Beratungs- und Unterstützungsleistung für das Informationssicherheitsmanagement der KV Nordrhein

Kassenärztliche Vereinigung Nordrhein

Beratungs- und Unterstützungsleistungen für das Informationssicherheitsmanagement der KV Nordrhein

Deadline

Die Frist für den Eingang der Angebote war 2026-02-24. Die Ausschreibung wurde veröffentlicht am 2026-01-23.

Wer?

• Kassenärztliche Vereinigung Nordrhein

Wie?

Wo?

• Düsseldorf › Düsseldorf, Kreisfreie Stadt
• Köln › Bonn, Kreisfreie Stadt
• Münster › Münster, Kreisfreie Stadt

Geschichte der Beschaffung

Datum	Dokument
2026-01-23	Auftragsbekanntmachung

Auftragsbekanntmachung (2026-01-23)
Objekt
Umfang der Beschaffung
Titel: Beratungs- und Unterstützungsleistung für das Informationssicherheitsmanagement der KV Nordrhein
Referenznummer: X-KVNO-2026-0002
Kurze Beschreibung:

Beratungs- und Unterstützungsleistungen für das Informationssicherheitsmanagement der KV Nordrhein

Art des Vertrags: Dienstleistungen
Produkte/Dienstleistungen: Unternehmens- und Managementberatung 📦
Beschreibung
Interne Kennung: LOT-0000
Beschreibung der Beschaffung:

Die KVNO gehört mit rund 24.000 Mitgliedern zu den größten Kassenärztlichen Vereinigungen im Bundesgebiet. Um den ihr übertragenen Gesetzesauftrag leistungs- und bedarfsgerecht nachkommen zu können, ist eine moderne und für die jeweiligen Anforderungen skalierbare IT-Infrastruktur erforderlich. Nur durch eine hohe Automatisierung und optimale Verzahnung von IT-gestützten Verfahren kann die KVNO ihren Mitgliedern ein optimales Leistungsportfolio anbieten. Dieser Anspruch ist gekoppelt mit der Erfordernis, neben einer bedarfsgerechten Bereitstellung von IT-Dienstleistungen auch die gesetzlichen Anforderungen an den Datenschutz sowie Best Practices hinsichtlich der Informationssicherheit zu beachten. Die KVNO trägt diesem Anspruch dadurch Rechnung, dass sie ein zertifiziertes Informationssicherheitsmanagementsystem nach ISO 27001 aufgebaut hat. Weiterhin orientiert sich die KVNO an den IT-Sicherheitsstandards des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Der Leiter der Stabsstelle "Informationssicherheit und Notfallmanagement" ist als Informationssicherheitsbeauftragter zuständig für alle Belange der Informationssicherheit innerhalb der KVNO. Er hat die Aufgabe, alle sicherheitsrelevanten Maßnahmen und Regelungen der KVNO zu planen, zu steuern und zu kontrollieren. Der Informationssicherheitsbeauftrage unterstützt den Vorstand und die Geschäftsführung bei ihren Aufgaben bezüglich der Informationssicherheit. Der Informationssicherheitsbeauftragte ist in seiner Rolle der Geschäftsführung der KVNO direkt unterstellt und berichtet direkt an diese. Zur Erfüllung der im Rahmen des IT-Sicherheitsprozesses notwendigen Aufgaben benötigt der Informationssicherheitsbeauftragte eine kompetente Beratung und Unterstützung im Informationssicherheitsmanagement sowie ein, zur sicherheitstechnischen Untersuchung von IT-Systemen, notwendiges Spezialwissen. Der Auftragnehmer muss in der Lage sein, die folgenden Beratungs- und Unterstützungsleistungen zur Informationssicherheit auf Anforderung zu erbringen: 1 Informationssicherheitsmanagement - Unterstützung bei der Aufrechterhaltung der ISO 27001 Zertifizierung - Unterstützung bei der Erstellung und Fortschreibung von Richtlinien und Reglungen zur Informationssicherheit - Durchführung von ISMS-Audits im Rahmen der ISO 27001 Zertifizierung - Unterstützung und Begleitung der externen ISO 27001 Audits (jeweils Mai/Juni) vor Ort bei der KV an den Standorten Düsseldorf und Köln. 2 Notfallmanagement - Beratung bei der Weiterentwicklung des Notfallmanagements (BSI-Standards 200-4 / ISO 22301: Business Continuity Management). - Planung, Begleitung und Review von Notfallübungen - Planung und Durchführung von Business Impact Analysen - Erstellung von Notfallhandbüchern und prozessspezifischen Geschäftsfortführungsplänen. 3 IT-Sicherheitskonzepte und -Standards - Erstellung und Weiterentwicklung von IT-Sicherheitskonzepten auf Basis des BSI IT-Grundschutz (BSI-Standard 200-2) sowie der ISO 27001. - Durchführung von Basis-Sicherheits-Checks sowie von Risikoanalysen nach ISO 27005 und BSI 200-3. - Überarbeitung/Erstellung von IT-Sicherheitsrichtlinien. 4 Durchführung von Penetrationstest - Durchführung von Penetrationstest gemäß anerkannten Best-Practice Vorgehen (BSI-Studie "Durchführungskonzept für Penetrationstests", OWASP) 5 Unterstützung bei der Herstellung einer NIS 2 Compliance - Fit-Gap-Analyse zur Vorbereitung auf eine NIS-2 Compliance. - Unterstützung bei der Umsetzung erforderlichen Maßnahmen und Konzepte 6 Unterstützung bei der Herstellung einer C5-Compliance - Um perspektivisch die Anforderungen an den C5 -Kriterienkatalog (Cloud Computing Compliance Criteria Catalogue) des BSI zu erfüllen, sind entsprechende Beratungsleistungen zu erbringen. - Fit-Gap-Analyse zur Vorbereitung auf eine C5-Compliance. 7 Definition von Sicherheitsanforderungen beim Einsatz von KI - Definition von Sicherheitsmaßnahmen für Leistungsbeschreibungen im Rahmen von Ausschreibungsverfahren. - Um einen sicherheitskonformen Einsatz von KI-Lösungen zu erreichen, sind entsprechende Beratungsleistungen zu erbringen. Alle mündlichen und schriftlichen Kommunikationen, Berichte und Dokumentationen müssen in deutscher Sprache verfasst werden. Fachbegriffe und technische Nachweise sind hiervon ausgenommen und können in Ihrer Ursprungsprache genutzt werden und bedürfen keiner Übersetzung.

Beschreibung der Beschaffung

Die KVNO gehört mit rund 24.000 Mitgliedern zu den größten Kassenärztlichen Vereinigungen im Bundesgebiet. Um den ihr übertragenen Gesetzesauftrag leistungs- und bedarfsgerecht nachkommen zu können, ist eine moderne und für die jeweiligen Anforderungen skalierbare IT-Infrastruktur erforderlich. Nur durch eine hohe Automatisierung und optimale Verzahnung von IT-gestützten Verfahren kann die KVNO ihren Mitgliedern ein optimales Leistungsportfolio anbieten. Dieser Anspruch ist gekoppelt mit der Erfordernis, neben einer bedarfsgerechten Bereitstellung von IT-Dienstleistungen auch die gesetzlichen Anforderungen an den Datenschutz sowie Best Practices hinsichtlich der Informationssicherheit zu beachten. Die KVNO trägt diesem Anspruch dadurch Rechnung, dass sie ein zertifiziertes Informationssicherheitsmanagementsystem nach ISO 27001 aufgebaut hat. Weiterhin orientiert sich die KVNO an den IT-Sicherheitsstandards des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

Der Leiter der Stabsstelle "Informationssicherheit und Notfallmanagement" ist als Informationssicherheitsbeauftragter zuständig für alle Belange der Informationssicherheit innerhalb der KVNO. Er hat die Aufgabe, alle sicherheitsrelevanten Maßnahmen und Regelungen der KVNO zu planen, zu steuern und zu kontrollieren. Der Informationssicherheitsbeauftrage unterstützt den Vorstand und die Geschäftsführung bei ihren Aufgaben bezüglich der Informationssicherheit. Der Informationssicherheitsbeauftragte ist in seiner Rolle der Geschäftsführung der KVNO direkt unterstellt und berichtet direkt an diese.
Zur Erfüllung der im Rahmen des IT-Sicherheitsprozesses notwendigen Aufgaben benötigt der Informationssicherheitsbeauftragte eine kompetente Beratung und Unterstützung im Informationssicherheitsmanagement sowie ein, zur sicherheitstechnischen Untersuchung von IT-Systemen, notwendiges Spezialwissen.

Der Auftragnehmer muss in der Lage sein, die folgenden Beratungs- und Unterstützungsleistungen zur Informationssicherheit auf Anforderung zu erbringen:

1 Informationssicherheitsmanagement
- Unterstützung bei der Aufrechterhaltung der ISO 27001 Zertifizierung
- Unterstützung bei der Erstellung und Fortschreibung von Richtlinien und Reglungen zur Informationssicherheit
- Durchführung von ISMS-Audits im Rahmen der ISO 27001 Zertifizierung
- Unterstützung und Begleitung der externen ISO 27001 Audits (jeweils Mai/Juni) vor Ort bei der KV an den Standorten Düsseldorf und Köln.

2 Notfallmanagement
- Beratung bei der Weiterentwicklung des Notfallmanagements (BSI-Standards 200-4 / ISO 22301: Business Continuity Management).
- Planung, Begleitung und Review von Notfallübungen
- Planung und Durchführung von Business Impact Analysen
- Erstellung von Notfallhandbüchern und prozessspezifischen Geschäftsfortführungsplänen.

3 IT-Sicherheitskonzepte und -Standards
- Erstellung und Weiterentwicklung von IT-Sicherheitskonzepten auf Basis des BSI IT-Grundschutz (BSI-Standard 200-2) sowie der ISO 27001.
- Durchführung von Basis-Sicherheits-Checks sowie von Risikoanalysen nach ISO 27005 und BSI 200-3.
- Überarbeitung/Erstellung von IT-Sicherheitsrichtlinien.

4 Durchführung von Penetrationstest
- Durchführung von Penetrationstest gemäß anerkannten Best-Practice Vorgehen (BSI-Studie "Durchführungskonzept für Penetrationstests", OWASP)

5 Unterstützung bei der Herstellung einer NIS 2 Compliance
- Fit-Gap-Analyse zur Vorbereitung auf eine NIS-2 Compliance.
- Unterstützung bei der Umsetzung erforderlichen Maßnahmen und Konzepte

6 Unterstützung bei der Herstellung einer C5-Compliance
- Um perspektivisch die Anforderungen an den C5 -Kriterienkatalog (Cloud Computing Compliance Criteria Catalogue) des BSI zu erfüllen, sind entsprechende Beratungsleistungen zu erbringen.
- Fit-Gap-Analyse zur Vorbereitung auf eine C5-Compliance.

7 Definition von Sicherheitsanforderungen beim Einsatz von KI
- Definition von Sicherheitsmaßnahmen für Leistungsbeschreibungen im Rahmen von Ausschreibungsverfahren.
- Um einen sicherheitskonformen Einsatz von KI-Lösungen zu erreichen, sind entsprechende Beratungsleistungen zu erbringen.

Alle mündlichen und schriftlichen Kommunikationen, Berichte und Dokumentationen müssen in deutscher Sprache verfasst werden. Fachbegriffe und technische Nachweise sind hiervon ausgenommen und können in Ihrer Ursprungsprache genutzt werden und bedürfen keiner Übersetzung.

Zusätzliche Produkte/Dienstleistungen:

IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung 📦

Sicherheitsberatung 📦

Dauer: 36 Monate
Informationen über Optionen
Optionen ✅
Beschreibung der Optionen:

Der Vertrag kann zweimal um jeweils zwöf Monate verlängert werden, wenn beide Vertragspartner die Verlängerung bis spätestens drei Monate vor dem jeweiligen Vertragsende schriftlich vereinbaren.

Vergabekriterien
Qualitätskriterium (Bezeichnung): Qualität
Qualitätskriterium (Gewichtung): 50.00
Kostenkriterium (Name): Preis
Kostenkriterium (Gewichtung): 50.00
Titel
Los-Identifikationsnummer: LOT-0000
Beschreibung
Ort der Leistung: Düsseldorf, Kreisfreie Stadt 🏙️
Postanschrift: Tersteegenstraße 9
Postleitzahl: 40474
Stadt: Düsseldorf
Land: Deutschland 🇩🇪

Verfahren
Art des Verfahrens
Offenes Verfahren ✅
Rechtsgrundlage: Richtlinie 2014/24/EU
Administrative Informationen
Frist für den Eingang von Angeboten oder Teilnahmeanträgen: 2026-02-24 10:00:00 📅
Sprachen, in denen Angebote oder Teilnahmeanträge eingereicht werden können: Deutsch 🗣️
Mindestzeitraum, in dem der Bieter das Angebot aufrechterhalten muss: 3 Monate
Bedingungen für die Einreichung eines Angebots
Die Bieter können mehrere Angebote einreichen
Elektronische Rechnungsstellung: Zulässig
Zusätzliche Informationen: Nachforderung wird nicht ausgeschlossen.
Vergabekriterien
Gewichtungsart: Gewichtung (Prozentanteil, genau)

Rechtliche, wirtschaftliche, finanzielle und technische Informationen
Bedingungen für die Teilnahme
Eignungskriterium: Referenzen zu bestimmten Dienstleistungen
Liste und kurze Beschreibung der Regeln und Kriterien:

Weisen Sie nach, in den letzten drei Jahren mindestens fünf vergleichbare Beratungsprojekte bei unterschiedlichen Kunden durchgeführt zu haben, mit dem Ergebnis, dass der Kunde erfolgreich eine Zertifizierung oder Rezertifizierung nach "ISO 27001-Zertifikat auf der Basis von IT-Grundschutz" erreicht hat oder die zu der Ausstellung eines Zertifikates für das Managementsystem nach ISO 27001 geführt haben. Nachweis von 5 vergleichbaren Referenzprojekten unter Angabe von: - detaillierter Projektinhalt - Kundename - Projektlaufzeit von/bis (Monat/Jahr) - die seitens des Anbieters aufgewandten Personentage - Besonderheiten - auskunftsfähiger & auskunftsbereiter Ansprechpartner seitens des Auftraggebers des jeweiligen Referenzprojekts (einschließlich Telefonnummer) Als vergleichbar gelten Projekte, die folgende Merkmale aufweisen: • Beratung eines Informationssicherheitsbeauftragten oder der Geschäftsleitung/Behördenleitung • Umfang von mindestens 50 Personentagen • Thematischer Bezug zu ISMS, BSI IT-Grundschutz, ISO 27001 oder § 75b SGB V

Eignungskriterium: Referenzen zu bestimmten Arbeiten
Liste und kurze Beschreibung der Regeln und Kriterien:

Bestätigen Sie, dass Sie über mehrjährige Projekterfahrungen bei der Erstellung von ISO 27001 sowie der BSI Standards 200-1 bis 200-4 konformen Richtlinien und Konzepten verfügen. Legen Sie aktuelle Projektnachweise aus den letzten drei Jahren über insgesamt 5 von Ihnen erstellten IT-Sicherkonzepten nach den genannten Standards für unterschiedliche Unternehmen (vorzugsweise aus dem Gesundheitssektor) vor.

Eignungskriterium: Relevante Bildungs- und Berufsqualifikationen
Liste und kurze Beschreibung der Regeln und Kriterien:

Bestätigen Sie und weisen sie nach, dass die eingeplante Projektleitung über eine gültige BSI Zertifizierung als Auditteamleiter für ISO 27001-Audits auf der Basis von IT-Grundschutz verfügt oder über eine gültige Berufung zum ISO/IEC 27001 Lead Auditor bei einer DAkkS akkreditierten Zertifizierungsstelle verfügt. Bitte fügen Sie dazu den entsprechenden Nachweis dem Angebot bei.

Eignungskriterium: Durchschnittliche jährliche Belegschaft
Liste und kurze Beschreibung der Regeln und Kriterien:

Darlegung der Anzahl der Mitarbeitenden differenziert nach Tätigkeitsgebieten der Jahre 2023, 2024 und 2025

Eignungskriterium: Informationssicherheit
Liste und kurze Beschreibung der Regeln und Kriterien:

Bestätigen und weisen Sie nach, dass Sie über eine aktuell gültige Zertifizierung des BSI, als zertifizierter IT-Sicherheitsdienstleister mit dem Geltungsbereich IS-Revision und IS-Beratung verfügen. Die Daten (Patienten- und Diagnosedaten), die in der KV Nordrhein verarbeitet werden, unterliegen sehr hohen Schutzanforderungen, die es erforderlich machen, dass nur Dienstleister in Betracht kommen, die über eine aktuell gültige Zertifizierung des BSI, als zertifizierter IT-Sicherheitsdienstleister mit dem Geltungsbereich IS-Revision und IS-Beratung verfügen.

Eignungskriterium: Finanzkennzahlen
Liste und kurze Beschreibung der Regeln und Kriterien:

Positive Bonitätsbestätigung (z. B. Bankauskunft oder Selbstauskunft einer etablierten Auskunftsdatei) ist dem Angebot beizufügen.

Ausschlussgrund:

Beteiligung an einer kriminellen Vereinigung

Betrug

Der Zahlungsunfähigkeit vergleichbare Lage gemäß nationaler Rechtsvorschriften

+ 18 weitere

Direkte oder indirekte Beteiligung an der Vorbereitung des Vergabeverfahrens

Einstellung der gewerblichen Tätigkeit

Geldwäsche oder Terrorismusfinanzierung

Interessenkonflikt aufgrund seiner Teilnahme an dem Vergabeverfahren

Kinderarbeit und andere Formen des Menschenhandels

Korruption

Schwerwiegendes berufliches Fehlverhalten

Terroristische Straftaten oder Straftaten im Zusammenhang mit terroristischen Aktivitäten

Täuschung, Zurückhaltung von Informationen, Unfähigkeit zur Vorlage erforderlicher Unterlagen oder Erlangung vertraulicher Informationen zu dem Verfahren

Vereinbarungen mit anderen Wirtschaftsteilnehmern zur Verzerrung des Wettbewerbs

Verstoß gegen arbeitsrechtliche Verpflichtungen

Verstoß gegen die Verpflichtung zur Entrichtung von Sozialversicherungsbeiträgen

Verstoß gegen die Verpflichtung zur Entrichtung von Steuern

Verstoß gegen sozialrechtliche Verpflichtungen

Verstoß gegen umweltrechtliche Verpflichtungen

Verwaltung der Vermögenswerte durch einen Insolvenzverwalter

Vorzeitige Beendigung, Schadensersatz oder andere vergleichbare Sanktionen

Zahlungsunfähigkeit

Öffentlicher Auftraggeber
Name und Adressen
Name: Kassenärztliche Vereinigung Nordrhein
Nationale Registrierungsnummer: Leitweg-ID: 05111-99005-49
Postanschrift: Tersteegenstr. 9
Postleitzahl: 40474
Postort: Düsseldorf
Region: Düsseldorf, Kreisfreie Stadt 🏙️
Land: Deutschland 🇩🇪
Kontaktperson: Abteilung Einkauf
E-Mail: einkauf@kvno.de 📧
Telefon: +49 21159708434 📞
Fax: +49 21159708320 📠
URL: https://www.kvno.de 🌏
Art des öffentlichen Auftraggebers
Einrichtung des öffentlichen Rechts
Haupttätigkeit
Gesundheit
Kommunikation
Dokumente URL: https://www.deutsches-ausschreibungsblatt.de/VN/X-KVNO-2026-0002 🌏
Teilnahme-URL: https://www.deutsches-ausschreibungsblatt.de/VN/X-KVNO-2026-0002 🌏
Elektronische Einreichung: Zulässig

Ergänzende Informationen
Körper überprüfen
Name: Vergabekammer Westfalen
Nationale Registrierungsnummer: keine Angabe
Postanschrift: Albrecht-Thaer-Straße 9
Postleitzahl: 48147
Postort: Münster
Region: Münster, Kreisfreie Stadt 🏙️
Land: Deutschland 🇩🇪
E-Mail: vergabekammer@brms.nrw.de 📧
Fax: +49 2514112165 📠
URL: https://www.bezreg-muenster.de/themen/wirtschaft-kultur-und-kommunales/vergabekammer-westfalen 🌏
Verfahren zur Überprüfung
Genaue Informationen über Fristen für Überprüfungsverfahren:

Innerhalb von 15 Kalendertagen nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, kann ein Nachprüfverfahren bei der Vergabekammer beantragt werden (§ 160 Abs. 3 Nr. 4 GWB).

Informationen über elektronische Arbeitsabläufe
Die elektronische Rechnungsstellung wird akzeptiert
Bekanntmachungsangaben
Bevorzugtes Datum der Veröffentlichung: 2026-01-23+01:00 📅
Quelle: OJS 2026/S 017-056609 (2026-01-23)

Neue Beschaffungen in verwandten Kategorien 🆕

Dienstleistungen für Unternehmen: Recht, Marketing, Consulting, Einstellungen, Druck und Sicherheit (>20 neue Beschaffungen)

Unternehmens- und Managementberatung und zugehörige Dienste (>20)

Unternehmens- und Managementberatung (>20)

Allgemeine Managementberatung (3)
Beratung im Bereich Finanzverwaltung
Beratung im Bereich Personalverwaltung (2)
Beratung in der Produktionsleitung
Beratung in Sachen Evaluierung (4)
Beschaffungsberatung (2)
Marketing-Beratung (4)
Sicherheitsberatung (1)
Öffentlichkeitsarbeit (4)