Beratungs- und Unterstützungsleistung für das Informationssicherheitsmanagement der KV Nordrhein

Beschreibung der Beschaffung

Die KVNO gehört mit rund 24.000 Mitgliedern zu den größten Kassenärztlichen Vereinigungen im Bundesgebiet. Um den ihr übertragenen Gesetzesauftrag leistungs- und bedarfsgerecht nachkommen zu können, ist eine moderne und für die jeweiligen Anforderungen skalierbare IT-Infrastruktur erforderlich. Nur durch eine hohe Automatisierung und optimale Verzahnung von IT-gestützten Verfahren kann die KVNO ihren Mitgliedern ein optimales Leistungsportfolio anbieten. Dieser Anspruch ist gekoppelt mit der Erfordernis, neben einer bedarfsgerechten Bereitstellung von IT-Dienstleistungen auch die gesetzlichen Anforderungen an den Datenschutz sowie Best Practices hinsichtlich der Informationssicherheit zu beachten. Die KVNO trägt diesem Anspruch dadurch Rechnung, dass sie ein zertifiziertes Informationssicherheitsmanagementsystem nach ISO 27001 aufgebaut hat. Weiterhin orientiert sich die KVNO an den IT-Sicherheitsstandards des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

Der Leiter der Stabsstelle "Informationssicherheit und Notfallmanagement" ist als Informationssicherheitsbeauftragter zuständig für alle Belange der Informationssicherheit innerhalb der KVNO. Er hat die Aufgabe, alle sicherheitsrelevanten Maßnahmen und Regelungen der KVNO zu planen, zu steuern und zu kontrollieren. Der Informationssicherheitsbeauftrage unterstützt den Vorstand und die Geschäftsführung bei ihren Aufgaben bezüglich der Informationssicherheit. Der Informationssicherheitsbeauftragte ist in seiner Rolle der Geschäftsführung der KVNO direkt unterstellt und berichtet direkt an diese.
Zur Erfüllung der im Rahmen des IT-Sicherheitsprozesses notwendigen Aufgaben benötigt der Informationssicherheitsbeauftragte eine kompetente Beratung und Unterstützung im Informationssicherheitsmanagement sowie ein, zur sicherheitstechnischen Untersuchung von IT-Systemen, notwendiges Spezialwissen.


Der Auftragnehmer muss in der Lage sein, die folgenden Beratungs- und Unterstützungsleistungen zur Informationssicherheit auf Anforderung zu erbringen:

1 Informationssicherheitsmanagement
- Unterstützung bei der Aufrechterhaltung der ISO 27001 Zertifizierung
- Unterstützung bei der Erstellung und Fortschreibung von Richtlinien und Reglungen zur Informationssicherheit
- Durchführung von ISMS-Audits im Rahmen der ISO 27001 Zertifizierung
- Unterstützung und Begleitung der externen ISO 27001 Audits (jeweils Mai/Juni) vor Ort bei der KV an den Standorten Düsseldorf und Köln.

2 Notfallmanagement
- Beratung bei der Weiterentwicklung des Notfallmanagements (BSI-Standards 200-4 / ISO 22301: Business Continuity Management).
- Planung, Begleitung und Review von Notfallübungen
- Planung und Durchführung von Business Impact Analysen
- Erstellung von Notfallhandbüchern und prozessspezifischen Geschäftsfortführungsplänen.

3 IT-Sicherheitskonzepte und -Standards
- Erstellung und Weiterentwicklung von IT-Sicherheitskonzepten auf Basis des BSI IT-Grundschutz (BSI-Standard 200-2) sowie der ISO 27001.
- Durchführung von Basis-Sicherheits-Checks sowie von Risikoanalysen nach ISO 27005 und BSI 200-3.
- Überarbeitung/Erstellung von IT-Sicherheitsrichtlinien.

4 Durchführung von Penetrationstest
- Durchführung von Penetrationstest gemäß anerkannten Best-Practice Vorgehen (BSI-Studie "Durchführungskonzept für Penetrationstests", OWASP)

5 Unterstützung bei der Herstellung einer NIS 2 Compliance
- Fit-Gap-Analyse zur Vorbereitung auf eine NIS-2 Compliance.
- Unterstützung bei der Umsetzung erforderlichen Maßnahmen und Konzepte

6 Unterstützung bei der Herstellung einer C5-Compliance
- Um perspektivisch die Anforderungen an den C5 -Kriterienkatalog (Cloud Computing Compliance Criteria Catalogue) des BSI zu erfüllen, sind entsprechende Beratungsleistungen zu erbringen.
- Fit-Gap-Analyse zur Vorbereitung auf eine C5-Compliance.

7 Definition von Sicherheitsanforderungen beim Einsatz von KI
- Definition von Sicherheitsmaßnahmen für Leistungsbeschreibungen im Rahmen von Ausschreibungsverfahren.
- Um einen sicherheitskonformen Einsatz von KI-Lösungen zu erreichen, sind entsprechende Beratungsleistungen zu erbringen.


Alle mündlichen und schriftlichen Kommunikationen, Berichte und Dokumentationen müssen in deutscher Sprache verfasst werden. Fachbegriffe und technische Nachweise sind hiervon ausgenommen und können in Ihrer Ursprungsprache genutzt werden und bedürfen keiner Übersetzung.

Beschreibung der Optionen

Der Vertrag kann zweimal um jeweils zwöf Monate verlängert werden, wenn beide Vertragspartner die Verlängerung bis spätestens drei Monate vor dem jeweiligen Vertragsende schriftlich vereinbaren.

Liste und kurze Beschreibung der Regeln und Kriterien

Weisen Sie nach, in den letzten drei Jahren mindestens fünf vergleichbare Beratungsprojekte bei unterschiedlichen Kunden durchgeführt zu haben, mit dem Ergebnis, dass der Kunde erfolgreich eine Zertifizierung oder Rezertifizierung nach "ISO 27001-Zertifikat auf der Basis von IT-Grundschutz" erreicht hat oder die zu der Ausstellung eines Zertifikates für das Managementsystem nach ISO 27001 geführt haben.

Nachweis von 5 vergleichbaren Referenzprojekten unter Angabe von:
- detaillierter Projektinhalt
- Kundename
- Projektlaufzeit von/bis (Monat/Jahr)
- die seitens des Anbieters aufgewandten Personentage
- Besonderheiten
- auskunftsfähiger & auskunftsbereiter Ansprechpartner seitens des Auftraggebers des jeweiligen Referenzprojekts (einschließlich Telefonnummer)

Als vergleichbar gelten Projekte, die folgende Merkmale aufweisen:
• Beratung eines Informationssicherheitsbeauftragten oder der Geschäftsleitung/Behördenleitung
• Umfang von mindestens 50 Personentagen
• Thematischer Bezug zu ISMS, BSI IT-Grundschutz, ISO 27001 oder § 75b SGB V

Liste und kurze Beschreibung der Regeln und Kriterien

Bestätigen Sie, dass Sie über mehrjährige Projekterfahrungen bei der Erstellung von ISO 27001 sowie der BSI Standards 200-1 bis 200-4 konformen Richtlinien und Konzepten verfügen.

Legen Sie aktuelle Projektnachweise aus den letzten drei Jahren über insgesamt 5 von Ihnen erstellten IT-Sicherkonzepten nach den genannten Standards für unterschiedliche Unternehmen (vorzugsweise aus dem Gesundheitssektor) vor.

Liste und kurze Beschreibung der Regeln und Kriterien

Bestätigen Sie und weisen sie nach, dass die eingeplante Projektleitung über eine gültige BSI Zertifizierung als Auditteamleiter für ISO 27001-Audits auf der Basis von IT-Grundschutz verfügt oder über eine gültige Berufung zum ISO/IEC 27001 Lead Auditor bei einer DAkkS akkreditierten Zertifizierungsstelle verfügt. Bitte fügen Sie dazu den entsprechenden Nachweis dem Angebot bei.

Liste und kurze Beschreibung der Regeln und Kriterien

Bestätigen und weisen Sie nach, dass Sie über eine aktuell gültige Zertifizierung des BSI, als zertifizierter IT-Sicherheitsdienstleister mit dem Geltungsbereich IS-Revision und IS-Beratung verfügen.

Die Daten (Patienten- und Diagnosedaten), die in der KV Nordrhein verarbeitet werden, unterliegen sehr hohen Schutzanforderungen, die es erforderlich machen, dass nur Dienstleister in Betracht kommen, die über eine aktuell gültige Zertifizierung des BSI, als zertifizierter IT-Sicherheitsdienstleister mit dem Geltungsbereich IS-Revision und IS-Beratung verfügen.

Genaue Informationen über Fristen für Überprüfungsverfahren

Innerhalb von 15 Kalendertagen nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, kann ein Nachprüfverfahren bei der Vergabekammer beantragt werden (§ 160 Abs. 3 Nr. 4 GWB).