(1) Evaluierung und (2) Beratungsleistungen mit dem Ziel der Produktzertifizierung (IT-Sicherheitszertifizierung Common Criteria) von EnArgus durch das BSI bzw. die zuständige EUCC-Stelle

Kurze Beschreibung

Achtung: am Verfahren dürfen sich ausschließlich Unternehmen beteiligen, die eine vom Bundesamt für Sicherheit in der Informationstechnik (BSI) anerkannte Prüfstelle für die Produktzertifizierung nach CC sind (link: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Zertifizierung-und-Anerkennung/Zertifizierung-von-Produkten/Zertifizierung-nach-CC/Liste-CC-ITSEC-Pruefstellen/liste-cc-itsec-pruefstellen_node.html)!
Die für die Angbeotserstellung notwendige Vergabeunterlage "Security Target BSCW PDS v1.1" erhalten nur diese zertifizierten Unternehmen! Aus diesem Grund bitten wir diese Unternehmen, sich für dieses Verfahren zu registrieren.
Das Bundesministerium für Wirtschaft und Energie stellt mit EnArgus ein Internetportal bereit, das zu laufenden und abgeschlossenen Forschungsvorhaben rund um das Thema Energieforschung informiert. EnArgus ist ein zentrales Informationssystem zur Unterstützung von Energieforschungsförderung durch Bund und Länder. Es wendet sich an Anwender aus Politik, Projektträgerschaft und Öffentlichkeit. Als Datenbank beinhaltet EnArgus Projektinformationen mit zum Teil vertraulichen Inhalten wie z. B. Skizzen- und Antragstexten sowie Berichten zu laufenden und abgeschlossenen Vorhaben. Die Bereitstellung der Informationen basiert auf einem Konzept, das in verschiedenen Zugriffsstufen zwischen internen und externen Nutzern unterscheidet.
Mit der Verordnung 2019/881 (auch bekannt als CSA) hat die EU die verbindliche Einführung von europäischen Standards zur IT-Sicherheitsüberprüfung von Soft- und Hardware festgelegt. Alle EU-Produkte, für die IT-Sicherheit relevant ist, müssen der vorgenannten Verordnung entsprechen. In der Richtlinie EU 2022/2555 (NIS-2-Richtlinie) wird in Erwägungsgrund 36 ausdrücklich hervorgehoben, dass Forschungstätigkeiten eine Schlüsselrolle für die Wirtschaft der EU darstellen. Nicht zuletzt deshalb sind Maßnahmen zur Erreichung eines hohen gemeinsamen Cybersicherheitsniveaus verpflichtend.
Vor diesem Hintergrund strebt der AG eine Produktzertifizierung für EnArgus an. Die Produktzertifizierung hat auf Basis der Common Criteria (CC) zu erfolgen. Der Prozess ist mehrstufig. Es gibt bei der Prüfung sieben Evaluation Assurance Level (EAL). Begonnen wird im Zuge der auftragsgegenständlichen Leistung mit einer Zertifizierung auf EAL2 nach CC. Eine Ausweitung auf EAL4 nach CC wird angestrebt, ist vorliegend jedoch eine optionale Leistung (zum einen für die Evaluierung, zum anderen für die Beratung). Grundlage für die leistungsgegenständliche Produktzertifizierung auf Basis der CC bildet das vom BSI anerkannte Schutzprofil für Datenbanksysteme DBMS PP. Der Auftragnehmer (AN) muss dafür Sorge tragen, dass seine Zertifizierung (als vom BSI anerkannte Prüfstelle für die Produktzertifizierung nach CC) über den Zeitraum der Leistungserbringung aufrecht erhalten bleibt. Ferner ist die Extended Package Access History (DBMS PP_EP_AH) zu berücksichtigen.
Das für die Zertifizierung erforderliche Security Target (ST, siehe Anlage 1 zur Leistungsbeschreibung) wurde erstellt und liegt den Vergabeunterlagen für dieses Verfahren bei. Das ST ist noch an neue Vorgaben der EUCC anzupassen. Der AN leistet hierzu die notwendige Beratung für den AG.
Ferner strebt der AG eine (virtuelle) Standortzertifizierung nach CC an, und benötigt im Rahmen der Vorbereitung der Produktzertifizierung die notwendige Beratung, um den Aufwand für eine Standortzertifizierung in Zukunft abzuschätzen, insbesondere auch was dazu ggf. notwendige zusätzliche Sicherheitsmerkmale, welche mit zertifiziert werden müssten, betrifft.

Beschreibung der Beschaffung

Achtung: am Verfahren dürfen sich ausschließlich Unternehmen beteiligen, die eine vom Bundesamt für Sicherheit in der Informationstechnik (BSI) anerkannte Prüfstelle für die Produktzertifizierung nach CC sind (link: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Zertifizierung-und-Anerkennung/Zertifizierung-von-Produkten/Zertifizierung-nach-CC/Liste-CC-ITSEC-Pruefstellen/liste-cc-itsec-pruefstellen_node.html)!
Die für die Angbeotserstellung notwendige Vergabeunterlage "Security Target BSCW PDS v1.1" erhalten nur diese zertifizierten Unternehmen! Aus diesem Grund bitten wir diese Unternehmen, sich für dieses Verfahren zu registrieren.
Das Bundesministerium für Wirtschaft und Energie stellt mit EnArgus ein Internetportal bereit, das zu laufenden und abgeschlossenen Forschungsvorhaben rund um das Thema Energieforschung informiert. EnArgus ist ein zentrales Informationssystem zur Unterstützung von Energieforschungsförderung durch Bund und Länder. Es wendet sich an Anwender aus Politik, Projektträgerschaft und Öffentlichkeit. Als Datenbank beinhaltet EnArgus Projektinformationen mit zum Teil vertraulichen Inhalten wie z. B. Skizzen- und Antragstexten sowie Berichten zu laufenden und abgeschlossenen Vorhaben. Die Bereitstellung der Informationen basiert auf einem Konzept, das in verschiedenen Zugriffsstufen zwischen internen und externen Nutzern unterscheidet.
Mit der Verordnung 2019/881 (auch bekannt als CSA) hat die EU die verbindliche Einführung von europäischen Standards zur IT-Sicherheitsüberprüfung von Soft- und Hardware festgelegt. Alle EU-Produkte, für die IT-Sicherheit relevant ist, müssen der vorgenannten Verordnung entsprechen. In der Richtlinie EU 2022/2555 (NIS-2-Richtlinie) wird in Erwägungsgrund 36 ausdrücklich hervorgehoben, dass Forschungstätigkeiten eine Schlüsselrolle für die Wirtschaft der EU darstellen. Nicht zuletzt deshalb sind Maßnahmen zur Erreichung eines hohen gemeinsamen Cybersicherheitsniveaus verpflichtend.
Vor diesem Hintergrund strebt der AG eine Produktzertifizierung für EnArgus an. Die Produktzertifizierung hat auf Basis der Common Criteria (CC) zu erfolgen. Der Prozess ist mehrstufig. Es gibt bei der Prüfung sieben Evaluation Assurance Level (EAL). Begonnen wird im Zuge der auftragsgegenständlichen Leistung mit einer Zertifizierung auf EAL2 nach CC. Eine Ausweitung auf EAL4 nach CC wird angestrebt, ist vorliegend jedoch eine optionale Leistung (zum einen für die Evaluierung, zum anderen für die Beratung). Grundlage für die leistungsgegenständliche Produktzertifizierung auf Basis der CC bildet das vom BSI anerkannte Schutzprofil für Datenbanksysteme DBMS PP. Der Auftragnehmer (AN) muss dafür Sorge tragen, dass seine Zertifizierung (als vom BSI anerkannte Prüfstelle für die Produktzertifizierung nach CC) über den Zeitraum der Leistungserbringung aufrecht erhalten bleibt. Ferner ist die Extended Package Access History (DBMS PP_EP_AH) zu berücksichtigen.
Das für die Zertifizierung erforderliche Security Target (ST, siehe Anlage 1 zur Leistungsbeschreibung) wurde erstellt und liegt den Vergabeunterlagen für dieses Verfahren bei. Das ST ist noch an neue Vorgaben der EUCC anzupassen. Der AN leistet hierzu die notwendige Beratung für den AG.
Ferner strebt der AG eine (virtuelle) Standortzertifizierung nach CC an, und benötigt im Rahmen der Vorbereitung der Produktzertifizierung die notwendige Beratung, um den Aufwand für eine Standortzertifizierung in Zukunft abzuschätzen, insbesondere auch was dazu ggf. notwendige zusätzliche Sicherheitsmerkmale, welche mit zertifiziert werden müssten, betrifft.

Beschreibung der Optionen

Gemäß dem Arbeitspaket (AP) 2.2.4 (Leistungsbeschreibung) kann der AG optional die Evaluierung auf EAL4 nach CC analog zu den Arbeiten in AP 1-3 der Leistungsbeschreibung durch einseitige Erklärung gegenüber dem AN beauftragen. Die Ziehung dieser Option durch den AG ist abhängig vom Ergebnis der Prüfung von EnArgus auf EAL2 nach CC und der Beratung zur Vorbereitung der Evaluierung im optionalen AP 4 der Ziffer 3.2.4 der Leistungsbeschreibung (Vgl. Preisblatt, 2.optionale Verlängerung). Unter Berücksichtigung des höheren EAL sind vom optionalen AP 4 sämtliche o. g. Leistungen der Ziffern 2.2.1 bis 2.2.3 umfasst.
Gemäß dem AP 3.2.4 kann der AG optional die Evaluierung auf EAL4 nach CC durch einseitige Erklärung gegenüber dem AN beauftragen, siehe Ziffer 2.2.4 der Leistungsbeschreibung. Die Ziehung dieser Option, siehe Ziffer 2.2.4, durch den AG ist abhängig vom Ergebnis der Prüfung von EnArgus auf EAL2 nach CC sowie der fortgesetzten Beratung in diesem AP, welche zwei Aufgaben umfasst. Einerseits die Vorbereitung der Dokumente der Beratungs-leistungen der Ziffern 3.2.1 bis 3.2.3, sowie die Begleitung der eigentlichen Evaluierung nach den Ziffern 3.2.1 bis 3.2.3 der Leisutngsbescheibung, sofern die Option der Evaluierung auf EAL4 nach CC, siehe Ziffer 2.2.4 gezogen wird (Vgl. Preisblatt, 1. optionale Verlängerung, 2. optionale Verlängerung).

Liste und kurze Beschreibung der Regeln und Kriterien

Technische und berufliche Leistungsfähigkeit: A) Nachweise zu mit diesem Auftrag vergleichbaren Arbeiten/Referenzaufträgen des Bieters/ Konsortialpartners/notwendigen Unterauftragnehmers (bezogen auf das Unternehmen bzw. die Einrichtung): Aussagekräftige Darstellung von Referenzen, die mit dem Ausschreibungsgegenstand vergleichbar sind und nicht älter als drei Jahre sind. Als geeignete Referenzen gelten vom Bieter/Konsortialpartner/notwendigen Unterauftragnehmer durchgeführte Aufträge bzw. bearbeitete Projekte. Maßgeblich für die Berechnung der Drei-Jahresfrist ist der Tag, an dem die Angebotsfrist endet.
B) Nachweise zu Qualifikationen / Erfahrungen / Kenntnissen des Projektteams und des/der Projektleitenden:
Abschließende Benennung aller vorgesehenen Mitglieder des Kernteams und des/der Projektleitenden mit Angabe, wer welche Leistung erbringt bzw. Aufgaben wahrnimmt und wer die Projektleitung und –koordinierung / Stellvertretung übernimmt.
Insgesamt müssen entweder durch die Referenzen des Bieters (gemäß Punkt A) oder die Qualifikation des Projektteams und des/der Projektleitenden (gemäß Punkt B) die u.a. Eignungskriterien erfüllt sein, damit die technische und berufliche Leistungsfähigkeit insgesamt erfüllt ist:
1. Nachweis (Beleg) über eine vom Bundesamt für Sicherheit in der Informationstechnik (BSI) anerkannte Prüfstelle für die Produktzertifizierung nach CC.
2. Drei durchgeführte Zertifizierungen für Produkte nach Common Criteria (CC), mindestens EAL 2 unter Angabe der Zertifizierungsnummer des BSI.
3. Drei durchgeführte Zertifizierungen für Standorte nach Common Criteria (CC) unter Angabe der Zertifizierungsnummer des BSI.
Wenn die Nachweise in Form von Referenzaufträgen gemäß Punkt A erbracht werden, sind folgende Angaben erforderlich (eine einfache Auflistung ist nicht ausreichend):
o Bezeichnung der durchgeführten Zertifizierung
o Zertifizierungslaufzeit
PtJ behält sich vor, fehlende Erklärungen und Nachweise gemäß § 56 Abs. 2 VgV nachzufordern. Die Nichtvorlage der geforderten bzw. nachgeforderten Unterlagen führt gemäß § 57 Abs. 1 Nr. 2 VgV zum Ausschluss des Angebotes.

Liste und kurze Beschreibung der Regeln und Kriterien

Nachweis (Beleg) über eine vom Bundesamt für Sicherheit in der Informationstechnik (BSI) anerkannte Prüfstelle für die Produktzertifizierung nach CC. (Achtung: am Verfahren dürfen sich ausschließlich Unternehmen beteiligen, die eine vom Bundesamt für Sicherheit in der Informationstechnik (BSI) anerkannte Prüfstelle für die Produktzertifizierung nach CC sind (link: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Zertifizierung-und-Anerkennung/Zertifizierung-von-Produkten/Zertifizierung-nach-CC/Liste-CC-ITSEC-Pruefstellen/liste-cc-itsec-pruefstellen_node.html)!)

Liste und kurze Beschreibung der Regeln und Kriterien

Befähigung und Erlaubnis zur Berufsausübung
• Beschreibung des Bieters und der Konsortialpartner/notwendigen Unterauftragnehmer (vollständige Anschrift, Bankverbindung: IBAN und BIC, E-Mail-Adresse des Ansprechpartners, Organisationsform, Profil, Kompetenzschwerpunkte)
• Kontaktdaten des Projektleiters und seiner Stellvertretung (Name, Telefonnummer, E-Mail-Adresse)
• Im Falle des Einsatzes eines Nachunternehmers zum Nachweis der Leistungsfähigkeit und Fachkunde zur Abdeckung des gesamten Leistungsspektrums (Einsatz eines notwendigen Unterauftragnehmers) ist eine Eigenerklärung über die Zusammenarbeit mit dem notwendigen Unterauftragnehmer im Falle eines Zuschlags mit dem Angebot vorzulegen. In dieser Erklärung sind der Name und die Anschrift der notwendigen Unterauftragnehmer zu benennen. (Hierzu ist das Formblatt „Erklärung zur Zusammenarbeit mit einem notwendigen Unterauftragnehmer“ zu nutzen.)
• Es ist eine Verpflichtungserklärung des notwendigen Unterauftragnehmers vorzulegen, dass dem Bieter im Falle eines Zuschlags die erforderlichen Mittel/Ressourcen des Unterauftragnehmers bei der Erfüllung des Vertrages zur Verfügung stehen. In dieser Erklärung sind der Inhalt der Unterauftragnehmerleistung und der Preis für diese Leistung anzugeben. (Hierzu ist das Formblatt „Verpflichtungserklärung des not-wendigen Unterauftragnehmers“ zu nutzen.)
• Im Falle von Bietergemeinschaften sind im Angebot der Name der Bietergemeinschaft, das geschäfts- und federführende Bietergemeinschaftsmitglied anzugeben und die Mitglieder mit Namen und Anschrift des Unternehmens zu benennen. Darüber hinaus ist mit dem Angebot eine Erklärung von allen Bietergemeinschaftsmitgliedern abzugeben, dass im Falle der Auftragserteilung ein Konsortialvertrag geschlossen wird, dass jedes Bietergemeinschaftsmitglied für die vertragsgemäße Ausführung der Leistung als Gesamtschuldner haftet, dass das geschäfts- und federführende Bietergemeinschaftsmitglied als bevollmächtigter Vertreter die aufgeführten Bietergemeinschaftsmitglieder gegenüber dem/der Auftragge-ber/in und PtJ vertritt und insbesondere berechtigt ist, das Angebot abzugeben, den Vertrag abzuschließen sowie mit Wirkung für jedes Mitglied ohne Einschränkung Zahlungen anzunehmen. Es sind außerdem nachvollziehbare Aussagen zur Aufgabenteilung innerhalb der Bietergemeinschaft zu treffen. Bei Angeboten von Bietergemeinschaften ist zu erklären, dass keine unzulässigen wettbewerbsbeschränkenden Abreden getroffen wurden und darzulegen, dass die Zusammenarbeit kartellrechtlich zulässig ist. Das kann z.B. durch Angabe der Gründe erfolgen, die zu der Kooperation geführt haben. (Hierzu ist das Formblatt „Erklärung Bewerber-/Bietergemeinschaft“ zu nutzen.)
• Vom Bieter bzw. von jedem Mitglied der Bietergemeinschaft sowie von jedem notwendigen Unterauftragnehmer ist jeweils die ausgefüllte Erklärung zu den Ausschlussgründen nach §§ 123, 124 GWB sowie gemäß § 19 des Gesetzes zur Regelung eines allgemeinen Mindestlohns (Mindestlohngesetz-MiLOG) einzureichen. (Hierzu ist jeweils das Formblatt „Erklärung zur Bindefrist sowie zum Nichtvorliegen von Ausschlussgründe“ zu nutzen).
• Die Verwendung von sogenannten eForms zur Publikation von Bekanntmachungen im Rahmen EU-weiter, öffentlicher Vergabeverfahren ist seit dem 25. Oktober 2023 verpflichtend. Im Rahmen der Vergabebekanntmachung (Bekanntmachung über vergebene Aufträge) sind diverse Angaben zum Auftragnehmer zu veröffentlichen. Daher ist vom Bieter bzw. von jedem Mitglied der Bietergemeinschaft jeweils die ausgefüllte Erklärung zur Vergabebekanntmachung einzureichen (hierzu ist das Formblatt „Angabe der Bieter zur EU-Vergabebekanntmachung“ zu nutzen).
• Seit Ausbruch des russischen Angriffskriegs gegen die Ukraine wurden erstmals EU-Sanktionen erlassen, die die Vergabe und die Ausführung öffentlicher Aufträge und Konzessionen ab Erreichen der EU-Schwellenwerte betreffen. Daher ist vom Bieter bzw. von der Bietergemeinschaft die ausgefüllte Eigenerklärung zur Umsetzung des 5. EU-Sanktionspakets einzureichen (hierzu ist das Formblatt „Eigenerklärung EU Sanktionen Russland“ zu nutzen).
• Bei Aufträgen ab einer Höhe von 30.000 Euro (ohne Umsatzsteuer) muss die Vergabestelle zwingend für den Bieter, der im Rahmen des Vergabeverfahrens den Zuschlag erhalten soll, vor der Zuschlagserteilung eine Auskunft aus dem Wettbewerbsregister nach § 6 Abs. 1 Wettbewerbsregistergesetz (WRegG) anfordern.
o Ist der Auftrag in Lose unterteilt, sind Abfragen für die Unternehmen durchzuführen, die jeweils den Zuschlag für die einzelnen Lose erhalten sollen.
o Bei Bietergemeinschaften betrifft die Abfragepflicht alle an der Bietergemeinschaft beteiligten Unternehmen.
(Hierzu ist das Formblatt „Erforderliche Daten für die Auskunft aus dem Wettbewerbsregister nach § 6 Abs. 1 Wettbewerbsregistergesetz (WRegG)“ ausgefüllt dem Angebot beizufügen).

Bedingungen für die Vertragserfüllung

Achtung: am Verfahren dürfen sich ausschließlich Unternehmen beteiligen, die eine vom Bundesamt für Sicherheit in der Informationstechnik (BSI) anerkannte Prüfstelle für die Produktzertifizierung nach CC sind (link: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Zertifizierung-und-Anerkennung/Zertifizierung-von-Produkten/Zertifizierung-nach-CC/Liste-CC-ITSEC-Pruefstellen/liste-cc-itsec-pruefstellen_node.html)! Der Auftragnehmer muss dafür Sorge tragen, dass seine Zertifizierung (als vom BSI anerkannte Prüfstelle für die Produktzertifizierung nach CC) über den Zeitraum der Leistungserbringung aufrecht erhalten bleibt.

Genaue Informationen über Fristen für Überprüfungsverfahren

Solange ein wirksamer Zuschlag (Vertragsschluss) noch nicht erteilt ist, kann als Rechtsbehelf ein Nachprüfungsantrag bei der unter ORG0003 genannten Stelle gestellt werden. Informationen hierzu können §§ 160, 161 Gesetz gegen Wettbewerbsbeschränkungen (GWB) entnommen werden.
Bieter müssen Vergaberechtsverstöße gegenüber der Kontaktstelle des Auftraggebers innerhalb einer Frist von zehn Kalendertagen bei der unter ORG0001 genannten Kontaktstelle (Vergabestelle) gerügt haben, bevor sie einen Nachprüfungsantrag stellen. Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung bzw. erst in den Vergabeunterlagen erkennbar sind, sind spätestens bis zum Ablauf der Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber (o.g. Kontaktstelle) zu rügen.
Der Nachprüfungsantrag ist gemäß § 160 Abs. 3 Nr. 4 GWB unzulässig, soweit mehr als 15 Kalendertage nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, vergangen sind. Dies gilt gemäß § 160 Abs. 3 Satz 2 GWB nicht bei einem Antrag auf Feststellung der Unwirksamkeit des öffentlichen Auftrags nach § 135 Abs. 1 Nr. 2 GWB.
Ein Nachprüfungsantrag auf Feststellung der Unwirksamkeit nach § 135 Abs. 1 GWB ist nach § 135 Abs. 2 GWB innerhalb von 30 Kalendertagen nach der Information der betroffenen Bieter und Bewerber durch den öffentlichen Auftraggeber über den Abschluss des Vertrags, jedoch nicht später als sechs Monate nach Vertragsschluss, geltend zu machen. Hat der Auftraggeber die Auftragsvergabe im Amtsblatt der Europäischen Union bekannt gemacht, endet die Frist zur Geltendmachung der Unwirksamkeit 30 Kalendertage nach Veröffentlichung der Bekanntmachung der Auftragsvergabe im Amtsblatt der Europäischen Union.

Bieter deren Angebote nicht berücksichtigt werden, werden grundsätzlich vor dem Zuschlag gemäß § 134 GWB informiert.