Deutschland - Systemprüfung - 23FEA70361 EU-Vergabe Red Team Assessments (RTA)

1. Beschaffer
1.1 Beschaffer
Offizielle Bezeichnung: Deutsche Bahn AG Konzernleitung (Bukr 10)
Tätigkeit des Auftraggebers: Eisenbahndienste
2. Verfahren
2.1 Verfahren
Titel: 23FEA70361 EU-Vergabe Red Team Assessments (RTA)
Beschreibung: Gegenstand der Vergabe ist je ein Rahmenvertrag über IT-Dienstleistungen mit maximal 3 Auftragnehmern bezüglich „Angriffssimulationen“ (Red Team Assessments bzw. Adversary Emulation). In Zusammenarbeit mit den Auftragnehmern sind neben der Prävention Maßnahmen zur Detektion von und Reaktion auf gezielte Cyberangriffe zum Schutz der IT-gestützten Geschäftsprozesse durchzuführen. Es sollen sowohl IT-Systeme aus der „klassischen“ IT als auch aus dem betriebsnahen bzw. OT Umfeld analysiert werden.
Kennung des Verfahrens: bf03f890-411c-49c8-a7a1-5ab626e46e19
Interne Kennung: 23FEA70361
Verfahrensart: Verhandlungsverfahren mit vorheriger Veröffentlichung eines Aufrufs zum Wettbewerb/Verhandlungsverfahren
Das Verfahren wird beschleunigt: No
2.1.1 Zweck
Art des Auftrags: Dienstleistungen
Haupteinstufung(cpv): 72254100Systemprüfung
Zusätzliche Einstufung(cpv): 72000000IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung
2.1.2 Erfüllungsort
Stadt: Deutschland
Postleitzahl: 60322
Land, Gliederung (NUTS): Frankfurt am Main, Kreisfreie Stadt(DE712)
Land: Deutschland
2.1.3 Wert
Geschätzter Wert ohne MwSt.: 1EUR
2.1.4 Allgemeine Informationen
Rechtsgrundlage:
Richtlinie 2014/25/EU
sektvo- 
2.1.6 Ausschlussgründe
Konkurs: Die genannten Ausschlussgründe wurden systembedingt ausgewählt. Alle Ausschlussgründe sind unter Ziffer 5.1.9 Eignungskriterien / Wirtschaftliche und finanzielle Leistungsfähigkeit in Eignung 1 Bietereigenerklärung genannt, wobei das Dokument Bietereigenerklärung mit dem Teilnahmeantrag einzureichen ist.
5. Los
5.1 Los: LOT-0001
Titel: 23FEA70361 EU-Vergabe Red Team Assessments (RTA)
Beschreibung: Gegenstand der Vergabe ist je ein Rahmenvertrag über IT-Dienstleistungen mit maximal 3 Auftragnehmern bezüglich „Angriffssimulationen“ (Red Team Assessments bzw. Adversary Emulation). In Zusammenarbeit mit den Auftragnehmern sind neben der Prävention Maßnahmen zur Detektion von und Reaktion auf gezielte Cyberangriffe zum Schutz der IT-gestützten Geschäftsprozesse durchzuführen. Es sollen sowohl IT-Systeme aus der „klassischen“ IT als auch aus dem betriebsnahen bzw. OT Umfeld analysiert werden.
Interne Kennung: 6bfb0682-b569-4904-97e6-f30033c8dccd
5.1.1 Zweck
Art des Auftrags: Dienstleistungen
Haupteinstufung(cpv): 72254100Systemprüfung
Zusätzliche Einstufung(cpv): 72000000IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung
Menge: 35,200Arbeitsstunde
5.1.3 Geschätzte Dauer
Laufzeit: 48MONTH
5.1.4 Verlängerung
Maximale Verlängerungen: 48
Der Erwerber behält sich das Recht vor, zusätzliche Käufe vom Auftragnehmer zu tätigen, wie hier beschrieben: Der Auftraggeber hat das Recht, den Vertrag 2malig um 24 Monate zu verlängern (Verlängerungsoption).
5.1.6 Allgemeine Informationen
Die Namen und beruflichen Qualifikationen des zur Auftragsausführung eingesetzten Personals sind anzugeben: Erforderlich für das Angebot
Auftragsvergabeprojekt nicht aus EU-Mitteln finanziert
Die Beschaffung fällt unter das Übereinkommen über das öffentliche Beschaffungswesen
Zusätzliche Informationen: Unter Ziffer 5.1.1 (Zweck/Menge) sind systemtechnisch bedingt Arbeitsstunden angegeben. Die in der Ausschreibung mengenbezogene Einheit ist Personentage (PT) mit der Anzahl 4.400 PT (Schätzwert) und dem Höchstwert von 8.800 PT.
5.1.7 Strategische Auftragsvergabe
Ziel der strategischen Auftragsvergabe: Keine strategische Beschaffung
5.1.9 Eignungskriterien
Kriterium:
Art: Eignung zur Berufsausübung
Anwendung dieses Kriteriums: Verwendet
Kriterium:
Art: Wirtschaftliche und finanzielle Leistungsfähigkeit
Bezeichnung: Eignung 1 bis 4 sind Ausschlusskriterien. Siehe Beschreibung unten und Eignungsmatrix der Ausschreibungsunterlagen auf dem Bieterportal. Der Link zum Bieterportal ist in dieser Bekanntmachung enthalten.
Beschreibung: Eignung 1 - Ausschlusskriterium: Vorlage der ausgefüllten und unterschriebenen Bietereigenerklärung: 1) Erklärung, dass kein Insolvenz- oder Sanierungsverfahren oder vergleichbares gesetzliches Verfahren eröffnet ist und die Eröffnung auch nicht beantragt oder mangels Masse abgelehnt worden ist. 2) Erklärung, dass sich der Bewerber nicht in Liquidation befindet. 3) Erklärung, ob berufliche Verfehlungen vorliegen, die im Gewerbezentralregister eingetragen sind. Darüber hinaus erklärt er, ob derzeit ein Verfahren anhängig ist, das zu einer solchen Eintragung führen kann. 4) Erklärung, dass das Gewerbe ordnungsgemäß angemeldet ist und – sofern nach Maßgabe der Vorschriften des HGB oder des jeweiligen Herkunftslandes eintragungspflichtig – im Handelsregister eingetragen ist. 5) Erklärung zur Einhaltung von Sanktionen und Embargos 6) Erklärung, dass das Unternehmen bei der Ausführung öffentlicher Aufträge nicht gegen geltende umwelt- sozial oder arbeitsrechtliche Verpflichtungen verstoßen hat 7) Erklärung, dass das Unternehmen seine Verpflichtung zur Zahlung von Steuer und Abgaben nach den Rechtsvorschriften des Staates, in dem er ansässig ist, oder nach den Rechtsvorschriften des Staates des Auftraggebers erfüllt hat. 8) Erklärung zur kartellrechtlichen Compliance und Korruptionsprävention 9) Erklärung, dass bei der Ausführung eines früheren Auftrags oder Konzessionsvertrags bei der Deutsche Bahn AG oder einem mit ihr gemäß §§ 15 ff. AktG verbundenen Unternehmen keine wesentliche Anforderung erheblich oder fortdauernd mangelhaft erfüllt wurde. 10) Erklärung zu §§122-124 GWB 11) Erklärung zu Nicht-Beeinflussung eines Vergabeverfahrens 12) Erklärung zu schweren Verfehlungen 13) Erklärung zu Kenntnis über Verurteilungen/Geldbußen 14) Erklärung zum DB Verhaltenskodex für Geschäftspartner 15) Erklärung zu Tarifbestimmungen und Mindestlohn 16) Erklärung zu Verpflichtung von Nachunternehmern zur Einhaltung von Tarifbestimmungen Eignung 2 - Auszug aus dem Handelsregister oder des länderspezifischen Pendants, welches nicht älter als 6 Monate zum Zeitpunkt der Bekanntmachung ist. Eignung 3 - Abgabe des ausgefüllten und unterzeichneten Dokuments „Lieferantenselbstauskunft". Eignung 4 - Fristgerechtes Einreichen des Teilnahmeantrags.
Anwendung dieses Kriteriums: Verwendet
Anhand der Kriterien werden die Bewerber ausgewählt, die zur zweiten Phase des Verfahrens eingeladen werden sollen
Höchstanzahl erfolgreicher Angebote: 5
Kriterium:
Art: Technische und berufliche Leistungsfähigkeit
Bezeichnung: Eignung 5 ist ein Ausschlusskriterium, Eignung 6-8 ist ein Ausschlusskriterium / Bewertungskriterium und Eignung 9 ist ein Bewertungskriterium . Siehe Beschreibung unten und Eignungsmatrix der Ausschreibungsunterlagen auf dem Bieterportal. Der Link zum Bieterportal ist in dieser Bekanntmachung enthalten.
Beschreibung: Eignung 5 - Ausschlusskriterium: "Datenschutz: Bitte stellen Sie die aufgeführten Bestätigungen unter Verwendung der den Vergabeunterlagen beiliegenden und referenzierten Antwortvorlage und die erforderlichen Nachweise zur Verfügung zu den folgenden Punkten: - Datenverarbeitung nach geltenden Datenschutzgesetzen - Niedergelegte Datenschutzstandards / Datenschutzmanagementkonzept (Datenschutz-Compliance) - Benennung eines Datenschutzbeauftragten (DSB) - Verpflichtung auf den Datenschutz - Abschluss eines Vertrages zur Verarbeitung personenbezogener Daten im Auftrag nach Art. 28 DSGVO - Datenverarbeitung mit angemessenem Niveau in Drittländern - Sicherheit der Datenverarbeitung" Eignung 6 - Ausschlusskriterium / Bewertungskriterium mit maximalen Prozentanteil von 25% - "Der Bewerber weist im Bereich Red Team Analysen seine Projekterfahrung nach, welche in den letzten zwei Jahren bis zur Veröffentlichung dieser Ausschreibung stattgefunden haben. Hierbei stellt der Bewerber in der Anlage ""RTA Projektreferenz zur Eignungsmatrix"" die Projektreferenzen dar und tätigt zusätzliche Angaben zu: - Projektbezeichnung / -Titel - Einsatzzeitraum und - Erläuterung über die Inhalte des Auftrages (Kunde-optional und Branche, Anzahl Personentage, Aufgabenbeschreibung). - Eingesetzte Tools Die Unternehmensgröße der genannten Referenz-Kunden muss jeweils mindestens 1.000 Mitarbeiter betragen. Die Projektreferenz darf anonymisiert eingereicht werden, die Angabe des Kundennamen ist optional. Bitte begrenzen Sie die Anzahl der zur Verfügung gestellten Referenzen auf max.5, dabei darf eine Referenz eine DIN A4 Seite nicht überschreiten." Eignung 7 - Ausschlusskriterium / Bewertungskriterium mit maximalen Prozentanteil von 25% - "Der Bewerber erklärt, dass er über mindestens 5 Red Team Analysten mit folgenden Merkmalen verfügt: - Berufserfahrung im Bereich Red Team Analysen mindestens 2 Jahre (Anzahl Jahre pro MA)" Eignung 8 - Ausschlusskriterium / Bewertungskriterium mit maximalen Prozentanteil von 25% - "Der Bewerber erklärt, dass er über mindestens 5 RedTeam Analysten mit folgenden Merkmalen verfügt: - Zertifizierung (mindestens über eine der nachfolgenden Sicherheits-Zertifizierungen verfügen: OSCP, OSEP, OSCE, OSED, OSEE, CRTO oder CRTP)" Eignung 9 - Bewertungskriterium mit maximalen Prozentanteil von 25% - Durch Auflistung von durch Mitarbeitern des Unternehmens identifizierte Schwachstellen (CVE-Nummer) und deren Kritikalität (CVSS-Vektor) sowie selbstentwickelte Exploits weist der Bewerber nach, dass er über die Expertise verfügt, bisher unbekannte Schwachstellen (Zero Day Vulnerabilities) in Softwareprodukten und Systemen zu identifizieren, nachzuweisen und auszunutzen. Es werden hierzu mindestens 3 CVEs und 1 Exploit erwartet, die nicht älter als zwei Jahre ab Veröffentlichung dieser Ausschreibung sein dürfen.
Anwendung dieses Kriteriums: Verwendet
Anhand der Kriterien werden die Bewerber ausgewählt, die zur zweiten Phase des Verfahrens eingeladen werden sollen
Höchstanzahl erfolgreicher Angebote: 5
5.1.10 Zuschlagskriterien
Kriterium:
Art: Preis
Bezeichnung: Preis
Gewichtung (Prozentanteil, genau): 50
Kriterium:
Art: Qualität
Bezeichnung: Leistungsbewertung gemäß Kriterienkatalog
Gewichtung (Prozentanteil, genau): 50
5.1.11 Auftragsunterlagen
Sprachen, in denen die Auftragsunterlagen offiziell verfügbar sind: DEU
Frist für die Anforderung zusätzlicher Informationen: 2023-12-27+01:0010:00:00+01:00
5.1.12 Bedingungen für die Auftragsvergabe
Verfahrensbedingungen:
Voraussichtliches Datum der Absendung der Aufforderungen zur Angebotseinreichung: 2024-01-30+01:00
Bedingungen für die Einreichung:
Elektronische Einreichung: Erforderlich
Sprachen, in denen Angebote oder Teilnahmeanträge eingereicht werden können: Deutsch
Elektronischer Katalog: Nicht zulässig
Varianten: Nicht zulässig
Frist für den Eingang der Teilnahmeanträge: 2024-01-09+01:0010:00:00+01:00
Informationen, die nach Ablauf der Einreichungsfrist ergänzt werden können:
Nach Ermessen des Käufers können alle fehlenden Bieterunterlagen nach Fristablauf nachgereicht werden.
Zusätzliche Informationen: Gemäß § 51 Abs. 2 SektVO. Mögliche Hinweise des Auftraggebers in den Vergabeunterlagen sind zu beachten. Genaue Angaben zu den Fristen für die Einlegung von Rechtsbehelfen: Wenn der Zuschlag bereits wirksam erteilt worden ist, kann dieser nicht mehr vor der Vergabekammer angegriffen werden (§ 168 Abs. 2 Satz 1 GWB). Der Zuschlag darf erst 10 Kalendertage nach Absendung der Bekanntgabe der Vergabeentscheidung per Fax oder per E-Mail bzw. 15 Kalendertage nach Absendung der Bekanntgabe der Vergabeentscheidung per Post erteilt werden (§ 134 Abs. 2 GWB). Die Zulässigkeit eines Nachprüfungsantrags setzt ferner voraus, dass die geltend gemachten Vergabeverstöße innerhalb von 10 Kalendertagen nach Kenntnis bzw. – soweit die Vergabeverstöße aus der Bekanntmachung oder den Vergabeunterlagen erkennbar sind – bis zum Ablauf der Teilnahme- bzw. Angebotsfrist gerügt wurden (§ 160 Abs. 3 S. 1 Nr. 1 bis 3 GWB). Ein Nachprüfungsantrag ist ebenfalls unzulässig, soweit mehr als 15 Kalendertage nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, vergangen sind (§ 160 Abs. 3 S. 1 Nr. 4 GWB). Des Weiteren wird auf die in § 135 Abs. 2 GWB genannten Fristen verwiesen. Wir weisen darauf hin, dass die VO (EU) 2022/576 zur Änderung der VO (EU) Nr. 833/2014 Anwendung findet und Unternehmen, die den Sanktionsmaßnahmen in Art. 5k der VO (EU) 2022/576 unterfallen, aus dem Vergabeverfahren ausgeschlossen werden. 1) Die Vergabe läuft über das Vergabeportal der Deutsche(n) Bahn AG (http://www.deutschebahn.com/bieterportal). Dort finden Sie sämtliche Dokumente. Zur Abgabe eines Teilnahmeantrags und eventuell eines Angebots ist die Registrierung unter Angabe der Vergabenummer im Vergabeportal der Deutsche(n) Bahn AG notwendig. Für technischen oder methodischen Fragen zum Vergabeportal der Deutsche(n) Bahn AG steht Einkauf-Online einkauf-online@deutschebahn.com zur Verfügung. 2) Soweit der Bewerber bzgl. einzelner Bereiche, für die er ggf. im späteren Verlauf ein Angebot abgeben möchte, nicht über die dazu erforderliche Leistungsfähigkeit und/oder Fachkunde verfügt, kann er sich gemäß § 47 Abs. 1SektVO auf andere Unternehmen berufen, wenn diese verbundene Unternehmen des Bewerbers sind. Auf Drittunternehmen, die keine verbundenen Unternehmen sind, darf sich der Bewerber nicht berufen. Bewerber, die sich zum Nachweis ihrer Eignung gem. § 47 Abs. 1 SektVO auf die Kapazitäten anderer Unternehmen stützen, müssen diese Drittunternehmen im Teilnahmeantrag verbindlich benennen und durch eine entsprechende Verpflichtungserklärung des Drittunternehmens nachweisen, dass ihnen im Falle der Zuschlagserteilung die Mittel zur Verfügung stehen, die für die Erfüllung des Auftrags erforderlich sind. Der Auftraggeber behält sich vor, im Laufe des Vergabeverfahrens eine Aktualisierung der Verpflichtungserklärungen zu verlangen. Der Auftraggeber überprüft auch bei den benannten Drittunternehmen, ob Ausschlusskriterien nach §§ 123, 124 GWB vorliegen und behält sich vor, die Vorlage von weiteren Eignungsnachweisen zu fordern. Für Unterauftragnehmer (wenn diese verbundene Unternehmen des Bewerbers sind), die nicht zum Eignungsnachweis nach §. 47 Abs. 1SektVO benannt wurden, gilt folgendes: Der Auftraggeber behält sich vor, im Laufe des Vergabeverfahrens die Vorlage von Eignungsnachweisen für diese Unterauftragnehmer zu fordern. Im Falle eines Austauschs solcher Nachunternehmer behält sich der AG eine erneute Prüfung der Eignung vor. 3) Der Bewerber ist zur vertraulichen Behandlung der gesamten Vergabeunterlagen verpflichtet und hat seine Mitarbeiter sowie sonstige mit der Prüfung / Bearbeitung der Vergabeunterlagen betraute Dritte entsprechend zur Vertraulichkeit zu verpflichten. In Ziffer 5.1.9 Eignungskriterien unter Wirtschaftliche und Finanzielle Leistungsfähigkeit/Auswahlkriterien für den Zugang zur nächsten Stufe muss es heißen: Höchstanzahl erfolgreicher Teilnahmeanträge. In Ziffer 5.1.9 Eignungskriterien Technische und berufliche Leistungsfähigkeit/ Auswahlkriterien für den Zugang zur nächsten Stufe muss es heißen: Höchstanzahl erfolgreicher Teilnahmeanträge. Das heißt, nach Abschluss des Teilnahmewettbewerbs werden die insgesamt maximal 5 bestgeeignetsten Bewerber aufgefordert ein Angebot abzugeben. Diese werden anhand ihres erreichten Prozentanteils bestimmt, wobei der Bewerber mit dem höchsten Wert auf Platz 1, der auf dem zweithöchsten Platz 2 gelangt usw. Die unter Ziffer 5.1.11 Auftragsunterlagen genannte Frist f. die Anforderung zusätzlicher Informationen bezieht sich auf mögliche Fragen der Interessenten, welche über die Bieterkommunikation der E-Vergabe eingereicht werden können. Unter Ziffer 5.1.12 Bedingungen für die Auftragsvergabe /Frist, bis zu der das Angebot gültig sein muss ist aus systemtechnischen Gründen die Anzahl der Tage abgebildet ab voraussichtlicher Angebotsfrist bis 31.12.2024. Bindefrist für die Angebote ist der 31.12.2024. Die unter 2.1.6 genannten Ausschlussgründe wurden systembedingt ausgewählt. Alle vom Bewerber zu beachtenden Ausschlussgründe sind unter Ziffer 5.1.9 Eignungskriterien / Wirtschaftliche und finanzielle Leistungsfähigkeit in Eignung 1 Bietereigenerklärung genannt, wobei das Dokument Bietereigenerklärung mit dem Teilnahmeantrag einzureichen ist.
Auftragsbedingungen:
Bedingungen für die Ausführung des Auftrags: RTA Angriffe
Elektronische Rechnungsstellung: Erforderlich
Aufträge werden elektronisch erteilt
Zahlungen werden elektronisch geleistet
Finanzielle Vereinbarung: Eigenfinanzierung
5.1.15 Techniken
Rahmenvereinbarung:
Rahmenvereinbarung ohne erneuten Aufruf zum Wettbewerb
Informationen über das dynamische Beschaffungssystem
Kein dynamisches Beschaffungssystem
Elektronische Auktion:
5.1.16 Weitere Informationen, Schlichtung und Nachprüfung
Überprüfungsstelle: Vergabekammer des Bundes
Organisation, die zusätzliche Informationen über das Vergabeverfahren bereitstellt: Deutsche Bahn AG Konzernleitung (Bukr 10)
8. Organisationen
8.1 ORG-0003
Offizielle Bezeichnung: Beschaffungsamt des BMI
Registrierungsnummer: 994-DOEVD-83
Stadt: Bonn
Postleitzahl: 53119
Land, Gliederung (NUTS): Bonn, Kreisfreie Stadt(DEA22)
Land: Deutschland
Telefon: +49228996100
Rollen dieser Organisation:
TED eSender
8.1 ORG-0002
Offizielle Bezeichnung: Vergabekammer des Bundes
Registrierungsnummer: 0a9ea480-08e4-4ab6-bf12-d722d0ad54b6
Postanschrift: Villemomblerstr. 76
Stadt: Bonn
Postleitzahl: 53123
Land, Gliederung (NUTS): Bonn, Kreisfreie Stadt(DEA22)
Land: Deutschland
Telefon: +49 22894990
Rollen dieser Organisation:
Überprüfungsstelle
8.1 ORG-0001
Offizielle Bezeichnung: Deutsche Bahn AG Konzernleitung (Bukr 10)
Registrierungsnummer: 819a9f90-6236-4dea-8555-aef3b91b5321
Postanschrift: Potsdamer Platz 2
Stadt: Berlin
Postleitzahl: 10785
Land, Gliederung (NUTS): Berlin(DE300)
Land: Deutschland
Telefon: +49 302970
Rollen dieser Organisation:
Beschaffer
Organisation, die zusätzliche Informationen über das Vergabeverfahren bereitstellt
10. Änderung
Fassung der zu ändernden vorigen Bekanntmachung: 4ddebe81-a0f3-4fdc-9bce-3735a40a0d05-01
Hauptgrund für die Änderung: Korrektur – Beschaffer
Beschreibung: Die Korrektur betrifft Ziffer: 5.1.9 Eignungskriterien „Kriterium: Art: Technische und berufliche Leistungsfähigkeit“ Hierbei hat der Auftraggeber in der Eignung 8 das Zertifikat OSED ergänzt.
11. Informationen zur Bekanntmachung
11.1 Informationen zur Bekanntmachung
Kennung/Fassung der Bekanntmachung: 5d004b42-92f9-4e02-8135-cd5864352016- 01
Formulartyp: Wettbewerb
Art der Bekanntmachung: Auftrags- oder Konzessionsbekanntmachung – Standardregelung
Datum der Übermittlung der Bekanntmachung: 2023-12-18+01:0014:39:23+01:00
Sprachen, in denen diese Bekanntmachung offiziell verfügbar ist: Deutsch
11.2 Informationen zur Veröffentlichung
Veröffentlichungsnummer der Bekanntmachung: 00770039-2023
ABl. S – Nummer der Ausgabe: 244/2023
Datum der Veröffentlichung: 2023-12-19Z