1. Beschaffer
1.1.
Beschaffer
Offizielle Bezeichnung: Bundesrepublik Deutschland, vertreten durch das Bundesministerium des Innern und für Heimat, vertreten durch das Beschaffungsamt des BMI
Rechtsform des Erwerbers: Zentrale Regierungsbehörde
Tätigkeit des öffentlichen Auftraggebers: Allgemeine öffentliche Verwaltung
2. Verfahren
2.1.
Verfahren
Titel: Rahmenvereinbarung über Informationssicherheitsberatung und damit zusammenhängende Leistungen
Beschreibung: Rahmenvereinbarung über Informationssicherheitsberatung und damit zusammenhängende Leistungen zur Unterstützung der Abteilungen, Projekte sowie des Informationssicherheitsmanagements des Bundesverwaltungsamtes
Kennung des Verfahrens: 7423cc00-baa6-47af-a20d-2130a3dc931f
Interne Kennung: ZIB 21.25 - 0842/21/VV : 1
Verfahrensart: Offenes Verfahren
Das Verfahren wird beschleunigt: nein
2.1.1.
Zweck
Art des Auftrags: Dienstleistungen
Haupteinstufung (cpv): 72000000 IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung
2.1.2.
Erfüllungsort
Land, Gliederung (NUTS): Bonn, Kreisfreie Stadt (DEA22)
Land: Deutschland
2.1.3.
Wert
Geschätzter Wert ohne MwSt.: 30 099 600,00 EUR
Höchstwert der Rahmenvereinbarung: 30 100 000,00 EUR
2.1.4.
Allgemeine Informationen
Zusätzliche Informationen: Der Auftraggeber legt besonderen Wert darauf, dass keine vertraulich zu behandelnden Informationen an ausländische Sicherheitsbehörden weitergegeben werden. Die Bieter werden daher ausdrücklich auf die Regelungen zur "Vertraulichkeit, Informationsabfluss an ausländische Sicherheitsbehörden" im Vertragsentwurf hingewiesen. Der Bieter hat anzugeben inwieweit sein Unternehmen einen Bezug zu Russland hat. Dafür ist die" Eigenerklärung Russland" auszufüllen und abzugeben. Die Leistungen dieser Rahmenvereinbarung können von den folgenden Behörden bestellt werden (Besteller): Bundesverwaltungsamt. Daneben ist auch die Auftraggeberin zum Einzelabruf berechtigt.
Rechtsgrundlage:
Richtlinie 2014/24/EU
vgv -
2.1.6.
Ausschlussgründe
Rein innerstaatliche Ausschlussgründe: Nachweis gemäß Vergabeunterlagen
5. Los
5.1.
Los: LOT-0000
Titel: Rahmenvereinbarung über Informationssicherheitsberatung und damit zusammenhängende Leistungen
Beschreibung: Ziel dieser Ausschreibung ist der Abschluss einer Rahmenvereinbarung über Informationssicherheitsberatung und damit zusammenhängende Leistungen zur Unterstützung der Abteilungen, Projekte sowie des Informationssicherheitsmanagements des Bundesverwaltungsamtes. Die detaillierte Leistungsbeschreibung ist der gleichnamigen Anlage zu entnehmen. Die Gesamtleistung bildet ein Los.
Interne Kennung: LOT-0000
5.1.1.
Zweck
Art des Auftrags: Dienstleistungen
Haupteinstufung (cpv): 72000000 IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung
5.1.2.
Erfüllungsort
Land, Gliederung (NUTS): Bonn, Kreisfreie Stadt (DEA22)
Land: Deutschland
5.1.3.
Geschätzte Dauer
Laufzeit: 48 Monate
5.1.4.
Verlängerung
Der Erwerber behält sich das Recht vor, zusätzliche Käufe vom Auftragnehmer zu tätigen, wie hier beschrieben: Die Laufzeit der Rahmenvereinbarung beginnt mit Zuschlag und endet mit Ausschöpfung des Höchstwerts (30,1 Mio. Euro (netto)), spätestens jedoch nach 48 Monaten. Die Laufzeit verlängert sich zu gleichbleibenden Konditionen zweimalig um je 12 Monate, sofern die Auftraggeberin nicht spätestens einen Monat vor Ablauf der jeweiligen Laufzeit kündigt. Die Laufzeit beträgt damit insgesamt maximal 72 Monate.
5.1.5.
Wert
Geschätzter Wert ohne MwSt.: 30 099 600,00 EUR
Höchstwert der Rahmenvereinbarung: 30 100 000,00 EUR
5.1.6.
Allgemeine Informationen
Vorbehaltene Teilnahme: Teilnahme ist nicht vorbehalten.
Die Namen und beruflichen Qualifikationen des zur Auftragsausführung eingesetzten Personals sind anzugeben: Erforderlich für das Angebot
Auftragsvergabeprojekt ganz oder teilweise aus EU-Mitteln finanziert
Die Beschaffung fällt unter das Übereinkommen über das öffentliche Beschaffungswesen: ja
Zusätzliche Informationen: Fortführung Technische und berufliche Leistungsfähigkeit (BT 747/ BT 750) Kriterium 13 - Fachliche Komplexität/Technologien "B": Stellen Sie dar, wie Sie im Rahmen eines vergleichbaren Referenzprojekts mit Bezug zur IT-Sicherheit, ein Projekt als Bestandteil einer Multiprojekt-Umgebung durchgeführt haben. Multiprojekt-Umgebung bedeutet, dass unterschiedliche Beratungsprojekte mit verschiedenen Informationsverbünden, die zueinander Abhängigkeiten/Berührungspunkte aufweisen, parallel laufen. Das Referenzprojekt ist vergleichbar, wenn foldenge Aspekte abgedeckt werden: 1) Der Umfang des Gesamtprojektes inkl. Entwicklung beträgt mindestens 100 Personentage. 2) Nachvollziehbare Darstellung dass das Projekt Bestandteil einer Multiprojekt-Umgebung war/ist. Folgende Tätigkeiten sollten durchgeführt worden sein: 2) In der erstellten Anwendung sind XÖV-Standards integriert. 3) In der erstellten/bearbeiteten Anwendung wird eine mehrschichtige Infrastruktur realisiert. 4) Der Schutzbedarf im Projekt ist mindestens "hoch". 5) Im Projekt werden Web-Technologien eingesetzt, die auch im Fokus der Informationssicherheitsbetrachtung sind, d.h. client-basierte GUIs, server-basiert GUIs, Service-Schnittstellen, mobile Anwendungen. 6) Es besteht mind. eine technische Schnittstelle zu anderen Systemen im gleichen Informationsverbund. 7) Es besteht mind. eine technische Schnittstelle zu externen Systemen, also solchen, die nicht der Kontrolle des Bedarfsträgers unterliegen. 0 Punkte: Es wurde keine entsprechende Projektreferenz eingereicht oder die eingereichte Projektreferenz ist nicht mit dem Auftragsgegenstand vergleichbar, d. h. die Anforderungen der nächst höheren Bewertungsstufe werden verfehlt. 1 Punkt: Aus der Beschreibung des vergleichbaren Referenzprojekts geht nachvollziehbar hervor, auf welche Weise das Projekt Bestandteil einer Multiprojekt-Umgebung war. Mindestens 3 der genannten Tätigkeiten wurden durch das Referenzprojekt nachgewiesen. Die Anzahl der Zielobjekte der Strukturanalyse beträgt mindestens 10 aber weniger als 100. 3 Punkte: Aus der Beschreibung des vergleichbaren Referenzprojekts geht nachvollziehbar hervor, auf welche Weise das Projekt Bestandteil einer Multiprojekt-Umgebung war. Ebenfalls geht nachvollziehbar hervor, auf welche Weise von den genanntente Anforderungen sämtliche erfüllt wurde. Die Anzahl der Zielobjekte der Strukturanalyse beträgt mindestens 100 aber weniger als 1.000. Die Anzahl der technischen Schnittstellen zu anderen Systemen im gleichen Informationsverbund beträgt mehr als eine, aber weniger als fünf. Die Anzahl der technischen Schnittstellen zu externen Systemen beträgt mehr als eine, aber weniger als fünf. 5 Punkte: Aus der Beschreibung des vergleichbaren Referenzprojekts geht nachvollziehbar und besonders detailliert hervor, auf welche Weise das Projekt Bestandteil einer Multiprojekt-Umgebung war. Ebenfalls geht nachvollziehbar hervor, auf welche Weise von den genanntente Anforderungen sämtliche erfüllt wurden und im besonderen Maße zum Erfolg des Referenzprojektes beigetragen hat. Die Anzahl der Zielobjekte der Strukturanalyse beträgt mindestens 100 aber weniger als 1.000. Die Anzahl der technischen Schnittstellen zu anderen Systemen im gleichen Inforationsverbund beträgt mindestens fünf. Die Anzahl der technischen Schnittstellen zu externen Systemen beträgt mindestens fünf. Gewichtungspunkte: 500 Maximale Eigungspunkte: 2500 Kriterium 14 - Eingesetzte Produkte "B": Stellen Sie im Rahmen eines Referenzprojekts dar, ob und falls ja wie Sie die folgenden Produkte eingesetzt haben: - Nutzung von HiScout - Fachadministration HiScout - javabasierte Software als Betrachtungsgegenstand in der Sicherheitskonzeption - Open-Source-Produkte (in der entwickelten Software) als Betrachtungsgegenstand in der Sicherheitskonzeption - Betriebssystem für die entwickelte Software ist Unix oder ein entsprechendes Derivat als Betrachtungsgegenstand in der Sicherheitskonzeption - Cloud-/Virtualisierungtechnologien als Betrachtungsgegenstand in der Sicherheitskonzeption. -Programmierung und Nutzung von RPA 0 Punkte: Es wurde keine entsprechende Projektreferenz eingereicht. 1 Punkt: Aus der Beschreibung der Referenz geht nachvollziehbar hervor, dass mindestens 3 der genannten Produkte eingesetzt wurden. 3 Punkte: Aus der Beschreibung der Referenz geht nachvollziehbar hervor, dass sämtliche der genannten Produkte eingesetzt wurden. 5 Punkte: Aus der Beschreibung der Referenz geht nachvollziehbar und besonders detailliert hervor, dass und wie sämtliche der genannten Produkte eingesetzt wurden. Gewichtungspunkte: 500 Maximale Eigungspunkte: 2500
5.1.7.
Strategische Auftragsvergabe
Ziel der strategischen Auftragsvergabe: Erfüllung sozialer Zielsetzungen
Beschreibung: Die Anforderungen sind den Vergabeunterlagen zu entnehmen.
Gefördertes soziales Ziel: Faire Arbeitsbedingungen
5.1.9.
Eignungskriterien
Kriterium:
Art: Eignung zur Berufsausübung
Beschreibung: Kriterium 1 - Eignungsschwelle "A": Ein Bieter ist geeignet, sofern er alle Mindestanforderungen in den mit "A" und "A/B" gekennzeichneten Eignungskriterien erfüllt und über alle mit "B" und "A/B" gekennzeichneten Eignungskriterien mindestens 60 % der maximal erreichbaren, gewichteten Eignungspunkte - somit 12.300 EP - erreicht werden. (Eignungspunkte(EP) = Punkte * Gewichungspunkte(GP)) Kriterium 2 - Nichtvorliegen von Ausschlussgründen "A": Bitte reichen Sie die unterzeichnete Eigenerklärung zum Nichtvorliegen von Ausschlussgründen gemäß §§ 123, 124 GWB ein. Kriterium 3 - Berufs- und Handelsregisterauszug "A": Bitte reichen Sie einen Berufs- oder Handelsregisterauszug (oder gleichwertig) ein, der um Zeitpunkt der Angebotsfrist nicht älter als sechs Monate ist. Kriterium 4 - Nachweis gewerberechtliche Voraussetzungen "A": Bitte befüllen Sie das "Formblatt Unternehmensdaten" vollständig.
Kriterium:
Art: Wirtschaftliche und finanzielle Leistungsfähigkeit
Beschreibung: Kriterium 5 - Unternehmensdarstellung "A": Reichen Sie eine Darstellung Ihres Unternehmens ein und stellen Sie Ihr Unternehmen prägnant vor. Gehen Sie dabei u. a. auf folgende Punkte ein: - Angabe des Gründungsjahrs - Übersicht/Aufstellung über die Standorte des Unternehmens - Ausweis der konzernverbundenen Standorte - Erläuterung der Unternehmensstruktur und Geschäftsbereiche - Beschreibung des Leistungsportfolios/-spektrums Kriterium 6 - Berufs- oder Betriebshaftpflichtversicherung "A": Bitte reichen Sie einen Nachweis über Ihre Berufs- oder Betriebshaftpflichtversicherung ein. Die Berufs- oder Betriebshaftpflichtversicherung muss eine Mindestdeckungssumme von EUR 2 Mio. für Personen-, Sach- und Vermögensschäden je Schadenfall aufweisen. Der Höchstbetrag muss mindestens einmal jährlich zur Verfügung stehen. Ausreichend ist auch eine Deckungszusage der Versicherung über eine Anpassung der Versicherungssumme nach Zuschlagserteilung. Der Nachweis/Die Zusage darf nicht älter als sechs Monate zum Zeitpunkt der Angebotsfrist sein. Kriterium 7 - Umsätze im relevanten Geschäftsbereich Informationssicherheitsberatung "A/B": Als Nachweis der wirtschaftlichen und finanziellen Leistungsfähigkeit geben Sie bitte für die letzten drei Jahre den Gesamtjahresumsatz (in EUR) im relevanten Geschäftsbereich des vorliegenden Leistungsbereiches Ihres Unternehmens an. Bietergemeinschaften sowie Nachunternehmerkonstellationen können die Gesamtjahresumsätze des vorliegenden Leistungsbereiches addiert angeben. Mindestanforderung: Durchschnittlicher Gesamtjahresumsatz im relevanten Geschäftsbereich beträgt mind. 10 Mio. EUR. 0 Punkte: Der Umsatz im relevanten Geschäftsbereich liegt unter 10 Mio. EUR Gesamtjahresumsatz. 1 Punkt: Der Umsatz im relevanten Geschäftsbereich liegt über 10 Mio. EUR bis weniger als 20 Mio. EUR Gesamtjahresumsatz. 3 Punkte: Der Umsatz im relevanten Geschäftsbereich liegt über 20 Mio. EUR bis weniger als 30 Mio. EUR Gesamtjahresumsatz. 5 Punkte: Der Umsatz im relevanten Geschäftsbereich liegt über 30 Mio. EUR Gesamtjahresumsatz. Gewichtungspunkte: 700 Maximale Eigungspunkte: 3500
Kriterium:
Art: Technische und berufliche Leistungsfähigkeit
Beschreibung: Kriterium 8 - Bereitschaft zur Sicherheitsüberprüfung des Personals "A": Die zu unterstützenden fachlichen Themen haben Sicherheitsrelevanz. Es dürfen daher ausschließlich Mitarbeitende eingesetzt werden, die erfolgreich einer vorherigen Prüfung nach dem Sicherheitsüberprüfungsgesetz (SÜG) unterzogen wurden. Notwendig ist ein erweiterte Sicherheitsprüfung (SÜ2). Dies gilt bereits für die Einarbeitung in die einzelnen Verfahren. Der Bieter bzw. die Bietergemeinschaft muss bereit sein, seine/ihre Mitarbeitenden entsprechend sicherheitsüberprüfen zu lassen, sofern diese noch nicht die benötigte Überprüfung absolviert haben? Sofern einzelne Mitarbeitenden sich nicht dauerhaft in der Bundesrepublik Deutschland aufhalten und daher eine Überprüfung hier nicht möglich ist, müssen diese in ihren Herkunftsländern überprüft worden sein und die Prüfung im Bundesbereich als äquivalent anerkannt sein. In diesem Fall ist das Herkunftsland und die Sicherheitsüberprüfung zu benennen und darzustellen, in welcher Form die Äquivalenz der Überprüfung nachgewiesen wird (z. B. Anerkennung durch BMWK). Kriterium 9 - Anzahl Mitarbeitende im relevanten Geschäftsbereich IT-Sicherheitsberatung "A/B": Bitten geben Sie die Anzahl der Mitarbeitenden Ihres Unternehmens im für die Ausschreibung einschlägigen Geschäftsbereich im Gebiet der Europäischen Union in Vollzeitäquivalenten an. Bietergemeinschaften können die Mitarbeitendenzahlen aggregiert angeben. Für die Erfüllung der Mindestanforderungen und Bewertung wird der arithmetische Mittelwert der Beschäftigtenzahl der letzten drei Geschäftsjahre berücksichtigt. Bei Einschaltung von Unterauftragnehmern gilt dies nur, wenn insoweit eine Eignungsleihe gemäß § 47 VgV vorgenommen wurde. Mindestanforderung: Die Anzahl der Mitarbeitenden im relevanten Geschäftsbereich beträgt mindestens 30. 0 Punkte: Die Anzahl der Mitarbeitenden im relevanten Geschäftsbereich liegt unter 30. 1 Punkt: Die Anzahl der Mitarbeitenden im relevanten Geschäftsbereich liegt über 30 bis 80. 3 Punkte: Die Anzahl der Mitarbeitenden im relevanten Geschäftsbereich liegt über 80 bis 120. 5 Punkte: Die Anzahl der Mitarbeitenden im relevanten Geschäftsbereich liegt über 120. Gewichtungspunkte: 700 Maximale Eigungspunkte: 3500 Kriterium 10 - Anzahl Mitarbeitende, die zur Leistungserbringung grundsätzlich eingesetzt werden können "A/B": Bitte geben Sie die Anzahl der Mitarbeitenden Ihres Unternehmens in Vollzeitäquivalent an, die zur Leistungserbringung grundsätzlich eingesetzt werden können (z. B. zur Abdeckung von hohen Aufgabenaufkommen, Fehlzeiten, Wechselmöglichkeiten etc.). Bietergemeinschaften können die Mitarbeitendenzahlen aggregiert angeben. Für die Erfüllung der Mindestanforderungen und Bewertung wird der arithmetische Mittelwert der Beschäftigtenzahl der letzten drei Geschäftsjahre berücksichtigt. Bei Einschaltung von Unterauftragnehmern gilt dies nur, wenn insoweit eine Eignungsleihe gemäß § 47 VgV vorgenommen wurde. Die Anzahl der Mitarbeitenden, die grundsätzlich eingesetzt werden können, sollte 10 betragen. Mindestanforderung: Die Anzahl der Mitarbeitenden, die zur Leistungserbringung grundsätzlich eingesetzt werden können, beträgt mindestens 5. 0 Punkte: Die Anzahl der Mitarbeitenden, die zur Leistungserbringung grundsätzlich eingesetzt werden können, liegt unter 5. 1 Punkt: Die Anzahl der Mitarbeitenden, die zur Leistungserbringung grundsätzlich eingesetzt werden können, liegt zwischen 5 und 20. 3 Punkte: Die Anzahl der Mitarbeitenden, die zur Leistungserbringung grundsätzlich eingesetzt werden können, liegt zwischen 20 und 30. 5 Punkte: Die Anzahl der Mitarbeitenden, die zur Leistungserbringung grundsätzlich eingesetzt werden können, liegt über 30. Gewichtungspunkte: 700 Maximale Eigungspunkte: 3500 Projektreferenzen: Übergeordnete Anforderungen an Projektreferenzen Kriterien 11 bis 14: Für die Projektreferenzen wird jeweils die Referenz mit der höchsten Punktzahl je Kriterium zur Wertung herangezogen. Referenzprojekte, die älter als drei Jahre sind, sind nicht zulässig und werden bei der Bewertung nicht berücksichtigt. Das heißt, dass das Projekt entweder noch andauernd sein muss oder das Ende des Projekts nicht länger als drei Jahre vor dem Ende der Angebotsfrist liegen darf. Sofern noch andauernde Projekte als Referenz angegeben werden, müssen diese mindestens ein Jahr laufen (Maßgeblich ist das Datum der ersten Leistungserbringung im Projekt). Noch nicht realisierte Leistungsstände dürfen nicht genannt werden. Bei noch andauernden Projekten dürfen lediglich die Leistungen der letzten drei Jahre angegeben werden. Eigenreferenzen sind ausgeschlossen, d. h. die Leistungen dürfen nicht für die interessierten Unternehmen erbracht worden sein. Der Auftraggeber behält sich vor, die angegebenen Projektreferenzen zu überprüfen. Nicht bestätigte Referenzen können zum Ausschluss der Bieterin führen. *Fortführung siehe Feld Zusätzlich Informationen (BT 772 und BT 300)
5.1.10.
Zuschlagskriterien
Kriterium:
Art: Qualität
Bezeichnung: Leistungskennzahl gem. Vergabeunterlagen
Gewichtung (Prozentanteil, genau): 50
Kriterium:
Art: Preis
Bezeichnung: Preis
Gewichtung (Prozentanteil, genau): 50
5.1.11.
Auftragsunterlagen
Sprachen, in denen die Auftragsunterlagen offiziell verfügbar sind: Deutsch
5.1.12.
Bedingungen für die Auftragsvergabe
Bedingungen für die Einreichung:
Elektronische Einreichung: Zulässig
Sprachen, in denen Angebote oder Teilnahmeanträge eingereicht werden können: Deutsch
Elektronischer Katalog: Nicht zulässig
Varianten: Nicht zulässig
Die Bieter können mehrere Angebote einreichen: Nicht zulässig
Frist für den Eingang der Angebote: 16/09/2024 11:30:00 (UTC+2)
Informationen, die nach Ablauf der Einreichungsfrist ergänzt werden können:
Nach Ermessen des Käufers können alle fehlenden Bieterunterlagen nach Fristablauf nachgereicht werden.
Zusätzliche Informationen: Siehe Vergabeunterlagen. Die Bindefrist beginnt mit Ablauf der Angebotsfrist. *Fortführung Technische und berufliche Leistungsfähigkeit (BT 747/ BT 750) Kriterium 11 - Beratung Informationssicherheit und Durchführung von Prüfungen Informationssicherheit "B": Stellen Sie dar, wie Sie im Rahmen eines vergleichbaren Referenzprojektes Beratungsleistungen und Prüfungen der Informationssicherheit (Sicherheitstests) durchgeführt haben. Das Referenzprojekt sollte in ein größeres Gesamtprojekt, also ein Projekt mit Entwicklungsleistungen und ggf. auch weiteren Beratungsleistungen eingebunden sein. Ein Referenzprojekt ist vergleichbar, wenn die folgenden Aspekte abgedeckt werden: 1) Der Umfang des Gesamtprojektes inkl. Entwicklung beträgt mindestens 300 Personentage. 2) Die Anzahl der Mitarbeitenden an dem Projekt für Informationssicherheit beträgt mindestens vier. 3) Der Umfang von Leistungen für Beratung zu Informationssicherheit und Durchführung von Prüfungen der Informationssicherheit beträgt mindestens 10 % der Personentage gemessen am Gesamtprojekt. Folgende Tätigkeiten sollten durchgeführt worden sein: - Beratungen zur Informationssicherheit - Beratungen zu und die Durchführung von Informationssicherheitstests - Beratung auf Basis des IT-Grundschutzes - Beratungen zu Infrastruktursicherheitsleistungen - Beratung der der Entwickler hinsichtlich der Informationssicherheit - Nutzung von automatisierten Informationssicherheitstest bei der Softwareauslieferung 0 Punkte: Es wurde keine entsprechende Projektreferenz eingereicht oder die eingereichte Projektreferenz ist nicht mit dem Auftragsgegenstand vergleichbar, d. h. die Anforderungen der nächst höheren Bewertungsstufe werden verfehlt. 1 Punkt: Das Referenzprojekt ist vergleichbar. Mindestens 3 der genannten Tätigkeiten wurden durch das Referenzprojekt nachgewiesen. Zudem wurden Securitychecks nach eigener Definition und/oder Quick-Checks nach OWASP-Liste/BSI-Vorgehen und/oder PenTests nach BSI-Vorgehen durchgeführt. 3 Punkte: Die Anforderungen für 1 Punkt sind erfüllt. Das Referenzprojekt hat einen Gesamtprojektumfang von mind. 500 PT. Aus dem Referenzprojekt geht nachvollziehbar die Erfüllung aller genannten Tätigkeiten hervor. Im Referenzprojekt wurde ein IT-Sicherheitskonzept erstellt. Zudem wurden ReferenzQuick-Checks nach OWASP-Liste/BSI-Vorgehen und/oder PenTests nach BSI-Vorgehen durchgeführt. 5 Punkte: Die Anforderungen für 3 Punkte sind erfüllt. Das Referenzprojekt hat einen Gesamtprojektumfang von mind. 1000 PT. Aus dem Referenzprojekt geht nachvollziehbar die Erfüllung aller genannten Tätigkeiten hervor. Im Referenzprojekt wurde ein IT-Sicherheitskonzept erstellt. Im Referenzprojekt wurde PenTests nach BSI-Vorgehen durchgeführt. Zudem wurden Quick-Checks nach OWASP-Liste/BSI-Vorgehen und/oder PenTests nach BSI-Vorgehen durchgeführt. Gewichtungspunkte: 500 Maximale Eigungspunkte: 2500 Kriterium 12 - Erstellung von Informationssicherheitskonzepten "B": Stellen Sie dar, wie Sie im Rahmen eines vergleichbaren Referenzprojekts die Erstellung eines Informationssicherheitskonzepts durchgeführt haben. Das Referenzprojekt ist vergleichbar, wenn durch mindestens eine Referenz, die foldenge Aspekte abgedeckt werden: 1) Der Umfang dieser Leistungen beträgt mindestens 50 Personentage. 2) Das Projekt wurde auditiert bzw. es ist Grundlage einer Zertifizierung nach ISO27001 auf der Basis von IT-Grundschutz. 3) Betrachtung von Infrastruktursicherheitsanforderungen u.a. BSI IT-Grundschutz Baustein INF 0 Punkte: Es wurde keine entsprechende Projektreferenz eingereicht oder die eingereichte Projektreferenz weist keine ausreichenden Relevanz auf, d. h. die Anforderungen der nächst höheren Bewertungsstufe werden verfehlt. 1 Punkt: Das Referenzprojekt hat in Bezug auf die Erstellung von Informationssicherheitskonzepten einen Umfang von mindestens 50 Personentagen und weniger als 150. Aus der Beschreibung der Referenz geht nachvollziehbar hervor, auf welche Weise die Erstellung von Informationssicherheitskonzepten Teil des Projektinhaltes war. Das Projekt wurde auditiert oder war Grundlagen einer Zertifizierung nach ISO27001 auf der Basis von IT-Grundschutz. 3 Punkte: Das Referenzprojekt hat in Bezug auf die Erstellung von Informationssicherheitskonzepten einen Umfang von mindestens 150 Personentagen und weniger als 300. Aus der Beschreibung der Referenz geht nachvollziehbar hervor, auf welche Weise die Erstellung von Informationssicherheitskonzepten Teil des Projektinhaltes war und erfolgreich erfüllt wurde. Zudem war die Betrachtung von Infrastruktursicherheitsanforderungen nach BSI IT-Grundschutz Baustein INF Teil des Projekts. Das Projekt wurde auditiert oder war Grundlagen einer Zertifizierung nach ISO27001 auf der Basis von IT-Grundschutz. 5 Punkte: Das Referenzprojekt hat in Bezug auf die Erstellung von Informationssicherheitskonzepten einen Umfang mindestens 300 Personentagen. Aus der Beschreibung der Referenz geht nachvollziehbar und besonders detailliert hervor, auf welche Weise die Erstellung von Informationssicherheitskonzepten Teil des Projektinhaltes war und im besonderen Maße zum Erfolg des Referenzprojektes beigetragen hat. Dies ist ebenso für die Betrachtung von Infrastruktursicherheitsanforderungen nach BSI IT-Grundschutz Baustein INF darzustellen. Das Projekt wurde auditiert oder war Grundlagen einer Zertifizierung nach ISO27001 auf der Basis von IT-Grundschutz. Gewichtungspunkte: 500 Maximale Eigungspunkte: 2500 *Fortführung siehe Feld Zusätzlich Informationen (BT 772 und BT 300)
Informationen über die öffentliche Angebotsöffnung:
Eröffnungsdatum: 16/09/2024 11:31:00 (UTC+2)
Auftragsbedingungen:
Die Auftragsausführung muss im Rahmen von Programmen für geschützte Beschäftigungsverhältnisse erfolgen: Nein
Elektronische Rechnungsstellung: Erforderlich
Aufträge werden elektronisch erteilt: nein
Zahlungen werden elektronisch geleistet: nein
Informationen über die Überprüfungsfristen: Unternehmen haben einen Anspruch auf Einhaltung der bieter- und bewerberschützenden Bestimmungen über das Vergabeverfahren gegenüber dem öffentlichen Auftraggeber, Bundesrepublik Deutschland, vertreten durch das Beschaffungsamt des BMI (BeschA). Sieht sich ein am Auftrag interessiertes Unternehmen durch Nichtbeachtung von Vergabevorschriften in seinen Rechten verletzt, ist der Verstoß innerhalb einer Frist von zehn Kalendertagen gegenüber dem BeschA zu rügen (§ 160 Abs. 3 S. 1 Nr. 1 Gesetz gegen Wettbewerbsbeschränkungen (GWB)). Verstöße, die aufgrund der Bekanntmachung oder der Vergabeunterlagen erkennbar sind, müssen spätestens bis zu der in der Bekanntmachung benannten Frist zur Bewerbung oder Angebotsabgabe gegenüber dem BeschA gerügt werden (§ 160 Abs. 3 S. 1 Nr. 2 und 3 GWB). Teilt das BeschA dem Unternehmen mit, seiner Rüge nicht abhelfen zu wollen, so besteht die Möglichkeit, innerhalb von 15 Tagen nach Eingang der Mitteilung einen Antrag auf Nachprüfung bei der Vergabekammer zu stellen (§ 160 Abs. 3 S. 1 Nr. 4 GWB). Bieter, deren Angebote für den Zuschlag nicht berücksichtigt werden sollen, werden vor dem Zuschlag gemäß § 134 Abs. 1 GWB darüber informiert. Ein Vertrag darf erst 15 Kalendertage nach Absendung dieser Information durch das BeschA geschlossen werden; bei Übermittlung per Fax oder auf elektronischem Wege beträgt diese Frist zehn Kalendertage. Sie beginnt am Tag nach Absendung der Information durch das BeschA. Ein Antrag auf Nachprüfung ist schriftlich an die Vergabekammern des Bundes beim Bundeskartellamt, Kaiser-Friedrich-Straße 16, 53113 Bonn zu richten. Hinweis: Das BeschA ist im Falle eines Nachprüfungsantrags verpflichtet, die Vergabeakten, die auch die abgegebenen Angebote enthalten, an die Vergabekammer weiterzuleiten. Die Beteiligten haben ein Recht auf Akteneinsicht. Um Betriebs- und Geschäftsgeheimnisse zu wahren, teilen Sie uns konkret mit Bezug auf die entsprechenden Dokumente des Angebotes mit, welche Informationen als Betriebs- und Geschäftsgeheimnisse zu behandeln sind.
5.1.15.
Techniken
Rahmenvereinbarung: Rahmenvereinbarung ohne erneuten Aufruf zum Wettbewerb
Begründung der Laufzeit der Rahmenvereinbarung: Die Laufzeit einer Rahmenvereinbarung darf gem. § 21 Abs. 6 VgV höchstens vier Jahre betragen, es sei denn, es liegt ein im Gegenstand der Rahmenvereinbarung begründeter Sonderfall vor. Die Komplexität der Projekte des BVA, insbesondere die Abhängigkeiten innerhalb der Gesamtarchitektur der IT-Landschaft bedürfen einer gründlichen und zeitintensiven Einarbeitung durch den Auftragnehmer. Erst nach einer Einarbeitungszeit von circa einem Jahr dürfte die maximale Effizienz sowie eine Selbstständigkeit in der Dienstleistungserbringung erreicht sein. Ein Auftragnehmerwechsel nach bereits vier Jahren würde eine zeitintensive, kostspielige Einarbeitung bedeuten, die wirtschaftlich außer Verhältnis zu der erbringenden Leistung steht und die zudem zu viele Kapazitäten innerhalb des Hauses bindet. Daneben würden aufgrund der erforderlichen Neuorientierung noch nicht alle Projekte vollständig abgeschlossen sein, sodass ein Auftragnehmerwechsel inmitten laufender Projekte erfolgen müsste. Aufgrund der in Zukunft verstärkt steigenden Anzahl an Projekten und Fachverfahren im BVA (alleine derzeit sind es bereits circa 200) sowie der hoch komplexen Aufgaben des aktuell im Jahre 2024 auszuschreibenden Rahmenvertrages würde bei einem erneuten Dienstleisterwechsel eine durchschnittliche, geschätzte Verzögerung der Projektziele und Aufgabenwahrnehmungen von mindestens über einem halben Jahr resultieren. Damit einhergehend wäre auch die Informationssicherheitsberatung nicht gewährleistet. Nicht zuletzt amortisieren sich die Leistungen erst mit Abschluss der Projekte. Es ist daher in jeder Hinsicht nicht nur zweckmäßig, sondern auch geboten, die Laufzeit der Rahmenvereinbarung von vornherein auf sechs Jahre auszulegen (vier Jahre und eine zweimalige Verlängerungsoption um jeweils ein Jahr).
Informationen über das dynamische Beschaffungssystem: Kein dynamisches Beschaffungssystem
5.1.16.
Weitere Informationen, Schlichtung und Nachprüfung
Überprüfungsstelle: Vergabekammer des Bundes
Organisation, die zusätzliche Informationen über das Vergabeverfahren bereitstellt: Bundesrepublik Deutschland, vertreten durch das Bundesministerium des Innern und für Heimat, vertreten durch das Beschaffungsamt des BMI
Organisation, die Teilnahmeanträge entgegennimmt: Bundesrepublik Deutschland, vertreten durch das Bundesministerium des Innern und für Heimat, vertreten durch das Beschaffungsamt des BMI
TED eSender: Datenservice Öffentlicher Einkauf (in Verantwortung des Beschaffungsamts des BMI)
8. Organisationen
8.1.
ORG-7001
Offizielle Bezeichnung: Bundesrepublik Deutschland, vertreten durch das Bundesministerium des Innern und für Heimat, vertreten durch das Beschaffungsamt des BMI
Registrierungsnummer: t:0049228996100
Postanschrift: Brühler Straße 3
Stadt: Bonn
Postleitzahl: 53119
Land, Gliederung (NUTS): Bonn, Kreisfreie Stadt (DEA22)
Land: Deutschland
Telefon: +49 22899610-2958
Fax: +49 22899610-1610
Rollen dieser Organisation:
Beschaffer
Federführendes Mitglied
Organisation, die zusätzliche Informationen über das Vergabeverfahren bereitstellt
Organisation, die Teilnahmeanträge entgegennimmt
8.1.
ORG-7004
Offizielle Bezeichnung: Vergabekammer des Bundes
Registrierungsnummer: t:022894990
Postanschrift: Kaiser-Friedrich-Straße 16
Stadt: Bonn
Postleitzahl: 53113
Land, Gliederung (NUTS): Bonn, Kreisfreie Stadt (DEA22)
Land: Deutschland
Telefon: +49 2289499-0
Fax: +49 2289499-163
Rollen dieser Organisation:
Überprüfungsstelle
8.1.
ORG-7005
Offizielle Bezeichnung: Datenservice Öffentlicher Einkauf (in Verantwortung des Beschaffungsamts des BMI)
Registrierungsnummer: 0204:994-DOEVD-83
Stadt: Bonn
Postleitzahl: 53119
Land, Gliederung (NUTS): Bonn, Kreisfreie Stadt (DEA22)
Land: Deutschland
Telefon: +49228996100
Rollen dieser Organisation:
TED eSender
11. Informationen zur Bekanntmachung
11.1.
Informationen zur Bekanntmachung
Kennung/Fassung der Bekanntmachung: 5b7b2cc9-6db4-4ae0-9346-70ebc9376e56 - 01
Formulartyp: Wettbewerb
Art der Bekanntmachung: Auftrags- oder Konzessionsbekanntmachung – Standardregelung
Unterart der Bekanntmachung: 16
Datum der Übermittlung der Bekanntmachung: 09/08/2024 09:42:05 (UTC+2)
Sprachen, in denen diese Bekanntmachung offiziell verfügbar ist: Deutsch
11.2.
Informationen zur Veröffentlichung
Veröffentlichungsnummer der Bekanntmachung: 485352-2024
ABl. S – Nummer der Ausgabe: 156/2024
Datum der Veröffentlichung: 12/08/2024