Deutschland - Systemprüfung - 23FEA70361 EU-Vergabe Red Team Assessments (RTA)
1. Beschaffer
1.1 Beschaffer
Offizielle Bezeichnung: Deutsche Bahn AG Konzernleitung (Bukr 10)
Tätigkeit des Auftraggebers: Eisenbahndienste
2. Verfahren
2.1 Verfahren
Titel: 23FEA70361 EU-Vergabe Red Team Assessments (RTA)
Beschreibung: Gegenstand der Vergabe ist je ein Rahmenvertrag über IT-Dienstleistungen mit maximal
3 Auftragnehmern bezüglich „Angriffssimulationen“ (Red Team Assessments bzw. Adversary
Emulation). In Zusammenarbeit mit den Auftragnehmern sind neben der Prävention Maßnahmen
zur Detektion von und Reaktion auf gezielte Cyberangriffe zum Schutz der IT-gestützten
Geschäftsprozesse durchzuführen. Es sollen sowohl IT-Systeme aus der „klassischen“
IT als auch aus dem betriebsnahen bzw. OT Umfeld analysiert werden.
Kennung des Verfahrens: bf03f890-411c-49c8-a7a1-5ab626e46e19
Interne Kennung: 23FEA70361
Verfahrensart: Verhandlungsverfahren mit vorheriger Veröffentlichung eines Aufrufs zum Wettbewerb/Verhandlungsverfahren
Das Verfahren wird beschleunigt: No
2.1.1 Zweck
Art des Auftrags: Dienstleistungen
Haupteinstufung(cpv): 72254100Systemprüfung
Zusätzliche Einstufung(cpv): 72000000IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung
2.1.2 Erfüllungsort
Stadt: Deutschland
Postleitzahl: 60322
Land, Gliederung (NUTS): Frankfurt am Main, Kreisfreie Stadt(DE712)
Land: Deutschland
2.1.3 Wert
Geschätzter Wert ohne MwSt.: 1EUR
2.1.4 Allgemeine Informationen
Rechtsgrundlage:
Richtlinie 2014/25/EU
sektvo-
2.1.6 Ausschlussgründe
Konkurs: Die genannten Ausschlussgründe wurden systembedingt ausgewählt. Alle Ausschlussgründe
sind unter Ziffer 5.1.9 Eignungskriterien / Wirtschaftliche und finanzielle Leistungsfähigkeit
in Eignung 1 Bietereigenerklärung genannt, wobei das Dokument Bietereigenerklärung
mit dem Teilnahmeantrag einzureichen ist.
5. Los
5.1 Los: LOT-0001
Titel: 23FEA70361 EU-Vergabe Red Team Assessments (RTA)
Beschreibung: Gegenstand der Vergabe ist je ein Rahmenvertrag über IT-Dienstleistungen mit maximal
3 Auftragnehmern bezüglich „Angriffssimulationen“ (Red Team Assessments bzw. Adversary
Emulation). In Zusammenarbeit mit den Auftragnehmern sind neben der Prävention Maßnahmen
zur Detektion von und Reaktion auf gezielte Cyberangriffe zum Schutz der IT-gestützten
Geschäftsprozesse durchzuführen. Es sollen sowohl IT-Systeme aus der „klassischen“
IT als auch aus dem betriebsnahen bzw. OT Umfeld analysiert werden.
Zusätzliche Einstufung(cpv): 72000000IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung
Menge: 35,200Arbeitsstunde
5.1.3 Geschätzte Dauer
Laufzeit: 48MONTH
5.1.4 Verlängerung
Maximale Verlängerungen: 48
Der Erwerber behält sich das Recht vor, zusätzliche Käufe vom Auftragnehmer zu tätigen,
wie hier beschrieben: Der Auftraggeber hat das Recht, den Vertrag 2malig um 24 Monate zu verlängern (Verlängerungsoption).
5.1.6 Allgemeine Informationen
Die Namen und beruflichen Qualifikationen des zur Auftragsausführung eingesetzten
Personals sind anzugeben: Erforderlich für das Angebot
Auftragsvergabeprojekt nicht aus EU-Mitteln finanziert
Die Beschaffung fällt unter das Übereinkommen über das öffentliche Beschaffungswesen
Zusätzliche Informationen: Unter Ziffer 5.1.1 (Zweck/Menge) sind systemtechnisch bedingt Arbeitsstunden angegeben.
Die in der Ausschreibung mengenbezogene Einheit ist Personentage (PT) mit der Anzahl
4.400 PT (Schätzwert) und dem Höchstwert von 8.800 PT.
5.1.7 Strategische Auftragsvergabe
Ziel der strategischen Auftragsvergabe: Keine strategische Beschaffung
5.1.9 Eignungskriterien
Kriterium:
Art: Eignung zur Berufsausübung
Anwendung dieses Kriteriums: Verwendet
Kriterium:
Art: Wirtschaftliche und finanzielle Leistungsfähigkeit
Bezeichnung: Eignung 1 bis 4 sind Ausschlusskriterien. Siehe Beschreibung unten und Eignungsmatrix
der Ausschreibungsunterlagen auf dem Bieterportal. Der Link zum Bieterportal ist in
dieser Bekanntmachung enthalten.
Beschreibung: Eignung 1 - Ausschlusskriterium: Vorlage der ausgefüllten und unterschriebenen Bietereigenerklärung:
1) Erklärung, dass kein Insolvenz- oder Sanierungsverfahren oder vergleichbares gesetzliches
Verfahren eröffnet ist und die Eröffnung auch nicht beantragt oder mangels Masse abgelehnt
worden ist. 2) Erklärung, dass sich der Bewerber nicht in Liquidation befindet. 3)
Erklärung, ob berufliche Verfehlungen vorliegen, die im Gewerbezentralregister eingetragen
sind. Darüber hinaus erklärt er, ob derzeit ein Verfahren anhängig ist, das zu einer
solchen Eintragung führen kann. 4) Erklärung, dass das Gewerbe ordnungsgemäß angemeldet
ist und – sofern nach Maßgabe der Vorschriften des HGB oder des jeweiligen Herkunftslandes
eintragungspflichtig – im Handelsregister eingetragen ist. 5) Erklärung zur Einhaltung
von Sanktionen und Embargos 6) Erklärung, dass das Unternehmen bei der Ausführung
öffentlicher Aufträge nicht gegen geltende umwelt- sozial oder arbeitsrechtliche Verpflichtungen
verstoßen hat 7) Erklärung, dass das Unternehmen seine Verpflichtung zur Zahlung von
Steuer und Abgaben nach den Rechtsvorschriften des Staates, in dem er ansässig ist,
oder nach den Rechtsvorschriften des Staates des Auftraggebers erfüllt hat. 8) Erklärung
zur kartellrechtlichen Compliance und Korruptionsprävention 9) Erklärung, dass bei
der Ausführung eines früheren Auftrags oder Konzessionsvertrags bei der Deutsche Bahn
AG oder einem mit ihr gemäß §§ 15 ff. AktG verbundenen Unternehmen keine wesentliche
Anforderung erheblich oder fortdauernd mangelhaft erfüllt wurde. 10) Erklärung zu
§§122-124 GWB 11) Erklärung zu Nicht-Beeinflussung eines Vergabeverfahrens 12) Erklärung
zu schweren Verfehlungen 13) Erklärung zu Kenntnis über Verurteilungen/Geldbußen 14)
Erklärung zum DB Verhaltenskodex für Geschäftspartner 15) Erklärung zu Tarifbestimmungen
und Mindestlohn 16) Erklärung zu Verpflichtung von Nachunternehmern zur Einhaltung
von Tarifbestimmungen Eignung 2 - Auszug aus dem Handelsregister oder des länderspezifischen
Pendants, welches nicht älter als 6 Monate zum Zeitpunkt der Bekanntmachung ist. Eignung
3 - Abgabe des ausgefüllten und unterzeichneten Dokuments „Lieferantenselbstauskunft".
Eignung 4 - Fristgerechtes Einreichen des Teilnahmeantrags.
Anwendung dieses Kriteriums: Verwendet
Anhand der Kriterien werden die Bewerber ausgewählt, die zur zweiten Phase des Verfahrens
eingeladen werden sollen
Höchstanzahl erfolgreicher Angebote: 5
Kriterium:
Art: Technische und berufliche Leistungsfähigkeit
Bezeichnung: Eignung 5 ist ein Ausschlusskriterium, Eignung 6-8 ist ein Ausschlusskriterium / Bewertungskriterium
und Eignung 9 ist ein Bewertungskriterium . Siehe Beschreibung unten und Eignungsmatrix
der Ausschreibungsunterlagen auf dem Bieterportal. Der Link zum Bieterportal ist in
dieser Bekanntmachung enthalten.
Beschreibung: Eignung 5 - Ausschlusskriterium: "Datenschutz: Bitte stellen Sie die aufgeführten
Bestätigungen unter Verwendung der den Vergabeunterlagen beiliegenden und referenzierten
Antwortvorlage und die erforderlichen Nachweise zur Verfügung zu den folgenden Punkten:
- Datenverarbeitung nach geltenden Datenschutzgesetzen - Niedergelegte Datenschutzstandards
/ Datenschutzmanagementkonzept (Datenschutz-Compliance) - Benennung eines Datenschutzbeauftragten
(DSB) - Verpflichtung auf den Datenschutz - Abschluss eines Vertrages zur Verarbeitung
personenbezogener Daten im Auftrag nach Art. 28 DSGVO - Datenverarbeitung mit angemessenem
Niveau in Drittländern - Sicherheit der Datenverarbeitung" Eignung 6 - Ausschlusskriterium
/ Bewertungskriterium mit maximalen Prozentanteil von 25% - "Der Bewerber weist im
Bereich Red Team Analysen seine Projekterfahrung nach, welche in den letzten zwei
Jahren bis zur Veröffentlichung dieser Ausschreibung stattgefunden haben. Hierbei
stellt der Bewerber in der Anlage ""RTA Projektreferenz zur Eignungsmatrix"" die Projektreferenzen
dar und tätigt zusätzliche Angaben zu: - Projektbezeichnung / -Titel - Einsatzzeitraum
und - Erläuterung über die Inhalte des Auftrages (Kunde-optional und Branche, Anzahl
Personentage, Aufgabenbeschreibung). - Eingesetzte Tools Die Unternehmensgröße der
genannten Referenz-Kunden muss jeweils mindestens 1.000 Mitarbeiter betragen. Die
Projektreferenz darf anonymisiert eingereicht werden, die Angabe des Kundennamen ist
optional. Bitte begrenzen Sie die Anzahl der zur Verfügung gestellten Referenzen auf
max.5, dabei darf eine Referenz eine DIN A4 Seite nicht überschreiten." Eignung 7
- Ausschlusskriterium / Bewertungskriterium mit maximalen Prozentanteil von 25% -
"Der Bewerber erklärt, dass er über mindestens 5 Red Team Analysten mit folgenden
Merkmalen verfügt: - Berufserfahrung im Bereich Red Team Analysen mindestens 2 Jahre
(Anzahl Jahre pro MA)" Eignung 8 - Ausschlusskriterium / Bewertungskriterium mit maximalen
Prozentanteil von 25% - "Der Bewerber erklärt, dass er über mindestens 5 RedTeam Analysten
mit folgenden Merkmalen verfügt: - Zertifizierung (mindestens über eine der nachfolgenden
Sicherheits-Zertifizierungen verfügen: OSCP, OSEP, OSCE, OSEE, CRTO oder CRTP)" Eignung
9 - Bewertungskriterium mit maximalen Prozentanteil von 25% - Durch Auflistung von
durch Mitarbeitern des Unternehmens identifizierte Schwachstellen (CVE-Nummer) und
deren Kritikalität (CVSS-Vektor) sowie selbstentwickelte Exploits weist der Bewerber
nach, dass er über die Expertise verfügt, bisher unbekannte Schwachstellen (Zero Day
Vulnerabilities) in Softwareprodukten und Systemen zu identifizieren, nachzuweisen
und auszunutzen. Es werden hierzu mindestens 3 CVEs und 1 Exploit erwartet, die nicht
älter als zwei Jahre ab Veröffentlichung dieser Ausschreibung sein dürfen.
Anwendung dieses Kriteriums: Verwendet
Anhand der Kriterien werden die Bewerber ausgewählt, die zur zweiten Phase des Verfahrens
eingeladen werden sollen
Sprachen, in denen Angebote oder Teilnahmeanträge eingereicht werden können: Deutsch
Elektronischer Katalog: Nicht zulässig
Varianten: Nicht zulässig
Frist für den Eingang der Teilnahmeanträge: 2024-01-09+01:0010:00:00+01:00
Informationen, die nach Ablauf der Einreichungsfrist ergänzt werden können:
Nach Ermessen des Käufers können alle fehlenden Bieterunterlagen nach Fristablauf
nachgereicht werden.
Zusätzliche Informationen: Gemäß § 51 Abs. 2 SektVO. Mögliche Hinweise des Auftraggebers in den Vergabeunterlagen
sind zu beachten. Genaue Angaben zu den Fristen für die Einlegung von Rechtsbehelfen:
Wenn der Zuschlag bereits wirksam erteilt worden ist, kann dieser nicht mehr vor der
Vergabekammer angegriffen werden (§ 168 Abs. 2 Satz 1 GWB). Der Zuschlag darf erst
10 Kalendertage nach Absendung der Bekanntgabe der Vergabeentscheidung per Fax oder
per E-Mail bzw. 15 Kalendertage nach Absendung der Bekanntgabe der Vergabeentscheidung
per Post erteilt werden (§ 134 Abs. 2 GWB). Die Zulässigkeit eines Nachprüfungsantrags
setzt ferner voraus, dass die geltend gemachten Vergabeverstöße innerhalb von 10 Kalendertagen
nach Kenntnis bzw. – soweit die Vergabeverstöße aus der Bekanntmachung oder den Vergabeunterlagen
erkennbar sind – bis zum Ablauf der Teilnahme- bzw. Angebotsfrist gerügt wurden (§
160 Abs. 3 S. 1 Nr. 1 bis 3 GWB). Ein Nachprüfungsantrag ist ebenfalls unzulässig,
soweit mehr als 15 Kalendertage nach Eingang der Mitteilung des Auftraggebers, einer
Rüge nicht abhelfen zu wollen, vergangen sind (§ 160 Abs. 3 S. 1 Nr. 4 GWB). Des Weiteren
wird auf die in § 135 Abs. 2 GWB genannten Fristen verwiesen. Wir weisen darauf hin,
dass die VO (EU) 2022/576 zur Änderung der VO (EU) Nr. 833/2014 Anwendung findet und
Unternehmen, die den Sanktionsmaßnahmen in Art. 5k der VO (EU) 2022/576 unterfallen,
aus dem Vergabeverfahren ausgeschlossen werden. 1) Die Vergabe läuft über das Vergabeportal
der Deutsche(n) Bahn AG (http://www.deutschebahn.com/bieterportal). Dort finden Sie sämtliche Dokumente. Zur Abgabe eines Teilnahmeantrags und eventuell
eines Angebots ist die Registrierung unter Angabe der Vergabenummer im Vergabeportal
der Deutsche(n) Bahn AG notwendig. Für technischen oder methodischen Fragen zum Vergabeportal
der Deutsche(n) Bahn AG steht Einkauf-Online einkauf-online@deutschebahn.com zur Verfügung. 2) Soweit der Bewerber bzgl. einzelner Bereiche, für die er ggf. im
späteren Verlauf ein Angebot abgeben möchte, nicht über die dazu erforderliche Leistungsfähigkeit
und/oder Fachkunde verfügt, kann er sich gemäß § 47 Abs. 1SektVO auf andere Unternehmen
berufen, wenn diese verbundene Unternehmen des Bewerbers sind. Auf Drittunternehmen,
die keine verbundenen Unternehmen sind, darf sich der Bewerber nicht berufen. Bewerber,
die sich zum Nachweis ihrer Eignung gem. § 47 Abs. 1 SektVO auf die Kapazitäten anderer
Unternehmen stützen, müssen diese Drittunternehmen im Teilnahmeantrag verbindlich
benennen und durch eine entsprechende Verpflichtungserklärung des Drittunternehmens
nachweisen, dass ihnen im Falle der Zuschlagserteilung die Mittel zur Verfügung stehen,
die für die Erfüllung des Auftrags erforderlich sind. Der Auftraggeber behält sich
vor, im Laufe des Vergabeverfahrens eine Aktualisierung der Verpflichtungserklärungen
zu verlangen. Der Auftraggeber überprüft auch bei den benannten Drittunternehmen,
ob Ausschlusskriterien nach §§ 123, 124 GWB vorliegen und behält sich vor, die Vorlage
von weiteren Eignungsnachweisen zu fordern. Für Unterauftragnehmer (wenn diese verbundene
Unternehmen des Bewerbers sind), die nicht zum Eignungsnachweis nach §. 47 Abs. 1SektVO
benannt wurden, gilt folgendes: Der Auftraggeber behält sich vor, im Laufe des Vergabeverfahrens
die Vorlage von Eignungsnachweisen für diese Unterauftragnehmer zu fordern. Im Falle
eines Austauschs solcher Nachunternehmer behält sich der AG eine erneute Prüfung der
Eignung vor. 3) Der Bewerber ist zur vertraulichen Behandlung der gesamten Vergabeunterlagen
verpflichtet und hat seine Mitarbeiter sowie sonstige mit der Prüfung / Bearbeitung
der Vergabeunterlagen betraute Dritte entsprechend zur Vertraulichkeit zu verpflichten.
In Ziffer 5.1.9 Eignungskriterien unter Wirtschaftliche und Finanzielle Leistungsfähigkeit/Auswahlkriterien
für den Zugang zur nächsten Stufe muss es heißen: Höchstanzahl erfolgreicher Teilnahmeanträge.
In Ziffer 5.1.9 Eignungskriterien Technische und berufliche Leistungsfähigkeit/ Auswahlkriterien
für den Zugang zur nächsten Stufe muss es heißen: Höchstanzahl erfolgreicher Teilnahmeanträge.
Das heißt, nach Abschluss des Teilnahmewettbewerbs werden die insgesamt maximal 5
bestgeeignetsten Bewerber aufgefordert ein Angebot abzugeben. Diese werden anhand
ihres erreichten Prozentanteils bestimmt, wobei der Bewerber mit dem höchsten Wert
auf Platz 1, der auf dem zweithöchsten Platz 2 gelangt usw. Die unter Ziffer 5.1.11
Auftragsunterlagen genannte Frist f. die Anforderung zusätzlicher Informationen bezieht
sich auf mögliche Fragen der Interessenten, welche über die Bieterkommunikation der
E-Vergabe eingereicht werden können. Unter Ziffer 5.1.12 Bedingungen für die Auftragsvergabe
/Frist, bis zu der das Angebot gültig sein muss ist aus systemtechnischen Gründen
die Anzahl der Tage abgebildet ab voraussichtlicher Angebotsfrist bis 31.12.2024.
Bindefrist für die Angebote ist der 31.12.2024. Die unter 2.1.6 genannten Ausschlussgründe
wurden systembedingt ausgewählt. Alle vom Bewerber zu beachtenden Ausschlussgründe
sind unter Ziffer 5.1.9 Eignungskriterien / Wirtschaftliche und finanzielle Leistungsfähigkeit
in Eignung 1 Bietereigenerklärung genannt, wobei das Dokument Bietereigenerklärung
mit dem Teilnahmeantrag einzureichen ist.
Auftragsbedingungen:
Bedingungen für die Ausführung des Auftrags: RTA Angriffe
Elektronische Rechnungsstellung: Erforderlich
Aufträge werden elektronisch erteilt
Zahlungen werden elektronisch geleistet
Finanzielle Vereinbarung: Eigenfinanzierung
5.1.15 Techniken
Rahmenvereinbarung:
Rahmenvereinbarung ohne erneuten Aufruf zum Wettbewerb
Informationen über das dynamische Beschaffungssystem
Kein dynamisches Beschaffungssystem
Elektronische Auktion:
5.1.16 Weitere Informationen, Schlichtung und Nachprüfung
Überprüfungsstelle: Vergabekammer des Bundes
Organisation, die zusätzliche Informationen über das Vergabeverfahren bereitstellt: Deutsche Bahn AG Konzernleitung (Bukr 10)