1. Beschaffer
1.1.
Beschaffer
Offizielle Bezeichnung: BundesInnungskrankenkasse Gesundheit, kurz: BIG direkt gesund (Körperschaft des öffentlichen Rechts)
Rechtsform des Erwerbers: Von einer zentralen Regierungsbehörde kontrollierte Einrichtung des öffentlichen Rechts
Tätigkeit des öffentlichen Auftraggebers: Gesundheit
2. Verfahren
2.1.
Verfahren
Titel: Integrierte Sicherheitsdienstleistungen
Beschreibung: Beschaffung von Dienstleistungen aus dem Bereich der IT-Sicherheit: Betrieb eines SoC sowie Lizenzen für die Produkte Axonius Cybersecurity Asset Management - Standard Base, Axonius Cybersecurity Asset Management Enforcement Center, Varonis Collector, Varonis for Windows/NAS + M365 SaaS Subsription, Varonis for Active Directory SaaS subscription, Pentera Pack (Credential Exp., Surface, RansomwareReady, Core) einschl. zugehöriger Dienstleistungen, Silverfort Monitoring Platform (SMP), Silverfort Protected User.
Kennung des Verfahrens: 3a1ea141-5027-4c08-8af4-e4a978293cd9
Interne Kennung: Integrierte Sicherheitsdienstleistungen
Verfahrensart: Verhandlungsverfahren ohne Aufruf zum Wettbewerb
2.1.1.
Zweck
Art des Auftrags: Lieferungen
Zusätzliche Art des Auftrags: Dienstleistungen
Haupteinstufung (cpv): 48000000 Softwarepaket und Informationssysteme
Zusätzliche Einstufung (cpv): 72610000 Computerunterstützung
2.1.2.
Erfüllungsort
Postanschrift: Rheinische Straße 1
Stadt: Dortmund
Postleitzahl: 44137
Land, Gliederung (NUTS): Dortmund, Kreisfreie Stadt (DEA52)
Land: Deutschland
2.1.3.
Wert
Geschätzter Wert ohne MwSt.: 5 472 876,53 EUR
2.1.4.
Allgemeine Informationen
Rechtsgrundlage:
Richtlinie 2014/24/EU
vgv - Richtlinie 2014/24/EU GWB, VgV
Anzuwendende grenzübergreifende Rechtsvorschrift:
Beschreibung: /
5. Los
5.1.
Los: LOT-0000
Titel: Integrierte Sicherheitsdienstleistungen
Beschreibung: Beschaffung von Dienstleistungen aus dem Bereich der IT-Sicherheit: Betrieb eines SoC sowie Lizenzen für die Produkte Axonius Cybersecurity Asset Management - Standard Base, Axonius Cybersecurity Asset Management Enforcement Center, Varonis Collector, Varonis for Windows/NAS + M365 SaaS subsription, Varonis for Active Directory SaaS subscription, Pentera Pack (Credential Exp., Surface, RansomwareReady, Core) einschl. zugehöriger Dienstleistungen, Silverfort Monitoring Platform (SMP), Silverfort Protected User.
Interne Kennung: Integrierte Sicherheitsdienstleistungen
5.1.1.
Zweck
Art des Auftrags: Lieferungen
Zusätzliche Art des Auftrags: Dienstleistungen
Haupteinstufung (cpv): 48000000 Softwarepaket und Informationssysteme
5.1.2.
Erfüllungsort
Postanschrift: Rheinische Straße 1
Stadt: Dortmund
Postleitzahl: 44137
Land, Gliederung (NUTS): Dortmund, Kreisfreie Stadt (DEA52)
Land: Deutschland
Zusätzliche Informationen: DEA52
5.1.3.
Geschätzte Dauer
Laufzeit: 48 Monate
5.1.6.
Allgemeine Informationen
Auftragsvergabeprojekt nicht aus EU-Mitteln finanziert
Informationen über frühere Bekanntmachungen:
Kennung der vorherigen Bekanntmachung: 181734-2024
5.1.7.
Strategische Auftragsvergabe
Ziel der strategischen Auftragsvergabe: Keine strategische Beschaffung
5.1.10.
Zuschlagskriterien
Kriterium:
Art: Preis
Bezeichnung: Preis
Beschreibung: Der Zuschlag wird an den Bieter erteilt, der das wirtschaftlich günstigste Angebot abgibt. Der Preis ist hierbei das Hauptkriterium, um die Wirtschaftlichkeit der Angebote zu bewerten.
Gewichtung (Prozentanteil, genau): 100
5.1.12.
Bedingungen für die Auftragsvergabe
Informationen über die Überprüfungsfristen: § 135 GWB (1) Ein öffentlicher Auftrag ist von Anfang an unwirksam, wenn der öffentliche Auftraggeber 1. gegen § 134 verstoßen hat oder 2. den Auftrag ohne vorherige Veröffentlichung einer Bekanntmachung im Amtsblatt der Europäischen Union vergeben hat, ohne dass dies aufgrund Gesetzes gestattet ist, und dieser Verstoß in einem Nachprüfungsverfahren festgestellt worden ist. (2) Die Unwirksamkeit nach Absatz 1 kann nur festgestellt werden, wenn sie im Nachprüfungsverfahren innerhalb von 30 Kalendertagen nach der Information der betroffenen Bieter und Bewerber durch den öffentlichen Auftraggeber über den Abschluss des Vertrags, jedoch nicht später als sechs Monate nach Vertragsschluss geltend gemacht worden ist. Hat der Auftraggeber die Auftragsvergabe im Amtsblatt der Europäischen Union bekannt gemacht, endet die Frist zur Geltendmachung der Unwirksamkeit 30 Kalendertage nach Veröffentlichung der Bekanntmachung der Auftragsvergabe im Amtsblatt der Europäischen Union. (3) Die Unwirksamkeit nach Absatz 1 Nummer 2 tritt nicht ein, wenn 1. der öffentliche Auftraggeber der Ansicht ist, dass die Auftragsvergabe ohne vorherige Veröffentlichung einer Bekanntmachung im Amtsblatt der Europäischen Union zulässig ist, 2. der öffentliche Auftraggeber eine Bekanntmachung im Amtsblatt der Europäischen Union veröffentlicht hat, mit der er die Absicht bekundet, den Vertrag abzuschließen, und 3. der Vertrag nicht vor Ablauf einer Frist von mindestens zehn Kalendertagen, gerechnet ab dem Tag nach der Veröffentlichung dieser Bekanntmachung, abgeschlossen wurde. Die Bekanntmachung nach Satz 1 Nummer 2 muss den Namen und die Kontaktdaten des öffentlichen Auftraggebers, die Beschreibung des Vertragsgegenstands, die Begründung der Entscheidung des Auftraggebers, den Auftrag ohne vorherige Veröffentlichung einer Bekanntmachung im Amtsblatt der Europäischen Union zu vergeben, und den Namen und die Kontaktdaten des Unternehmens, das den Zuschlag erhalten soll, umfassen. § 160 GWB (1) Die Vergabekammer leitet ein Nachprüfungsverfahren nur auf Antrag ein. (2) Antragsbefugt ist jedes Unternehmen, das ein Interesse an dem öffentlichen Auftrag oder der Konzession hat und eine Verletzung in seinen Rechten nach § 97 Absatz 6 durch Nichtbeachtung von Vergabevorschriften geltend macht. Dabei ist darzulegen, dass dem Unternehmen durch die behauptete Verletzung der Vergabevorschriften ein Schaden entstanden ist oder zu entstehen droht. (3) Der Antrag ist unzulässig, soweit 1. der Antragsteller den geltend gemachten Verstoß gegen Vergabevorschriften vor Einreichen des Nachprüfungsantrags erkannt und gegenüber dem Auftraggeber nicht innerhalb einer Frist von zehn Kalendertagen gerügt hat; der Ablauf der Frist nach § 134 Absatz 2 bleibt unberührt, 2. Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, nicht spätestens bis zum Ablauf der in der Bekanntmachung benannten Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden, 3. Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, nicht spätestens bis zum Ablauf der Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden, 4. mehr als 15 Kalendertage nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, vergangen sind. Satz 1 gilt nicht bei einem Antrag auf Feststellung der Unwirksamkeit des Vertrags nach § 135 Absatz 1 Nummer 2. § 134 Absatz 1 Satz 2 bleibt unberührt.
5.1.15.
Techniken
Rahmenvereinbarung: Keine Rahmenvereinbarung
Informationen über das dynamische Beschaffungssystem: Kein dynamisches Beschaffungssystem
5.1.16.
Weitere Informationen, Schlichtung und Nachprüfung
Überprüfungsstelle: Vergabekammer des Bundes beim Bundeskartellamt
Organisation, die zusätzliche Informationen über das Vergabeverfahren bereitstellt: BundesInnungskrankenkasse Gesundheit, kurz: BIG direkt gesund (Körperschaft des öffentlichen Rechts)
Organisation, die einen Offline-Zugang zu den Vergabeunterlagen bereitstellt: BundesInnungskrankenkasse Gesundheit, kurz: BIG direkt gesund (Körperschaft des öffentlichen Rechts)
Organisation, die weitere Informationen für die Nachprüfungsverfahren bereitstellt: Vergabekammer des Bundes beim Bundeskartellamt
Organisation, aus deren Mitteln der Auftrag bezahlt wird: BundesInnungskrankenkasse Gesundheit, kurz: BIG direkt gesund (Körperschaft des öffentlichen Rechts)
Organisation, die die Zahlung ausführt: BundesInnungskrankenkasse Gesundheit, kurz: BIG direkt gesund (Körperschaft des öffentlichen Rechts)
Organisation, die den Auftrag unterzeichnet: BundesInnungskrankenkasse Gesundheit, kurz: BIG direkt gesund (Körperschaft des öffentlichen Rechts)
6. Ergebnisse
Direktvergabe:
Begründung der Direktvergabe: Der Auftrag kann nur von einem bestimmten Wirtschaftsteilnehmer ausgeführt werden, da aus technischen Gründen kein Wettbewerb vorhanden ist
Sonstige Begründung: Der Auftraggeber ist eine gesetzliche Krankenkasse. Die Sicherheit seiner Informationssysteme hat für ihn hohe Priorität, dennoch ist es bereits zu Sicherheitsvorfällen gekommen. Zur Erhöhung der IT-Sicherheit hat der Auftraggeber im Jahr 2023 im Wege der Dringlichkeitsvergabe einen Dienstleister beauftragt. Dieser überwacht seine Systeme in einem SOC. Hierzu werden derzeit die Produkte Axonius, Varonis, Pentera und Silverfort eingesetzt. Der Dienstleister setzt für die Bereitstellung seiner Leistung die Software Google Chronicle ein. Die Beschaffung erfolgte zunächst für lediglich 12 Monate. In dieser Zeit sollte untersucht werden, ob und wie eine weitere Beschaffung im Wettbewerb erfolgen kann. Sowohl der Dienstvertrag mit dem derzeitigen Auftragnehmer als auch die Lizenzen laufen am 31. Juni 2024 aus, die Lizenz für Silverfort am 31. September 2024. Der Auftraggeber hat für die nächsten 48 Monate weiterhin Bedarf an diesen Leistungen. Er hat mittlerweile untersucht, ob ein Auftragnehmerwechsel hinsichtlich der SOC-Dienstleistungen möglich ist und welche Konsequenzen dies ggfs. hätte. Dabei hat sich ergeben, dass bei einer Umstellung auf die Systeme eines anderen Auftragnehmers Risiken nicht auszuschließen sind. Es muss in jedem Fall eine Datenmigration stattfinden, was die Gefahr von Fehlern birgt. Darüber hinaus ist es auch bei größtmöglicher Vorsicht denkbar, dass es zur Unterbrechung des Dienstes kommt. Hinzu kommt, dass für den neuen Dienstleister Zweitsysteme neben den bereits laufenden Systemen aufgebaut werden müssen, was Aufwand bedeutet und ebenfalls die Möglichkeit von Fehlern – die eventuell sogar unerkannt bleiben. Neben den internen Aufwänden entstehen erhebliche zusätzliche Kosten, da sowohl die abzulösenden als auch für die neuen Systeme Lizenzen anfallen würden. Die zusätzliche neue Infrastruktur muss bei einem Hosting-Dienstleister aufgebaut werden, der hierfür seine Systeme ebenfalls umkonfigurieren muss, so z.B. die Firewalls. Für den Parallelbetrieb der Systeme würde auch erheblicher zusätzlicher interner Aufwand entstehen. Ein Wechsel der soeben erst eingeführten Produkte würde den Aufwand und die Risiken nochmals erhöhen. Der Auftraggeber möchte hinsichtlich der Systemsicherheit keinerlei Abstriche machen, die aus technischer Sicht vermeidbar sind. Das gilt auch dann, wenn die Risiken gering sind. Sein Beschaffungsbedarf beschränkt sich daher auf die weitere Inanspruchnahme des SOC des aktuellen Dienstleisters einschließlich hiermit in Verbindung stehender Dienstleistungen sowie Lizenzen für die Produkte der oben genannten Hersteller (Axonius, Varonis, Pentera, Silverfort, Google Chronicle) zur Gewährleistung der Systemsicherheit müssen über diesen Dienstleister bezogen werden, so dass auch kein Handels-Wettbewerb („ResellerWettbewerb“) besteht. Nach der Rechtsprechung darf der Auftraggeber bei der Festlegung seines Beschaffungsbedarfs jedwede Risikopotentiale ausschließen und den sichersten Weg wählen, und zwar insbesondere und ausdrücklich im Hinblick auf die Systemsicherheit. Für den vorliegenden Auftrag gilt dies in besonderem Maße, da die Aufrechterhaltung und Erhöhung der Systemsicherheit gerade das Ziel dieses Auftrags sind. Der Auftraggeber hat auch untersucht, ob es Alternativen zu der unveränderten Fortsetzung unter Verwendung der aktuellen Dienste und Produkte gibt. Das ist nicht der Fall. Jede Veränderung der gerade erst in Betrieb genommenen Systeme und Produkte würde zu den oben beschriebenen Nachteilen führen.
6.1.
Ergebnis, Los-– Kennung: LOT-0000
Es wurde mindestens ein Gewinner ermittelt.
6.1.2.
Informationen über die Gewinner
Wettbewerbsgewinner:
Offizielle Bezeichnung: suresecure GmbH
Angebot:
Kennung des Angebots: AG2003879_3
Kennung des Loses oder der Gruppe von Losen: LOT-0000
Wert des Ergebnisses: 5 472 876,53 EUR
Das Angebot wurde in die Rangfolge eingeordnet
Vergabe von Unteraufträgen: no
Informationen zum Auftrag:
Kennung des Auftrags: 974cd15e-e0f5-4437-b8d5-8ed701a56292
Titel: Integrierte Sicherheitsdienstleistungen
Datum des Vertragsabschlusses: 10/04/2024
Der Auftrag wird als Teil einer Rahmenvereinbarung vergeben: nein
Organisation, die den Auftrag unterzeichnet: BundesInnungskrankenkasse Gesundheit, kurz: BIG direkt gesund (Körperschaft des öffentlichen Rechts)
6.1.4.
Statistische Informationen:
Eingegangene Angebote oder Teilnahmeanträge:
Art der eingegangenen Einreichungen: Angebote
Anzahl der eingegangenen Angebote oder Teilnahmeanträge: 1
8. Organisationen
8.1.
ORG-0000
Offizielle Bezeichnung: BundesInnungskrankenkasse Gesundheit, kurz: BIG direkt gesund (Körperschaft des öffentlichen Rechts)
Registrierungsnummer: 992-80035-45
Postanschrift: Rheinische Straße 1
Stadt: Dortmund
Postleitzahl: 44137
Land, Gliederung (NUTS): Dortmund, Kreisfreie Stadt (DEA52)
Land: Deutschland
Kontaktperson: Vergabestelle
Telefon: +49228996100
Rollen dieser Organisation:
Beschaffer
Organisation, die zusätzliche Informationen über das Vergabeverfahren bereitstellt
Organisation, die einen Offline-Zugang zu den Vergabeunterlagen bereitstellt
Organisation, die den Auftrag unterzeichnet
Organisation, aus deren Mitteln der Auftrag bezahlt wird
Organisation, die die Zahlung ausführt
8.1.
ORG-0001
Offizielle Bezeichnung: suresecure GmbH
Größe des Wirtschaftsteilnehmers: medium
Registrierungsnummer: DE 314 949 921
Postanschrift: Dreischeibenhaus 1
Stadt: Düsseldorf
Postleitzahl: 40211
Land, Gliederung (NUTS): Düsseldorf, Kreisfreie Stadt (DEA11)
Land: Deutschland
Telefon: +4921569749060
Rollen dieser Organisation:
BieterFederführendes Mitglied
Wirtschaftlicher Eigentümer:
Offizielle Bezeichnung: Jona Ridderskamp Andreas Papadaniil suresecure GmbH
Staatsangehörigkeit des Eigentümers: DEU DEU
Land, Gliederung (NUTS): DEA11
Land: DEU
Gewinner dieser Lose: LOT-0000
8.1.
ORG-0002
Offizielle Bezeichnung: Vergabekammer des Bundes beim Bundeskartellamt
Registrierungsnummer: 991-02380-92
Postanschrift: Villemombler Straße 76
Stadt: Bonn
Postleitzahl: 53123
Land, Gliederung (NUTS): Bonn, Kreisfreie Stadt (DEA22)
Land: Deutschland
Kontaktperson: Vergabekammer des Bundes
Telefon: +49 228 94990
Fax: +49228 9499163
Rollen dieser Organisation:
Überprüfungsstelle
Organisation, die weitere Informationen für die Nachprüfungsverfahren bereitstellt
8.1.
ORG-0003
Offizielle Bezeichnung: Datenservice Öffentlicher Einkauf (in Verantwortung des Beschaffungsamts des BMI)
Registrierungsnummer: 0204:994-DOEVD-83
Stadt: Bonn
Postleitzahl: 53119
Land, Gliederung (NUTS): Bonn, Kreisfreie Stadt (DEA22)
Land: Deutschland
Telefon: +49228996100
Rollen dieser Organisation:
TED eSender
11. Informationen zur Bekanntmachung
11.1.
Informationen zur Bekanntmachung
Kennung/Fassung der Bekanntmachung: 650c5656-9cac-4cec-885a-fef916d9b8a9 - 01
Formulartyp: Ergebnis
Art der Bekanntmachung: Bekanntmachung vergebener Aufträge oder Zuschlagsbekanntmachung – Standardregelung
Datum der Übermittlung der Bekanntmachung: 26/04/2024 00:00:00 (UTC+2)
Sprachen, in denen diese Bekanntmachung offiziell verfügbar ist: Deutsch
11.2.
Informationen zur Veröffentlichung
Veröffentlichungsnummer der Bekanntmachung: 256314-2024
ABl. S – Nummer der Ausgabe: 85/2024
Datum der Veröffentlichung: 30/04/2024