Deutschland – Softwarepaket und Informationssysteme – Integrierte Sicherheitsdienstleistungen

181734-2024 - Vorankündigung – Direktvergabe
Deutschland – Softwarepaket und Informationssysteme – Integrierte Sicherheitsdienstleistungen
OJ S 61/2024 26/03/2024
Freiwillige Ex-ante-Transparenzbekanntmachung
Dienstleistungen - Lieferungen
1. Beschaffer
1.1.
Beschaffer
Offizielle Bezeichnung: BundesInnungskrankenkasse Gesundheit, kurz: BIG direkt gesund (Körperschaft des öffentlichen Rechts)
2. Verfahren
2.1.
Verfahren
Titel: Integrierte Sicherheitsdienstleistungen
Beschreibung: Beschaffung von Dienstleistungen aus dem Bereich der IT-Sicherheit: Betrieb eines SoC sowie Lizenzen für die Produkte Axonius Cybersecurity Asset Management - Standard Base, Axonius Cybersecurity Asset Management Enforcement Center, Varonis Collector, Varonis for Windows/NAS + M365 SaaS subsription, Varonis for Active Directory SaaS subscription, Pentera Pack (Credential Exp., Surface, RansomwareReady, Core) einschl. zugehöriger Dienstleistungen, Silverfort Monitoring Platform (SMP), Silverfort Protected User.
Kennung des Verfahrens: 974cd15e-e0f5-4437-b8d5-8ed701a56292
Interne Kennung: Integrierte Sicherheitsdienstleistungen
Verfahrensart: Verhandlungsverfahren ohne Aufruf zum Wettbewerb
2.1.1.
Zweck
Art des Auftrags: Lieferungen
Haupteinstufung (cpv): 48000000 Softwarepaket und Informationssysteme
Zusätzliche Einstufung (cpv): 72610000 Computerunterstützung
2.1.2.
Erfüllungsort
Postanschrift: Rheinische Straße 1  
Stadt: Dortmund
Postleitzahl: 44137
Land, Gliederung (NUTS): Dortmund, Kreisfreie Stadt (DEA52)
Land: Deutschland
2.1.4.
Allgemeine Informationen
Zusätzliche Informationen: Informationen über die Überprüfungsfristen - § 135 GWB lautet: (1) Ein öffentlicher Auftrag ist von Anfang an unwirksam, wenn der öffentliche Auftraggeber 1. gegen § 134 verstoßen hat oder 2. den Auftrag ohne vorherige Veröffentlichung einer Bekanntmachung im Amtsblatt der Europäischen Union vergeben hat, ohne dass dies aufgrund Gesetzes gestattet ist, und dieser Verstoß in einem Nachprüfungsverfahren festgestellt worden ist. (2) Die Unwirksamkeit nach Absatz 1 kann nur festgestellt werden, wenn sie im Nachprüfungsverfahren innerhalb von 30 Kalendertagen nach der Information der betroffenen Bieter und Bewerber durch den öffentlichen Auftraggeber über den Abschluss des Vertrags, jedoch nicht später als sechs Monate nach Vertragsschluss geltend gemacht worden ist. Hat der Auftraggeber die Auftragsvergabe im Amtsblatt der Europäischen Union bekannt gemacht, endet die Frist zur Geltendmachung der Unwirksamkeit 30 Kalendertage nach Veröffentlichung der Bekanntmachung der Auftragsvergabe im Amtsblatt der Europäischen Union. (3) Die Unwirksamkeit nach Absatz 1 Nummer 2 tritt nicht ein, wenn 1. der öffentliche Auftraggeber der Ansicht ist, dass die Auftragsvergabe ohne vorherige Veröffentlichung einer Bekanntmachung im Amtsblatt der Europäischen Union zulässig ist, 2. der öffentliche Auftraggeber eine Bekanntmachung im Amtsblatt der Europäischen Union veröffentlicht hat, mit der er die Absicht bekundet, den Vertrag abzuschließen, und 3. der Vertrag nicht vor Ablauf einer Frist von mindestens zehn Kalendertagen, gerechnet ab dem Tag nach der Veröffentlichung dieser Bekanntmachung, abgeschlossen wurde. Die Bekanntmachung nach Satz 1 Nummer 2 muss den Namen und die Kontaktdaten des öffentlichen Auftraggebers, die Beschreibung des Vertragsgegenstands, die Begründung der Entscheidung des Auftraggebers, den Auftrag ohne vorherige Veröffentlichung einer Bekanntmachung im Amtsblatt der Europäischen Union zu vergeben, und den Namen und die Kontaktdaten des Unternehmens, das den Zuschlag erhalten soll, umfassen.
Rechtsgrundlage:
Richtlinie 2014/24/EU
vgv  - VgV
Anzuwendende grenzübergreifende Rechtsvorschrift:
5. Los
5.1.
Los: LOT-0001
Titel: Integrierte Sicherheitsdienstleistungen
Beschreibung: Beschaffung von Dienstleistungen aus dem Bereich der IT-Sicherheit: Betrieb eines SoC sowie Lizenzen für die Produkte Axonius Cybersecurity Asset Management - Standard Base, Axonius Cybersecurity Asset Management Enforcement Center, Varonis Collector, Varonis for Windows/NAS + M365 SaaS subsription, Varonis for Active Directory SaaS subscription, Pentera Pack (Credential Exp., Surface, RansomwareReady, Core) einschl. zugehöriger Dienstleistungen, Silverfort Monitoring Platform (SMP), Silverfort Protected User.
Interne Kennung: Integrierte Sicherheitsdienstleistungen
5.1.1.
Zweck
Art des Auftrags: Lieferungen
Zusätzliche Art des Auftrags: Dienstleistungen
Haupteinstufung (cpv): 48000000 Softwarepaket und Informationssysteme
Zusätzliche Einstufung (cpv): 72610000 Computerunterstützung
5.1.2.
Erfüllungsort
Postanschrift: Rheinische Straße 1  
Stadt: Dortmund
Postleitzahl: 44137
Land, Gliederung (NUTS): Dortmund, Kreisfreie Stadt (DEA52)
Land: Deutschland
5.1.3.
Geschätzte Dauer
Laufzeit: 48 Monat
5.1.6.
Allgemeine Informationen
Zusätzliche Informationen: Informationen über die Überprüfungsfristen - § 135 GWB lautet: (1) Ein öffentlicher Auftrag ist von Anfang an unwirksam, wenn der öffentliche Auftraggeber 1. gegen § 134 verstoßen hat oder 2. den Auftrag ohne vorherige Veröffentlichung einer Bekanntmachung im Amtsblatt der Europäischen Union vergeben hat, ohne dass dies aufgrund Gesetzes gestattet ist, und dieser Verstoß in einem Nachprüfungsverfahren festgestellt worden ist. (2) Die Unwirksamkeit nach Absatz 1 kann nur festgestellt werden, wenn sie im Nachprüfungsverfahren innerhalb von 30 Kalendertagen nach der Information der betroffenen Bieter und Bewerber durch den öffentlichen Auftraggeber über den Abschluss des Vertrags, jedoch nicht später als sechs Monate nach Vertragsschluss geltend gemacht worden ist. Hat der Auftraggeber die Auftragsvergabe im Amtsblatt der Europäischen Union bekannt gemacht, endet die Frist zur Geltendmachung der Unwirksamkeit 30 Kalendertage nach Veröffentlichung der Bekanntmachung der Auftragsvergabe im Amtsblatt der Europäischen Union. (3) Die Unwirksamkeit nach Absatz 1 Nummer 2 tritt nicht ein, wenn 1. der öffentliche Auftraggeber der Ansicht ist, dass die Auftragsvergabe ohne vorherige Veröffentlichung einer Bekanntmachung im Amtsblatt der Europäischen Union zulässig ist, 2. der öffentliche Auftraggeber eine Bekanntmachung im Amtsblatt der Europäischen Union veröffentlicht hat, mit der er die Absicht bekundet, den Vertrag abzuschließen, und 3. der Vertrag nicht vor Ablauf einer Frist von mindestens zehn Kalendertagen, gerechnet ab dem Tag nach der Veröffentlichung dieser Bekanntmachung, abgeschlossen wurde. Die Bekanntmachung nach Satz 1 Nummer 2 muss den Namen und die Kontaktdaten des öffentlichen Auftraggebers, die Beschreibung des Vertragsgegenstands, die Begründung der Entscheidung des Auftraggebers, den Auftrag ohne vorherige Veröffentlichung einer Bekanntmachung im Amtsblatt der Europäischen Union zu vergeben, und den Namen und die Kontaktdaten des Unternehmens, das den Zuschlag erhalten soll, umfassen.
5.1.7.
Strategische Auftragsvergabe
Ziel der strategischen Auftragsvergabe: Keine strategische Beschaffung
5.1.15.
Techniken
Informationen über das dynamische Beschaffungssystem: Kein dynamisches Beschaffungssystem
5.1.16.
Weitere Informationen, Schlichtung und Nachprüfung
Überprüfungsstelle: Vergabekammer des Bundes beim Bundeskartellamt
Organisation, die weitere Informationen für die Nachprüfungsverfahren bereitstellt: Vergabekammer des Bundes beim Bundeskartellamt
Organisation, die den Auftrag unterzeichnet: BundesInnungskrankenkasse Gesundheit, kurz: BIG direkt gesund (Körperschaft des öffentlichen Rechts)
6. Ergebnisse
Wert aller in dieser Bekanntmachung vergebenen Verträge: 5 472 876,53 EUR
Direktvergabe:
Begründung der Direktvergabe: Der Auftrag kann nur von einem bestimmten Wirtschaftsteilnehmer ausgeführt werden, da aus technischen Gründen kein Wettbewerb vorhanden ist
Sonstige Begründung: Der Auftraggeber ist eine gesetzliche Krankenkasse. Die Sicherheit seiner Informationssysteme hat für ihn hohe Priorität, dennoch ist es bereits zu Sicherheitsvorfällen gekommen. Zur Erhöhung der IT-Sicherheit hat der Auftraggeber im Jahr 2023 im Wege der Dringlichkeitsvergabe einen Dienstleister beauftragt. Dieser überwacht seine Systeme in einem SOC. Hierzu werden derzeit die Produkte Axonius, Varonis, Pentera und Silverfort eingesetzt. Der Dienstleister setzt für die Bereitstellung seiner Leistung die Software Google Chronicle ein. Die Beschaffung erfolgte zunächst für lediglich 12 Monate. In dieser Zeit sollte untersucht werden, ob und wie eine weitere Beschaffung im Wettbewerb erfolgen kann. Sowohl der Dienstvertrag mit dem derzeitigen Auftragnehmer als auch die Lizenzen laufen am 31. Juni 2024 aus, die Lizenz für Silverfort am 31. September 2024. Der Auftraggeber hat für die nächsten 48 Monate weiterhin Bedarf an diesen Leistungen. Er hat mittlerweile untersucht, ob ein Auftragnehmerwechsel hinsichtlich der SOC-Dienstleistungen möglich ist und welche Konsequenzen dies ggfs. hätte. Dabei hat sich ergeben, dass bei einer Umstellung auf die Systeme eines anderen Auftragnehmers Risiken nicht auszuschließen sind. Es muss in jedem Fall eine Datenmigration stattfinden, was die Gefahr von Fehlern birgt. Darüber hinaus ist es auch bei größtmöglicher Vorsicht denkbar, dass es zur Unterbrechung des Dienstes kommt. Hinzu kommt, dass für den neuen Dienstleister Zweitsysteme neben den bereits laufenden Systemen aufgebaut werden müssen, was Aufwand bedeutet und ebenfalls die Möglichkeit von Fehlern – die eventuell sogar unerkannt bleiben. Neben den internen Aufwänden entstehen erhebliche zusätzliche Kosten, da sowohl die abzulösenden als auch für die neuen Systeme Lizenzen anfallen würden. Die zusätzliche neue Infrastruktur muss bei einem Hosting-Dienstleister aufgebaut werden, der hierfür seine Systeme ebenfalls umkonfigurieren muss, so z.B. die Firewalls. Für den Parallelbetrieb der Systeme würde auch erheblicher zusätzlicher interner Aufwand entstehen. Ein Wechsel der soeben erst eingeführten Produkte würde den Aufwand und die Risiken nochmals erhöhen. Der Auftraggeber möchte hinsichtlich der Systemsicherheit keinerlei Abstriche machen, die aus tech-nischer Sicht vermeidbar sind. Das gilt auch dann, wenn die Risiken gering sind. Sein Beschaffungsbedarf beschränkt sich daher auf die weitere Inanspruchnahme des SOC des aktuellen Dienstleisters einschließlich hiermit in Verbindung stehender Dienstleistungen sowie Lizenzen für die Produkte der oben genannten Hersteller (Axonius, Varonis, Pentera, Silverfort, Google Chronicle) zur Gewährleis-tung der Systemsicherheit müssen über diesen Dienstleister bezogen werden, so dass auch kein Handels-Wettbewerb („Reseller-Wettbewerb“) besteht. Nach der Rechtsprechung darf der Auftraggeber bei der Festlegung seines Beschaffungsbedarfs jedwede Risikopotentiale ausschließen und den sichersten Weg wählen, und zwar insbesondere und ausdrücklich im Hinblick auf die Systemsicherheit. Für den vorliegenden Auftrag gilt dies in besonderem Maße, da die Aufrechterhaltung und Erhöhung der Systemsicherheit gerade das Ziel dieses Auftrags ist. Der Auftraggeber hat auch untersucht, ob es Alternativen zu der unveränderten Fortsetzung unter Ver-wendung der aktuellen Dienste und Produkte gibt. Das ist nicht der Fall. Jede Veränderung der gera-de erst in Betrieb genommenen Systeme und Produkte würde zu den oben beschriebenen Nachteilen führen.
8. Organisationen
8.1.
ORG-0001
Offizielle Bezeichnung: BundesInnungskrankenkasse Gesundheit, kurz: BIG direkt gesund (Körperschaft des öffentlichen Rechts)
Registrierungsnummer: 992-80035-45
Abteilung: Vergabestelle
Postanschrift: Markgrafenstraße 22  
Stadt: Berlin
Postleitzahl: 10117
Land, Gliederung (NUTS): Berlin (DE300)
Land: Deutschland
Kontaktperson: Vergabestelle
Telefon: +49231 55570
Internetadresse: https://www.big-direkt.de/
Rollen dieser Organisation
Beschaffer
Federführendes Mitglied
Organisation, die den Auftrag unterzeichnet
8.1.
ORG-0002
Offizielle Bezeichnung: suresecure GmbH
Größe des Wirtschaftsteilnehmers: medium
Registrierungsnummer: DE 314 949 921
Postanschrift: Dreischeibenhaus 1  
Stadt: Düsseldorf
Postleitzahl: 40211
Land, Gliederung (NUTS): Düsseldorf, Kreisfreie Stadt (DEA11)
Land: Deutschland
Telefon: +4921569749060
Internetadresse: https://www.suresecure.de/i
Rollen dieser Organisation
BieterFederführendes Mitglied
Wirtschaftlicher Eigentümer
Offizielle BezeichnungJona Ridderskamp
Offizielle BezeichnungAndreas Papadaniil
Staatsangehörigkeit des EigentümersDEU
Staatsangehörigkeit des EigentümersDEU
8.1.
ORG-0003
Offizielle Bezeichnung: Vergabekammer des Bundes beim Bundeskartellamt
Registrierungsnummer: 991-02380-92
Abteilung: Vergabekammer
Postanschrift: Villemombler Straße 76  
Stadt: Bonn
Postleitzahl: 53123
Land, Gliederung (NUTS): Bonn, Kreisfreie Stadt (DEA22)
Land: Deutschland
Kontaktperson: Vergabekammer des Bundes
Telefon: +49 228 94990
Fax: +49228 9499163
Rollen dieser Organisation
Überprüfungsstelle
Organisation, die weitere Informationen für die Nachprüfungsverfahren bereitstellt
8.1.
ORG-0004
Offizielle Bezeichnung: Beschaffungsamt des BMI
Registrierungsnummer: 994-DOEVD-83
Stadt: Bonn
Postleitzahl: 53119
Land, Gliederung (NUTS): Bonn, Kreisfreie Stadt (DEA22)
Land: Deutschland
Telefon: +49228996100
Rollen dieser Organisation
TED eSender
11. Informationen zur Bekanntmachung
11.1.
Informationen zur Bekanntmachung
Kennung/Fassung der Bekanntmachung: 14b686fc-a25a-4486-96b6-9fb6fee457cc  - 01
Formulartyp: Vorankündigung – Direktvergabe
Art der Bekanntmachung: Freiwillige Ex-ante-Transparenzbekanntmachung
Datum der Übermittlung der Bekanntmachung: 22/03/2024 00:00:00 (UTC+1)
Sprachen, in denen diese Bekanntmachung offiziell verfügbar ist: Deutsch
11.2.
Informationen zur Veröffentlichung
Veröffentlichungsnummer der Bekanntmachung: 181734-2024
ABl. S – Nummer der Ausgabe: 61/2024
Datum der Veröffentlichung: 26/03/2024