Lieferung und Implementierung einer Network Detection and Response (NDR)-Lösung inkl. deren Pflege und Wartung Referenznummer der Bekanntmachung: 21-0007015
Auftragsbekanntmachung
Lieferauftrag
Abschnitt I: Öffentlicher Auftraggeber
Postanschrift:[gelöscht]
Ort: Frankfurt am Main
NUTS-Code: DE712 Frankfurt am Main, Kreisfreie Stadt
Postleitzahl: 60329
Land: Deutschland
E-Mail: [gelöscht]
Internet-Adresse(n):
Hauptadresse: www.bundesbank.de
Abschnitt II: Gegenstand
Lieferung und Implementierung einer Network Detection and Response (NDR)-Lösung inkl. deren Pflege und Wartung
Die Deutsche Bundesbank beabsichtigt, die Implementierung einer - bereits am Markt etablierten und in einem vergleichbaren Umfeld erfolgreich implemetierten - NDR-Lösung.
Es soll ein Systemlieferungsvertrag abgeschlossen werden, der folgende Punkte abdeckt:
- Kauf und Lieferung des Systems
- Herbeiführung der Betriebsbereitschaft inkl. Schulung des IT-Sicherheitsbetriebs
- Aufrechterhaltung und Wiederherstellung (Störungsbeseitigung) der Betriebsbereitschaft
- Pflege der Soft- und Hardware
Frankfurt am Main Leistungsort ist Frankfurt am Main.
In Abstimmung mit dem Auftraggeber kann die Leistung - sofern sinnvoll und möglich - auch remote erbracht werden. Dies betrifft sowohl die Herbeiführung der Betriebsbereitschaft als auch die Beibehaltung der Betriebsbereitschaft.
Der Auftraggeber präferiert - sofern zum Zeitpunkt der geplanten Leistungserbringung keine anderslautenden internen Vorgaben beim Auftraggeber bestehen - eine Schulung in Präsenz vor Ort. Hiervon kann in Einvernehmen zwischen Auftraggeber und Auftragnehmer abgewichen werden, sofern bei der Schulung sichergestellt wird, dass die Testumgebung des Auftraggebers bei der Schulung verwendet wird.
== Ausgangssituation und Zielsetzung ==
Die Deutsche Bundesbank (kurz BBK; nachstehend - Auftraggeber - genannt) betreibt zahlreiche, unterschiedliche IT-Sicherheitssysteme, Netzwerkgeräte, Server und Applikationen.
Ein erfolgreich durchgeführter Einbruch könnte grundsätzlich alle Schutzbedarfsziele der erreichbaren Infrastrukturen und Anwendungen gefährden. Um potenzielle Beeinträchtigungen von Vertraulichkeit, Integrität, Authentizität, Nachvollziehbarkeit und Verfügbarkeit von Daten, Anwendungen und IT-Systemen durch Angriffe zu erkennen, deren Erfolg oder Misserfolg und Tragweite schnell(er) einzustufen und auch aufgrund der gewonnenen Erkenntnisse schnell geeignete Maßnahmen zur Eindämmung von Sicherheitsvorfällen einleiten zu können, ist eine übergreifende Sicht auf die sicherheitsrelevante Netzwerkkommunikation notwendig.
Ziel ist die Etablierung einer Lösung zur zentralisierten, zeitnahen und automatischen Erkennung und Auswertung von Angriffen und Unregelmäßigkeiten im Netzwerk. Durch die Überwachung der Netzwerkkommunikation sollen bekannte und unbekannte Angriffsmuster erkannt und alarmiert werden. Die Erfassung und Korrelation von Metadaten stellen sicher, dass den Alarmen zugehörige Kontextinformationen sowie eine Einstufung der entsprechen Kritikalität automatisiert ermittelt werden. Durch die Möglichkeit einer retrograden Analyse der erhobenen Daten können auch sicherheitsrelevante Ereignisse in der Vergangenheit überprüft werden.
Die angestrebte Lösung dient zur besseren Erkennung von Angriffen auf die und innerhalb der Infrastruktur des Auftraggebers sowie zur allgemeinen Erhöhung der Sichtbarkeit im Netzwerk als Grundvoraussetzung für sicherheitstechnische Analysen. Eine Bekämpfung der Angriffe und das Schließen evtl. Sicherheitslücken kann schneller durchgeführt werden.
== Auftragsgegenstand ==
Im Rahmen dieser Ausschreibung wird ein Lösungsanbieter gesucht (nachstehend -Auftragnehmer), der eine solche - bereits am Markt etablierte - NDR-Lösung in einem vergleichbaren Umfeld erfolgreich implementiert hat.
Es soll ein Systemlieferungsvertrag abgeschlossen werden, der folgende Punkte abdeckt:
- Kauf und Lieferung des Systems
- Herbeiführung der Betriebsbereitschaft inkl. Schulung des IT-Sicherheitsbetriebs
- Aufrechterhaltung und Wiederherstellung (Störungsbeseitigung) der Betriebsbereitschaft
- Pflege der Soft- und Hardware
== Technische Anforderungen ==
Die Lieferung der Lösung kann in unterschiedlichen Ausprägungen erfolgen.
Hardware Appliance:
Der Auftragnehmer liefert Hardware, Betriebssystem und Anwendungssoftware als vom Hersteller fertig konfektionierte und integrierte Lösung. Diese wird durch den Auftraggeber in dieser Form ins RZ des Auftraggebers eingebaut und in Betrieb genommen.
Software-Lösung - Variante 1 (Software Appliance):
Der Auftragnehmer liefert eine auf VMware ESX lauffähige, bereits durch den Hersteller integrierte Lösung (bspw. als ISO-Image oder als lauffähige "virtuelle Maschine") bestehend aus Betriebssystem und Anwendungssoftware. Der Auftraggeber stellt nach definierten Anforderungen des Auftragnehmers eine "VMware-Hülle" (virtuelle Hardware, Speicherkapazität etc.) bereit.
Software-Lösung - Variante 2:
Auf Server-Hardware (Sizing-Anforderungen werden vom Auftragnehmer vorgegeben) des Auftraggebers und Betriebssystem (Windows, RHEL) des Auftraggebers installiert der Auftragnehmer die Anwendungssoftware.
Das zentrale NDR-Management und die NDR-Sensoren müssen vom selben Hersteller bezogen werden.
Abschnitt III: Rechtliche, wirtschaftliche, finanzielle und technische Angaben
a) Eigenerklärung (gemäß Teilnahmeantrag Nr. 1.1)
über die Eintragung im Berufsregister mit Angabe der Registernummer, ggf. Kopie der Eintragung beifügen (in der Bundesrepublik Deutschland Handelsregister bzw. Handwerksrolle, bei ausländischen Bewerbern Unterlagen gemäß § 44 VgV
b) Eigenerklärung (gemäß Teilnahmeantrag Nr. 1.1)
zu Eintragungen im Wettbewerbsregister. Ab einem Auftragswert von [Betrag gelöscht] EUR netto können öffentliche Auftraggeber gem. § 6 II Nr. 2 WRegG bei der Registerbehörde im Rahmen eines Teilnahmewettbewerbs abfragen, ob Eintragungen im Wettbewerbsregister in Bezug auf diejenigen Bewerber vorliegen, die der Auftraggeber zur Abgabe eines Angebots auffordern will. Bitte erklären Sie Ihr Einverständnis.
c) Eigenerklärung (gemäß Teilnahmeantrag Nr. 1.1)
zu Eintragungen im Gewerbezentralregister über den Bewerber (bei ausländischen Bewerbern Unterlagen gemäß Anhang XI der Richtlinie2014/24/EU)
ODER falls vorhanden Auszug aus dem Gewerbezentralregister (GZRA) - ggf. auch Kopie - nach § 150 Abs. 1 Gewerbeordnung über den Bewerber - nicht älter als 6 Monate, gerechnet ab dem Schlusstermin für den Eingang der Teilnahmeanträge
---- Die Vergabestelle behält sich vor, im Zweifelsfall weitere Eignungsnachweise zu fordern. -----
a) Eigenerklärung (gemäß Teilnahmeantrag Nr. 1.2)
über den Umsatz des Unternehmens in den letzten drei abgeschlossenen Geschäftsjahren (2019-2021), soweit er Leistungen betrifft, die mit der zu vergebenden Leistung vergleichbar sind, unter Einschluss des Anteils der gemeinsam mit anderen Unternehmen ausgeführten Leistungen
b) Eigenerklärung (gemäß Teilnahmeantrag Nr. 1.2)
über eine ausreichende Betriebshaftpflichtversicherung bzw. eine IT-Haftpflichtversicherung i.H.v. mind. [Betrag gelöscht] Euro je Schadensereignis für Sachschäden gemäß beigefügtem Formular (T02_Versicherungsbestätigung_21-0007015). Dem gleichgesetzt ist eine Bestätigung des Versicherers (auf o.a. Formular oder vergleichbar), dass im Auftragsfall die Deckungssummen ohne Bedingungen auf die geforderten Summen erhöht werden ODER der Nachweis einer entsprechenden Betriebshaftpflicht-versicherung bzw. IT-Haftpflichtversicherung mit o.g. Summen. (Hinweis: Die geforderten Schadensarten und Schadenssummen müssen explizit ausgewiesen sein.)
Die Gesamtleistung für alle Versicherungsfälle während der Vertragslaufzeit beträgt mindestens das Zweifache dieser Deckungssummen.
---- Die Vergabestelle behält sich vor, im Zweifelsfall weitere Eignungsnachweise zu fordern. -----
a) Eigenerklärung (gemäß Teilnahmeantrag, Nr. 1.3),
dass alle in den Dokumenten "B03_EVB-IT_Systemvertrag_21-0007015_Anlage 1.docx" (Leistungsbeschreibung) sowie "C04_EVB-IT_Systemvertrag_21-0007015_Anlage_6.xlsx) (Bewertungsmatrix) genannten Anforderungen vollumfänglich erfüllt sind.
Hinweis: Mindestanforderung / Ausschlusskriterium, Nichterfüllung führt zum Ausschluss!
b) Eigenerklärung (gemäß Teilnahmeantrag, Nr. 1.3):
Nachweis von drei Referenzen über mit der aktuell zu vergebenden Leistung (siehe Dokument "TC03_Referenzangaben_zur_Eigenerklärung_21-0007015.docx"), möglichst im vollen Umfang, vergleichbar durchgeführten Aufträge unter Angabe
- der Auftragssumme in EUR
- des Ausführungszeitraums (von MM.JJJJ bis MM.JJJJ) (nicht älter als 3 Jahre ab Veröffentlichung dieser Ausschreibung)
- der Beschreibung der erbrachten Leistung (der Bewerber hat die Vergleichbarkeit darzustellen)
- des Empfängers der Leistung, unter Angabe:
-- des Namens und Ortes des Auftraggebers
-- (sofern vorhanden) Funktionspostfach (Mail) für eine mögliche Kontaktaufnahme. Von der Angabe personenbezogener Daten ist abzusehen.
Bitte verwenden Sie für Ihre Eigenerklärung den Vordruck TC03.
Hinweis: Mindestanforderung / Ausschlusskriterium, Nichterfüllung führt zum Ausschluss!
c) Der Bieter erklärt (gemäß Teilnahmeantrag, Nr. 1.3),
dass für die Erbringung der Leistungen nur Personen eingesetzt werden, welche einwilligen sich einer einfachen Sicherheitsüberprüfung (Stufe 1) gemäß Sicherheitsüberprüfungsgesetz (SÜG) zu unterziehen.
Dem Bieter ist bekannt, dass der Einsatz für den Auftraggeber voraussetzt, dass den für die Überprüfung zuständigen Stellen keine Erkenntnisse über die einzusetzenden Personen vorliegen, die aus Gründen der Sicherheit einem Zutritt zu den Räumen des Auftraggebers entgegenstehen.
d) Eigenerklärung (gemäß Teilnahmeantrag, Nr. 1.3):
über den Partnerstatus beim Hersteller des vorgesehenen Produktes.
Der Bewerber muss erklären,
- ob der Hersteller Partnerstatus vergibt
- welchen Status der Bewerber hat. Die Bescheinigung des Partnerstatus ist möglichst als Kopie beizufügen.
e) Eigenerklärung (gemäß Teilnahmeantrag, Nr. 1.3):
über Zertifizierungen des einzusetzenden Personals für das zur Leistungserbringung vorgesehene Produkt.
Der Bewerber muss erklären,
- ob und ggf. welche technische Zertifizierungen (oder gleichwertige Expertisen) es für das vorgesehene Produkt gibt
- wie viele Mitarbeiter über eine technische Zertifizierung (oder gleichwertige Expertise) für das vorgesehene Produkt verfügen.
f) Eigenerklärung (gem. Teilnahmeantrag, Nr. 1.4):
Allgemeine Informationen über das Unternehmen (z.B. Firmenbroschüre, Zertifikate, Maßnahmen zur Qualitätssicherung)
g) Eigenerklärung (gem. Teilnahmeantrag, Nr. 1.4):
Sofern bereits bekannt Angaben zum Einsatz von Unterauftragnehmern.
Im Falle des Einsatzes von Unterauftragnehmern ist die Teilleistung anzugeben, welche durch Unterauftragnehmer durchgeführt wird. Die namentliche Benennung der Unterauftragnehmer sowie die Einreichung entsprechender Referenzen kann bereits mit dem Teilnahmeantrag erfolgen.
---- Die Vergabestelle behält sich vor, im Zweifelsfall weitere Eignungsnachweise zu fordern. -----
Abschnitt IV: Verfahren
Abschnitt VI: Weitere Angaben
Die gesamte Kommunikation zwischen Bieter und Vergabestelle wird über das Modul "Bieterkommunikation" der Vergabeplattform abgewickelt.
Angebote sind über die Vergabeplattform im entsprechenden Projektraum über das Bietertool im Reiter "Angebote" einzureichen.
Bekanntmachungs-ID: CXP4Y636CZ4
Postanschrift:[gelöscht]
Ort: Bonn
Postleitzahl: 53123
Land: Deutschland
Es gilt eine Frist von 15 Kalendertagen gemäß § 160 Abs. 3 Satz 1 Nr. 4 GWB.
Postanschrift:[gelöscht]
Ort: Frankfurt am Main
Postleitzahl: 60325
Land: Deutschland
Fax: [gelöscht]7
Internet-Adresse: www.bundesbank.de