Bug Bounty Program Services
SprinD GmbH
SPRIND GmbH intends to award a framework agreement for the provision of a bug bounty program and vulnerability disclosure services supporting the security of the German EU Digital Identity (EUDI) Wallet ecosystem. The bug bounty platform provider will operate a public bug bounty program on its own plat-form, attract and manage a qualified community of security researchers, and deliver end to end services from submission intake and vulnerability triage to researcher management and bounty payout administration. The agreement is aimed at experienced providers with a proven track record in running large scale bug bounty programmes, especially for public sector bodies or operators of critical infrastructure. Further information on the scope of services can be found in the service description (Annex B of Part C framework agreement).
DeadlineDeadline 2026-06-30
Wer? Wie?- • Strategische Prüfung und Planung im Bereich Informationssysteme oder -technologie › Informationstechnologiedienste
Geschichte der Beschaffung
| Datum | Dokument |
|---|---|
| 2026-05-29 | Auftragsbekanntmachung |
Auftragsbekanntmachung (2026-05-29)
Objekt
Umfang der Beschaffung
Titel: Bug Bounty Program Services
Referenznummer:
Kurze Beschreibung:
Art des Vertrags: Dienstleistungen
Produkte/Dienstleistungen: Informationstechnologiedienste 📦
Geschätzter Wert ohne MwSt: 1 600 000 EUR 💰
Beschreibung
Interne Kennung:
Diese Auftragsvergabe ist auch für kleine und mittlere Unternehmen (KMU) geeignet ✅
Zusätzliche Informationen:
Zusätzliche Produkte/Dienstleistungen: Softwareprogrammierung und -beratung
📦
Postanschrift: Lagerhofstraße 4
Postleitzahl: 04103
Stadt: Leipzig
Land: Deutschland 🇩🇪
Ort der Leistung: Leipzig, Kreisfreie Stadt 🏙️
Dauer: 12 Monate
Maximale Verlängerungen: 2
Weitere Informationen zur Verlängerung:
Informationen über Optionen
Optionen ✅
Beschreibung der Optionen:
Los-Identifikationsnummer:
Verfahren
Art des Verfahrens
Offenes Verfahren ✅
Rechtsgrundlage: Richtlinie 2014/24/EU
Zentrale Elemente des Verfahrens: Reference is made to Section 14 of the Public Procurement Ordinance (VgV).
Administrative Informationen
Frist für den Eingang von Angeboten oder Teilnahmeanträgen: 2026-06-30 10:00:00 📅
Bedingungen für die Öffnung der Angebote: 2026-06-30 10:01:00 📅
Bedingungen für die Öffnung der Angebote (Ort): Bidders are not permitted to attend the opening of bids.
Sprachen, in denen Angebote oder Teilnahmeanträge eingereicht werden können: Englisch 🗣️
Mindestzeitraum, in dem der Bieter das Angebot aufrechterhalten muss: 3 Monate
Informationen über eine Rahmenvereinbarung oder ein dynamisches Beschaffungssystem
Rahmenvereinbarung mit mehreren Betreibern ✅
Höchstzahl der Teilnehmer: 1
Bedingungen für die Einreichung eines Angebots
Die Bieter können mehrere Angebote einreichen
Die Namen und beruflichen Qualifikationen des zur Auftragsausführung eingesetzten Personals sind anzugeben
Eröffnungstermin: 2026-06-30 10:01:00 📅
Ort des Eröffnungstermins: Bidders are not permitted to attend the opening of bids.
Elektronische Rechnungsstellung: Erforderlich
Die elektronische Bestellung wird verwendet ✅
Elektronische Zahlung wird verwendet ✅
Frist für die Anforderung zusätzlicher Informationen: 2026-06-19 23:59:59 📅
Zusätzliche Informationen:
Rechtliche, wirtschaftliche, finanzielle und technische Informationen
Bedingungen für die Teilnahme
Eignungskriterium: Eintragung in das Handelsregister
Liste und kurze Beschreibung der Regeln und Kriterien:
Eignungskriterium: Spezifischer durchschnittlicher Jahresumsatz
Liste und kurze Beschreibung der Regeln und Kriterien:
Eignungskriterium: Referenzen zu bestimmten Dienstleistungen
Liste und kurze Beschreibung der Regeln und Kriterien:
Eignungskriterium: Berufliche Risikohaftpflichtversicherung
Liste und kurze Beschreibung der Regeln und Kriterien:
Eignungskriterium: Zertifikate von unabhängigen Stellen über Qualitätssicherungsstandards
Liste und kurze Beschreibung der Regeln und Kriterien:
Bedingungen für den Vertrag
Bedingungen für die Vertragserfüllung: Reference is made to the tender documents.
Bedingungen für die Teilnahme
Ausschlussgrund:
Beschreibung der Ausschlussgründe:
Öffentlicher Auftraggeber
Name und Adressen
Name: SPRIND GmbH
Nationale Registrierungsnummer:
Postanschrift: Lagerhofstr. 4
Postleitzahl: 04103
Postort: Leipzig
Region: Leipzig, Kreisfreie Stadt 🏙️
Land: Deutschland 🇩🇪
Kontaktperson: Friedrich Graf von Westphalen & Partner mbB Rechtsanwälte
E-Mail: sprind.ausschreibungen@fgvw.de 📧
Telefon: +49697191890-12 📞
Art des öffentlichen Auftraggebers
Einrichtung des öffentlichen Rechts
Haupttätigkeit
Wirtschaft und Finanzen
Kommunikation
Dokumente URL: https://www.dtvp.de/Satellite/notice/CXP4D9LMSTR/documents 🌏
Teilnahme-URL: https://www.dtvp.de/Satellite/notice/CXP4D9LMSTR 🌏
URL des Beschaffungsinstruments: https://www.dtvp.de/Satellite/notice/CXP4D9LMSTR 🌏
Name: Communication shall only take place via the electronic procurement platform DTVP.
Elektronische Einreichung: Erforderlich
Ergänzende Informationen
Zusätzliche Informationen
Körper überprüfen
Name: Vergabekammer des Bundes
Nationale Registrierungsnummer:
Postanschrift: Kaiser-Friedrich-Straße 16
Postleitzahl: 53113
Postort: Bonn
Region: Bonn, Kreisfreie Stadt 🏙️
Land: Deutschland 🇩🇪
E-Mail: vk@bundeskartellamt.bund.de 📧
Fax: +492289499-163 📠
Verfahren zur Überprüfung
Genaue Informationen über Fristen für Überprüfungsverfahren:
Informationen über elektronische Arbeitsabläufe
Die elektronische Rechnungsstellung wird akzeptiert
Bekanntmachungsangaben
Bevorzugtes Datum der Veröffentlichung: 2026-05-29+02:00 📅
Quelle: OJS 2026/S 104-376712 (2026-05-29)
Objekt
Umfang der Beschaffung
Titel: Bug Bounty Program Services
Referenznummer:
EIN-1464
Kurze Beschreibung:
SPRIND GmbH intends to award a framework agreement for the provision of a bug bounty program and vulnerability disclosure services supporting the security of the German EU Digital Identity (EUDI) Wallet ecosystem. The bug bounty platform provider will operate a public bug bounty program on its own plat-form, attract and manage a qualified community of security researchers, and deliver end to end services from submission intake and vulnerability triage to researcher management and bounty payout administration. The agreement is aimed at experienced providers with a proven track record in running large scale bug bounty programmes, especially for public sector bodies or operators of critical infrastructure. Further information on the scope of services can be found in the service description (Annex B of Part C framework agreement).
Mehr anzeigen
Produkte/Dienstleistungen: Informationstechnologiedienste 📦
Geschätzter Wert ohne MwSt: 1 600 000 EUR 💰
Beschreibung
Interne Kennung:
EIN-1464
Diese Auftragsvergabe ist auch für kleine und mittlere Unternehmen (KMU) geeignet ✅
Zusätzliche Informationen:
#Besonders auch geeignet für:other-sme#
The stated estimated value of the framework agreement, amounting to EUR 1.6 million, relates to the maximum contract term of 3 years. The stated maximum value of the framework agreement, EUR 2.4 millions, relates to the maximum contract term of 3 years.
Mehr anzeigen
Postanschrift: Lagerhofstraße 4
Postleitzahl: 04103
Stadt: Leipzig
Land: Deutschland 🇩🇪
Ort der Leistung: Leipzig, Kreisfreie Stadt 🏙️
Dauer: 12 Monate
Maximale Verlängerungen: 2
Weitere Informationen zur Verlängerung:
The Framework Agreement shall remain in force for a fixed term of 12 months from the effective date. The Framework Agreement shall automatically extend for a further period of twelve (12) months unless SPRIND GmbH notifies the Service Provider in writing not later than (thirty) 30 days before the end of the then current term that no such extension shall take effect. Automatic extension pursuant to this Clause may occur on no more than two occasions
Mehr anzeigen
Optionen ✅
Beschreibung der Optionen:
With regard to the options for the SPRIND GmbH, reference is made to the tender documents and, in particular, to the framework agreement.
Titel
Los-Identifikationsnummer:
LOT-0001
Verfahren
Art des Verfahrens
Offenes Verfahren ✅
Rechtsgrundlage: Richtlinie 2014/24/EU
Zentrale Elemente des Verfahrens: Reference is made to Section 14 of the Public Procurement Ordinance (VgV).
Administrative Informationen
Frist für den Eingang von Angeboten oder Teilnahmeanträgen: 2026-06-30 10:00:00 📅
Bedingungen für die Öffnung der Angebote: 2026-06-30 10:01:00 📅
Bedingungen für die Öffnung der Angebote (Ort): Bidders are not permitted to attend the opening of bids.
Sprachen, in denen Angebote oder Teilnahmeanträge eingereicht werden können: Englisch 🗣️
Mindestzeitraum, in dem der Bieter das Angebot aufrechterhalten muss: 3 Monate
Informationen über eine Rahmenvereinbarung oder ein dynamisches Beschaffungssystem
Rahmenvereinbarung mit mehreren Betreibern ✅
Höchstzahl der Teilnehmer: 1
Bedingungen für die Einreichung eines Angebots
Die Bieter können mehrere Angebote einreichen
Die Namen und beruflichen Qualifikationen des zur Auftragsausführung eingesetzten Personals sind anzugeben
Eröffnungstermin: 2026-06-30 10:01:00 📅
Ort des Eröffnungstermins: Bidders are not permitted to attend the opening of bids.
Elektronische Rechnungsstellung: Erforderlich
Die elektronische Bestellung wird verwendet ✅
Elektronische Zahlung wird verwendet ✅
Frist für die Anforderung zusätzlicher Informationen: 2026-06-19 23:59:59 📅
Zusätzliche Informationen:
SPRIND GmbH asks - within its discretion - the bidder to submit, complete or correct documents, within the framework laid down by law (Section 56 (2) VgV).
Der Vertrag enthält Bedingungen zur Vertragsausführung ✅
Rechtliche, wirtschaftliche, finanzielle und technische Informationen
Bedingungen für die Teilnahme
Eignungskriterium: Eintragung in das Handelsregister
Liste und kurze Beschreibung der Regeln und Kriterien:
If the company is registered in the commercial register or a comparable register in the country of origin, submission of a copy of the extract from the commercial register or equivalent proof from the respective country of origin (not older than 90 days at the time of expiry of the tender deadline) at the request of the client (SPRIND GmbH) after expiry of the tender deadline is required. For foreign documents that are not written in German or English, a simple translation into German or English must be enclosed.
Mehr anzeigen
Liste und kurze Beschreibung der Regeln und Kriterien:
Self-declaration regarding the company's total turnover and from the business area for "Bug Bounty Program Services" (area of activity of the contract to be awarded) (EUR / net) in the last three completed financial years. Please use the relevant form "Part_Appendix 01_Self-declarations and evidence".
Mehr anzeigen
Liste und kurze Beschreibung der Regeln und Kriterien:
At least three references from reference provider (RP) for the performance of comparable services (successfully bug bounty programs services for government agencies or operators of critical infrastructure (KRITIS) since January 1, 2023, (it is sufficient that the comparable services were also provided in the reference period in the specified reference project, e.g., a reference that began on January 1, 2022, and ended on February 1, 2023, would be sufficient) are to be provided. Only references to successfully bug bounty program services for government agencies or operators of critical infrastructure (KRITIS) are permitted. Each referenced bug bounty program needs to have at least 10 successful bounty payments and needs to be on a bug bounty platform with at least 1,000 security researchers on it. Each reference must be either completed or ongoing. In the case of an ongoing reference specifications of the planned/contractual project duration and information on the current status must be included. The reference providers must be government agencies or operators of critical infrastructure (KRITIS). For verification purposes, at least one reference must include the contact details of a responsible person at the respective company (reference provider), i.e., name, telephone number, and/or email address. Minimum requirements for each reference are therefore: 1. Since January 1, 2023 2. Completed and ongoing reference; if ongoing, specifications of the planned/contractual project duration and information on the current status of the reference project must be included 3. The respective reference must include successfully bug bounty program services for government agencies or operators of critical infrastructure (KRITIS) 4. Each referenced bug bounty program needs to have at least 10 successful bounty payments 5. Each referenced bug bounty program needs to be on a bug bounty platform with at least 1,000 security researchers on it 6. For all 3 references the name and address of the reference provider must be entered/provided. 7. At least one reference must also include the contact details of a responsible person at the respective company (reference provider), i.e., name, telephone number, and/or email address. 8. Of the three references, at least two must be from different reference providers 9. Self-references, i.e. references where the reference provider is the tenderer or a member of the tendering consortium itself, are not permitted and will not be accepted as valid references. Please use the relevant form "Part A_Appendix 01_Self-declarations and evidence".
Mehr anzeigen
Liste und kurze Beschreibung der Regeln und Kriterien:
Self declaration to undertake to take out and maintain business liability insurance with the coverage amounts specified below in the event of an award. Insurance coverage shall be provided without restriction and in full for the entire duration of the contact. The sum insured is available twice per annum. Financial loss, personal injury, property damage: At least EUR 1,0 million each claim. Please use the relevant form "Part A_Appendix 01_Self-declarations and evidence".
Mehr anzeigen
Liste und kurze Beschreibung der Regeln und Kriterien:
Self-declaration that the relevant company is certified to ISO/IEC 27001, SOC2 Type 2 or equivalent. SPRIND GmbH reserves the right to request a copy of the certificate and in case of an equivalent certificate, additionally the justification/evidence that this certificate is equivalent after deadline for tenders has passed. Documents that are not in German or in English must be translated in German or in English.
Mehr anzeigen
Bedingungen für die Vertragserfüllung: Reference is made to the tender documents.
Bedingungen für die Teilnahme
Ausschlussgrund:
Beteiligung an einer kriminellen Vereinigung
Betrug
Der Zahlungsunfähigkeit vergleichbare Lage gemäß nationaler Rechtsvorschriften
+ 19 weitere
Direkte oder indirekte Beteiligung an der Vorbereitung des Vergabeverfahrens
Einstellung der gewerblichen Tätigkeit
Geldwäsche oder Terrorismusfinanzierung
Interessenkonflikt aufgrund seiner Teilnahme an dem Vergabeverfahren
Kinderarbeit und andere Formen des Menschenhandels
Korruption
Schwerwiegendes berufliches Fehlverhalten
Terroristische Straftaten oder Straftaten im Zusammenhang mit terroristischen Aktivitäten
Täuschung, Zurückhaltung von Informationen, Unfähigkeit zur Vorlage erforderlicher Unterlagen oder Erlangung vertraulicher Informationen zu dem Verfahren
Vereinbarungen mit anderen Wirtschaftsteilnehmern zur Verzerrung des Wettbewerbs
Verstoß gegen arbeitsrechtliche Verpflichtungen
Verstoß gegen die in den rein innerstaatlichen Ausschlussgründen verankerten Verpflichtungen
Verstoß gegen die Verpflichtung zur Entrichtung von Sozialversicherungsbeiträgen
Verstoß gegen die Verpflichtung zur Entrichtung von Steuern
Verstoß gegen sozialrechtliche Verpflichtungen
Verstoß gegen umweltrechtliche Verpflichtungen
Verwaltung der Vermögenswerte durch einen Insolvenzverwalter
Vorzeitige Beendigung, Schadensersatz oder andere vergleichbare Sanktionen
Zahlungsunfähigkeit
In accordance with Sections 123,124 GWB (Act Against Restraints of Competition), Section 21 AEntG (Posted Workers Act), Section 98c AufenthG (Residence Act), Section 19 MiLoG (Minimum Wage Act), Section 21 SchwarzArbG ( Act to Combat Illegal Employment) and Section 22 LkSG (Supply Chain Due Diligence Act)
Mehr anzeigen
Öffentlicher Auftraggeber
Name und Adressen
Name: SPRIND GmbH
Nationale Registrierungsnummer:
HRB 36977
Postanschrift: Lagerhofstr. 4
Postleitzahl: 04103
Postort: Leipzig
Region: Leipzig, Kreisfreie Stadt 🏙️
Land: Deutschland 🇩🇪
Kontaktperson: Friedrich Graf von Westphalen & Partner mbB Rechtsanwälte
E-Mail: sprind.ausschreibungen@fgvw.de 📧
Telefon: +49697191890-12 📞
Art des öffentlichen Auftraggebers
Einrichtung des öffentlichen Rechts
Haupttätigkeit
Wirtschaft und Finanzen
Kommunikation
Dokumente URL: https://www.dtvp.de/Satellite/notice/CXP4D9LMSTR/documents 🌏
Teilnahme-URL: https://www.dtvp.de/Satellite/notice/CXP4D9LMSTR 🌏
URL des Beschaffungsinstruments: https://www.dtvp.de/Satellite/notice/CXP4D9LMSTR 🌏
Name: Communication shall only take place via the electronic procurement platform DTVP.
Elektronische Einreichung: Erforderlich
Ergänzende Informationen
Zusätzliche Informationen
#Bekanntmachungs-ID: CXP4D9LMSTR#
The stated estimated value of the framework agreement, amounting to EUR 1.6 million, relates to the maximum contract term of 3 years. The stated maximum value of the framework agreement, EUR 2.4 millions, relates to the maximum contract term of 3 years
Mehr anzeigen
Name: Vergabekammer des Bundes
Nationale Registrierungsnummer:
022894990
Postanschrift: Kaiser-Friedrich-Straße 16
Postleitzahl: 53113
Postort: Bonn
Region: Bonn, Kreisfreie Stadt 🏙️
Land: Deutschland 🇩🇪
E-Mail: vk@bundeskartellamt.bund.de 📧
Fax: +492289499-163 📠
Verfahren zur Überprüfung
Genaue Informationen über Fristen für Überprüfungsverfahren:
According to Article 160, Section 3 of the German Act Against Restraint of Competition (GWB), application for review is not permissible insofar as 1. the applicant has identified the claimed infringement of the procurement rules before submitting the application for review and has not submitted a complaint to the contracting authority within a period of 10 calendar days; the expiry of the period pursuant to Article 134, Section 2 remains unaffected, 2. complaints of infringements of procurement rules that are evident in the tender notice are not submitted to the contracting authority at the latest by the expiry of the deadline for the application or by the deadline for the submission of bids, specified in the tender notice. 3. complaints of infringements of procurement rules that first become evident in the tender documents are not submitted to the contracting authority at the latest by the expiry of the deadline for application or by the deadline for the submission of bids, 4. more than 15 calendar days have expired since receipt of notification from the contracting authority that it is unwilling to redress the complaint. Sentence 1 does not apply in the case of an application to determine the invalidity of the contract in accordance with Article 135, Section 1 (2). Article 134, Section 1, Sentence 2 remains unaffected.
Mehr anzeigen
Die elektronische Rechnungsstellung wird akzeptiert
Bekanntmachungsangaben
Bevorzugtes Datum der Veröffentlichung: 2026-05-29+02:00 📅
Quelle: OJS 2026/S 104-376712 (2026-05-29)
Neue Beschaffungen in verwandten Kategorien 🆕
- IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung (>20 neue Beschaffungen)