Offizielle Bezeichnung: AOK-Bundesverband GbR
Postanschrift: Rosenthaler Str. 31
Ort: Berlin
NUTS-Code: DE Deutschland
Postleitzahl: 10178
Land: Deutschland
E-Mail:
Internet-Adresse(n):
Hauptadresse: www.aok.de

Offizielle Bezeichnung: AOK Baden - Württemberg
Postanschrift: Presselstraße 19
Ort: Stuttgart
NUTS-Code: DE Deutschland
Postleitzahl: 70191
Land: Deutschland
E-Mail:
Internet-Adresse(n):
Hauptadresse: www.aok.de

Offizielle Bezeichnung: AOK Bayern - Die Gesundheitskasse
Postanschrift: Carl-Wery-Str. 28
Ort: München
NUTS-Code: DE Deutschland
Postleitzahl: 81739
Land: Deutschland
E-Mail:
Internet-Adresse(n):
Hauptadresse: www.aok.de

Offizielle Bezeichnung: AOK Bremen/Bremerhaven
Postanschrift: Bürgermeister - Smidt - Straße 95
Ort: Bremen
NUTS-Code: DE Deutschland
Postleitzahl: 28195
Land: Deutschland
E-Mail:
Internet-Adresse(n):
Hauptadresse: www.aok.de

Offizielle Bezeichnung: AOK - Die Gesundheitskasse in Hessen
Postanschrift: Basler Str. 2
Ort: Bad Homburg
NUTS-Code: DE Deutschland
Postleitzahl: 61352
Land: Deutschland
E-Mail:
Internet-Adresse(n):
Hauptadresse: www.aok.de

Offizielle Bezeichnung: AOK - Die Gesundheitskasse für Niedersachsen, auch handelnd für die "ARGE Rechenzentrum" der AOK Niedersachsen, der AOK Bremen/Bremerhaven und der AOK Sachsen-Anhalt
Postanschrift: Hildesheimer Str. 273
Ort: Hannover
NUTS-Code: DE Deutschland
Postleitzahl: 30519
Land: Deutschland
E-Mail:
Internet-Adresse(n):
Hauptadresse: www.aok.de

Offizielle Bezeichnung: AOK Nordost - Die Gesundheitskasse
Postanschrift: Brandenburger Straße 72
Ort: Potsdam
NUTS-Code: DE Deutschland
Postleitzahl: 14467
Land: Deutschland
E-Mail:
Internet-Adresse(n):
Hauptadresse: www.aok.de

Offizielle Bezeichnung: AOK NordWest. Die Gesundheitskasse
Postanschrift: Kopenhagener Str. 1
Ort: Dortmund
NUTS-Code: DE Deutschland
Postleitzahl: 44269
Land: Deutschland
E-Mail:
Internet-Adresse(n):
Hauptadresse: www.aok.de

Offizielle Bezeichnung: AOK PLUS - Die Gesundheitskasse für Sachsen und Thürigen
Postanschrift: Sternplatz 7
Ort: Dresden
NUTS-Code: DE Deutschland
Postleitzahl: 01067
Land: Deutschland
E-Mail:
Internet-Adresse(n):
Hauptadresse: www.aok.de

Offizielle Bezeichnung: AOK Rheinland/Hamburg - Die Gesundheitskasse
Postanschrift: Kasernenstraße 61
Ort: Düsseldorf
NUTS-Code: DE Deutschland
Postleitzahl: 40213
Land: Deutschland
E-Mail:
Internet-Adresse(n):
Hauptadresse: www.aok.de

Offizielle Bezeichnung: AOK Rheinland - Pfalz/Saarland - Die Gesundheitskasse
Postanschrift: Virchowstraße 30
Ort: Eisenberg
NUTS-Code: DE Deutschland
Postleitzahl: 67304
Land: Deutschland
E-Mail:
Internet-Adresse(n):
Hauptadresse: www.aok.de

Offizielle Bezeichnung: AOK Sachsen-Anhalt - Die Gesundheitskasse
Postanschrift: Lüneburger Str. 4
Ort: Magdeburg
NUTS-Code: DE Deutschland
Postleitzahl: 39106
Land: Deutschland
E-Mail:
Internet-Adresse(n):
Hauptadresse: www.aok.de

Offizielle Bezeichnung: AOK Systems GmbH
Postanschrift: Kortrijker Str. 1
Ort: Bonn
NUTS-Code: DE Deutschland
Postleitzahl: 53177
Land: Deutschland
E-Mail:
Internet-Adresse(n):
Hauptadresse: www.aok.de

Offizielle Bezeichnung: gkv informatik GbR
Postanschrift: Lichtscheider Str. 89
Ort: Wuppertal
NUTS-Code: DE Deutschland
Postleitzahl: 42285
Land: Deutschland
E-Mail:
Internet-Adresse(n):
Hauptadresse: www.aok.de

Offizielle Bezeichnung: ITSCare - IT - Services für den Gesundheitsmarkt GbR
Postanschrift: Palleskestraße 1
Ort: Frankfurt am Main
NUTS-Code: DE Deutschland
Postleitzahl: 65929
Land: Deutschland
E-Mail:
Internet-Adresse(n):
Hauptadresse: www.aok.de

Offizielle Bezeichnung: Kubus IT GbR
Postanschrift: Karl-Marx-Straße 7a
Ort: Bayreuth
NUTS-Code: DE Deutschland
Postleitzahl: 95444
Land: Deutschland
E-Mail:
Internet-Adresse(n):
Hauptadresse: www.aok.de

Der Auftrag betrifft eine gemeinsame Beschaffung

Der Auftrag wird von einer zentralen Beschaffungsstelle vergeben

Einrichtung des öffentlichen Rechts

Gesundheit

BüvA_IT-Sicherheitsprüfungen und Dienstleistungen zur technischen Sicherheit

Referenznummer der Bekanntmachung: BüvA_2023-01-24-SYS-DRA

Dienstleistungen

Zur Sicherstellung der Informationssicherheit sollen durch den Auftragnehmer nach Maßgabe der jeweiligen Beschreibungen der sechs Fachlose etwaig auftretende technische Schwachstellen sowie etwaige prozessuale Verbesserungen und Designschwächen in der IT-Landschaft der Auftraggeberinnen zielgerichtet aufgezeigt werden. Des Weiteren sollen von den Auftraggeberinnen derzeit angewendete Konzepte und Standards nach dem Stand der Technik weiterentwickelt werden. Durch eine fachkundige Analyse von IT-Sicherheitsvorfällen sollen Schäden vermieden und zielgerichtet unterbunden werden.

Die AOKs planen die Gründung einer Arbeitsgemeinschaft i.S.v. § 94 Absatz 1a SGB X - wahrscheinlich in der Rechtsform einer Gesellschaft bürgerlichen Rechts - über die vor allem der Betrieb und die Beschaffung von Anwendungen der elektronischen Patientenakte und möglicherweise auch weitergehende Anwendungen der Telematikinfrastruktur wahrgenommen werden sollen (die "AML-Gesellschaft"). Falls und sobald die AML-Gesellschaft rechtskräftig gegründet wurde und rechtsfähig ist, ist sie berechtigt - aber nicht verpflichtet - durch schriftliche Erklärung gegenüber dem Auftragnehmer dem Vertrag als weitere Auftraggeberin beizutreten. Der Auftragnehmer stimmt diesem Beitritt mit Vertragsabschluss unwiderruflich zu.

Aufteilung des Auftrags in Lose: ja

Wert ohne MwSt.: [Betrag gelöscht] EUR

Technische Prüfung

Los-Nr.: 1

NUTS-Code: DE Deutschland

Der IT-Betrieb der Auftraggeberinnen umfasst IT-Systeme, Management-, Netzwerk- und Kommunikationskomponenten sowie Anwendungen, welche zentral, dezentral oder auch bei Dritten betrieben werden. Das Anwendungs-Portfolio wird sowohl durch die AOKs selbst als auch durch externe Partner entwickelt. Es umfasst Fachanwendungen zur internen Nutzung durch die Fachabteilungen, Schnittstellen zur Leistungserbringung, Web-Portale für Versicherte und Interessenten sowie Lösungen zur Automatisierung von Aufgaben. Die Entwicklung erfolgt sowohl nach linearen als auch nach iterativen Entwicklungsmodellen. Zu den Anwendungsarten zählen insbesondere:

- Webanwendungen,

- Webservices,

- Mobile Apps für Android und iOS,

- SAP-basierte GKV-Plattform oscare,

- Erweiterungen und Module für Standardanwendungen (bspw. Microsoft Office, Typo 3, Google Angular), sowie

- Kommandozeilenbasierte Skripte.

Im Kontext der gesetzlichen Krankenversicherung verarbeiten die entwickelten Anwendungen im Regelfall Sozialdaten gem. § 67 Abs. 1 SGB X. Je nach Verfahren werden darüber hinaus weitere, besondere Datenkategorien gem. Art. 9 Ab. 1 Datenschutz-Grundverordnung (DSGVO), verarbeitet. Als jeweils eigenständige Körperschaften des öffentlichen Rechts können bei den AOKs sowie bei deren Arbeitsgemeinschaften (wie z.B. AOK-Bundesverband GbR, ITSCare GbR, gkv informatik, kubusIT GbR, AML-Gesellschaft) auch weitere Anforderungen an die Datenverarbeitung aus bundeslandspezifischen Regelungen und Vorgaben hinzukommen.

Gegenstand der Ausschreibung im Rahmen des Loses 1 waren Technische Prüfungen auf alle im IT-Betrieb relevanten Komponenten. Die Technischen Prüfungen gliedern sich in vier Bereiche:

- Überprüfung von Konfigurationen,

- Scannen von IT-Komponenten und Netzbereichen auf Schwachstellen,

- Durchführung von Penetrationstests, sowie

- Durchführung individueller Prüfungen.

Konfigurationsprüfungen dienen zur Identifizierung von Schwachstellen, die sich aus der aktuellen Konfiguration ergeben. Schwachstellenscans sollen bei der Identifizierung bisher nicht erkannter Schwachstellen unterstützen. Dazu sind sowohl ein interner als auch ein externer Netzbereich oder einzeln benannte IT-Komponenten mit geeigneten Werkzeugen automatisiert zu überprüfen und manuell zu ergänzen. Penetrationstests sind nach einem etablierten und anerkannten Standard für Penetrationstests (OSSTMM oder vergleichbar) durchzuführen und zwar grundsätzlich als Grey-Box Test. Bei kleineren Funktionserweiterungen ohne wesentliche Architekturprüfungen sind ergänzende Penetrationstests durchzuführen. Darüber hinaus sind Passwortaudits zur Identifizierung unsicherer Passwörter zu erbringen.

Abgrenzung:

Ist im Rahmen einer Begutachtung für die gematik GmbH eine technische Prüfung, beispielsweise ein Penetrationstest oder Schwachstellenscan, durchzuführen, ist dies Bestandteil von Los 6 "Auditierung Informationssicherheit und KRITIS" und dort als Leistung zu erbringen.

Qualitätskriterium - Name: Konzept / Gewichtung: 50 %

Preis - Gewichtung: 50 %

Optionen: nein

Der Auftrag steht in Verbindung mit einem Vorhaben und/oder Programm, das aus Mitteln der EU finanziert wird: nein

Beratungs- und Dienstleistungen zum sicheren IT-Betrieb

Los-Nr.: 2

NUTS-Code: DE Deutschland

Die Auftraggeberinnen nutzen ein breites Portfolio an individuell angepassten Standardanwendungen und Individualanwendungen. Der Betrieb der IT-Landschaft wird überwiegend durch ausgegründete IT-Dienstleister durchgeführt. Zur Leistungserbringung von Basisdiensten (bspw. Rechenzentrums-, Plattform-, Netzwerkinfrastruktur- oder Telefoniebetrieb) greifen diese ihrerseits teilweise auf externe, nicht zur AOK-Gemeinschaft gehörende, Service Provider zurück.

Gegenstand der Ausschreibung im Rahmen des Loses 2 waren die Beratung der Auftraggeberinnen in Fragen der IT-Sicherheit und die Unterstützung mit folgenden Dienstleistungen:

- Erstellung und Pflege von Empfehlungen zur Systemhärtung (Härtungsempfehlungen) und Sicherheitsstandards

- Durchführung von Prozessanalysen

- Bewertung von Konzepten zum sicheren IT-Betrieb

- Unterstützung bei Erstellung und Pflege von Sicherheitskonzepten

- Beratung zur IT-Sicherheit.

- Workshops zu sicherheitsrelevanten Aspekten einer IT-Komponente.

Abgrenzungen:

- Ausgeschlossen sind Beratungsleistungen nach §8a BSIG / (KritisV) und Themen zur Informationssicherheit, die sich aus der ISO/IEC 27001ff ergeben

- Durchgeführten Risiko- und Gefährdungsanalysen sind rein technisch unter Anwendung der spezifischen Risikobewertungsmethodik der Auftraggeberinnen zu betrachten

- Die Beratung, Planung, Konzeptionierung und Durchführung von Awareness-Schulungen und Sensibilisierungsmaßnahmen sind Bestandteil von Los 5.

Qualitätskriterium - Name: Konzept / Gewichtung: 50 %

Preis - Gewichtung: 50 %

Optionen: nein

Der Auftrag steht in Verbindung mit einem Vorhaben und/oder Programm, das aus Mitteln der EU finanziert wird: nein

Sichere Anwendungsentwicklung

Los-Nr.: 3

NUTS-Code: DE Deutschland

Die Auftraggeberinnen verfügen über ein breites Portfolio an Anwendungen. Diese Anwendungen werden sowohl durch die AG selbst, aber auch durch externe Partner entwickelt. Bei den Anwendungen handelt es sich u. a. um Fachanwendungen zur internen Nutzung durch die Fachabteilungen, Schnittstellen zur Leistungserbringung, Web-Portale für Versicherte und Interessenten oder auch Lösungen zur Automatisierung von Aufgaben. Die Entwicklung erfolgt sowohl nach linearen als auch nach iterativen Entwicklungsmodellen. Zu den Anwendungsarten zählen insbesondere:

- Webanwendungen

- Webservices

- Mobile Apps für Android und iOS

- SAP-basierte GKV-Plattform oscare

- Erweiterungen und Module für Standardanwendungen (bspw. Microsoft Office, Typo 3, Google Angular),

- Kommandozeilenbasierte Skripte.

Im Kontext der gesetzlichen Krankenversicherung verarbeiten die entwickelten Anwendungen im Regelfall Sozialdaten gem. § 67 Abs. 1 SGB X. Je nach Verfahren werden darüber hinaus weitere, besondere Datenkategorien gem. Art. 9 Ab. 1 Datenschutz-Grundverordnung (DSGVO), verarbeitet. Als jeweils eigenständige Körperschaften des öffentlichen Rechts können bei den AOKs sowie bei deren Arbeitsgemeinschaften (wie z.B. AOK-Bundesverband GbR, ITSCare GbR, gkv informatik, kubusIT GbR, AML-Gesellschaft) auch weitere Anforderungen an die Datenverarbeitung aus bundeslandspezifischen Regelungen und Vorgaben hinzukommen.

Gegenstand der Ausschreibung im Rahmen des Loses 3 war die Beratung zur Sicheren Anwendungsentwicklung. Diese gliedert sich in sechs Bereiche:

- Durchführung von Quelltext-Audits

- Überprüfung von Entwicklungsprozessen

- Beratung zur sicheren Anwendungsentwicklung

- Erstellung und Überprüfung von Bedrohungsanalysen

- Erstellung und Überprüfung von Coding Guidelines

- Schulungen mit Schwerpunkt sichere Anwendungsentwicklung.

Bei Quelltext-Audits sollen automatisierte als auch manuelle Analysen durchgeführt werden. Neben statischen, dynamischen und interaktiven Analysen sind auch die Verwendung eingesetzter Softwarekomponenten und deren weitere Abhängigkeiten, z.B. auf bekannte Sicherheitslücken und Lizenzierungen, zu analysieren. Die Anwendungsentwicklungs-Prozesse für Software oder Teile davon sind zu analysieren, um u.a. den Reifegradbewertung des/der Prozesse/s zu ermitteln, eine Risikobewertung vorzunehmen und Verbesserungspotentiale aufzuzeigen. In der Beratung zur sicheren Anwendungsentwicklung sind aktuelle Themen und Trends sowie neue für die Auftraggeberinnen relevante Technologien zu betrachten. Zur Erstellung oder Überprüfung von Bedrohungsanalysen sind zu einer individuellen Anwendung gemäß einem zu vereinbarenden Standard (bspw. Microsoft STRIDE) alle relevanten Informationen zu erheben und zielgerichtet zu ergänzen. Darüber hinaus sind die Auftraggeberinnen bei der risikobasierten Beurteilung identifizierter Bedrohungen zu unterstützen. Coding Guidelines sind zu erstellen, zu überprüfen und ggf. zu aktualisieren unter Berücksichtigung branchenüblicher Frameworks (bspw. Python Django, PHP Laminas) oder Bibliotheken (bspw. Java JAXB, C# RestSharp). Zielgruppengerechte Schulungen mit dem Schwerpunkt sichere Anwendungsentwicklung sind zur Aufrechterhaltung und Verbesserung von Qualifikationen und zur Sensibilisierung durchzuführen.

Qualitätskriterium - Name: Konzept / Gewichtung: 50 %

Preis - Gewichtung: 50 %

Optionen: nein

Der Auftrag steht in Verbindung mit einem Vorhaben und/oder Programm, das aus Mitteln der EU finanziert wird: nein

IT-Forensik

Los-Nr.: 4

NUTS-Code: DE Deutschland

Die Auftraggeberinnen nutzen ein breites Portfolio an individuell angepassten Standardanwendungen und Individualanwendungen. Der Betrieb der IT-Landschaft wird überwiegend durch ausgegründete IT-Dienstleister durchgeführt. Zur Leistungserbringung von Basisdiensten (bspw. Rechenzentrums-, Plattform-, Netzwerkinfrastruktur- oder Telefoniebetrieb) greifen diese ihrerseits teilweise auf externe, nicht zur AOK-Gemeinschaft gehörende, Service Provider zurück.

Gegenstand der Ausschreibung im Rahmen des Loses 4 waren die strategische Vorbereitung der Auftraggeberinnen und die Durchführung forensischer Analysen zur Identifizierung und Sicherung relevanter Daten sowie zur Erstellung gerichtsverwertbarer Beweise.

Im Rahmen der strategischen Vorbereitung sind folgende Leistungen zu erbringen:

- Überprüfung der bestehenden Infrastruktur

- Konfiguration Forensische Workstation

- Leitfaden für Erstmaßnahmen bei einem IT-Sicherheitsvorfall

- Bereitstellung eines Leitfadens für Beweissicherung bei IT-Sicherheitsvorfällen

- Dokumentation der Auswahl von forensischen Werkzeugen

- Überprüfung des Incident Management-Prozesses

Im Rahmen der Vorfallsuntersuchung und -aufklärung sind folgende Leistungen zu erbringen:

- Operationale Vorbereitung

- Datensammlung

- Datenuntersuchung

- Datenanalyse

- Dokumentation des Vorfalles

- Empfehlung zum sofortigen Abschalten oder Weiterbetrieb der IT-Anlage

- Aufbewahrung von Beweismitteln

- Unterstützung der Juristen der AG in technischen Fragestellungen

- Fachliche Unterstützung der AG bei internen Eskalationsmeetings

- Dokumentation von Verbesserungspotenzial bei den AG in der Beweissicherungskette für die AG.

Abgrenzung:

Datenrettung und Reparatur bei Defekten an Speichermedien sind nicht Bestandteil der Leistung.

Qualitätskriterium - Name: Konzept / Gewichtung: 50 %

Preis - Gewichtung: 50 %

Optionen: nein

Der Auftrag steht in Verbindung mit einem Vorhaben und/oder Programm, das aus Mitteln der EU finanziert wird: nein

Beratung zu Informationssicherheit und KRITIS

Los-Nr.: 5

NUTS-Code: DE Deutschland

Die Auftraggeberinnen nutzen ein breites Portfolio an individuell angepassten Standardanwendungen und Individualanwendungen. Der Betrieb der IT-Landschaft wird überwiegend durch ausgegründete IT-Dienstleister durchgeführt. Zur Leistungserbringung von Basisdiensten (bspw. Rechenzentrums-, Plattform-, Netzwerkinfrastruktur- oder Telefoniebetrieb) greifen diese IT-Dienstleister teilweise auf externe, nicht zur AOK-Gemeinschaft gehörende, Service Provider zurück.

Die Auftraggeberinnen sind oder werden teilweise "Betreiber einer kritischen Infrastruktur" nach der Kritis-Verordnung (KritisV) und unterliegen somit zum Teil bereits jetzt oder in Zukunft den Anforderungen aus dem BSIG und der Kritis-Verordnung (KritisV).

Die Auftraggeberinnen orientieren sich überwiegend an der ISO/IEC 27000ff oder ISO/IEC 27001 auf Basis IT-Grundschutz.

Gegenstand der Ausschreibung im Rahmen des Loses 5 war die Beratung zu Informationssicherheit und KRITIS in Fragen der Informationssicherheit und der Nachweisführung nach § 8a Abs. 3 BSIG im regulatorischen Umfeld. Dabei sind folgende Leistungen zu erbringen:

- Beratung und Unterstützung zu Konzeption, Einführung, Betrieb und Weiterentwicklung eines ISMS nach ISO/IEC 27001

- Durchführung von Schulungen inkl. optionaler Zertifizierungsmöglichkeit für die Teilnehmenden

- Konzeption, Beratung, Erstellung, Weiterentwicklung und Etablierung eines B3S nach §8a BSIG (KritisV), sowie Begleitung und Unterstützung des Antragsstellungsverfahrens des B3S beim BSI

- Beratung und Unterstützung zu allen Themen der Informationssicherheit, die sich aus der Normenreihe ISO/IEC 27000ff ergeben,

- Vorbereitung und Begleitung von Audits, die sich aus der Normenreihe ISO 27000ff und/oder der Nachweisführung nach §8a BSIG ergeben

- Beratung und Unterstützung zur Informationssicherheit in Geschäftsprozessen.

Zur Schärfung und Vertiefung des Mitarbeiterbewusstseins zu Themen der IT- und Informationssicherheit sind individuelle, gezielte Awareness- und Präventions-Kampagnen online oder an den jeweiligen Standorten der Auftraggeberinnen zu planen, zu erstellen und durchzuführen.

Abgrenzung:

Folgende Leistungen sind nicht Bestandteil der Leistung, sondern werden von Los 6 abgedeckt:

- Auditierung der Managementsysteme nach ISO 27000f

- Nachweisführung nach § 8a Abs. 3 BSIG

- Zertifizierungs-, Überwachungs-, Rezertifizierungs-Audits sowie Voraudits zur Überprüfung der Zertifizierungsfähigkeit

- Nachweisführung nach § 8a Abs. 3 BSIG und jeweiliger Audit des Managementsystems als Kombinations-Audit

- Zulassungsprüfungen und Erstellung von Sicherheitsgutachten nach Vorgaben der gematik GmbH.

Qualitätskriterium - Name: Konzept / Gewichtung: 50 %

Preis - Gewichtung: 50 %

Optionen: nein

Der Auftrag steht in Verbindung mit einem Vorhaben und/oder Programm, das aus Mitteln der EU finanziert wird: nein

Auditierung Informationssicherheit und KRITIS

Los-Nr.: 6

NUTS-Code: DE Deutschland

Die AG nutzen ein breites Portfolio an individuell angepassten Standardanwendungen und Individualanwendungen. Der Betrieb der IT-Landschaft wird überwiegend durch ausgegründete IT-Dienstleister durchgeführt. Zur Leistungserbringung von Basisdiensten (bspw. Rechen-zentrums-, Plattform-, Netzwerkinfrastruktur- oder Telefoniebetrieb) greifen diese IT-Dienstleister teilweise auf externe, nicht zur AOK Gemeinschaft gehörende, Service Provider zurück.

Die AG sind oder werden teilweise "Betreiber einer kritischen Infrastruktur" nach der Kritis-Verordnung (KritisV) und unterliegen somit zum Teil bereits jetzt oder in Zukunft den Anforderungen aus dem BSIG und in der Folge der KritisV.

Die AG orientieren sich überwiegend an der Normenreihe ISO/IEC 27000ff und ISO/IEC 27001 auf Basis IT-Grundschutz.

Gegenstand der Ausschreibung im Rahmen des Loses 6 war die Auditierung der Informationssicherheit und der Nachweisführung nach § 8a Abs. 3 BSIG im regulatorischen Umfeld. Folgende Leistungen sind zu erbringen:

- Auditierung der Managementsysteme nach ISO 27000f

- Nachweisführung nach § 8a Abs. 3 BSIG

- Zertifizierungs-, Überwachungs-, Rezertifizierungs-Audits sowie Voraudits zur Überprüfung der Zertifizierungsfähigkeit

- Nachweisführung nach § 8a Abs. 3 BSIG und jeweiliger Audit des Managementsystems als Kombinations-Audit

- Zulassungsprüfungen und Erstellung von Sicherheitsgutachten nach Vorgaben der gematik GmbH.

Abgrenzung:

Folgende Leistungen sind nicht Bestandteil der Leistung, sondern werden von Los 5 abgedeckt:

- Beratung und Unterstützung zu Konzeption, Einführung, Betrieb und Weiterentwicklung eines ISMS nach ISO/IEC 27001

- Durchführung von Schulungen inkl. optionaler Zertifizierungsmöglichkeit für die Teilnehmenden

- Konzeption, Beratung, Erstellung, Weiterentwicklung und Etablierung eines B3S nach §8a BSIG (KritisV), sowie Begleitung und Unterstützung des Antragsstellungsverfahrens des B3S beim BSI

- Beratung und Unterstützung zu allen Themen der Informationssicherheit, die sich aus der Normenreihe ISO/IEC 27000ff ergeben

- Vorbereitung und Begleitung von Audits, die sich aus der Normenreihe ISO 27000ff und/oder der Nachweisführung nach §8a BSIG ergeben, sowie

- Beratung und Unterstützung zur Informationssicherheit in Geschäftsprozessen

- Planung und Durchführung von Awareness- und Präventions-Kampagnen.

Qualitätskriterium - Name: Konzept / Gewichtung: 50 %

Preis - Gewichtung: 50 %

Optionen: nein

Der Auftrag steht in Verbindung mit einem Vorhaben und/oder Programm, das aus Mitteln der EU finanziert wird: nein

Offenes Verfahren

Die Bekanntmachung betrifft den Abschluss einer Rahmenvereinbarung

Der Auftrag fällt unter das Beschaffungsübereinkommen: ja

Bekanntmachungsnummer im ABl.: 2023/S 020-055092

Los-Nr.: 1

Technische Prüfung

Ein Auftrag/Los wurde vergeben: ja

17/07/2023

Anzahl der eingegangenen Angebote: 8

Der Auftrag wurde an einen Zusammenschluss aus Wirtschaftsteilnehmern vergeben: nein

Offizielle Bezeichnung: msg systems ag
Ort: Ismaning
NUTS-Code: DE Deutschland
Land: Deutschland

Der Auftragnehmer ist ein KMU: nein

Ursprünglich veranschlagter Gesamtwert des Auftrags/des Loses: [Betrag gelöscht] EUR

Gesamtwert des Auftrags/Loses: [Betrag gelöscht] EUR

Los-Nr.: 2

Beratungs- und Dienstleistungen zum sicheren IT-Betrieb

Ein Auftrag/Los wurde vergeben: ja

17/07/2023

Anzahl der eingegangenen Angebote: 4

Der Auftrag wurde an einen Zusammenschluss aus Wirtschaftsteilnehmern vergeben: nein

Offizielle Bezeichnung: Atos Information Technology GmbH
Ort: Frankfurt
NUTS-Code: DE Deutschland
Land: Deutschland

Der Auftragnehmer ist ein KMU: nein

Ursprünglich veranschlagter Gesamtwert des Auftrags/des Loses: [Betrag gelöscht] EUR

Gesamtwert des Auftrags/Loses: [Betrag gelöscht] EUR

Los-Nr.: 3

Sichere Anwendungsentwicklung

Ein Auftrag/Los wurde vergeben: ja

17/07/2023

Anzahl der eingegangenen Angebote: 3

Der Auftrag wurde an einen Zusammenschluss aus Wirtschaftsteilnehmern vergeben: nein

Offizielle Bezeichnung: Atos Information Technology GmbH
Ort: Frankfurt
NUTS-Code: DE Deutschland
Land: Deutschland

Der Auftragnehmer ist ein KMU: nein

Ursprünglich veranschlagter Gesamtwert des Auftrags/des Loses: [Betrag gelöscht] EUR

Gesamtwert des Auftrags/Loses: [Betrag gelöscht] EUR

Los-Nr.: 4

IT-Forensik

Ein Auftrag/Los wurde vergeben: ja

01/07/2023

Anzahl der eingegangenen Angebote: 3

Der Auftrag wurde an einen Zusammenschluss aus Wirtschaftsteilnehmern vergeben: nein

Offizielle Bezeichnung: Deloitte GmbH Wirtschaftsprüfungsgesellschaft
Ort: München
NUTS-Code: DE Deutschland
Land: Deutschland

Der Auftragnehmer ist ein KMU: nein

Ursprünglich veranschlagter Gesamtwert des Auftrags/des Loses: [Betrag gelöscht] EUR

Gesamtwert des Auftrags/Loses: [Betrag gelöscht] EUR

Los-Nr.: 5

Beratung zu Informationssicherheit und KRITIS

Ein Auftrag/Los wurde vergeben: ja

01/07/2023

Anzahl der eingegangenen Angebote: 7

Der Auftrag wurde an einen Zusammenschluss aus Wirtschaftsteilnehmern vergeben: nein

Offizielle Bezeichnung: TÜV NORD IT Secure Communications GmbH & Co. KG
Ort: Berlin
NUTS-Code: DE Deutschland
Land: Deutschland

Der Auftragnehmer ist ein KMU: ja

Ursprünglich veranschlagter Gesamtwert des Auftrags/des Loses: [Betrag gelöscht] EUR

Gesamtwert des Auftrags/Loses: [Betrag gelöscht] EUR

Los-Nr.: 6

Auditierung Informationssicherheit und KRITIS

Ein Auftrag/Los wurde vergeben: ja

30/06/2023

Anzahl der eingegangenen Angebote: 3

Der Auftrag wurde an einen Zusammenschluss aus Wirtschaftsteilnehmern vergeben: nein

Offizielle Bezeichnung: TÜV Informationstechnik GmbH
Ort: Essen
NUTS-Code: DE Deutschland
Land: Deutschland

Der Auftragnehmer ist ein KMU: nein

Ursprünglich veranschlagter Gesamtwert des Auftrags/des Loses: [Betrag gelöscht] EUR

Gesamtwert des Auftrags/Loses: [Betrag gelöscht] EUR

(I) Das Vergabeverfahren wurde im Auftrag der Auftraggeberinnen vom AOK-Bundesverband durchgeführt.

(II) Abweichend von Ziff. IV.1.3) handelt es sich bei Los 1 um eine Mehrpartnerrahmenvereinbarung mit (eine hinreichende Anzahl an zuschlagsfähigen Angeboten vorausgesetzt) drei Rahmenvertragspartnern.

Bekanntmachungs-ID: CXP4YDK68XU

Offizielle Bezeichnung: Vergabekammer des Bundes beim Bundeskartellamt
Postanschrift: Villemombler Straße 76
Ort: Bonn
Postleitzahl: 53123
Land: Deutschland
Fax: +49 2289499163

03/08/2023