sicherheitsüberprüfung (Ü1) nach dem Bayerischen Sicherheitsüberprüfungsgesetz erklären?

Liste und kurze Beschreibung der Regeln und Kriterien

Können Sie zusichern, dass die zum Einsatz kommenden Mitarbeiter vor dem Einsatz die notwendige Verpflichtungserklärung nach § 1 Verpflichtungsgesetz abgeben (vgl. Anlage A11)?

Liste und kurze Beschreibung der Regeln und Kriterien

Erläutern Sie welche technische und organisatorische Maßnahmen Sie ergreifen, um den Schutz der personenbezogenen Daten des Auftraggebers zu gewährleisten bzw. fügen Sie die von Ihrer Firma / Ihrem Unternehmen umgesetzten technischen und organisatorischen Maßnahmen bei (vgl. die entsprechende Verpflichtung des Auftragsverarbeiters gem. Art. 32 bzw. 28 DSGVO).
Die Anforderung gilt als erfüllt, wenn aus den Erläuterungen des Bieters bzw. dessen Unterlagen nachvollziehbar hervorgeht, dass unter Beachtung der Grundsätze des Datenschutzes durch Technik (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) die getroffenen technischen und organisatorischen Maßnahmen den angemessenen Schutz der verarbeiteten personenbezogenen Daten gewährleisten.

Angebote können ausschließlich elektronisch über die Vergabeplattform Deutsche eVergabe unter www.auftraege.bayern.de abgegeben werden. Unter dieser Adresse sind auch die Vergabeunterlagen vollständig verfügbar.

Bieterfragen können bis zum 21.07.2025 - 12.00 Uhr gestellt werden. Nach diesem Zeitpunkt gestellte Anfragen können nicht mehr berücksichtigt werden.

Übermittlung der Bekanntmachung an das Amt für Veröffentlichungen der Europäischen Union: 27.06.2025

Hinsichtlich von Ausschlussgründen gelten die Regelungen des § 123 und § 124 GWB sowie des § 47 Abs. 1 und § 57 VgV.

Betreffend der Nr. 5.1.12 / Nachforderung von Unterlagen:  Bitte beachten: Um einen eventuellen Ausschluss des Angebotes zu vermeiden, legen Sie bitte alle geforderten Nachweise, Erklärungen und Angaben dem Angebot unbedingt vollständig bei. Alle geforderten Nachweise Erklärungen und Angaben, sind mit dem Angebot vollständig vorzulegen. Das
Landesamt für Finanzen - Dienststelle Regensburg entscheidet im eigenen Ermessen, ob es von der Nachforderungsmöglichkeit nach § 56 Abs. 2 VgV Gebrauch machen wird. Ein Rechtsanspruch der Bieter auf die Möglichkeit der Nachforderung besteht nicht. Die Nachforderung von leistungsbezogenen Unterlagen, welche die Wirtschaftlichkeitsbewertung der Angebote anhand der Zuschlagskriterien betreffen, ist gem. § 56 Abs. 3 S. 1 VgV ausgeschlossen. Die Nachforderung von leistungsbezogenen Unterlagen, die die Wirtschaftlichkeitsbewertung
der Angebote anhand der Zuschlagskriterien betreffen, ist ausgeschlossen.

Genaue Informationen über Fristen für Überprüfungsverfahren

(1) Etwaige Vergabeverstöße muss der Bewerber/Bieter gemäß § 160 Abs. 3 Nr. 1 GWB innerhalb von 10 Tagen nach Kenntnisnahme rügen.
(2) Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, sind nach § 160 Abs. 3 Nr. 2 GWB spätestens bis zum Ablauf der in der Bekanntmachung benannten Frist zur Abgabe der Bewerbung oder der Angebote gegenüber dem Auftraggeber zu rügen.
(3) Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, sind nach § 160 Abs. 3 Nr. 3 GWB spätestens bis zum Ablauf der Frist zur Bewerbungs- oder Angebotsabgabe gegenüber dem Auftraggeber zu rügen.
(4) Ein Vergabenachprüfungsantrag ist nach § 160 Abs. 3 Nr. 4 GWB innerhalb von 15 Kalendertagen nach der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, bei der Vergabekammer einzureichen.