5.1.1.
Zweck
Art des Auftrags: Dienstleistungen
Haupteinstufung (cpv): 72000000 IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung
Zusätzliche Einstufung (cpv): 72222100 Strategische Prüfung von Informationssystemen oder -technologie, 72260000 Dienstleistungen in Verbindung mit Software, 72220000 Systemberatung und technische Beratung, 72222300 Informationstechnologiedienste, 72223000 Prüfung von Informationstechnologieanforderungen, 72254000 Softwaretests, 72254100 Systemprüfung, 72800000 Computerrevision und -prüfung, 72150000 Beratung im Bereich Computerprüfung und Hardwareberatung, 79417000 Sicherheitsberatung, 72820000 Computerprüfung
5.1.2.
Erfüllungsort
Beliebiger Ort
Zusätzliche Informationen: Die Leistungen sind vorwiegend remote zu erbringen oder - nach Absprache mit dem Auftraggeber - beim Hauptsitz des Auftraggebers in Siegburg (Am Turm 42, 53721 Siegburg) sowie nach Absprache im Rechenzentrum in Aachen oder an weiteren Standorten innerhalb Deutschlands.
5.1.4.
Verlängerung
Maximale Verlängerungen: 2
Der Erwerber behält sich das Recht vor, zusätzliche Käufe vom Auftragnehmer zu tätigen, wie hier beschrieben: Die Rahmenvereinbarung verlängert sich automatisch um ein weiteres Jahr, soweit diese nicht spätestens drei Monate vor Ablauf durch den Auftraggeber schriftlich gekündigt wird. Eine Vertragsverlängerung unter den genannten Bedingungen kann maximal zweimal erfolgen, womit die Rahmenvereinbarung spätestens am 30.06.2029 endet.
5.1.6.
Allgemeine Informationen
Die Namen und beruflichen Qualifikationen des zur Auftragsausführung eingesetzten Personals sind anzugeben: Erforderlich für den Teilnahmeantrag
Auftragsvergabeprojekt nicht aus EU-Mitteln finanziert
Die Beschaffung fällt unter das Übereinkommen über das öffentliche Beschaffungswesen: nein
Diese Auftragsvergabe ist auch für kleine und mittlere Unternehmen (KMU) geeignet: nein
Zusätzliche Informationen: Einreichung einer Geheimhaltungsvereinbarung im Rahmen des Teilnahmewettbewerbs: Zum Schutz von vertraulichen Informationen, die im Rahmen des laufenden Vergabeverfahrens bekannt gemacht werden, ist mit Abgabe des Teilnahmeantrags die vom Bewerber ausgefüllte und unterzeichnete Geheimhaltungsvereinbarung einzureichen. Die vollständige Leistungsbeschreibung wird mit der Angebotsaufforderung auf der zweiten Stufe zur Verfügung gestellt.
5.1.7.
Strategische Auftragsvergabe
Ziel der strategischen Auftragsvergabe: Keine strategische Beschaffung
5.1.9.
Eignungskriterien
Kriterium:
Art: Sonstiges
Bezeichnung: Eigenerklärung zu zwingenden und fakultativen Ausschlussgründen
Beschreibung: - Eigenerklärung zu Ausschlussgründen gemäß § 123 GWB - Eigenerklärung zu Ausschlussgründen gemäß § 124 GWB
Kriterium:
Art: Wirtschaftliche und finanzielle Leistungsfähigkeit
Bezeichnung: Eigenerklärung zur Betriebshaftpflichtversicherung
Beschreibung: Zum Nachweis der wirtschaftlichen und finanziellen Leistungsfähigkeit wird eine Betriebshaftpflichtversicherung mit den folgenden Mindestversicherungssummen gefordert. - Deckung für Personen- und Sachschäden pro Versicherungsfall und -jahr: 5 Mio. EUR - Deckung für Vermögensschäden pro Versicherungsfall und -jahr: 3 Mio. EUR
Kriterium:
Art: Technische und berufliche Leistungsfähigkeit
Bezeichnung: Eigenerklärung zum Informationssicherheitsmanagementsystem
Beschreibung: Zum Nachweis der technischen und beruflichen Leistungsfähigkeit wird ein bestehendes Informationssicherheitsmanagementsystems nach ISO/IEC 27001 oder ISO/IEC 27001 nach IT-Grundschutz oder vergleichbar gefordert. Die Vergleichbarkeit ist durch den Bewerber nachzuweisen.
Kriterium:
Art: Technische und berufliche Leistungsfähigkeit
Bezeichnung: Eigenerklärung zur Staatsangehörigkeit der Mitglieder des Kernteams
Beschreibung: Zum Nachweis der technischen und beruflichen Leistungsfähigkeit wird gefordert, dass alle Mitglieder des Kernteams keinem auf der Staatenliste genannten Staat angehören.
Kriterium:
Art: Technische und berufliche Leistungsfähigkeit
Bezeichnung: Eigenerklärung zur Sicherheitsüberprüfung für den Projektleiter und mindestens einen Penetrationstester
Beschreibung: Zum Nachweis der technischen und beruflichen Leistungsfähigkeit wird gefordert, dass der Projektleiter und mindestens ein Penetrationstester über eine gültige Sicherheitsüberprüfung (SÜ1) gemäß Sicherheitsüberprüfungsgesetz verfügen.
Kriterium:
Art: Technische und berufliche Leistungsfähigkeit
Bezeichnung: Eigenerklärung zur Aus-/Weiterbildung im Bereich Cybersecurity aller Mitglieder des Kernteams
Beschreibung: Zum Nachweis der technischen und beruflichen Leistungsfähigkeit wird gefordert, dass alle Mitglieder des Kernteams mindestens über ein abgeschlossenes Studium im Bereich Cybersecurity ODER über ein(e) abgeschlossene(s) Ausbildung/Studium im Bereich/Spezialisierung Informatik in Kombination mit einem der nachfolgenden Zertifikate verfügen: Offensive Security Certified Professional (OSCP, auch bekannt als OffSec Certified Professional oder OCP) ODER Global Information Assurance Certification (GPEN-Zertifikat) ODER GIAC Web Application Penetration Tester Zertifikat (GWAPT-Zertifikat) ODER Certified Ethical Hacker Zertifikat (CEH-Zertifikat) ODER ein vergleichbares Zertifikat (die Vergleichbarkeit ist durch den Bewerber nachzuweisen)
Kriterium:
Art: Technische und berufliche Leistungsfähigkeit
Bezeichnung: Eigenerklärung zur Berufserfahrung in der Bewertung von Schwachstellen aller Mitglieder des Kernteams
Beschreibung: Mindestanforderung an jedes Mitglied des Kernteams: zwei Jahre Berufserfahrung in der Bewertung von identifizierten Schwachstellen nach CVSS-Version 3.1 und 4.0 inklusive Base Score, Temporal Score & Environmental Score
Kriterium:
Art: Technische und berufliche Leistungsfähigkeit
Bezeichnung: Eigenerklärung zur Berufserfahrung im Bereich Penetrationstests aller Mitglieder des Kernteams
Beschreibung: Mindestanforderung an jedes Mitglied des Kernteams: drei Jahre relevante Berufserfahrung in Cybersecurity Projekten als Penetrationstester oder in einer vergleichbaren Position bei der Durchführung von Schwachstellentests oder Security-Audits mit Benennung drei vergleichbarer Projekte mit jeweils mindestens 60 Personentagen und einer Unternehmensgröße des Referenzgebers von mindestens 200 Mitarbeitern // Projekte gelten als vergleichbar, wenn die erbrachte Leistung diesem Ausschreibungsgegenstand in Art und Umfang so weit ähneln, dass ein tragfähiger Rückschluss auf die Leistungsfähigkeit des Mitglieds des Kernteams eröffnet wird.
Kriterium:
Art: Technische und berufliche Leistungsfähigkeit
Bezeichnung: Eigenerklärung zur Berufserfahrung als Projektleiter für den Projektleiter
Beschreibung: Mindestanforderung an den Projektleiter: drei Jahre relevante Berufserfahrung als Projektleiter mit Benennung drei vergleichbarer Projekte // Projekte gelten als vergleichbar, wenn die erbrachte Leistung diesem Ausschreibungsgegenstand in Art und Umfang so weit ähnelt, dass ein tragfähiger Rückschluss auf die Leistungsfähigkeit des Projektleiters eröffnet wird.
Kriterium:
Art: Wirtschaftliche und finanzielle Leistungsfähigkeit
Bezeichnung: Eigenerklärung zum Tätigsein im Bereich Pentesting
Beschreibung: Zum Nachweis der wirtschaftlichen und finanziellen Leistungsfähigkeit wird eine Geschäftstätigkeit im Bereich Pentesting von mindestens drei Jahren gefordert. Sollte ein Bewerber mehr als drei Jahre in dem Bereich Pentesting tätig sein, wird dies wie folgt bewertet: 4 - 5 Jahre: 8 Punkte // 6 - 8 Jahre: 16 Punkte // ab 9 Jahre: 25 Punkte
Anhand der Kriterien werden die Bewerber ausgewählt, die zur zweiten Phase des Verfahrens eingeladen werden sollen
Gewichtung (Punkte, genau): 25
Kriterium:
Art: Technische und berufliche Leistungsfähigkeit
Bezeichnung: Eigenerklärung zur Unternehmensgröße anhand der Beschäftigtenzahl
Beschreibung: Zum Nachweis der technischen und beruflichen Leistungsfähigkeit wird eine jährliche durchschnittliche Beschäftigtenzahl von mindestens 10 Mitarbeiter gefordert. Sollte ein Bewerber mehr als jährlich durchschnittlich 10 Mitarbeiter beschäftigten, wird dies wie folgt bewertet: 11 - 24 Mitarbeiter: 3 Punkte // 25 - 49 Mitarbeiter: 7 Punkte // ab 50 Mitarbeiter: 10 Punkte
Anhand der Kriterien werden die Bewerber ausgewählt, die zur zweiten Phase des Verfahrens eingeladen werden sollen
Gewichtung (Punkte, genau): 10
Kriterium:
Art: Technische und berufliche Leistungsfähigkeit
Bezeichnung: Eigenerklärung zu Referenzen
Beschreibung: Zum Nachweis der technischen und beruflichen Leistungsfähigkeit müssen vom Bewerber mindestens 8 Penetrationstests in ähnlicher Größe (mindestens 100 Personentage) in den letzten drei Jahren durchgeführt worden sein. Sollte ein Bewerber mehr als 8 Penetrationsprojekte in ähnlicher Größe durchgeführt haben, wird dies wie folgt bewertet: 9 - 19 Projekte: 8 Punkte // 20 - 44 Projekte: 16 Punkte // ab 45 Projekte: 25 Punkte
Anhand der Kriterien werden die Bewerber ausgewählt, die zur zweiten Phase des Verfahrens eingeladen werden sollen
Gewichtung (Punkte, genau): 25
Kriterium:
Art: Sonstiges
Bezeichnung: Auswahlkriterium: Eigenerklärung über die Durchführung von Penetrationstests in bestimmten Sektoren
Beschreibung: Sollte ein Bewerber über mindestens ein Jahr Erfahrung mit der Durchführung von Penetrationstests in den nachfolgend genannten Sektoren verfügen, wird dies wie folgt bewertet: Sektor "Öffentlicher Auftraggeber: 6 Punkte // Sektor "Flottenmanagement": 6 Punkte // Sektor "Bundeswehr/Verteidigung": 7 Punkte // Sektor der "kritischen Infrastruktur (KRITIS)": 6 Punkte
Anhand der Kriterien werden die Bewerber ausgewählt, die zur zweiten Phase des Verfahrens eingeladen werden sollen
Gewichtung (Punkte, genau): 25
Kriterium:
Art: Sonstiges
Bezeichnung: Auswahlkriterium bei wertungsgleichen Teilnahmeanträgen
Beschreibung: 1) Sollte es nach Auswertung aller Teilnahmeanträge zu einer Punktgleichheit kommen, wird der Bewerber zur Angebotsabgabe aufgefordert, der in dem Kriterium "Tätigsein im Bereich Pentesting" die höchste Punktzahl erreicht hat. // 2) Sollte die erreichte Punktzahl der Bewerber in dem unter 1) genannten Kriterium gleich sein, wird der Bewerber zur Angebotsabgabe aufgefordert, der in dem Kriterium "Anzahl an durchgeführten Penetrationsprojekten" die höchste Punktzahl erreicht hat. // 3) Sollte die erreichte Punktzahl der Bewerber in dem unter 2) genannten Kriterium gleich sein, wird der Bewerber zur Angebotsabgabe aufgefordert, der in dem Kriterium "Sektor der Pentesting-Aktivitäten" die höchste Punktzahl erreicht hat. // 4) Sollte die erreichte Punktzahl der Bewerber in dem unter 3) genannten Kriterium gleich sein, wird der Bewerber zur Angebotsabgabe aufgefordert, der in dem Kriterium "Unternehmensgröße" die höchste Punktzahl erreicht hat. // 5) Sollte die erreichte Punktzahl der Bewerber in dem unter 4) genannten Kriterium gleich sein, behält sich der öffentliche Auftraggeber vor, das Los entscheiden zu lassen. // HINWEIS: Die untenstehende Angabe zur Gewichtung "Gewichtung (Punkte, genau): 1" hat keine konstitutive Wirkung. Bei diesem Feld handelt es sich um ein Pflichtfeld, das nicht leer gelassen werden kann.
Anhand der Kriterien werden die Bewerber ausgewählt, die zur zweiten Phase des Verfahrens eingeladen werden sollen
Gewichtung (Punkte, genau): 1
Informationen über die zweite Phase eines zweiphasigen Verfahrens:
Mindestzahl der zur zweiten Phase des Verfahrens einzuladenden Bewerber: 5
Höchstzahl der zur zweiten Phase des Verfahrens einzuladenden Bewerber: 5
5.1.10.
Zuschlagskriterien
Kriterium:
Art: Preis
Bezeichnung: Stundensatz Projektleiter
Beschreibung: Das Angebot mit dem niedrigsten Stundensatz erhält die maximale Punktzahl. Die weiteren Angebote erhalten Punkte nach folgender Formel: (niedrigster Stundensatz / angebotener Stundensatz) * 8 Punkte
Kategorie des Gewicht-Zuschlagskriteriums: Gewichtung (Punkte, genau)
Zuschlagskriterium — Zahl: 8
Kriterium:
Art: Preis
Bezeichnung: Stundensatz Penetrationstester
Beschreibung: Das Angebot mit dem niedrigsten Stundensatz erhält die maximale Punktzahl. Die weiteren Angebote erhalten Punkte nach folgender Formel: (niedrigster Stundensatz / angebotener Stundensatz) * 24 Punkte
Kategorie des Gewicht-Zuschlagskriteriums: Gewichtung (Punkte, genau)
Zuschlagskriterium — Zahl: 24
Kriterium:
Art: Qualität
Bezeichnung: Zertifikate des Bieters
Beschreibung: Sollte der Bieter über die nachfolgenden Nachweise verfügen, wird dies wie folgt berücksichtigt: CREST (Council of Registered Ethical Security Testers) Certification oder vergleichbares Zertifikat: 4 Punkte // SOC 2 (System and Organization Controls Type 2) oder vergleichbares Zertifikat: 4 Punkte // Mitgliedschaft in Berufsverbänden: OWASP (Open Web Applicaton Security Project) oder ISSA (International Information Systems Security Association) oder vergleichbar: 4 Punkte // Veröffentlichte Forschungsarbeiten oder White Papers (Published Research or White Papers): 4 Punkte // Industrie Anerkennungen und Auszeichnungen (Industry Recognition and Awards): 4 Punkte
Kategorie des Festwert-Zuschlagskriteriums: Fester Wert (insgesamt)
Zuschlagskriterium — Zahl: 20
Kriterium:
Art: Qualität
Bezeichnung: Berufserfahrung in Jahren im Bereich Penetrationstests aller Mitglieder des Kernteams
Beschreibung: Sollte ein Mitglied des Kernteams mehr als drei Jahre relevante Berufserfahrung in Cybersecurity Projekten als Penetrationstester oder in einer vergleichbaren Position bei der Durchführung von Schwachstellentests oder Security-Audits aufweisen, wird dies wie folgt pro Person bewertet: 4 - 6 Jahre Berufserfahrung: 2 Punkte // 7 - 9 Jahre Berufserfahrung: 4 Punkte // Ab 10 Jahre Berufserfahrung: 6 Punkte
Kategorie des Festwert-Zuschlagskriteriums: Fester Wert (insgesamt)
Zuschlagskriterium — Zahl: 24
Kriterium:
Art: Qualität
Bezeichnung: Berufserfahrung in vergleichbaren Penetrationsprojekten aller Mitglieder des Kernteams
Beschreibung: Sollte ein Mitglied des Kernteams mehr als drei vergleichbare Penetrationsprojekte (mit jeweils mindestens 60 Personentagen und einer Unternehmensgröße des Auftraggebers von mindestens 200 Mitarbeitern) vorweisen, wird dies wie folgt pro Person bewertet: 4 - 6 Penetrationsprojekte: 1 Punkt // 7 - 9 Penetrationsprojekte: 2 Punkte // 10 Penetrationsprojekte: 3 Punkte
Kategorie des Festwert-Zuschlagskriteriums: Fester Wert (insgesamt)
Zuschlagskriterium — Zahl: 12
Kriterium:
Art: Qualität
Bezeichnung: Berufserfahrung als Projektleiter für den Projektleiter des Kernteams
Beschreibung: Sollte der eingesetzte Projektleiter mehr als drei Jahre relevante Berufserfahrung als Projektleiter aufweisen, wird dies wie folgt bewertet: 4 - 6 Jahre Berufserfahrung: 4 Punkte // 7 - 9 Jahre Berufserfahrung: 8 Punkte // Ab 10 Jahre Berufserfahrung: 12 Punkte
Kategorie des Festwert-Zuschlagskriteriums: Fester Wert (insgesamt)
Zuschlagskriterium — Zahl: 12
5.1.12.
Bedingungen für die Auftragsvergabe
Bedingungen für die Einreichung:
Elektronische Einreichung: Erforderlich
Sprachen, in denen Angebote oder Teilnahmeanträge eingereicht werden können: Deutsch
Elektronischer Katalog: Nicht zulässig
Varianten: Nicht zulässig
Die Bieter können mehrere Angebote einreichen: Nicht zulässig
Frist für den Eingang der Teilnahmeanträge: 14/04/2025 10:00:00 (UTC+2)
Informationen, die nach Ablauf der Einreichungsfrist ergänzt werden können:
Nach Ermessen des Käufers können einige fehlenden Bieterunterlagen nach Fristablauf nachgereicht werden.
Zusätzliche Informationen: Der Auftraggeber behält sich vor, bei Abgabe des Teilnahmeantrags nicht beiliegende bzw. den Anforderungen formal bzw. inhaltlich nicht genügende Dokumente, Nachweise, Angaben und Erklärungen unter Fristsetzung nachzufordern. Ein Anspruch der Bieter auf Nachforderung besteht nicht.
Auftragsbedingungen:
Die Auftragsausführung muss im Rahmen von Programmen für geschützte Beschäftigungsverhältnisse erfolgen: Nein
Bedingungen für die Ausführung des Auftrags: siehe Vergabeunterlagen
Elektronische Rechnungsstellung: Erforderlich
Aufträge werden elektronisch erteilt: ja
Zahlungen werden elektronisch geleistet: ja
5.1.15.
Techniken
Rahmenvereinbarung: Rahmenvereinbarung ohne erneuten Aufruf zum Wettbewerb
Höchstzahl der teilnehmenden Personen: 1
Informationen über das dynamische Beschaffungssystem: Kein dynamisches Beschaffungssystem
Elektronische Auktion: nein
5.1.16.
Weitere Informationen, Schlichtung und Nachprüfung
Überprüfungsstelle: Bundeskartellamt Vergabekammer des Bundes
Informationen über die Überprüfungsfristen: Hinsichtlich der Fristen zur Einlegung von Rechtsbehelfen wird auf § 160 Abs. 3 des Gesetzes gegen Wettbewerbsbeschränkungen (GWB) verwiesen. § 160 GWB lautet wie folgt: (1) Die Vergabekammer leitet ein Nachprüfungsverfahren nur auf Antrag ein. (2) Antragsbefugt ist jedes Unternehmen, das ein Interesse an dem öffentlichen Auftrag oder der Konzession hat und eine Verletzung in seinen Rechten nach § 97 Abs. 6 durch Nichtbeachtung von Vergabevorschriften geltend macht. Dabei ist darzulegen, dass dem Unternehmen durch die behauptete Verletzung der Vergabevorschriften ein Schaden entstanden ist oder zu entstehen droht. (3) Der Antrag ist unzulässig, soweit: 1) der Antragsteller den geltend gemachten Verstoß gegen Vergabevorschriften vor Einreichen des Nachprüfungsantrags erkannt und gegenüber dem Auftraggeber nicht innerhalb einer Frist von 10 Kalendertagen gerügt hat; der Ablauf der Frist nach § 134 Absatz 2 bleibt unberührt, 2) Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, nicht spätestens bis zum Ablauf der in der Bekanntmachung benannten Frist zur Bewerbung oder Angebotsabgabe gegenüber dem Auftraggeber gerügt werden, 3) Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, nicht spätestens bis zum Ablauf der Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden, 4) mehr als 15 Kalendertage nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, vergangen sind. Satz 1 gilt nicht bei einem Antrag auf Feststellung der Unwirksamkeit des Vertrages nach § 135 Abs. 1 Nr. 2. § 134 Abs. 1 Satz 2 bleibt unberührt.
Organisation, die zusätzliche Informationen über das Vergabeverfahren bereitstellt: BwFuhrparkService GmbH
Organisation, die Teilnahmeanträge entgegennimmt: BwFuhrparkService GmbH
TED eSender: Datenservice Öffentlicher Einkauf (in Verantwortung des Beschaffungsamts des BMI)