Offizielle Bezeichnung: NRW.BANK AöR
Postanschrift: Kavalleriestraße 22
Ort: Düsseldorf
NUTS-Code: DEA11 Düsseldorf, Kreisfreie Stadt
Postleitzahl: 40213
Land: Deutschland
Kontaktstelle(n): Einkauf
E-Mail:
Internet-Adresse(n):
Hauptadresse: www.nrwbank.de

Die Auftragsunterlagen stehen für einen uneingeschränkten und vollständigen direkten Zugang gebührenfrei zur Verfügung unter: https://www.evergabe.nrw.de/VMPSatellite/notice/CXPNYH5DZV0/documents

Weitere Auskünfte erteilen/erteilt folgende Kontaktstelle:

Offizielle Bezeichnung: Kapellmann und Partner Rechtsanwälte mbB
Postanschrift: Stadttor 1
Ort: Düsseldorf
NUTS-Code: DEA11 Düsseldorf, Kreisfreie Stadt
Postleitzahl: 40219
Land: Deutschland
E-Mail:
Internet-Adresse(n):
Hauptadresse: http://www.kapellmann.de

Angebote oder Teilnahmeanträge sind einzureichen elektronisch via: https://www.evergabe.nrw.de/VMPSatellite/notice/CXPNYH5DZV0

Einrichtung des öffentlichen Rechts

Wirtschaft und Finanzen

NRW.BANK - Vergabe Breach & Attack Simulation Tool (BAST)

Referenznummer der Bekanntmachung: 583-004093-00-101-79520

Lieferauftrag

Es wird eine Breach & Attack Simulation Tool (nachfolgend BAST) gesucht, mit welchem die NRW.BANK in der Lage ist, selbstständig und automatisiert Penetration Tests auf dedizierte IT-Infrastruktur Komponenten (nachfolgend IT-IS Komponenten genannt) zu simulieren. Auf diese IT-IS Komponenten werden die Agenten des BAST installiert. Die IT-IS Komponenten sollen nicht wirklich angegriffen werden, um die Funktionalität der Systeme nicht zu beeinträchtigen. Dies schließt auch die Nutzung von Angriffssoftware, bspw. Angriffe auf Basis von metasploits aus.

Das BAST soll im Cloud Modell Software as a Service (SaaS) zur Verfügung gestellt werden.

Geplant ist das im BAST initial ca. 3400 Assets (ca. 800 Server und ca. 2600 Clients) betrieben werden.

Der Vertrag hat eine Laufzeit inklusive Verlängerungen von vier Jahren ab go.live.

Aufteilung des Auftrags in Lose: nein

NUTS-Code: DEA11 Düsseldorf, Kreisfreie Stadt

siehe kurze Beschreibung

Der Preis ist nicht das einzige Zuschlagskriterium; alle Kriterien sind nur in den Beschaffungsunterlagen aufgeführt

Laufzeit in Monaten: 48

Dieser Auftrag kann verlängert werden: ja

Beschreibung der Verlängerungen:

Der Vertrag beginnt mit Zuschlagserteilung und hat eine Grundlaufzeit von einem Jahr ab Golive. Er verlängert sich jeweils um ein weiteres Jahr, maximal auf insgesamt 4 Jahre, soweit er nicht mit einer Frist von sechs Monaten zum jeweiligen Laufzeitende von einer Partei gekündigt wird

Varianten/Alternativangebote sind zulässig: nein

Optionen: ja

Beschreibung der Optionen:

siehe Vergabeunterlagen

Der Auftrag steht in Verbindung mit einem Vorhaben und/oder Programm, das aus Mitteln der EU finanziert wird: nein

Auflistung und kurze Beschreibung der Bedingungen:

Mit dem Angebot sind einzureichen:

(1) Nachweis der Eintragung in ein Berufs- oder Handelsregister oder Nachweis auf andere Weise über die erlaubte Berufsausübung. Bei ausländischen Bietern sind vergleichsweise Bescheinigungen vorzulegen. Der Nachweis darf nicht älter als 6 Monate sein.

(2) Eigenerklärung zur Umsetzung von Artikel 5k Absatz 1 der Verordnung (EU) Nr. 833/2014 in der Fassung des Art. 1 Ziff. 15 der Verordnung (EU) 2022/1269 des Rates vom 21. Juli 2022 (EU-Sanktionspaket) (Vordruck in den Vergabeunterlagen enthalten)

(3) Eigenerklärung zu Ausschlussgründen nach §§ 123 f. GWB (Vordruck in den Vergabeunterlagen enthalten)

Auflistung und kurze Beschreibung der Eignungskriterien:

Mit dem Angebot sind einzureichen:

(1) Eigenerklärung über den Umsatz im ausgeschriebenen und für das Unternehmen vorgesehenen Tätigkeitsbereich jeweils bezogen auf die letzten 3 abgeschlossenen Geschäftsjahre

Möglicherweise geforderte Mindeststandards:

zu (1)

Der Bieter hat in der Summe in den letzten 3 abgeschlossenen Geschäftsjahren einen Netto-Umsatz im ausgeschriebenen und für das Unternehmen vorgesehenen Tätigkeitsbereich in Höhe von mind. 1,5 Mio. Euro nachzuweisen

Auflistung und kurze Beschreibung der Eignungskriterien:

Mit dem Angebot sind einzureichen:

(1) Eigenerklärung, dass der Cloudanbieter des BAST ein Unternehmen mit Rechenzentren in DE ist und das BAST in Deutschland gehostet wird.

(2) Nachweis der Informationssicherheit anhand vorliegender oder laufenden Zertifizierung nach ISO 27001 oder vergleichbar mit einem den Ausschreibungsgegenstand umfassenden Gültigkeitsbereich

(3) Der Bieter ist nach SOC2 zertifiziert. Das Zertifikat sowie der entsprechende Auditbericht sind der AG zu liefern.

(4) Benennung von zwei Referenzkunden für zwei erfolgreich in Betrieb genommene Projekte (zum Ablauf Angebotsfrist, bereits seit mind. 6 Monaten nach Go Live in Betrieb). Leistungsinhalt dieser Referenzprojekte: die Bereitstellung eines Breach & Attack Simulation Tool (BAST).

Möglicherweise geforderte Mindeststandards:

Eigenerklärungen und Nachweise gemäß Ziffer III.1.3 Nr. (1) bis (4)

siehe Vergabeunterlagen

Offenes Verfahren

Der Auftrag fällt unter das Beschaffungsübereinkommen: ja

Tag: 12/10/2023

Ortszeit: 10:00

Deutsch

Das Angebot muss gültig bleiben bis: 30/11/2023

Tag: 12/10/2023

Ortszeit: 12:00

Dies ist ein wiederkehrender Auftrag: ja

Voraussichtlicher Zeitpunkt weiterer Bekanntmachungen:

ggf. rechtzeitig vor Auslaufen des Vertrages

Die elektronische Rechnungsstellung wird akzeptiert

1) Der AG weist darauf hin, dass allein der Inhalt der vorliegenden europaweiten Veröffentlichung im Supplement zum Amtsblatt der EU maßgeblich ist, wenn die Bekanntmachung zusätzlich in weiteren Bekanntmachungsmedien veröffentlicht wird und der Bekanntmachungstext in diesen zusätzlichen Bekanntmachungen nicht vollständig, unrichtig, verändert oder mit weiteren Angaben wiedergegeben wird;

2) Die Vergabeunterlagen werden ausschließlich elektronisch auf dem Vergabeportal Vergabe.NRW zur Verfügung gestellt. Die Beantwortung von Fragen zum Verfahren sowie sämtliche Kommunikation zwischen den Beteiligten und der Vergabestelle erfolgt ausschließlich über das o. g. Vergabeportal. Beteiligte sind daher im eigenen Interesse gehalten, die dort für diese eingerichteten Postfächer regelmäßig auf neue Informationen der Vergabestelle zu kontrollieren;

3) Der AG hat für die Einreichung der Angebote Vordrucke erstellt. Diese sind für die Einreichung zu verwenden. Die Vordrucke sowie die weiteren Unterlagen zum Verfahren können über das o. g. Vergabeportal abgerufen werden;

4) Angebote können nur elektronisch über das Bietertool im Projektraum eingereicht werden.

Bekanntmachungs-ID: CXPNYH5DZV0

Offizielle Bezeichnung: Vergabekammer Rheinland C/O Bezirksregierung Köln
Postanschrift: Zeughausstraße 2 - 10
Ort: Köln
Postleitzahl: 50667
Land: Deutschland

Genaue Angaben zu den Fristen für die Einlegung von Rechtsbehelfen:

Auf die gesetzliche Rügeobliegenheit des § 160 Abs. 3 GWB wird hingewiesen. Gemäß § 160 Absatz 3 Satz 1 GWB ist der Antrag auf Einleitung eines Nachprüfungsverfahrens unzulässig, soweit:

1. der Antragsteller den geltend gemachten Verstoß gegen Vergabevorschriften vor Einreichen des Nachprüfungsantrags erkannt und gegenüber dem Auftraggeber nicht innerhalb einer Frist von 10 Kalendertagen gerügt hat; der Ablauf der Frist nach § 134 Absatz 2 bleibt unberührt,

2. Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, nicht spätestens bis zum Ablauf der in der Bekanntmachung benannten Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden,

3. Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, nicht spätestens bis zum Ablauf der Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden,

4. mehr als 15 Kalendertage nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, vergangen sind.

11/09/2023