EVB-IT Cloudvertrag Digitale Signatur
Bekanntmachung vergebener Aufträge
Ergebnisse des Vergabeverfahrens
Dienstleistungen
Abschnitt I: Öffentlicher Auftraggeber
Postanschrift:[gelöscht]
Ort: München
NUTS-Code: DE2 Bayern
Postleitzahl: 81739
Land: Deutschland
Kontaktstelle(n):[gelöscht]
E-Mail: [gelöscht]
Telefon: [gelöscht]
Internet-Adresse(n):
Hauptadresse: https://www.bitmarck.de/
Abschnitt II: Gegenstand
EVB-IT Cloudvertrag Digitale Signatur
Abschluss eines Rahmenvertrags über Cloudleistungen für die Bereitstellung einer SaaS Lösung digitale Signatur nebst damit im Zusammenhang stehenden Leistungen gem. Einzelabruf
München
Gegenstand des Rahmenvertrages sind folgende Cloudleistungen: SaaS Lösung digitale Signatur nebst damit im Zusammenhang stehende Leistungen gem. Einzelabruf des Auftraggebers. Der Auftraggeber wird die vertragsgegenständlichen Cloudleistungen gem. den Regelungen des EVB-IT Cloudvertrags sowohl für sich selbst als auch für sämtliche mit der BITMARCK-Gruppe aktuell und künftig gesellschaftsrechtlich verbundenen Krankenkassen sowie weiteren Gesellschaften der BITMARCK-Gruppe (Kunden) abrufen.
Abschnitt IV: Verfahren
Abschnitt V: Auftragsvergabe
Abschnitt VI: Weitere Angaben
Die BITMARCK Beratung GmbH hat das zuvor bezeichnete Vergabeverfahren gem. § 63 Abs. 1 S. 1 Nr. 2 VgV wegen wesentlicher Änderungen der Grundlagen des Vergabeverfahrens aufgehoben. Seit dem zweiten Quartal 2023 ist die BITMARCK von einer Cyberattacke auf BITMARCK-interne Systeme betroffen. Die bis dato noch andauernden negativen Folgen sowie die derzeit noch nicht abgeschlossene Analyse zur Aufbereitung der Cyberattacke haben Auswirkungen auf das Vergabeverfahren „Digitale Signatur“ der BITMARCK Beratung GmbH.
.
Öffentlicher Auftraggeber des laufenden Vergabeverfahrens „Digitale Signatur“ ist die BITMARCK Beratung GmbH. Ebendiese Gesellschaft steht im Fokus der Cyberattacke. Die Systeme der BITMARCK Beratung GmbH sind nach der Kompromittierung noch nicht vollständig wiederhergestellt. Die Geschäftstätigkeit der BITMARCK Beratung GmbH ist bis auf weiteres eingestellt und einzig auf das Erfordernis ausgerichtet, Abwehr- und Aufräummaßnahmen vorzunehmen. Es ist bereits derzeit absehbar, dass die BITMARCK Beratung GmbH das Vertragsmanagement und die Inanspruchnahme der Leistungen aus dem Rahmenvertrag EVB-IT Cloudvertrag nicht umsetzen kann. Erforderlich ist, dass zukünftig die BITMARCK Technik GmbH als Vertragsinhaber die Inanspruchnahme der Leistungen und die Erfüllung der Beistellpflichten vornimmt. Auf Seiten der BITMARCK Beratung GmbH ist der Beschaffungsbedarf entfallen, da diese schlicht über keine freien/verfügbaren personellen und sächlichen Ressourcen mehr verfügt, um den EVB-IT Cloudvertrag umzusetzen.
.
Als Konsequenz aus der Cyberattacke ist auf Seiten der BITMARCK überdies bereits beschlossen worden, die Eignungsanforderungen der externen Dienstleister mit Blick auf den Aspekt der IT-Sicherheit zu verschärfen. Darüber hinaus ist noch offen, ob und inwieweit BITMARCK zusätzlich auch BSI-Standards – in Prüfung sind derzeit beispielsweise der BSI-Standard 200-1 („Mana-gementsysteme für Informationssicherheit (ISMS)“, der BSI-Standard 200-2 „IT-Grundschutz-Methodik“ sowie der BSI-Standard 200-3 („Risikomanagement“) – als Eignungsanforderungen, vertragliche Mindestanforderungen und/oder als Leistungs-bewertungskriterien aufgenommen werden sollen. Die BITMARCK hat noch nicht ab-schließend beschlossen, inwieweit und in welcher Form ein zukünftiger Auftragneh-mer eine Notfallplanung zur Bewältigung von Sicherheitsvorfällen, Maßnahmen zum Wiederherstellen gelöschter Dateien oder anderer IT-Dienste, die durch Cyberangriffe gelöscht, verschlüsselt oder unbrauchbar gemacht worden sind (Maßnahmen zur Datensicherung & Disaster Recovery) und einen Incident-Response-Prozess zur Wiederherstellung der IT-Sicherheit im Falle von Sicherheitsvorfällen mit Angebotsabgabe nachzuweisen bzw. vertraglich verpflichtend zu gewährleisten hat.
.
Überdies ist beschlossen worden, dass eigene „Technische & organisatorische Maßnahmen“ der Dienstleister nicht mehr anerkannt werden können. Um einen einheitlichen Schutzstandard bei der Inanspruchnahme externer Leistungen zu gewährleisten und leichter beaufsichtigen zu können, müssen die BITMARCK-TOMs einheitlich für jeden Auftragnehmer verpflichtend sein.
.
Die Aufräumarbeiten als auch die Analyse der take-away’s aus dem Cyberangriff dauern derzeit noch an. Es lässt sich daher noch nicht abschließend beurteilen, in welcher Form und aufgrund welcher vertraglichen Anforderungen die BITMARCK Technik GmbH Cloudleistungen für eine digitale Signatur benötigen wird. Insbesondere sind die Rahmenanforderungen für ein zukünftiges Vertragssetting noch nicht absehbar. Es ist noch offen, ob und inwieweit auch die BITMARCK Beratung GmbH zukünftig in den Vertrag der BITMARCK Technik GmbH eingebunden werden muss/kann.
.
Die BITMARCK Beratung GmbH hat als Vergabestelle ihr Entschließungs- und Handlungsermessen ausgeübt. Mildere Mittel standen angesichts des Wettbewerbs-, Gleichbehandlungs- und Wirtschaftlichkeitsgrundsatzes nicht zur Verfügung.
.
Die BITMARCK Technik GmbH wird die abschließende Aufarbeitung des Cyberangriffs abwarten müssen und anschließend die Vergabeunterlagen grundlegend anpassen und ein neues Vergabeverfahren einleiten. Alle interessierten Unternehmen sind aufgerufen sich an dem neuen Vergabeverfahren zu beteiligen. Die BITMARCK Technik GmbH wird eine EU-Bekanntmachung zum neuen Vergabeverfahren veröffentlichen.
Postanschrift:[gelöscht]
Ort: Bonn
Postleitzahl: 53123
Land: Deutschland
E-Mail: [gelöscht]
Telefon: [gelöscht]
Fax: [gelöscht]
Internet-Adresse: https://www.bundeskartellamt.de/SharedDocs/Kontakt-daten/DE/Vergabekammern.html
Auf die Rügepflichten der Bieter bzw. interessierten Unternehmen sowie Präklusionsfristen gemäß § 160 Abs. 3 S. 1 Nr. 1 bis 4 GWB wird ausdrücklich hingewiesen, insbesondere auf die Rechtsbehelfsfrist des § 160 Abs. 3 S. 1 Nr. 4 GWB.
Nach § 160 Abs. 3 Satz 1 GWB ist ein Antrag auf Nachprüfung unzulässig, soweit
1. der Antragsteller den geltend gemachten Verstoß gegen Vergabevorschriften vor Einreichen des Nachprüfungsantrags erkannt und gegenüber dem Auftraggeber nicht innerhalb einer Frist von zehn Kalendertagen gerügt hat; der Ablauf der Frist nach § 134 Abs. 2 GWB bleibt unberührt,
2. Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, nicht spätestens bis zum Ablauf der in der Bekanntmachung benannten Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden,
3. Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, nicht spätestens bis zum Ablauf der Frist zur Bewerbung oder zur An-gebotsabgabe gegenüber dem Auftraggeber gerügt werden,
4. mehr als 15 Kalendertage nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, vergangen sind.
Postanschrift:[gelöscht]
Ort: Bonn
Postleitzahl: 53123
Land: Deutschland
E-Mail: [gelöscht]
Telefon: [gelöscht]
Fax: [gelöscht]
Internet-Adresse: https://www.bundeskartellamt.de/SharedDocs/Kontakt-daten/DE/Vergabekammern.html