Rahmenverträge für Beratungsleistungen zur Infrastrukturmodernisierung und IT-Forensik mit der Bereitstellung eines Incident Response Teams | gematik GmbH | Öffentliches Auftragswesen in Deutschland

Datum	Dokument
2025-04-14	Auftragsbekanntmachung
2025-05-14	Auftragsbekanntmachung
2025-05-21	Auftragsbekanntmachung
2025-05-23	Auftragsbekanntmachung

Kurze Beschreibung

Die gematik betreibt zur Erfüllung ihrer gesetzlichen Aufgaben eine interne IT-Landschaft, die von den Produktteams und Linienorganisationen intensiv genutzt wird. Dazu gehören zum einen die IT-Umgebungen für die Produktentwicklung (u.a. Entwicklungs- und Testumgebungen), zum anderen die IT-Anwendungen für die geschäftlichen Prozesse und die Arbeitsorganisation der gematik - insgesamt zählen dazu über 60 geschäftsrelevante IT-Anwendungen, für die eine erforderliche technische Infrastruktur innerhalb der gematik bereitgestellt werden muss und von der IT-Abteilung betrieben wird. Dazu zählen u.a. Netzwerke, Firewalls, Serverfarmen, Virtualisierung, Datenspeicher, Backup- und Wiederherstellung, Monitoring, Automatisierung, IT-Sicherheit.
In den letzten Jahren wurden massive Anstrengungen unternommen, die interne IT-Infrastruktur auf die sich stark verändernde Arbeitsweise der gematik umzustellen, gleichermaßen müssen kontinuierlich neue Technologiesprünge aus der IT-Marktentwicklung aufgegriffen werden, um technologische Altlasten mit daraus resultierenden Sicherheits- und Betriebsrisiken zu vermeiden. Insbesondere durch die Entwicklung in Richtung Cloud und durch den verstärkten Fokus der gematik in der Öffentlichkeit nehmen die Modernisierungs- und Sicherheitsanforderungen auch an die interne IT-Infrastruktur stetig zu. Die gematik ist dabei Bedrohungsrisiken mit Angriffsversuchen auch auf die interne IT-Infrastruktur ausgesetzt.

In Rahmen dieses Vergabeverfahrens sollen Rahmenverträge zu der Beschaffung von Unterstützungsleistungen zur Modernisierung und Weiterentwicklung der technischen IT-Infrastruktur mit dem Ziel einer schnellen Reaktionsfähigkeit im Angriffs- und Kompromittierungsfall der IT-Infrastruktur abgeschlossen werden.

Beschreibung der Beschaffung

Bei diesem Rahmenvertrag handelt es sich um die Grundlage für den Abruf von Beratungsleistungen zur Unterstützung wichtiger Modernisierungsinitiativen in unterschiedlichen Technologiebereichen bzw. diversen Software-Lösungen. Für den bedarfsgerechten flexiblen Abruf von Leistungen für wichtige IT-Modernisierungsinitiativen stehen maximal 240 Personentage während der Vertragslaufzeit als Höchstmenge des Rahmenvertrages zur Verfügung.

Zusätzliche Informationen

#Besonders auch geeignet für:other-sme#

Die Leistung ist in zwei (2) Fachlose aufgeteilt:

Los 1: Rahmenvertrag zur Beratung IT-Infrastrukturmodernisierung

Los 2: Rahmenvertrag zur Bereitstellung Incident Response Team und Beratung IT-Forensik

Die Bieter haben mit Abgabe des Angebotes im Eignungsformblatt (Anlage 04) anzugeben, für welches der zwei Lose, oder ob sie ggf. für beide Lose ein Angebot abgeben und die dafür vom Auftraggeber jeweils entsprechend vorgegebenen Vergabeunterlagen zu verwenden. Ein Bieter kann den Zuschlag für beide Lose erhalten, wenn er für jedes einzelne Los nach den für das jeweilige Los geltenden Zuschlagskriterien das wirtschaftlichste Angebot abgegeben hat.

Beschreibung der Beschaffung

Bei diesem Rahmenvertrag handelt es sich um die Grundlage für den Abruf von folgenden Leistungen:

- Bereitstellung eines Bereitschaftsteams (sog. Incident Response Team): Leistungserbringung als monatliche Pauschalleistung (= feststehendes Leistungselement).
- Beratung zur IT-Forensik. Für den Fall eines erfolgreichen Angriffes auf die IT-Infrastruktur sollen zusätzliche Beratungsleistungen zur forensischen Analyse im Falle der erfolgreichen Kompromittierung von informationstechnischen Systeme innerhalb der gematik auf Abruf durch den AG erbracht werden; die Höchstmenge des Rahmenvertrages beträgt insofern maximal 80 Personentage.

Liste und kurze Beschreibung der Regeln und Kriterien

Betriebshaftpflichtversicherung / Berufshaftpflichtversicherung (Mit dem Angebot; Mittels Dritterklärung): Es ist eine Betriebshaftpflichtversicherung (oder eine vergleichbare marktübliche Versicherung) mit Deckungssummen in marktüblicher und für den Auftrag ausreichender Höhe nachzuweisen.

Sofern eine entsprechende Betriebshaftpflichtversicherung (oder eine vergleichbare marktübliche Versicherung) noch nicht besteht, ist zu erklären, dass eine solche Versicherung im Falle der Auftragserteilung abgeschlossen wird. In dem Zuge ist eine Erklärung eines Versicherers, aus der hervorgeht, dass er zum Abschluss einer entsprechenden Versicherung bereit ist, als Anlage beizufügen.

Liste und kurze Beschreibung der Regeln und Kriterien

Handelsregisterauszug (Mit dem Angebot; Mittels Dritterklärung): Sofern eine Pflicht zur Eintragung ins Handelsregister (oder in einem vergleichbaren Register) besteht, ist ein aktueller Handelsregisterauszug (oder vergleichbarer Auszug), der nicht älter als 3 Monate ist, gerechnet ab der Abgabefrist des Verfahrens, einzureichen.

Liste und kurze Beschreibung der Regeln und Kriterien

Unternehmensbezogene Referenzprojekte (Mit dem Angebot; Mittels Eigenerklärung): Es sind unternehmensbezogene Referenzprojekte für nach ihrer Art und ihrem Umfang mit der ausgeschriebenen Leistung vergleichbare Leistungen aus den letzten 3 Jahren anzugeben. Eine Referenz ist vergleichbar, wenn sie
- Für Los 1 Beratungsleistungen zur Modernisierung sicherheitsrelevanter IT-Systeme in einem Unternehmen mit Sitz in der EU oder dem EWR und mindestens 400 Beschäftigten zum Gegenstand hatte und die Bewertung der IST-Situation sowie die Beratung und Anleitung zur Migration auf einen den aktuellen Sicherheitsanforderungen entsprechenden Betriebszustand umfasste.
- Für Los 2 Notfall- und Wiederherstellungsmaßnahmen für den Fall der Kompromittierung von IT-Systemen bzw. die Vorbereitung auf einen solchen Fall umfasste.

Ein Referenzprojekt gilt als in den letzten 3 Jahren erbracht, wenn der Beratungsvertrag in diesem Zeitraum abgeschlossen wurde und mindestens schon 6 Monate läuft. Der 3-Jahres-Zeitraum beinhaltet dabei das bereits angefangene Jahr 2025 (bis zum Zeitpunkt der Veröffentlichung der Bekanntmachung) sowie die Jahre 2022, 2023 und 2024.

Mindestanforderungen:
Für beide Lose:
- Es müssen pro Los mindestens 2 Referenzprojekte aus den letzten 3 Jahren nachgewiesen werden, die mit der ausgeschriebenen Leistung vergleichbar sind
- Auftragsvolumen:
? Für Los 1: mindestens 30 Personentage (PT) pro Jahr
? Für Los 2: mindestens 20 Personentage (PT) pro Jahr
Für Los 1:
- Eines der Referenzprojekte MUSS Beratungsleistungen zur Modernisierung sicherheitsrelevanter IT-Systeme mit den Software Lösungen VMware ODER Splunk beinhaltet haben

Liste und kurze Beschreibung der Regeln und Kriterien

Umsatzangaben des Unternehmens (Mit dem Angebot; Mittels Eigenerklärung): Umsatzangaben (netto) über die letzten drei abgeschlossenen Geschäftsjahre des Unternehmens:

Ein Bestand des Unternehmens seit drei Jahren ist nicht Voraussetzung. Für Unternehmen, die weniger als drei Jahre bestehen, sind die Erklärungen jeweils nur bezogen auf die bislang abgeschlossenen Geschäftsjahre abzugeben.

Liste und kurze Beschreibung der Regeln und Kriterien

Umsatzangaben zu vergleichbaren Leistungen (Mit dem Angebot; Mittels Eigenerklärung): Der erwirtschaftete Umsatz mit Leistungen, die mit den ausgeschriebenen Leistungen vergleichbar sind - Bera-tungsleistungen im Bereich sicherheitsrelevanter IT-Infrastrukturmodernisierung und IT-Forensik -, muss in den letzten drei Jahren mindestens folgende Summen betragen (Mindestanforderung):

Los 1: 648.000 EUR (netto) pro Jahr
Los 2: 720.000 EUR (netto) pro Jahr

Liste und kurze Beschreibung der Regeln und Kriterien

ISO 27001 Zertfizierung (Mit dem Angebot; Mittels Dritterklärung): Zertifizierung des ISO 27001

Der Bieter hat über folgende Zertifizierung zu verfügen:
-ISO 27001 (Informationssicherheitsmanagementsystem)

Das Zertifikat ist mit dem Angebot einzureichen.

Liste und kurze Beschreibung der Regeln und Kriterien

Qualifizierter Dienstleister im Bereich APT-Response (Mit dem Angebot; Mittels Eigenerklärung): Der Bieter muss als qualifizierter Advanced Persistent Threat (APT)-Response-Dienstleister (qualifizierter Sicherheitsdienstleister gem. § 3 Abs. 3 BSIG) beim Bundesamt für Sicherheit in der Informationstechnik (BSI) gelistet sein.

Liste und kurze Beschreibung der Regeln und Kriterien

Business Continuity Management (Mit dem Angebot; Mittels Dritterklärung): Für Los 2 gilt:

Mindestanforderung:
Der Bieter muss über eine ISO 22301 Zertifizierung verfügen.

Liegt die geforderte Zertifizierung nicht vor, muss der Nachweis der Einhaltung dieser Anforderung an das BCM über den als Anlage beigefügten BCM-Fragenkatalog geführt werden (Selbstauskunft - Anlage 14).

Liste und kurze Beschreibung der Regeln und Kriterien

Es ist eine Betriebshaftpflichtversicherung (oder eine vergleichbare marktübliche Versicherung) mit Deckungssummen in marktüblicher und für den Auftrag ausreichender Höhe nachzuweisen.

Sofern eine entsprechende Betriebshaftpflichtversicherung (oder eine vergleichbare marktübliche Versicherung) noch nicht besteht, ist zu erklären, dass eine solche Versicherung im Falle der Auftragserteilung abgeschlossen wird. In dem Zuge ist eine Erklärung eines Versicherers, aus der hervorgeht, dass er zum Abschluss einer entsprechenden Versicherung bereit ist, als Anlage beizufügen. - Betriebshaftpflichtversicherung / Berufshaftpflichtversicherung

Liste und kurze Beschreibung der Regeln und Kriterien

Für Los 2 gilt:

Mindestanforderung:
Der Bieter muss über eine ISO 22301 Zertifizierung verfügen.

Liegt die geforderte Zertifizierung nicht vor, muss der Nachweis der Einhaltung dieser Anforderung an das BCM über den als Anlage beigefügten BCM-Fragenkatalog geführt werden (Selbstauskunft - Anlage 14).
- Business Continuity Management

Liste und kurze Beschreibung der Regeln und Kriterien

Sofern eine Pflicht zur Eintragung ins Handelsregister (oder in einem vergleichbaren Register) besteht, ist ein aktueller Handelsregisterauszug (oder vergleichbarer Auszug), der nicht älter als 3 Monate ist, gerechnet ab der Abgabefrist des Verfahrens, einzureichen. - Handelsregisterauszug

Liste und kurze Beschreibung der Regeln und Kriterien

Zertifizierung des ISO 27001

Der Bieter hat über folgende Zertifizierung zu verfügen:
-ISO 27001 (Informationssicherheitsmanagementsystem)

Das Zertifikat ist mit dem Angebot einzureichen. - ISO 27001 Zertfizierung

Liste und kurze Beschreibung der Regeln und Kriterien

Der Bieter muss als qualifizierter Advanced Persistent Threat (APT)-Response-Dienstleister (qualifizierter Sicherheitsdienstleister gem. § 3 Abs. 3 BSIG) beim Bundesamt für Sicherheit in der Informationstechnik (BSI) gelistet sein. - Qualifizierter Dienstleister im Bereich APT-Response

Liste und kurze Beschreibung der Regeln und Kriterien

Umsatzangaben (netto) über die letzten drei abgeschlossenen Geschäftsjahre des Unternehmens:

Ein Bestand des Unternehmens seit drei Jahren ist nicht Voraussetzung. Für Unternehmen, die weniger als drei Jahre bestehen, sind die Erklärungen jeweils nur bezogen auf die bislang abgeschlossenen Geschäftsjahre abzugeben. - Umsatzangaben des Unternehmens

Liste und kurze Beschreibung der Regeln und Kriterien

Der erwirtschaftete Umsatz mit Leistungen, die mit den ausgeschriebenen Leistungen vergleichbar sind - Bera-tungsleistungen im Bereich sicherheitsrelevanter IT-Infrastrukturmodernisierung und IT-Forensik -, muss in den letzten drei Jahren mindestens folgende Summen betragen (Mindestanforderung).

Los 1: 648.000 EUR (netto) pro Jahr
Los 2: 720.000 EUR (netto) pro Jahr
- Umsatzangaben zu vergleichbaren Leistungen

Liste und kurze Beschreibung der Regeln und Kriterien

Es sind unternehmensbezogene Referenzprojekte für nach ihrer Art und ihrem Umfang mit der ausgeschriebenen Leistung vergleichbare Leistungen aus den letzten 3 Jahren anzugeben. Eine Referenz ist vergleichbar, wenn sie
- Für Los 1 Beratungsleistungen zur Modernisierung sicherheitsrelevanter IT-Systeme in einem Unternehmen mit Sitz in der EU oder dem EWR und mindestens 400 Beschäftigten zum Gegenstand hatte und die Bewertung der IST-Situation sowie die Beratung und Anleitung zur Migration auf einen den aktuellen Sicherheitsanforderungen entsprechenden Betriebszustand umfasste.
- Für Los 2 Notfall- und Wiederherstellungsmaßnahmen für den Fall der Kompromittierung von IT-Systemen bzw. die Vorbereitung auf einen solchen Fall umfasste.

Ein Referenzprojekt gilt als in den letzten 3 Jahren erbracht, wenn der Beratungsvertrag in diesem Zeitraum abgeschlossen wurde und mindestens schon 6 Monate läuft. Der 3-Jahres-Zeitraum beinhaltet dabei das bereits angefangene Jahr 2025 (bis zum Zeitpunkt der Veröffentlichung der Bekanntmachung) sowie die Jahre 2022, 2023 und 2024.

Mindestanforderungen:
Für beide Lose:
- Es müssen pro Los mindestens 2 Referenzprojekte aus den letzten 3 Jahren nachgewiesen werden, die mit der ausgeschriebenen Leistung vergleichbar sind
- Auftragsvolumen:
? Für Los 1: mindestens 30 Personentage (PT) pro Jahr
? Für Los 2: mindestens 20 Personentage (PT) pro Jahr
Für Los 1:
- Eines der Referenzprojekte MUSS Beratungsleistungen zur Modernisierung sicherheitsrelevanter IT-Systeme mit den Software Lösungen VMware ODER Splunk beinhaltet haben

- Unternehmensbezogene Referenzprojekte

Bedingungen für die Vertragserfüllung

Der Bieter hat für jedes Los, in dem er ein Angebot abgibt, die technischen Fachkräfte zu benennen, die er für die Leistungserbringung einsetzen will und diese der jeweils vom AG geforderten Qualifikation zuzuordnen. Es müssen pro Los mindestens zwei technische Fachkräfte verbindlich angegeben werden, die zur Leistungserbringung eingesetzt werden. Die Zertifikate der technischen Fachkräfte sind mit dem Angebot einzureichen.
Mindestanforderungen für beide Lose:
-Mindestens ein MA des AN der in die Leistungserbringung einbezogen wird MUSS über eine über eine GCFA (GIAC Certified Forensic Analyst)-Zertifizierung verfügen.
-Mindestens ein MA des AN der in die Leistungserbringung einbezogen wird MUSS über eine SANS FOR508 (Advanced Incident Response, Threat Hunting and Digital Forensics)-Zertifizierung verfügen.
-Mindestens ein MA des AN der in die Leistungserbringung einbezogen wird MUSS über über eine SANS SEC511 (Continuous Monitoring and Security Operations)-Zertifizierung verfügen.

Bekanntmachungs-ID: CXS0Y53YTHP3HAEF

1) Die gematik führt dieses Vergabeverfahren nach den Vorschriften des Gesetzes gegen Wettbewerbsbeschränkungen (GWB) und der Verordnung über die Vergabe öffentlicher Aufträge (VgV) durch; 2) Mit dem Angebot sind sämtliche der aufgelisteten Nachweise, Erklärungen und Angaben (Unterlagen) beizubringen. Für die Erstellung und Einreichung des Angebotes sind die von der Vergabestelle auf der angegebenen Internetseite zum Download zur Verfügung gestellten Vordrucke und Formblätter zu verwenden. Die Vergabestelle behält sich vor, fehlende, formell fehlerhafte oder unvollständige Unterlagen bis zum Ablauf einer von der Vergabestelle zu bestimmenden Nachfrist nachzufordern oder aufzuklären. Die Bieter haben keinen Anspruch auf Nachforderung / Nachreichung oder Aufklärung / Erläuterung von Unterlagen. Sämtliche Unterlagen sind in elektronischer Form sowie in Textform nach § 126b BGB über die genannte Vergabeplattform einzureichen; 3) Soweit Auskünfte erforderlich werden, sind Fragen ausschließlich über die genannte Vergabeplattform einzureichen; 4) Eine Erstattung von Kosten/Aufwendungen für die Erstellung des Angebots und die Teilnahme am Vergabeverfahren findet nicht statt; 5) Die Verfahrens- und Vertragssprache ist deutsch; 6) Der Auftraggeber fordert mit dem Angebot unter anderem folgende Informationen:
- Angaben zum Nichtvorliegen von Ausschlussgründen nach §§ 123, 124 GWB, § 21 AEntG, § 98c AufenthG § 19 MiLoG, § 21 SchwarzarbG.
- Angaben zum Nichtvorliegen von unionsrechtlichen Ausschlussgründen gem. Art. 5k der VO (EU) 2022/576 (RU-Sanktionen).
- Angaben zur Eintragung im Handelsregister.
- Angaben zum Nichtvorliegen von Eintragungen im Wettbewerbsregister bzw. vergleichbarer Register aus dem Sitzland des Unternehmens (sofern Sitz nicht in Deutschland).
-Bietergemeinschaften haften gesamtschuldnerisch für die Erfüllung der angebotenen Leistungen und haben mit Angebotsabgabe sämtliche Mitglieder der Bietergemeinschaft zu benennen sowie eines ihrer Mitglieder als bevollmächtigten Vertreter für das Vergabeverfahren, den Abschluss und die Durchführung des Vertrages zu bezeichnen ( - siehe Eignungsformblatt Anlage 04 Ziffer VI. und Bietergemeinschaftserklärung (Anlage 05)). Der Bieter hat Art und Umfang der Leistungen anzugeben, die er an Unterauftragnehmer übertragen will - siehe Eignungsformblatt (Anlage 04 Ziffer VII.). Sofern der Bieter von der Eignungsleihe gem. § 47 VgV Gebrauch macht, hat er die Unternehmen, deren Eignung er sich bedient, zu benennen - siehe Eignungsformblatt (Anlage 04 Ziffer VII.). In diesem Fall hat er zudem eine entsprechende Verpflichtungserklärung einzureichen, aus der hervorgeht, dass ihm die Kapazitäten der Unternehmen tatsächlich zur Verfügung stehen (Verpflichtungserklärung Unteraufträge (Anlage 06)). Für den Fall der Bildung einer Bietergemeinschaft und für den Fall des Einsatzes von Eignungsleihgebern muss durch jedes Mitglied der Bietergemeinschaft bzw. durch jeden Eignungsleihgeber ein entsprechend ausgefülltes Eignungsformblatt (Anlage 04) eingereicht werden.

Genaue Informationen über Fristen für Überprüfungsverfahren

Das Nachprüfungsverfahren ist in Kapitel 2 des 4. Teils des Gesetzes gegen Wettbewerbsbeschränkungen (GWB) geregelt.
Ein Nachprüfungsverfahren wird nach § 160 GWB nur auf Antrag bei der Vergabekammer eingeleitet. Antragsbefugt ist jedes Unternehmen, das ein Interesse an dem öffentlichen Auftrag hat und eine Verletzung in seinen Rechten nach § 97 Absatz 6 GWB durch Nichtbeachtung von Vergabevorschriften geltend macht. Dabei ist darzulegen, dass dem Unternehmen durch die behauptete Verletzung der Vergabevorschrift ein Schaden entstanden ist oder zu entstehen droht.
Dieser Antrag ist unzulässig, soweit:
1) der Antragsteller den geltend gemachten Verstoß gegen Vergabevorschriften vor Einreichen des Nachprüfungsantrages erkannt und gegenüber dem Auftraggeber nicht innerhalb einer Frist von 10 Kalendertagen gerügt hat; der Ablauf der Frist nach § 134 Absatz 2 GWB bleibt unberührt;
2) Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, nicht spätestens bis zum Ablauf der in der Bekanntmachung benannten Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden;
3) Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, nicht spätestens bis zum Ablauf der Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden;
4) mehr als 15 Kalendertage nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, vergangen sind. Dies gilt nicht bei einem Antrag auf Feststellung der Unwirksamkeit des Vertrages nach § 135 Absatz 1 Nummer 2 GWB. § 134 Absatz 1 Satz 1 Satz 2 GWB bleibt unberührt.
Nach § 134 GWB (Informations- und Wartepflicht) wird der Auftraggeber Bieter bzw. Bewerber über den vorgesehenen Zuschlag informieren. Der Vertrag wird erst 15 Kalendertage (bei elektronischer Übermittlung oder per Fax: 10 Kalendertage) nach Absendung dieser Information geschlossen.

Text

Frist zur Einreichung von Bieterfragen bisher: 05.05.2025
Frist zur Einreichung von Bieterfragen NEU: 02.06.2025

Frist zur Angebotsangabe bisher: 15.05.2025
Frist zur Angebotsangabe NEU: 13.06.2025

Zuschlagsbindefrist bisher:
23.06.2025
Zuschlagsbindefrist NEU:
14.07.2025

Liste und kurze Beschreibung der Regeln und Kriterien

Unternehmensbezogene Referenzprojekte (Mit dem Angebot; Mittels Eigenerklärung): Es sind unternehmensbezogene Referenzprojekte für nach ihrer Art und ihrem Umfang mit der ausgeschriebenen Leistung vergleichbare Leistungen aus den letzten 3 Jahren anzugeben. Eine Referenz ist vergleichbar, wenn sie
- Für Los 1 Beratungsleistungen zur Modernisierung sicherheitsrelevanter IT-Systeme in einem Unternehmen mit Sitz in der EU oder dem EWR und mindestens 400 Beschäftigten zum Gegenstand hatte und die Bewertung der IST-Situation sowie die Beratung und Anleitung zur Migration auf einen den aktuellen Sicherheitsanforderungen entsprechenden Betriebszustand umfasste.
- Für Los 2 Notfall- und Wiederherstellungsmaßnahmen für den Fall der Kompromittierung von IT-Systemen bzw. die Vorbereitung auf einen solchen Fall umfasste.

Ein Referenzprojekt gilt als in den letzten 3 Jahren erbracht, wenn der Beratungsvertrag in diesem Zeitraum abgeschlossen wurde und mindestens schon 6 Monate läuft. Der 3-Jahres-Zeitraum beinhaltet dabei das bereits angefangene Jahr 2025 (bis zum Zeitpunkt der Veröffentlichung der Bekanntmachung) sowie die Jahre 2022, 2023 und 2024.

Mindestanforderungen:
Für beide Lose:
- Es müssen pro Los mindestens 2 Referenzprojekte aus den letzten 3 Jahren nachgewiesen werden, die mit der ausgeschriebenen Leistung v ergleichbar sind
- Auftragsvolumen:
- Für Los 1: mindestens 30 Personentage (PT) pro Jahr
-Für Los 2: mindestens 20 Personentage (PT) pro Jahr
Für Los 1:
- Eines der Referenzprojekte MUSS Beratungsleistungen zur Modernisierung sicherheitsrelevanter IT-Systeme mit den Software Lösungen VMware ODER Splunk beinhaltet haben

Liste und kurze Beschreibung der Regeln und Kriterien

Umsatzangaben zu vergleichbaren Leistungen (Mit dem Angebot; Mittels Eigenerklärung): Der erwirtschaftete Umsatz mit Leistungen, die mit den ausgeschriebenen Leistungen vergleichbar sind -
Beratungsleistungen im Bereich sicherheitsrelevanter IT-Infrastrukturmodernisierung und IT-Forensik -, muss in den letzten drei Jahren mindestens folgende Summen betragen (Mindestanforderung):

Los 1: 648.000 EUR (netto) pro Jahr
Los 2: 720.000 EUR (netto) pro Jahr

Liste und kurze Beschreibung der Regeln und Kriterien

ISO 27001 Zertfizierung (Mit dem Angebot; Mittels Dritterklärung): Diese Anforderung gilt ausschließlich für Los 2.
Zertifizierung des ISO 27001

Der Bieter hat über folgende Zertifizierung zu verfügen:
-ISO 27001 (Informationssicherheitsmanagementsystem)

Das Zertifikat ist mit dem Angebot einzureichen.

Liste und kurze Beschreibung der Regeln und Kriterien

Qualifizierter Dienstleister im Bereich APT-Response (Mit dem Angebot; Mittels Eigenerklärung): Diese Anforderung gilt ausschließlich für Los 2:

Der Bieter muss als qualifizierter Advanced Persistent Threat (APT)-Response-Dienstleister (qualifizierter Sicherheitsdienstleister gem. § 3 Abs. 3 BSIG) beim Bundesamt für Sicherheit in der Informationstechnik (BSI) gelistet sein.

Liste und kurze Beschreibung der Regeln und Kriterien

Unternehmensbezogene Nachweise über Partnerschaften zu Software Herstellern (Mit dem Angebot; Mittels Dritterklärung): Es müssen unternehmensbezogene Nachweise über Partnerschaften mit folgenden Software Herstellern nachgewiesen werden: Cisco, PureStorage, Dell, Veeam, Red Hat, BroadCom VMware, Splunk.
Diese Anforderung gilt ausschließlich für Los 1.

Liste und kurze Beschreibung der Regeln und Kriterien

Diese Anforderung gilt ausschließlich für Los 2:

Zertifizierung des ISO 27001

Der Bieter hat über folgende Zertifizierung zu verfügen:
-ISO 27001 (Informationssicherheitsmanagementsystem)

Das Zertifikat ist mit dem Angebot einzureichen. - ISO 27001 Zertfizierung

Liste und kurze Beschreibung der Regeln und Kriterien

Diese Anforderung gilt ausschließlich für Los 2:

Der Bieter muss als qualifizierter Advanced Persistent Threat (APT)-Response-Dienstleister (qualifizierter Sicherheitsdienstleister gem. § 3 Abs. 3 BSIG) beim Bundesamt für Sicherheit in der Informationstechnik (BSI) gelistet sein. - Qualifizierter Dienstleister im Bereich APT-Response

Liste und kurze Beschreibung der Regeln und Kriterien

Diese Anforderung gilt ausschließlich für Los 1.
Es sind folgende unternehmensbezogene Nachweise über Partnerschaften zu Software Herstellern nachzuweisen. Die Zertifikate müssen mit dem Angebot eingereicht werden.
1) Cisco Meraki Gold Partner oder höher
2) Cisco Gold Partner oder höher
3) PureStorage Elite Partner oder höher
4) Dell Partner Platinum oder höher
5) Veeam Platinum Partner oder höher
6) Red Hat Premiuer Business Partner oder höher
7) Broadcom VMware Pinnacle Partner oder höher
9 Splunk Elite Partner oder höher - Unternehmensbezogene Nachweise über Partnerschaften zu Software Herstellern

Bedingungen für die Vertragserfüllung

Der Bieter hat für jedes Los, in dem er ein Angebot abgibt, die technischen Fachkräfte zu benennen, die er für die Leistungserbringung einsetzen will und diese der jeweils vom AG geforderten Qualifikation zuzuordnen. Es müssen pro Los mindestens 2 technische Fachkräfte verbindlich angegeben werden. Die Zertifikate der technischen Fachkräfte sind mit dem Angebot einzureichen.
Mindestanforderungen Los 1:
Mindestens ein MA des AN der in die Leistungserbringung einbezogen wird MUSS über folgende Zertifizierungen oder höher verfügen:
-Veeam Certified Engineer
-VMware Certified Professional - Data Center Virtualization UND Network Virtualization UND Clooud Management and Automation UND Tanzu for Kubernetes
-Splunk Enterprise Certified Admin

Mindestanforderung Los 2:
-Mindestens ein MA des AN der in die Leistungserbringung einbezogen wird MUSS über eine über eine GCFA (GIAC Certified Forensic Analyst)-Zertifizierung UND über eine SANS SEC511 oder gleichwertige Zertifizierung verfügen.

Text

Für Los 1:

-Zusätzliche Aufnahme von Eignungskriterien
-Änderungen bei den MUSS Anforderungen
-Änderungen bei den SOLL Anforderungen

Für Los 2:
-Zwei Änderungen bei den MUSS Anforderungen
-Klarstellung von missverständliche Informationen in der Leistungsbeschreibung (analog zum Vertrag)

Anhand von Bieterfragen wurden mehrere Änderungen vorgenommen.

1) Für beide Lose wurden Änderungen in den MUSS und SOLL Anforderungen aufgenommen.

2) Neue Eignungskriterien für Los 1 wurden aufgenommen

3) Es wurde mehrere Klarstellung von missverständliche Informationen in der Leistungsbeschreibung vorgenommen

Liste und kurze Beschreibung der Regeln und Kriterien

Diese Anforderung gilt ausschließlich für Los 1.
Es sind folgende unternehmensbezogene Nachweise über Partnerschaften zu Software Herstellern nachzuweisen. Die Zertifikate müssen mit dem Angebot eingereicht werden.
1) Cisco Meraki Gold Partner oder höher
2) Cisco Gold Partner oder höher
3) PureStorage Elite Partner oder höher
4) Dell Partner Platinum oder höher
5) Veeam Platinum Partner oder höher
6) Red Hat Premiuer Business Partner oder höher
7) Broadcom VMware Pinnacle Partner oder höher
8) Splunk Elite Partner oder höher - Unternehmensbezogene Nachweise über Partnerschaften zu Software Herstellern

Text

1) ÄNDERUNGEN BEI DEN EIGNUNGSKRITERIEN UNTER ZIFFER 5.1.9 DER BEKANNTMACHUNG

BISHER galt für beide Lose:
Kriterium: Zertifikate von unabhängigen Stellen über Qualitätssicherungsstandards
Beschreibung: ISO 27001 Zertfizierung (Mit dem Angebot; Mittels Dritterklärung): Zertifizierung des ISO 27001 Der Bieter hat über folgende Zertifizierung zu verfügen: -ISO 27001 (Informationssicherheitsmanagementsystem) Das Zertifikat ist mit dem Angebot einzureichen.

NEU dieses Kriterium gilt jetzt ausschließlich für Los 2:
Kriterium: Zertifikate von unabhängigen Stellen über Qualitätssicherungsstandards
Beschreibung: ISO 27001 Zertifizierung (Mit dem Angebot; Mittels Dritterklärung): Der Bieter hat über folgende Zertifizierung zu verfügen: -ISO 27001 (Informationssicherheitsmanagementsystem) Das Zertifikat ist mit dem Angebot einzureichen.

BISHER galt für beide Lose:
Kriterium: Informationssicherheit Beschreibung: Qualifizierter Dienstleister im Bereich APT-Response (Mit dem Angebot; Mittels Eigenerklärung): Der Bieter muss als qualifizierter Advanced Persistent Threat (APT)- Response-Dienstleister (qualifizierter Sicherheitsdienstleister gem. § 3 Abs. 3 BSIG) beim Bundesamt für Sicherheit in der Informationstechnik (BSI) gelistet sein.

NEU dieses Kriterium gilt jetzt ausschließlich für Los 2:
Kriterium: Informationssicherheit Beschreibung: Qualifizierter Dienstleister im Bereich APT-Response (Mit dem Angebot; Mittels Eigenerklärung): Der Bieter muss als qualifizierter Advanced Persistent Threat (APT)- Response-Dienstleister (qualifizierter Sicherheitsdienstleister gem. § 3 Abs. 3 BSIG) beim Bundesamt für Sicherheit in der Informationstechnik (BSI) gelistet sein.

NEU dieses KRITERIUM wurde zusätzlich aufgenommen und gilt ausschließlich für Los 1:

Kriterium: Maßnahmen zur Sicherstellung der Qualität
Beschreibung: Unternehmensbezogene Nachweise über Partnerschaften zu Software Herstellern
Es sind folgende unternehmensbezogene Nachweise über Partnerschaften zu Software Herstellern nachzuweisen. Die Zertifikate Nachweise müssen mit dem Angebot eingereicht werden.
1) Cisco Meraki Gold Partner oder höher
2) Cisco Gold Partner oder höher
3) PureStorage Elite Partner oder höher
4) Dell Partner Platinum oder höher
5) Veeam Platinum Partner oder höher
6) Red Hat Premier Business Partner oder höher
7) Broadcom VMware Pinnacle Partner oder höher
8) Splunk Elite Partner oder höher

2) ÄNDERUNGEN BEI ZIFFER 5.1.12 BEDINGUNGEN FÜR DIE AUFTRAGSVERGABE

Auftragsbedingungen: Bedingungen für die Ausführung des Auftrags:
BISHER galt für beide Lose:
Mindestanforderungen für beide Lose:
-Mindestens ein MA des AN der in die Leistungserbringung einbezogen wird MUSS über eine über eine GCFA (GIAC Certified Forensic Analyst)-Zertifizierung verfügen.
-Mindestens ein MA des AN der in die Leistungserbringung einbezogen wird MUSS über eine SANS FOR508 (Advanced Incident Response, Threat Hunting and Digital Forensics)-Zertifizierung verfügen.
-Mindestens ein MA des AN der in die Leistungserbringung einbezogen wird MUSS über über eine SANS SEC511 (Continuous Monitoring and Security Operations)-Zertifizierung verfügen.

NEU für Los 1 gilt:
Mindestens ein MA des AN, der bei Bedarf in die Leistungserbringung einbezogen wird, MUSS über
- eine Veeam Certified Engineer-Zertifizierung oder höher
- eine VMware Certified Professional - Data Center Virtualization-Zertifizierung oder höher
- eine VMware Certified Professional - Network Virtualization-Zertifizierung oder höher
- eine VMware Certified Professional - Cloud Management and Automation-Zertifizierung oder höher
- eine VMware Certified Professional - Tanzu for Kubernetes Operations-Zertifizierung oder höher
- eine Splunk Enterprise Certified Admin-Zertifizierung oder höher
verfügen.

NEU für Los 2 gilt:

- Mindestens ein MA des AN MUSS über eine GCFA (GIAC Certified Forensic Analyst)-Zertifizierung verfügen.
- Mindestens ein MA des AN MUSS über eine SANS SEC511 (Continuous Monitoring and Security Operations) ODER gleichwertige Zertifizierung verfügen.