1. Beschaffer
1.1.
Beschaffer
Offizielle Bezeichnung: Bundesrepublik Deutschland, vertreten durch das Bundesministerium des Innern und für Heimat, vertreten durch das Beschaffungsamt des BMI
Rechtsform des Erwerbers: Zentrale Regierungsbehörde
Tätigkeit des öffentlichen Auftraggebers: Allgemeine öffentliche Verwaltung
2. Verfahren
2.1.
Verfahren
Titel: Rahmenvereinbarung über das AppTesting für die Bundesverwaltung
Beschreibung: Abschluss einer Rahmenvereinbarung über das "AppTesting für die Bundesverwaltung"
Kennung des Verfahrens: 12ee8879-b67b-42e1-8485-377f4f7ef941
Interne Kennung: ZIB 22.36 - 1638/23/VV : 1
Verfahrensart: Offenes Verfahren
Das Verfahren wird beschleunigt: nein
2.1.1.
Zweck
Art des Auftrags: Dienstleistungen
Haupteinstufung (cpv): 72316000 Datenanalyse
2.1.2.
Erfüllungsort
Postanschrift: Bundesamt für Sicherheit in der Informationstechnik
Stadt: Bonn
Postleitzahl: 53175
Land, Gliederung (NUTS): Bonn, Kreisfreie Stadt (DEA22)
Land: Deutschland
2.1.3.
Wert
Höchstwert der Rahmenvereinbarung: 4 033 613,44 EUR
2.1.4.
Allgemeine Informationen
Rechtsgrundlage:
Richtlinie 2014/24/EU
vgv -
2.1.6.
Ausschlussgründe
Quellen der Ausschlussgründe: Bekanntmachung
Verstoß gegen Verpflichtungen, die auf rein nationalen Ausschlussgründen beruhen:
5. Los
5.1.
Los: LOT-0000
Titel: Rahmenvereinbarung über das AppTesting für die Bundesverwaltung
Beschreibung: Abschluss von 1 Stück Rahmenvereinbarung "AppTesting für die Bundesverwaltung" einschl. wahlweiser Übernahme/Migration des bereits bestehenden AppTesting Portals, Eigen-/Weiterentwicklung und Service und Support. Bearbeitung von App-Prüfungen nach vorgegebenen Kriterien / Anforderungen, erstellen dazu passender Prüfberichte und Bereitstellung im AppTesting Webportal.
Interne Kennung: LOT-0000
5.1.1.
Zweck
Art des Auftrags: Dienstleistungen
Haupteinstufung (cpv): 72316000 Datenanalyse
5.1.2.
Erfüllungsort
Postanschrift: Bundesamt für Sicherheit in der Informationstechnik, Godesberger Allee 185-189
Stadt: Bonn
Postleitzahl: 53175
Land, Gliederung (NUTS): Bonn, Kreisfreie Stadt (DEA22)
Land: Deutschland
5.1.3.
Geschätzte Dauer
Laufzeit: 48 Monate
5.1.5.
Wert
Höchstwert der Rahmenvereinbarung: 4 033 613,44 EUR
5.1.6.
Allgemeine Informationen
Vorbehaltene Teilnahme: Teilnahme ist nicht vorbehalten.
Die Namen und beruflichen Qualifikationen des zur Auftragsausführung eingesetzten Personals sind anzugeben: Noch nicht bekannt
Auftragsvergabeprojekt nicht aus EU-Mitteln finanziert
Die Beschaffung fällt unter das Übereinkommen über das öffentliche Beschaffungswesen: ja
Diese Auftragsvergabe ist auch für kleine und mittlere Unternehmen (KMU) geeignet: nein
5.1.7.
Strategische Auftragsvergabe
Ziel der strategischen Auftragsvergabe: Keine strategische Beschaffung
5.1.9.
Eignungskriterien
Quellen der Auswahlkriterien: Bekanntmachung
Kriterium: Maßnahmen zur Sicherstellung der Qualität
Beschreibung: Der Auftragnehmer muss ein auf Grundlage der DIN EN ISO/IEC 17025 * zugelassene Prüfstelle sein und * zertifiziertes Qualitätsmanagement unterhalten." ODER * ein ISO 27001-Zertifikat auf der Basis von IT-Grundschutz, * ein ISO/IEC 27001-nativen Zertifikat einer akkreditierten Zertifizierungsstelle, * ein ISO/IEC 20000 Zertifikat einer akkreditierten Zertifizierungsstelle, * eine Akkreditierung nach ISO/IEC 17025 oder nach ISO/IEC 17021-1. Reichen Sie den Nachweis über die Zulassung als Prüfstelle und eine Qualitätsmanagement-Zertifizierung nach der DIN EN ISO/IEC 17025 als Anlage zu Ihrem Angebot ein oder reichen Sie den Nachweis über eine der anderen genannten Zertifizierungen als Anlage zu Ihrem Angebot ein.
Kriterium: Referenzen zu bestimmten Arbeiten
Beschreibung: Das Mitarbeiterprofil "Projektleiter" und mindestens zwei zu den genannten Anforderungen passende Referenzen müssen als Anlage zum Angebot eingereicht werden. Das Mitarbeiterprofil muss mindestens folgende Angaben umfassen: * Beruflicher Werdegang (ab dem Jahr 2017) und * Fachliche Qualifikation unter Angabe des abgeschlossenen Studiums, Fachrichtung und Vertiefung, sowie Hochschulgrads und * Nachweis der SÜ1-Sicherheitsüberprüfung. Die Referenzen müssen folgende Angaben enthalten: * Name des Projekts, * Bezug des Projekts zum Leistungsgegenstand "Penetrationstests" und "App-Testing", * Bennenung der geprüften Apps und * Angabe des Auftraggebers einschl. Kontaktadresse (E-Mail und Telefon). Die Vergabestelle behält sich vor, Referenzen stichprobenartig zu verifizieren. Für die Projektmitarbeiter #1 und #2 muss * ein Mitarbeiterprofil ""Projektmitarbeiter"" (#1 und #2), * mindestens zwei zu den genannten Anforderungen passende "Referenzen", * der Nachweis der SÜ1 Sicherheitsüberprüfung und * ein Nachweis über die Zertifizierung als Penetrationstester als Anlage zum Angebot eingereicht werden. Das Mitarbeiterprofil umfasst zumindest folgende Angaben: * Beruflicher Werdegang (ab dem Jahr 2017) und * Fachliche Qualifikation unter Angabe des abgeschlossenen Studiums, Fachrichtung und Vertiefung, sowie Hochschulgrads. Die Referenzen müssen als Anlage zum Angebot eingereicht werden und folgende Angaben enthalten: * Name des Projekts, * Bennenung der geprüften Apps, * Bezug des Projekts zum Leistungsgegenstand "Penetrationstests" und "App-Testing", * Angabe des Auftraggebers einschl. Kontaktadresse (E-Mail und Telefon). Die Vergabestelle behält sich vor, Referenzen stichprobenartig zu verifizieren. Für die Projektmitarbeiter #3 und #4 müssen * ein Mitarbeiterprofil ""Projektmitarbeiter"" (#3 und #4), * mindestens zwei zu den genannten Anforderungen passende "Referenzen" und * der Nachweis der SÜ1 Sicherheitsüberprüfung eingereicht werden. Das Mitarbeiterprofil umfasst zumindest folgende Angaben: * Beruflicher Werdegang (ab dem Jahr 2020) und * Fachliche Qualifikation unter Angabe des abgeschlossenen Studiums, Fachrichtung und Vertiefung, sowie Hochschulgrads. Die Referenzen müssen als Anlage zum Angebot eingereicht werden und folgende zusätzliche Angaben enthalten: * Name des Projekts, * Bennenung der geprüften Apps, * Bezug des Projekts zum Leistungsgegenstand "Penetrationstests" und "App-Testing", * Angabe des Auftraggebers einschl. Kontaktadresse (E-Mail und Telefon). Die Vergabestelle behält sich vor, Referenzen stichprobenartig zu verifizieren. Für die Projektmitarbeiter #5 und #6 müssen * ein Mitarbeiterprofil "Projektmitarbeiter" (#5 und #6) und * mindestens zwei zu den genannten Anforderungen passende "Referenzen" eingereicht werden. Das Mitarbeiterprofil umfasst zumindest folgende Angaben: * Beruflicher Werdegang (ab dem Jahr 2020) und * Fachliche Qualifikation unter Angabe einer einschlägigen Ausbildung, Fachrichtung und Vertiefung, sowie Abschluss. Die Referenzen müssen als Anlage zum Angebot eingereicht werden und folgende zusätzliche Angaben enthalten: * Name des Projekts, * Bennenung der geprüften Apps, * Bezug des Projekts zum fachlichen Schwerpunkt "Pentesting" und/oder "App-Testing" und * Angabe des Auftraggebers einschl. Kontaktadresse (E-Mail und Telefon). Die Vergabestelle behält sich vor, Referenzen stichprobenartig zu verifizieren.
Kriterium: Techniker oder technische Stellen zur Durchführung der Arbeiten
Beschreibung: Wie viele Mitarbeiter sind als Projekt-Kernteam für die Auftragserbringung vorgesehen? Mindestens 5 Mitarbeiter müssen für die Auftragsausführung über die gesamte Vertragslaufzeit zur Verfügung stehen. In welche Rollen ist das Projekt-Kernteam eingeteilt? Das Projektteam muss aus einem Projektleiter und mindestens vier App-Prüfern bestehen. Zwei qualifizierte und erfahrene "Senior" Mitarbeiter müssen für die Auftragserbringung zur Verfügung stehen. Die Projektmitarbeiter #1 und #2 müssen * ein einschlägiges Studium mit technischem Hintergrund (Fachbereich: Informationstechnik, Informationssicherheit, Nachrichten-/Kommunikationstechnik, Datenverarbeitung oder vergleichbare Vertiefung/Spezialisierung), * in den letzten acht Jahren mindestens fünf Jahre Berufserfahrung (Vollzeitequivalent) im Bereich IT Security erworben haben, * von diesen fünf Jahren (oder mehr) müssen mindestens drei Jahre (Vollzeitequivalent) im Bereich Informationssicherheit im Bereich Pentester / App-Testing absolviert worden sein, * SÜ1 sicherheitsüberprüft nach dem SÜG sein. Jeder Projektmitarbeiter muss als Penetrationstester zertifiziert worden sein. Folgende Zertifizierungen werden bspw. akzeptiert: * BSI-zertifizierter Pentester * CREST-zertifizierter Pentester (Registered Tester CRT) * Certified Ethical Hacker (CEH) Mit der Angebotsabgabe erklären sich die Mitarbeiter damit einverstanden, im Falle eines Zuschlags nach dem Verpflichtungsgesetz VerpflG verpflichtet zu werden. Zwei weitere hinreichend qualifizierte und erfahrene Mitarbeiter müssen für die Auftragserbringung zur Verfügung stehen. Die Mitarbeiter müssen * eine einschlägige Ausbildung mit technischem Hintergrund im Fachbereich Informationstechnik, Informationssicherheit, Nachrichten-/Kommunikationstechnik, Datenverarbeitung, o.ä. * in den letzten 5 Jahren mindestens 3 Jahre Berufserfahrung (Vollzeitequivalent) im Bereich IT Security erworben haben, * von diesen drei Jahren (oder mehr) müssen mindestens zwei Jahre (Vollzeitequivalent) im Bereich Informationssicherheit im Bereich Pentesting / App-Testing als Projektmitarbeiter absolviert worden sein und * SÜ1 sicherheitsüberprüft nach SÜG sein. Mit der Angebotsabgabe erklären sich die Mitarbeiter damit einverstanden, im Falle des Zuschlags nach dem Verpflichtungsgesetz VerpflG verpflichtet zu werden. Können kurzfristig (spätestens 4 Wochen nach der Anzeige von Lastspitzen) zwei weitere Mitarbeiter für die Auftragserbringung hinzugezogen werden? Es müssen mindestens zwei weitere Mitarbeiter kurzfristig zur Verfügung stehen und das "Projekt-Kernteam" unterstützen können. Diese Mitarbeiter müssen * eine einschlägige Ausbildung mit technischem Hintergrund im Fachbereich Informationstechnik, Informationssicherheit, Nachrichten-/Kommunikationstechnik, Datenverarbeitung, o.ä. * in den letzten 3 Jahren mindestens ein Jahr Berufserfahrung (Vollzeitequivalent) im Bereich Pentesting / App-Testing als Projektmitarbeiter erworben haben, * sich bereit erklären, im Falle eines Zuschlags nach dem SÜG SÜ1 sicherheitsüberprüfen zu lassen und * sich bereit erklären, im Falle eines Zuschlags nach dem Verpflichtungsgesetz VerpflG verpflichten zu lassen.
Kriterium: Durchschnittliche jährliche Belegschaft
Beschreibung: Geben Sie die Anzahl der Mitarbeiter Ihres Unternehmens im... • Kalenderjahr 2022, • Kalenderjahr 2023 und • Kalenderjahr 2024 an. Es müssen jeweils ≥ 10 Mitarbeiter über das gesamte Kalenderjahr beschäftigt gewesen sein. Geben Sie die Anzahl der Mitarbeiter des für die Auftragserbringung in Frage kommenden Geschäftsbereichs im... • Kalenderjahr 2022, • Kalenderjahr 2023 und • Kalenderjahr 2024 an. Es müssen jeweils ≥ 7 Mitarbeiter über das gesamte Kalenderjahr beschäftigt gewesen sein.
Kriterium: Anzahl der Führungskräfte
Beschreibung: Es muss ein qualifizierter und erfahrener Projektleiter die Auftragsausführung begleiten und leiten. Der Projektleiter muss * ein einschlägiges Studium mit technischem Hintergrund (Fachbereich: Informationstechnik, Informationssicherheit, Nachrichten-/Kommunikationstechnik, Datenverarbeitung oder eine vergleichbare Vertiefung/Spezialisierung) und entsprechendem Abschluss (Master/Diplom) nachweisen, * in den letzten acht Jahren mindestens fünf Jahre Berufserfahrung (Vollzeit) im Bereich IT Security erworben haben, * von diesen fünf Jahren (oder mehr) müssen mindestens zwei Jahre (Vollzeit) im Bereich Pentest / App-Testing als Projektleiter absolviert worden sein, * an mindestens sechs Penetrationstests / App-Tests in den letzten drei Jahren mitgearbeitet haben und * SÜ1 sicherheitsüberprüft nach dem SÜG sein. Mit der Angebotsabgabe erklärt sich der Mitarbeiter damit einverstanden, im Falle eines Zuschlags nach dem Verpflichtungsgesetz VerpflG verpflichtet zu werden.
Kriterium: Informationssicherheit
Beschreibung: Die Umsetzung des BSI Grundschutzes muss durch ein ISO 27001-Zertifikat auf der Basis von IT-Grundschutz für die mit der Auftragserbringung betrauten organisatorischen Einheit nachgewiesen werden. Reichen Sie den Nachweis über die ISO 27001 Zertifizierung als Anlage zu Ihrem Angebot ein.
Kriterium: Spezifischer Jahresumsatz
Beschreibung: Geben Sie den Umsatz Ihres Unternehmens im... • Kalenderjahr 2022, • Kalenderjahr 2023 und • Kalenderjahr 2024 an. Der Umsatz muss jeweils ≥ 2.000.000,00€ netto gewesen sein. Geben Sie den Umsatz des für die Auftragserbringung in Frage kommenden Geschäftsbereichs im... • Kalenderjahr 2022, • Kalenderjahr 2023 und • Kalenderjahr 2024 an. Der Umsatz muss jeweils ≥ 1.000.000,00€ netto gewesen sein.
5.1.10.
Zuschlagskriterien
Kriterium:
Art: Preis
Bezeichnung: Preis
Beschreibung: Preiskriterium
Kategorie des Gewicht-Zuschlagskriteriums: Gewichtung (Prozentanteil, genau)
Zuschlagskriterium — Zahl: 100,00
5.1.11.
Auftragsunterlagen
Sprachen, in denen die Auftragsunterlagen offiziell verfügbar sind: Deutsch
5.1.12.
Bedingungen für die Auftragsvergabe
Bedingungen für die Einreichung:
Elektronische Einreichung: Zulässig
Sprachen, in denen Angebote oder Teilnahmeanträge eingereicht werden können: Deutsch
Elektronischer Katalog: Nicht zulässig
Varianten: Nicht zulässig
Die Bieter können mehrere Angebote einreichen: Nicht zulässig
Frist für den Eingang der Angebote: 10/06/2025 11:30:00 (UTC+2) Eastern European Time, Central European Summer Time
Frist, bis zu der das Angebot gültig sein muss: 21 Tage
Informationen über die öffentliche Angebotsöffnung:
Eröffnungsdatum: 10/06/2025 11:31:00 (UTC+2) Eastern European Time, Central European Summer Time
Auftragsbedingungen:
Die Auftragsausführung muss im Rahmen von Programmen für geschützte Beschäftigungsverhältnisse erfolgen: Nein
Bedingungen für die Ausführung des Auftrags: Unmittelbar nach der Zuschlagserteilung muss mit den Auftragsarbeiten begonnen werden.
Elektronische Rechnungsstellung: Zulässig
Aufträge werden elektronisch erteilt: ja
Zahlungen werden elektronisch geleistet: ja
5.1.15.
Techniken
Rahmenvereinbarung: Rahmenvereinbarung ohne erneuten Aufruf zum Wettbewerb
Höchstzahl der teilnehmenden Personen: 999
Informationen über das dynamische Beschaffungssystem: Kein dynamisches Beschaffungssystem
Elektronische Auktion: nein
5.1.16.
Weitere Informationen, Schlichtung und Nachprüfung
Überprüfungsstelle: Vergabekammer des Bundes
Informationen über die Überprüfungsfristen: Unternehmen haben einen Anspruch auf Einhaltung der bieter- und bewerberschützenden Bestimmungen über das Vergabeverfahren gegenüber dem öffentlichen Auftraggeber, Bundesrepublik Deutschland, vertreten durch das Beschaffungsamt des BMI (BeschA). Sieht sich ein am Auftrag interessiertes Unternehmen durch Nichtbeachtung von Vergabevorschriften in seinen Rechten verletzt, ist der Verstoß innerhalb einer Frist von zehn Kalendertagen gegenüber dem BeschA zu rügen (§ 160 Abs. 3 S. 1 Nr. 1 Gesetz gegen Wettbewerbsbeschränkungen (GWB)). Verstöße, die aufgrund der Bekanntmachung oder der Vergabeunterlagen erkennbar sind, müssen spätestens bis zu der in der Bekanntmachung benannten Frist zur Bewerbung oder Angebotsabgabe gegenüber dem BeschA gerügt werden (§ 160 Abs. 3 S. 1 Nr. 2 und 3 GWB). Teilt das BeschA dem Unternehmen mit, seiner Rüge nicht abhelfen zu wollen, so besteht die Möglichkeit, innerhalb von 15 Tagen nach Eingang der Mitteilung einen Antrag auf Nachprüfung bei der Vergabekammer zu stellen (§ 160 Abs. 3 S. 1 Nr. 4 GWB). Bieter, deren Angebote für den Zuschlag nicht berücksichtigt werden sollen, werden vor dem Zuschlag gemäß § 134 Abs. 1 GWB darüber informiert. Ein Vertrag darf erst 15 Kalendertage nach Absendung dieser Information durch das BeschA geschlossen werden; bei Übermittlung per Fax oder auf elektronischem Wege beträgt diese Frist zehn Kalendertage. Sie beginnt am Tag nach Absendung der Information durch das BeschA. Ein Antrag auf Nachprüfung ist schriftlich an die Vergabekammern des Bundes beim Bundeskartellamt, Kaiser-Friedrich-Straße 16, 53113 Bonn zu richten. Hinweis: Das BeschA ist im Falle eines Nachprüfungsantrags verpflichtet, die Vergabeakten, die auch die abgegebenen Angebote enthalten, an die Vergabekammer weiterzuleiten. Die Beteiligten haben ein Recht auf Akteneinsicht. Um Betriebs- und Geschäftsgeheimnisse zu wahren, teilen Sie uns konkret mit Bezug auf die entsprechenden Dokumente des Angebotes mit, welche Informationen als Betriebs- und Geschäftsgeheimnisse zu behandeln sind.
Organisation, die zusätzliche Informationen über das Vergabeverfahren bereitstellt: Bundesrepublik Deutschland, vertreten durch das Bundesministerium des Innern und für Heimat, vertreten durch das Beschaffungsamt des BMI
Organisation, die Teilnahmeanträge entgegennimmt: Bundesrepublik Deutschland, vertreten durch das Bundesministerium des Innern und für Heimat, vertreten durch das Beschaffungsamt des BMI
8. Organisationen
8.1.
ORG-7001
Offizielle Bezeichnung: Bundesrepublik Deutschland, vertreten durch das Bundesministerium des Innern und für Heimat, vertreten durch das Beschaffungsamt des BMI
Registrierungsnummer: t:0049228996100
Postanschrift: Brühler Straße 3
Stadt: Bonn
Postleitzahl: 53119
Land, Gliederung (NUTS): Bonn, Kreisfreie Stadt (DEA22)
Land: Deutschland
Telefon: +49 22899610-2536
Fax: +49 22899610-1610
Rollen dieser Organisation:
Beschaffer
Zentrale Beschaffungsstelle, die öffentliche Aufträge oder Rahmenvereinbarungen im Zusammenhang mit für andere Beschaffer bestimmten Bauleistungen, Lieferungen oder Dienstleistungen vergibt/abschließt
Organisation, die zusätzliche Informationen über das Vergabeverfahren bereitstellt
Organisation, die Teilnahmeanträge entgegennimmt
8.1.
ORG-7004
Offizielle Bezeichnung: Vergabekammer des Bundes
Registrierungsnummer: t:022894990
Postanschrift: Kaiser-Friedrich-Straße 16
Stadt: Bonn
Postleitzahl: 53113
Land, Gliederung (NUTS): Bonn, Kreisfreie Stadt (DEA22)
Land: Deutschland
Telefon: +49 2289499-0
Fax: +49 2289499-163
Rollen dieser Organisation:
Überprüfungsstelle
8.1.
ORG-7005
Offizielle Bezeichnung: Datenservice Öffentlicher Einkauf (in Verantwortung des Beschaffungsamts des BMI)
Registrierungsnummer: 0204:994-DOEVD-83
Stadt: Bonn
Postleitzahl: 53119
Land, Gliederung (NUTS): Bonn, Kreisfreie Stadt (DEA22)
Land: Deutschland
Telefon: +49228996100
Rollen dieser Organisation:
TED eSender
Kennung/Fassung der Bekanntmachung: 81aaef65-4653-425e-9725-084f235ed3dd - 01
Formulartyp: Wettbewerb
Art der Bekanntmachung: Auftrags- oder Konzessionsbekanntmachung – Standardregelung
Unterart der Bekanntmachung: 16
Datum der Übermittlung der Bekanntmachung: 13/05/2025 08:06:21 (UTC+2) Eastern European Time, Central European Summer Time
Sprachen, in denen diese Bekanntmachung offiziell verfügbar ist: Deutsch
Veröffentlichungsnummer der Bekanntmachung: 309033-2025
ABl. S – Nummer der Ausgabe: 92/2025
Datum der Veröffentlichung: 14/05/2025