P 590 Erstellung von Dokumenten zur Hilfestellung bei der Systemwiederherstellung nach IT-Sicherheitsvorfällen (Remediation Dokumente) Referenznummer der Bekanntmachung: P 590
Auftragsbekanntmachung
Dienstleistungen
Abschnitt I: Öffentlicher Auftraggeber
Postanschrift:[gelöscht]
Ort: Bonn
NUTS-Code: DEA22 Bonn, Kreisfreie Stadt
Postleitzahl: 53133
Land: Deutschland
E-Mail: [gelöscht]
Internet-Adresse(n):
Hauptadresse: http://www.bsi.bund.de
Abschnitt II: Gegenstand
P 590 Erstellung von Dokumenten zur Hilfestellung bei der Systemwiederherstellung nach IT-Sicherheitsvorfällen (Remediation Dokumente)
Ziel des Projekts ist die Erstellung eines Leitfadens für Betroffene von IT-Sicherheitsvorfällen, in dem Strategien zur Wiederherstellung der Integrität einer IT-Umgebung nach einem IT-Sicherheitsvorfall („Bereinigung“) beschrieben wird. Das zu erstellende Dokument soll ausgehend von den im Rahmen des Vorfalls gewonnen Erkenntnissen über den Verlauf des IT-Sicherheitsvorfalls beschreiben, wie festgelegt wird, welche Teile der betroffenen Umgebung bereinigt werden müssen. Anschließend soll die Planung der Bereinigung beschrieben werden. Des Weiteren soll erläutert werden, welche IT-Sicherheitsmaßnahmen für die neue Umgebung in welcher Reihenfolge etabliert werden müssen. Bei der Erstellung des Dokuments sollen in jedem Prozessschritt verdeutlicht werden, welche Auswirkungen Entscheidungen aus vorherigen Prozessschritten haben, bzw. welche Auswirkungen zu treffende Entscheidungen haben. Das zu erstellende Dokument dient als Entscheidungs- und Organisationsunterstützung für Betroffene. Im Rahmen des Projekts wird durch einen Kick-Off-Workshop und anschließendes Quellenstudium von BSI-Dokumenten zur Vorfallbearbeitung zunächst der Rahmen des Projekts kennengelernt. Anschließend erfolgt die Recherche zu bestehenden Best-Practices und Herstellerempfehlungen zur Härtung von IT-Netzwerken nach IT-Sicherheitsvorfällen, bzw. das Einbringen eigener Erfahrungen aus Projekten des Auftragnehmers. Basierend auf diesen Informationen wird eine erste Outline, bestehende aus Gliederung, Stichpunkten sowie Kernaussagen pro Gliederungspunkt erstellt und dem AG zur Überprüfung übergeben. Anschließend erfolgt die Ausformulierung und die Durchführung der Korrekturschleifen
Beim Auftragnehmer
s. Punkt II 1.4
Abschnitt III: Rechtliche, wirtschaftliche, finanzielle und technische Angaben
1) Eigenerklärung zu Artikel 5k der Verordnung (EU) 833/2014
Im Rahmen des EU-Sanktionspakets im Zusammenhang mit dem Angriffskrieg Russlands auf die Ukraine wurde durch Verordnung (EU) 2022/576 des Rates vom 08.04.2022 folgender Artikel in die Verordnung (EU) 833/2014 aufgenommen:
Artikel 5k
(1) Es ist verboten, öffentliche Aufträge oder Konzessionen, die in den Anwendungs-bereich der Richtlinien über die öffentliche Auftragsvergabe sowie unter Artikel 10 Absatz 1, Absatz 3, Absatz 6 Buchstaben a bis e, Absatz 8, Absatz 9 und Absatz 10 und die Artikel 11, 12, 13 und 14 der Richtlinie 2014/23/EU, unter die Artikel 7 und 8, Artikel 10 Buchstaben b bis f und h bis j der Richtlinie 2014/24/EU, unter Artikel 18, Artikel 21 Buchstaben b bis e und g bis i, Artikel 29 und Artikel 30 der Richtlinie 2014/25/EU und unter Artikel 13 Buchstaben a bis d, f bis h und j der Richtlinie 2009/81/EG fallen, an folgende Personen, Organisationen oder Einrichtungen zu vergeben bzw. Verträge mit solchen Personen, Organisationen oder Einrichtungen weiterhin zu erfüllen:
a) russische Staatsangehörige oder in Russland niedergelassene natürliche oder juristische Personen, Organisationen oder Einrichtungen,
b) juristische Personen, Organisationen oder Einrichtungen, deren Anteile zu über 50 % unmittelbar oder mittelbar von einer der unter Buchstabe a genannten Organisationen gehalten werden, oder
c) natürliche oder juristische Personen, Organisationen oder Einrichtungen, die im Namen oder auf Anweisung einer der unter Buchstabe a oder b genannten Organisationen handeln,
auch solche, auf die mehr als 10 % des Auftragswerts entfällt, Unterauftragnehmer, Lieferanten oder Unternehmen, deren Kapazitäten im Sinne der Richtlinien über die öffentliche Auftragsvergabe in Anspruch genommen werden.
Bestätigen Sie, dass keine der o.g. Ausschlussgründe für eine öffentliche Auftragsvergabe oder Konzessionsvergabe bzw. eine Vertragsweiterführung auf Sie zutreffen und dass Sie auch im Rahmen der Vertragsausführung keine Änderungen vornehmen (z.B. durch Einbindung eines Unterauftragnehmers oder eines Lieferanten), die gegen die o.g. Ausschlussgründe verstoßen?
Bitte die Frage nur mit „JA“ (Bestätigung) oder „NEIN“ (keine Bestätigung) beantworten.
Mindestanforderung: Die Frage wurde mit „Ja“ beantwortet. Wurde die Frage mit „Nein“ beantwortet, so führt dies zum Ausschluss aus dem Vergabeverfahren. Ihnen ist bewusst, dass eine wissentlich falsche Angabe der Erklärung zum Ausschluss aus dem Vergabeverfahren führt und nach Vertragsschluss den Auftraggeber zur außerordentlichen Kündigung berechtigt.
Führen Sie im Angebot lediglich den Titel des Kriteriums sowie Ihre Antwort auf. Verzichten Sie auf die wörtliche oder sinngemäße Zitierung des Kriteriums.
2) Referenzen: Vorfallsbearbeitung / Incident-Response
Legen Sie geeignete Referenzen der letzten 3 Jahre der beteiligten Unternehmen vor. Referenzen sind geeignet, wenn die der Referenz zu Grunde liegenden Projekte hinsichtlich der fachlichen und technischen Leistungsfähigkeit im Wesentlichen ähnliche Anforderungen an die Unternehmen gestellt haben wie die ausgeschriebene Leistung. Dies ist bei der vorliegenden Ausschreibung insbesondere gegeben, bei Erfahrungen in der Bearbeitung von IT-Sicherheitsvorfällen, insbesondere der Wiederherstellung der Integrität der betroffenen IT-Umgebung durch technische und organisatorische Maßnahmen („Remediation“).
Gehen Sie bei der Erstellung des Referenznachweises auf die folgenden Punkte ein:
- Auftraggeber inkl. Fachbereich
- (detaillierte) Darstellung des Auftragsgegenstands / der Tätigkeit
- Umfang / Betroffener Erfahrungsbereich
- Dauer
- Auftragsvolumen
Die Darstellung sollte zwei DIN A4-Seiten pro Referenzprojekt nicht überschreiten.
Es werden keine Referenzschreiben früherer Auftraggeber benötigt.
Mindestanforderung: Insgesamt ist mindestens eine geeignete Referenz vorzulegen. Alle Erfahrungsbereiche müssen durch geeignete Referenzen belegt werden, wobei eine Referenz zur Abdeckung mehrerer Bereiche herangezogen werden darf.3) Referenzen: wissenschaftliche Publikationen
Belegen Sie anhand von mindestens einer Referenz, dass mindestens eines der beteiligten Unternehmen Erfahrungen in der Publikation von wissenschaftlichen Artikeln hat.
Gehen Sie dabei auf folgende Punkte ein:
- veröffentlichte Artikel (Liste und PDFs der Artikel)
- Art der Veröffentlichung (Journal oder Konferenz, peer-reviewed oder nicht)
- Abstract des Artikels
- Rolle des AN bei der Erstellung und Publikation der Artikel
Die Darstellung sollte insgesamt einen Umfang von 3 DIN A4-Seiten (ohne Artikel im PDF-Format) nicht überschreiten.
3) Referenzen: Absicherung von komplexen IT-Netzwerken
Belegen Sie anhand von Referenzprojekten, dass mindestens eines der beteiligten Unternehmen umfangreiche praktische Erfahrung mit der Einführung von technischen IT-Sicherheitsmaßnahmen in bereits bestehende komplexe IT-Netzwerken besitzt.
Die Unternehmen müssen dabei belegen, dass sie sowohl an der Konzeption solcher Maßnahmen, als auch an der technischen Einführung durch selbstständige Implementierung oder fachliche Begleitung der Kunden beteiligt waren.
Gehen Sie bei der Erstellung des Referenznachweises auf die folgenden Punkte ein:
- Auftraggeber inkl. Fachbereich
- (detaillierte) Darstellung des Auftragsgegenstands / der Tätigkeit
- Umfang / Betroffener Erfahrungsbereich
- Dauer
- Auftragsvolumen
Die Darstellung sollte zwei DIN A4-Seiten pro Referenzprojekt nicht überschreiten.
Es werden keine Referenzschreiben früherer Auftraggeber benötigt.
Mindestanforderung: Insgesamt ist mindestens eine geeignete Referenz vorzulegen. Alle Erfahrungsbereiche müssen durch geeignete Referenzen belegt werden, wobei eine Referenz zur Abdeckung mehrerer Bereiche herangezogen werden darf.5) Referenzen: Prüfung von Systemen im Bereich Mobilität
Belegen Sie anhand von Referenzprojekten, dass mindestens eines der beteiligten Unternehmen umfangreiche Kenntnisse und praktische Erfahrungen in der Prüfung von Systemen im Mobilitätsbereich besitzt.
Eine möglichst breite Erfahrung in der Entwicklung, Anwendung, Evaluation und Standardisierung von Prüfprozessen ist wünschenswert. Durch die Mitarbeiter müssen diesbezüglich mind. zwei Use-Cases abgedeckt sein, idealerweise mit einem breiten Spektrum.
Gehen Sie dabei auf folgende Punkte ein:
- Auftraggeber inkl. Fachbereich
- Gegenstand der Prüfungen
- Umfang / Komplexität / Dauer
- ggf. Gremienmitarbeit bei Standardisierungsaktivitäten und Mitwirkung an der Verfassung von entsprechenden Dokumenten
- ggf. Beteiligung bei der Neuentwicklung von Prüfmethodologien und Prüfwerkzeugen
Die Darstellung sollte eine DIN A4-Seite pro Referenz und insgesamt einen Umfang von fünf DIN A4-Seiten nicht überschreiten.
Es werden keine Referenzschreiben früherer Auftraggeber benötigt.
Mindestanforderung: Eine Referenz darf zur Abdeckung mehrerer Bereiche herangezogen werden. Insgesamt sind mindestens drei Referenzen vorzulegen.
Referenzen sind geeignet, wenn die der Referenz zu Grunde liegenden Projekte hinsichtlich der fachlichen und technischen Leistungsfähigkeit im Wesentlichen ähnliche Anforderungen an die Unternehmen gestellt haben wie die ausgeschriebene Leistung.
4) Referenzen: Veröffentlichung im Projektkontext
Belegen Sie anhand von Beispielen, dass mindestens eines der beteiligten Unternehmen in der Vergangenheit Artikel, Whitepaper oder Konferenzbeiträge zu den Themen aus Nr. 2 und Nr. 3 erstellt haben. Diese Beiträge müssen sich jeweils an ein technisches Fachpublikum gewandt haben.
Gehen Sie dabei auf folgende Punkte ein:
- Thema
- Kurzzusammenfassung
- Datum der Veröffentlichung
- Verweis auf Veröffentlichung
Die Darstellung sollte eine DIN A4-Seite pro Referenz nicht überschreiten.
Es werden keine Referenzschreiben früherer Auftraggeber benötigt.
Mindestanforderung: In den letzten fünf Jahren wurden mindestens 2 Beiträge in den referenzierten Themenbereichen veröffentlicht.
5) Referenzen: IT-Betrieb
Belegen Sie anhand von Beispielen, dass mindestens eines der beteiligten Unternehmen in der Vergangenheit Erfahrung im Betrieb von IT-Umgebungen hat.
Gehen Sie bei der Erstellung des Referenznachweises auf die folgenden Punkte ein:
- Auftraggeber inkl. Fachbereich
- (detaillierte) Darstellung des Auftragsgegenstands / der Tätigkeit
- Umfang / Betroffener Erfahrungsbereich
- Dauer
- Auftragsvolumen
Mindestanforderung: Insgesamt ist mindestens eine geeignete Referenz vorzulegen
6) Qualitätsmanagement
Bitte stellen Sie das Qualitätsmanagement Ihres Unternehmens dar. Machen Sie bitte auch Angaben zu Zertifizierungen, die Ihr Unternehmen erworben hat.
Mindestanforderung: Es ist ein Qualitätsmanagement etabliert und dokumentiert und kann nachgewiesen werden.
Ausführungsbedingungen gemäß Auftragsunterlagen
Abschnitt IV: Verfahren
Abschnitt VI: Weitere Angaben
Postanschrift:[gelöscht]
Ort: Bonn
Postleitzahl: 53123
Land: Deutschland
E-Mail: [gelöscht]
Telefon: [gelöscht]
Fax: [gelöscht]
Internet-Adresse: http://www.bundeskartellamt.de
Unternehmen haben Anspruch darauf, dass das BSI die Bestimmungen über das Vergabeverfahren einhält, vgl. § 97 Abs. 6 Gesetz gegen Wettbewerbsbeschränkungen (GWB). Rechte aus § 97 Abs. 6 sowie sonstige Ansprüche gegen das BSI, die auf die Vornahme oder das Unterlassen einer Handlung in einem Vergabeverfahren gerichtet sind, können nur vor den Vergabekammern und dem Beschwerdegericht geltend gemacht werden, § 156 Abs. 2 GWB. Die Vergabekammer leitet ein Nachprüfungsverfahren nur auf Antrag ein, § 160 Abs. 1 GWB.
Es wird darüber belehrt, dass ein solcher Nachprüfungsantrag gemäß § 160 Abs. 3 Satz 1 GWB unzulässig ist, soweit
1. der Antragsteller den geltend gemachten Verstoß gegen Vergabevorschriften vor Einreichen des Nachprüfungsantrags erkannt und gegenüber dem BSI nicht innerhalb einer Frist von zehn Kalendertagen gerügt hat; der Ablauf der Frist nach § 134 Absatz 2 bleibt unberührt,
2. Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, nicht spätestens bis zum Ablauf der in der Bekanntmachung benannten Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem BSI gerügt werden,
3. Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, nicht spätestens bis zum Ablauf der Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem BSI gerügt werden,
4. mehr als 15 Kalendertage nach Eingang der Mitteilung des BSI, einer Rüge nicht abhelfen zu wollen, vergangen sind.
Die o.g. vier Unzulässigkeitsgründe gelten gemäß § 160 Abs. 3 Satz 2 GWB nicht bei einem Antrag auf Feststellung der Unwirksamkeit des Vertrags nach § 135 Abs. 1 Nr. 2 GWB. § 134 Abs. 1 Satz 2 GWB bleibt unberührt.