Rahmenvertrag IT-Penetrationstests

Charité Universitätsmedizin Berlin

Die Charité - Universitätsmedizin Berlin, Charitéplatz 1, 10117 Berlin schreibt einen Rahmenvertrag zur Durchführung von Penetrationstests in der IT-Infrastruktur aus. Ziel ist es, im Rahmen von zentral und dezentral beauftragten Penetrationstests eine umfassende Bewertung der Sicherheitslage der IT-Infrastruktur, Anwendungen und des Perimeterschutzes durchzuführen, mögliche Schwachstellen bzw. Sicherheitslücken zu identifizieren und anschließend zu einer Maßnahmenplanung zur Verbesserung der Sicherheit zu kommen. Es bestehen gesonderte Anforderungen nach dem Berliner Ausschreibungs- und Vergabegesetz (BerlAVG), siehe Vergabeunterlagen. Nähere Informationen können den auf der Vergabeplattform der Charité (https://vergabeplattform.charite.de) zur Verfügung gestellten Unterlagen entnommen werden.

Deadline

Die Frist für den Eingang der Angebote war 2026-03-16. Die Ausschreibung wurde veröffentlicht am 2026-02-12.

Wer?

• Charité Universitätsmedizin Berlin

Wie?

• Strategische Prüfung und Planung im Bereich Informationssysteme oder -technologie › Informationstechnologiedienste

Wo?

• Köln › Bonn, Kreisfreie Stadt

Geschichte der Beschaffung

Datum	Dokument
2026-02-12	Auftragsbekanntmachung
2026-03-05	Auftragsbekanntmachung
2026-03-19	Auftragsbekanntmachung

Auftragsbekanntmachung (2026-02-12)
Objekt
Umfang der Beschaffung
Titel: Rahmenvertrag IT-Penetrationstests
Referenznummer: AL 9/26
Kurze Beschreibung:

Art des Vertrags: Dienstleistungen
Produkte/Dienstleistungen: Systemberatung und technische Beratung 📦
Beschreibung
Interne Kennung: 1
Zusätzliche Produkte/Dienstleistungen:

Informationstechnologiedienste 📦

IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung 📦

Hauptstandort oder Erfüllungsort: Berlin
Land: Deutschland 🇩🇪
Ort der Leistung: Berlin 🏙️
Dauer: 48 Monate
Maximale Verlängerungen: 3
Weitere Informationen zur Verlängerung:

Der Rahmenvertrag verlängert sich automatisch um jeweils 1 Jahr, wenn dieser nicht 3 Monate vor Vertragsende gekündigt wird. Eine Kündigung ist nur einseitig für die Auftraggeberin möglich. Die Höchstlaufzeit beträgt 48 Monate.

Vergabekriterien
Preis ✅
Preis (Gewichtung): 50
Qualitätskriterium (Bezeichnung): Qualifikation Projektteam
Qualitätskriterium (Gewichtung): 20
Qualitätskriterium (Bezeichnung): Konzept
Ergebnisbericht
Qualitätskriterium (Gewichtung): 10
Titel
Los-Identifikationsnummer: LOT-0001

Verfahren
Art des Verfahrens
Offenes Verfahren ✅
Rechtsgrundlage: Richtlinie 2014/24/EU
Administrative Informationen
Frist für den Eingang von Angeboten oder Teilnahmeanträgen: 2026-03-16 10:00:00 📅
Bedingungen für die Öffnung der Angebote: 2026-03-16 11:00:00 📅
Bedingungen für die Öffnung der Angebote (Ort): Zentrale Vergabestelle der Charité - Universitätsmedizin Berlin
Bedingungen für die Öffnung der Angebote (Informationen über die befugten Personen und das Öffnungsverfahren): Es sind keine Bieter zum Submissionstermin zugelassen (e-Vergabe).
Sprachen, in denen Angebote oder Teilnahmeanträge eingereicht werden können: Deutsch 🗣️
Mindestzeitraum, in dem der Bieter das Angebot aufrechterhalten muss: 44 Tage
Informationen über eine Rahmenvereinbarung oder ein dynamisches Beschaffungssystem
Rahmenvereinbarung mit mehreren Betreibern ✅
Höchstzahl der Teilnehmer: 1
Bedingungen für die Einreichung eines Angebots
Die Bieter können mehrere Angebote einreichen
Eröffnungstermin: 2026-03-16 11:00:00 📅
Ort des Eröffnungstermins: Zentrale Vergabestelle der Charité - Universitätsmedizin Berlin
Zusätzliche Informationen: Es sind keine Bieter zum Submissionstermin zugelassen (e-Vergabe).
Elektronische Rechnungsstellung: Erforderlich
Die elektronische Bestellung wird verwendet ✅
Elektronische Zahlung wird verwendet ✅
Zusätzliche Informationen: Gemäß der gesetzlichen Bedingungen können Unterlagen nachgefordert werden.
Vergabekriterien
Gewichtungsart: Gewichtung (Prozentanteil, genau)

Rechtliche, wirtschaftliche, finanzielle und technische Informationen
Bedingungen für die Teilnahme
Eignungskriterium: Referenzen zu bestimmten Dienstleistungen
Liste und kurze Beschreibung der Regeln und Kriterien:

Gefordert ist eine Unternehmensreferenz aus den letzten 3 Jahren (2023, 2024 und 2025 oder aktueller) über früher ausgeführte oder laufende vergleichbare Aufträge. Vergleichbare Aufträge sind Rahmenverträge für Penetrationstests in Krankenhäusern oder öffentlichen Einrichtungen. Nachzuweisen ist eine Referenz über eine ausgeführte vergleichbare Leistung, welche folgende Merkmale erfüllt: a) Ausführungszeitraum: In den letzten 3 Jahren ausgeführt (laufendes Mandat zulässig). b) Leistungsart: Rahmenvertrag für Penetrationstests auf Anwendungen und (Sicherheits-)Infrastrukturen der Organisation.

Gefordert sind 3 Unternehmensreferenzen aus den letzten 3 Jahren (2023, 2024 und 2025 oder aktueller) für Penetrationstests, davon mindestens ein KRITIS-Betreiber. Nachzuweisen sind drei Unternehmensreferenzen mit Penetrationstestprojekten, die folgende Anforderungen erfüllen: a) Durchführung von Penetrationstests gegen Applikationen oder Infrastrukturen b) Dokumentation von Schwachstellen c) Herausgeben von Maßnahmenempfehlungen zur Behebung der Schwachstellen.

Gefordert sind 2 Unternehmensreferenzen aus den letzten 3 Jahren (2023, 2024 und 2025 oder aktueller) für Beratungsprojekte, davon mindestens ein Klinikum. Nachzuweisen sind 2 Unternehmensreferenzen mit Beratungsprojekten, die folgende Anforderungen erfüllen: a) Planung und Umsetzung von Sicherheitsmaßnahmen b) Bewertung von Risiken / Schwachstellen in der Infrastruktur c) Maßnahmentracking oder Unterstützung des Kunden hierbei.

Eignungskriterium: Zertifikate von unabhängigen Stellen über Qualitätssicherungsstandards
Liste und kurze Beschreibung der Regeln und Kriterien:

Der Bieter ist ein beim BSI zertifizierter Anbieter für IS-Penetrationstests und IS-Revisionen. Der Bieter ist ein beim BSI zertifizierter Anbieter für IS-Penetrationstests und IS-Revisionen. Das Zertifikat muss zum Zeitpunkt der Angebotsabgabe gültig sein und bei Ablauf verlängert werden, solange der Vertrag besteht.

Öffentlicher Auftraggeber
Name und Adressen
Name: Charité Universitätsmedizin Berlin
Nationale Registrierungsnummer: 98005_10000000
Postanschrift: Augustenburger Platz 1
Postleitzahl: 13353
Postort: Berlin
Region: Berlin 🏙️
Land: Deutschland 🇩🇪
Kontaktperson: Zentrale Vergabestelle
E-Mail: zentrale-vergabestelle-vol@charite.de 📧
Telefon: +49 00000000 📞
Adresse des Käuferprofils: https://vergabeplattform.charite.de 🌏
Art des öffentlichen Auftraggebers
Agentur/Amt auf regionaler oder lokaler Ebene
Haupttätigkeit
Gesundheit
Kommunikation
Dokumente URL: https://vergabeplattform.charite.de?tid=79565d2096b94fca5da226fbe5e76cc9 🌏
Teilnahme-URL: https://vergabeplattform.charite.de?tid=79565d2096b94fca5da226fbe5e76cc9 🌏
URL des Beschaffungsinstruments: https://vergabeplattform.charite.de 🌏
Elektronische Einreichung: Erforderlich

Ergänzende Informationen
Zusätzliche Informationen

Die Vergabeunterlagen stehen ausschließlich auf unserem Bieterportal zum Download zur Verfügung. Eine Registrierung ist nicht erforderlich, wird jedoch empfohlen, da Sie dann über alle Änderungen informiert werden und so das Risiko der Einreichung falscher/ungenügender Unterlagen gemindert wird. Ihre Fragen/Hinweise reichen Sie bitte ebenfalls nur über https://vergabeplattform.charite.de ein. Es sind nur elektronische Angebote zugelassen. Signatur und Zusatzsoftware werden nicht benötigt. Bitte beachten Sie, dass die Ausschreibungsunterlagen erst ca. drei Tage nach der Weiterleitung zur Veröffentlichung im Amtsblatt der EU auf dem Bieterportal zur Verfügung stehen.

Für Mediationsverfahren zuständige Stelle
Name: Vergabekammer des Landes Berlin
Nationale Registrierungsnummer: 98137_10112838
Postanschrift: Martin-Luther-Str. 105
Postleitzahl: 10825
Postort: Berlin
Region: Berlin 🏙️
Land: Deutschland 🇩🇪
E-Mail: vergabekammer@senweb.berlin.de 📧
Telefon: +49 30 9013 8316 📞
Körper überprüfen
Wie: Für Mediationsverfahren zuständige Stelle
Verfahren zur Überprüfung
Genaue Informationen über Fristen für Überprüfungsverfahren:

Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung oder in den Vergabeunterlagen erkennbar sind, sind spätestens bis zum Ablauf der Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber zu rügen (§ 160 Abs. 3 GWB). Im Übrigen sind Verstöße gegen Vergabevorschriften innerhalb einer Frist von zehn Kalendertagen nach Kenntnis gegenüber dem Auftraggeber zu rügen. Ein Nachprüfungsantrag ist innerhalb von 15 Kalendertagen nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, bei der zuständigen Vergabekammer zu stellen (§ 160 GWB). Die o.a. Fristengelten nicht, wenn der Auftraggeber gemäß § 135 Absatz 1 Nr. 2 GWB den Auftrag ohne vorherige Veröffentlichung einer Bekanntmachung im Amtsblatt der Europäischen Union vergeben hat, ohne dass dies aufgrund Gesetzes gestattet ist. Setzt sich ein Auftraggeber über die Unwirksamkeit eines geschlossenen Vertrages hinweg, indem er die Informations- und Wartepflicht missachtet (§ 134 GWB) oder ohne vorherige Veröffentlichung einer Bekanntmachung im Amtsblatt der Europäischen Union vergeben hat, ohne dass dies aufgrund Gesetzes gestattet ist, kann die Unwirksamkeit nur festgestellt werden, wenn sie im Nachprüfungsverfahren innerhalb von 30 Kalendertagen nach der Information der betroffenen Bieter und Bewerber durch den öffentlichen Auftraggeber über den Abschluss des Vertrags, jedoch nicht später als sechs Monate nach Vertragsschluss geltend gemacht worden ist. Hat der Auftraggeber die Auftragsvergabe im Amtsblatt der Europäischen Union bekanntgemacht, endet die Frist 30 Kalendertage nach Veröffentlichung der Bekanntmachung der Auftragsvergabe im Amtsblatt der Europäischen Union (§ 135 GWB).

Informationen über elektronische Arbeitsabläufe
Die elektronische Rechnungsstellung wird akzeptiert
Bekanntmachungsangaben
Bevorzugtes Datum der Veröffentlichung: 2026-02-14+01:00 📅
Quelle: OJS 2026/S 032-110534 (2026-02-12)

Auftragsbekanntmachung (2026-03-05)
Verfahren
Administrative Informationen
Frist für den Eingang von Angeboten oder Teilnahmeanträgen: 2026-03-23 10:00:00 📅
Bedingungen für die Öffnung der Angebote: 2026-03-23 11:00:00 📅
Mindestzeitraum, in dem der Bieter das Angebot aufrechterhalten muss: 42 Tage
Bedingungen für die Einreichung eines Angebots
Eröffnungstermin: 2026-03-23 11:00:00 📅

Ergänzende Informationen
Bekanntmachungsangaben
Bevorzugtes Datum der Veröffentlichung: 2026-03-07+01:00 📅

Änderungen
Zu berichtigender Text in der ursprünglichen Bekanntmachung
Los-Identifikationsnummer: LOT-0001
Neuer Wert
Text:

Der Wert für "Deadline Receipt Tenders" (LOT-0001) wurde von "2026-03-16+01:00" auf "2026-03-23+01:00" geändert.

Zu berichtigender Text in der ursprünglichen Bekanntmachung
Änderung der Auftragsunterlagen am ✅
Datum der Änderung der Auftragsunterlagen: 2026-03-05 📅
Neuer Wert
Text:

Der Wert für "Tender Validity Deadline" (LOT-0001) wurde von "44" auf "42" geändert.

Zu berichtigender Text in der ursprünglichen Bekanntmachung
Wie: Zu berichtigender Text in der ursprünglichen Bekanntmachung
Neuer Wert

Der Wert für "Public Opening Date" (LOT-0001) wurde von "2026-03-16+01:00" auf "2026-03-23+01:00" geändert.

Andere zusätzliche Informationen

In dem Verfahren wurden die nachfolgenden Fristen verlängert: - Frist für Bieterfragen wurde bis zum 17.03.2026, 11:00 Uhr - Angebotsfrist bis spätestens 23.03.2026, 10:00 Uhr - Bindefrist: bis spätestens 05.05.2026 In diesem Zusammenhang wurden auch die Dokumente Verfahrensbeschreibung und Angebotsschreiben aktualisiert.

Hauptgrund für die Änderung: Korrektur – Veröffentlichung
Angaben zu Änderungen
Fassung der zu ändernden vorigen Bekanntmachung: a377a80c-90d2-48da-a2d2-d6d5310ac883-01
Quelle: OJS 2026/S 047-163258 (2026-03-05)

Auftragsbekanntmachung (2026-03-19)
Verfahren
Administrative Informationen
Frist für den Eingang von Angeboten oder Teilnahmeanträgen: 2026-04-01 10:00:00 📅
Bedingungen für die Öffnung der Angebote: 2026-04-01 12:00:00 📅
Mindestzeitraum, in dem der Bieter das Angebot aufrechterhalten muss: 46 Tage
Bedingungen für die Einreichung eines Angebots
Eröffnungstermin: 2026-04-01 12:00:00 📅

Ergänzende Informationen
Bekanntmachungsangaben
Bevorzugtes Datum der Veröffentlichung: 2026-03-21+01:00 📅

Änderungen
Zu berichtigender Text in der ursprünglichen Bekanntmachung
Los-Identifikationsnummer: LOT-0001
Neuer Wert
Text:

Der Wert für "Deadline Receipt Tenders" (LOT-0001) wurde von "2026-03-23+01:00" auf "2026-04-01+02:00" geändert.

Zu berichtigender Text in der ursprünglichen Bekanntmachung
Änderung der Auftragsunterlagen am ✅
Datum der Änderung der Auftragsunterlagen: 2026-03-19 📅
Neuer Wert
Text:

Der Wert für "Deadline Receipt Tenders" (LOT-0001) wurde von "10:00:00+01:00" auf "10:00:00+02:00" geändert.

Zu berichtigender Text in der ursprünglichen Bekanntmachung
Wie: Zu berichtigender Text in der ursprünglichen Bekanntmachung
Neuer Wert

Der Wert für "Tender Validity Deadline" (LOT-0001) wurde von "42" auf "46" geändert.

Der Wert für "Public Opening Date" (LOT-0001) wurde von…

… "2026-03-23+01:00" auf "2026-04-01+02:00" geändert.

… "11:00:00+01:00" auf "12:00:00+02:00" geändert.

Andere zusätzliche Informationen
Hauptgrund für die Änderung: Korrektur – Veröffentlichung
Angaben zu Änderungen
Fassung der zu ändernden vorigen Bekanntmachung: a8210918-9608-4975-b6cf-e81ffbd5b6ab-01
Quelle: OJS 2026/S 057-197792 (2026-03-19)

Neue Beschaffungen in verwandten Kategorien 🆕

IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung (>20 neue Beschaffungen)

Softwareprogrammierung und -beratung (>20)

Systemberatung und technische Beratung (16)