1.1.
Beschaffer
Offizielle Bezeichnung: München Klinik gGmbH
Rechtsform des Erwerbers: Gruppe öffentlicher Stellen
Tätigkeit des öffentlichen Auftraggebers: Gesundheit
Deutschland – Datenverwaltung – Beschaffung einer MDR/SOCaaS Lösung
338726-2025 - Ergebnis
Deutschland – Datenverwaltung – Beschaffung einer MDR/SOCaaS Lösung
OJ S 100/2025 26/05/2025
Bekanntmachung vergebener Aufträge oder Zuschlagsbekanntmachung – Standardregelung
Dienstleistungen
1. Beschaffer
2. Verfahren
2.1.
Verfahren
Titel: Beschaffung einer MDR/SOCaaS Lösung
Beschreibung: Gegenstand der Ausschreibung ist die Beauftragung eines MDR/SOCaaS Dienstleisters, inkl. der Einführung und der Inbetriebnahme. Hierbei soll ein Pauschaler Festpreis für sämtliche Dienstleistungen zur Bereitstellung, Konfiguration, Migration, Implementierung und Inbetriebnahme angegeben werden. Das Leistungspaket MDR besteht aus den Bereichen: - MDR (Managed Detection and Response) - ein EDR (Endpoint Detection and Response) mit NGAV (Next-Generation Antivirus) - ein XDR (Extended Detection and Response) - eine SIEM Lösung (Security Information and Event Management) Die für die Lösung notwendigen Lizenzen sollen in Form einer Software-Miete beschafft werden. Im Preisblatt sind die hierzu notwendigen Preise und die dazugehörigen Preisstaffelungen, sowie die zugehörige Softwarepflege und - support einzutragen. Der Anbieter muss im Preisblatt einen technischen Projektleiter mit anbieten. Dieser muss in Zusammenarbeit mit dem AG alle notwendigen Aufgaben für die Implementierung der ausgeschriebenen Lösung selbständig planen, abstimmen, dokumentieren und final in Betrieb nehmen. Es soll ebenfalls Schulungen angeboten werden, wobei drei Schulungen für Administratoren durchgeführt werden sollen. Diese Schulungen erfolgen vor Ort in Gruppen von maximal 12 Personen und beinhalten gegebenenfalls Nachschulungen. Die Schulungen werden in deutscher Sprache durchgeführt und umfassen umfassende Unterlagen sowie Videoanleitungen. Die Termine werden in Absprache mit der Ressourcenplanung festgelegt. Die Schulungskosten werden erst nach erfolgreicher Leistungserbringung abgerechnet. Bitte hierzu den Reiter Erklärungen im Preisblatt beachten. Weitere Details hierzu bitte der Leistungsbeschreibung sowie der restlichen Vergabeunterlagen entnehmen.
Kennung des Verfahrens: 8de13f90-2b2e-489d-8f2b-b534ce087f18
Interne Kennung: 2721/24
Verfahrensart: Offenes Verfahren
Das Verfahren wird beschleunigt: nein
2.1.1.
Zweck
Art des Auftrags: Dienstleistungen
Haupteinstufung (cpv): 72322000 Datenverwaltung
2.1.2.
Erfüllungsort
Postanschrift: Thalkirchner Straße 48
Stadt: München
Postleitzahl: 80337
Land, Gliederung (NUTS): München, Kreisfreie Stadt (DE212)
Land: Deutschland
2.1.3.
Wert
Geschätzter Wert ohne MwSt.: 0,01 EUR
2.1.4.
Allgemeine Informationen
Zusätzliche Informationen: Bekanntmachungs-ID: CXP4YL55NX9 Bestandteile der Vergabeunterlagen Bestandteile der Vergabeunterlagen, die Vertragsbestandteil werden, zu unterschreiben und mit dem Angebot abzugeben sind: 1. Leistungsbeschreibung 2. Angebotsschreiben 3. Eigenerklärung Eignung 4. Schutzerklärung Scientology 5. Eigenerklärung Russlandsanktionen 6. Bietergemeinschaft (falls einschlägig) 7. Verzeichnis der LeistKap anderer Unternehmen (falls einschlägig) 8. Preisblatt 9. EVB-IT Verträge 10. Anforderungskatalog 11. AV Vertragsmuster allgemein-Neu_2407 12. Kopfdok.AV-Vertrag MÜK__2407 13. Vertraulichkeitsvereinbarung **** Bestandteile der Vergabeunterlagen, die Vertragsbestandteil werden und die beim Bietenden verbleiben: 1. Aufforderung zur Abgabe eines Angebots 2. Merkblatt für Mitarbeiter Fremdfirmen 3. Zusätzliche Vertragsbedingungen MüK 4. EVB-IT AGBs 5. C5 Kriterienkatalog **** Weitere Unterlagen die der Bietende mit Abgabe des Angebotes einreichen muss: 1. Nachweis einer Handelsregistereintragung / Berufsregistereintragung 2. Nachweis einer Haftpflichtversicherung 3. IT-Infrastruktur Beschreibung 4. IT-Infrastruktur Checkliste 5. Realisierungskonzept 6. C5-Testat 7. Zertifikat nach SOCII Typ 2 8. Zertifikat nach ISO 27001 9. Zertifikat ISO 9001 10. Zertifikat ITIL für seinen MDR
Rechtsgrundlage:
Richtlinie 2014/24/EU
vgv -
5. Los
5.1.
Los: LOT-0001
Titel: Beschaffung einer MDR/SOCaaS Lösung
Beschreibung: Die MüK beabsichtigt die Beauftragung eines Dienstleisters für MDR/SOCaaS Lösung mit der Installation der notwendigen SIEM Clients in der IT Architektur der MüK. Weitere Details hierzu bitte der Leistungsbeschreibung sowie der restlichen Vergabeunterlagen entnehmen.
Interne Kennung: 2721/24
5.1.1.
Zweck
Art des Auftrags: Dienstleistungen
Haupteinstufung (cpv): 72322000 Datenverwaltung
5.1.2.
Erfüllungsort
Postanschrift: Thalkirchner Straße 48
Stadt: München
Postleitzahl: 80337
Land, Gliederung (NUTS): München, Kreisfreie Stadt (DE212)
Land: Deutschland
5.1.3.
Geschätzte Dauer
Laufzeit: 4 Jahre
5.1.6.
Allgemeine Informationen
Auftragsvergabeprojekt nicht aus EU-Mitteln finanziert
Die Beschaffung fällt unter das Übereinkommen über das öffentliche Beschaffungswesen: ja
Zusätzliche Informationen: Nach § 6 Abs. 1 WRegG ist ein öffentlicher Auftraggeber vor der Erteilung eines Zuschlags in einem Verfahren über die Vergabe öffentlicher Aufträge mit einem geschätzten Auftragswert ab 30.000 Euro ohne Umsatzsteuer verpflichtet, das Wettbewerbsregister zu demjenigen Bieterunternehmen abzufragen, das den Auftrag erhalten soll.
5.1.7.
Strategische Auftragsvergabe
Ziel der strategischen Auftragsvergabe: Keine strategische Beschaffung
5.1.10.
Zuschlagskriterien
Kriterium:
Art: Preis
Bezeichnung: Angebotspreis
Beschreibung: Die maximale, im Zuschlagskriterium "Preis" erzielbare Punktzahl beträgt insgesamt 310. Dies entspricht in der Gewichtung 50 %. Dabei legt die Vergabestelle die Preise gemäß Anlage Preisblatt zugrunde. Das Angebot mit der niedrigsten Angebotssumme (inkl. Umsatzsteuer) im jeweiligen Unterkriterium erhält die höchste Bewertung entsprechend der dem Kriterium zugeordneten Maximalpunktzahl. Alle übrigen Angebote erhalten im Verhältnis weniger Punkte (inverser Dreisatz). Dabei gilt folgende Formel: Bewertung Preis = (Preis günstiges Angebot / zu bewertender Preis)*50 Erläuterung: Die Punktzahl wird kaufmännisch auf zwei Nachkommastellen gerundet.
Kategorie des Gewicht-Zuschlagskriteriums: Gewichtung (Prozentanteil, genau)
Zuschlagskriterium — Zahl: 50,00
Kriterium:
Art: Qualität
Bezeichnung: Anforderungskatalog
Beschreibung: Die maximale, im Zuschlagskriterium Qualität - Anforderungskatalog erzielbare Punktzahl beträgt insgesamt 210. Dies entspricht in der Gewichtung 35 %. Der Anforderungskatalog ist vom Bieter auszufüllen und ist in folgende Kriterien untergliedert: - MUSS-Kriterium: Ausschlusskriterium (Nichterfüllung dieser Mindestanforderung führt zwingend zum Ausschluss) - KANN-Kriterium: Bewertungskriterium oder Leistungsangabe (wird nach Punkten bewertet). Es können hierbei je nach Kriterium 5 /3 / 2 Punkte erreicht werden. Bei Nicht-Erfüllung wird das entsprechende Kriterium mit 0 Punkten bewertet. In einer ersten Stufe wertet das Klinikum die Angebote im Hinblick auf Erfüllung der A-Kriterien aus. Angebote, die die Mindestanforderungen nicht erfüllen, werden zwingend auf dem weiteren Vergabeverfahren ausgeschlossen. Die B-Kriterien der Leistungsbeschreibung bewertet das Klinikum dahingehend, dass jeder Leistungsabfrage der der in der Leistungsbeschreibung zugeordnete Punktwert zugeteilt wird, sofern das Kriterium erfüllt ist. Dabei gilt folgende Formel: Bewertung Anforderungskatalog = (Summe KANN Kriterien / maximal erreichbare Summe KANN Kriterien)*35 Erläuterung: Die Punktzahl wird kaufmännisch auf zwei Nachkommastellen gerundet.
Kategorie des Gewicht-Zuschlagskriteriums: Gewichtung (Prozentanteil, genau)
Zuschlagskriterium — Zahl: 35,00
Kriterium:
Art: Qualität
Bezeichnung: Realisierungskonzept
Beschreibung: Die maximale, im Zuschlagskriterium Qualität - Realisierungskonzept erzielbare Punktzahl beträgt insgesamt 100. Dies entspricht in der Gewichtung 15 %. Der Bieter hat mit seinem Angebot ein aussagekräftiges Realisierungskonzept abzugeben. Nachfolgende Anforderungen sollten im Konzept enthalten sein: 1. Ziele des MDR-Dienstes - Festlegung der Reaktionszeiten auf Vorfälle - Erhöhung der Sicherheitsreife und Entlastung interner Teams - 24/7 Überwachung durch ein in Deutschland ansässiges und deutschsprachigen Security Operations Centers (SOC) mit Erfahrenen Security-Analysten und Threat Hunters sowie Einbindung modernen Technologien wie KI und maschinelles Lernen 2. Technische Anforderungen - Kompatibilität mit bestehenden Systemen (z. B. SIEM, Endpunkte, Cloud-Umgebungen) - Integration von Datenquellen wie Firewalls, IDS/IPS, EDR - Unterstützung von Protokollen und APIs - Folgende Anforderungen sollen enthalten sein, sodass MDR (Managed Detection and Response): > ein EDR (Endpoint Detection and Response) mit NGAV (Next-Generation Antivirus) beinhaltet > ein XDR (Extended Detection and Response) beinhaltet > eine SIEM Lösung (Security Information and Event Management) beinhaltet > Im Realisierungskonzept muss mit abgebildet werden, wie diese Komponenten integriert und auch wie unsere bestehende EDR Lösung migriert wird 3. Serviceumfang - 24/7-Monitoring - Bedrohungsanalyse (Threat Hunting) - Incident Response und Wiederherstellungsunterstützung 4. Compliance - Einhaltung relevanter Standards wie ISO 27001, DSGVO, NIS2 5. Berichtswesen - Regelmäßige Reports (z. B. monatlich) - Ad-hoc-Berichte bei Sicherheitsvorfällen 6. Projekt- und Zeitplan - Verbindlicher Projektplan mit klaren Schritten und Zeitangaben bis zum Abschluss - Beschreibung der Projektorganisation durch den Bieter - Sicherstellung der Ressourcenverfügbarkeit beim Anbieter für einen sofortigen Projektstart - Zeitraum zwischen Projektbeginn und Rollout: maximal XXX Monate - Projektstart: unmittelbar nach Vergabe, Projektende bis Ende XXX 7. Implementierungsplanung - Zeitschiene: Meilensteine (Vertragsabschluss, Integration, Testphase, Go-Live) - Integration: Technische Umsetzung und Abstimmung mit internen Teams - Pilotphase: Testszenarien und Erfolgskriterien 8. Schulung - Anbieter führt 3 Admin-Schulungen durch. - Schulungsanforderungen: - Vor-Ort-Schulung in Gruppen (max. 12 Personen) inkl. Nachschulungen - Schulungen in deutscher Sprache mit umfassenden Unterlagen und Videoanleitungen - Absprache der Termine gemäß Ressourcenplanung - Schulungskosten erst nach Leistungserbringung 9. Verantwortlichkeiten - Intern: Projektleitung, IT-Sicherheitsverantwortliche, Einkauf, Compliance-Team - Extern: Ansprechpartner des MDR-Dienstleisters (Projektmanager, Techniker, Support) Diese strukturierte Übersicht kann leicht in ein Realisierungskonzept integriert und erweitert werden, falls spezifische Anforderungen hinzukommen. Folgende Mindestanforderungen müssen erfüllt sein (siehe Anforderungskatalog): - Der Systemanbieter MUSS in seinem Realisierungskonzept auf die Übernahme und auf Hyper-care inhaltlich eingehen und darstellen - Das System MUSS protokollierte Informationen automatisiert und z.B. nach einer festgelegten Zeitspanne löschen. Die Details sind im Realisierungskonzept festzulegen. Im Realisierungskonzept müssen die Bietenden darlegen, wie sie alle Anforderungen der MüK aus dem Anforderungskatalog sowie der Leistungsbeschreibung umsetzen werden. Anforderung an das Dokument: Das Realisierungskonzept darf nicht mehr als 15 Seiten umfassen. Bei längeren Konzepten werden nur die ersten 15 Seiten gewertet (ausgenommen von der Seitenzahl sind das Deckblatt und das Inhaltsverzeichnis). Die Wertung erfolgt anhand folgender Kriterien: - 100 Punkte: Wenn die Herangehensweise der Zielerreichung in besonderer Weise (z.B. innovative Ideen) dienlich, dies in jeder Hinsicht schlüssig dargestellt ist und eine über den Erwartungen liegende Leistungserfüllung verspricht. - 80 Punkte: Wenn die Erwartungen vollumfänglich erfüllt sind und die Herangehensweise in jeder Hinsicht schlüssig dargestellt ist sowie im Hinblick auf die Zielsetzung Erfolg verspricht. - 60 Punkte: Wenn die Erwartungen im Wesentlichen erfüllt sind und die Herangehensweise inhaltlich schlüssig dargestellt ist sowie im Hinblick auf die Zielsetzung lediglich mit kleinen Einschränkungen Erfolg verspricht - 40 Punkte: Wenn die genannten Erwartungen mit Einschränkungen erfüllt sind und die Herangehensweise inhaltlich größtenteils schlüssig dargestellt ist und im Hinblick auf die Zielsetzung zumindest ausreichende Umsetzung verspricht. - 20 Punkte: Wenn die Erwartungen nur mit erheblichen Einschränkungen erfüllt sind und die Herangehensweise inhaltliche Unschärfe aufweist, das Konzept also nur eine unzureichende Durchführung der Leistungen erwarten lässt. - 0 Punkte: Wenn die Erwartungen nicht erfüllt sind / die Herangehensweise inhaltlich nicht schlüssig dargestellt wurde. Dabei gilt folgende Formel: Bewertung Realisierungskonzept = (Erzielte Punktzahl / maximal zu erreichende Punktzahl)*15 Erläuterung: Die Punktzahl wird kaufmännisch auf zwei Nachkommastellen gerundet.
Kategorie des Gewicht-Zuschlagskriteriums: Gewichtung (Prozentanteil, genau)
Zuschlagskriterium — Zahl: 15,00
5.1.15.
Techniken
Rahmenvereinbarung:
Keine Rahmenvereinbarung
Informationen über das dynamische Beschaffungssystem:
Kein dynamisches Beschaffungssystem
Elektronische Auktion: nein
5.1.16.
Weitere Informationen, Schlichtung und Nachprüfung
Überprüfungsstelle: Regierung von Oberbayern - Vergabekammer Südbayern
Informationen über die Überprüfungsfristen: 1) Ein Nachprüfungsantrag zur Vergabekammer ist nach § 160 Abs. 3 S. 1 Nr. 4 GWB unzulässig, soweit mehr als 15 Kalendertage nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, vergangen sind. **** 2) Insbesondere § 160 Abs. 3 Satz 1 Nr. 1, Nr. 2 und 3 GWB sowie § 134 Abs. 2 GWB sind zu beachten. **** 3) Die Frist zur Geltendmachung der Unwirksamkeit des Vertragsschlusses nach § 135 GWB endet spätestens 30 Kalendertage nach Veröffentlichung der Bekanntmachung der Auftragsvergabe im Amtsblatt der Europäischen Union, vgl. § 135 Abs. 2 Satz 2 GWB
Organisation, die zusätzliche Informationen über das Vergabeverfahren bereitstellt: München Klinik gGmbH
6. Ergebnisse
Wert aller in dieser Bekanntmachung vergebenen Verträge: 0,01 EUR
6.1.
Ergebnis, Los-– Kennung: LOT-0001
Status der Preisträgerauswahl: Es wurde mindestens ein Gewinner ermittelt.
6.1.2.
Informationen über die Gewinner
Wettbewerbsgewinner:
Offizielle Bezeichnung: Controlware GmbH
Angebot:
Kennung des Angebots: DE 113 539225
Kennung des Loses oder der Gruppe von Losen: LOT-0001
Wert der Ausschreibung: 0,01 EUR
Konzession – Wert:
Bei dem Angebot handelt es sich um eine Variante: nein
Vergabe von Unteraufträgen: Nein
Informationen zum Auftrag:
Kennung des Auftrags: 2721/24
Titel: Beschaffung einer MDR/SOCaaS Lösung
Datum des Vertragsabschlusses: 28/04/2025
6.1.4.
Statistische Informationen:
Eingegangene Angebote oder Teilnahmeanträge:
Art der eingegangenen Einreichungen: Angebote
Anzahl der eingegangenen Angebote oder Teilnahmeanträge: 2
8. Organisationen
8.1.
ORG-0001
Offizielle Bezeichnung: München Klinik gGmbH
Registrierungsnummer: DE814184919
Postanschrift: Thalkirchner Straße 48
Stadt: München
Postleitzahl: 80337
Land, Gliederung (NUTS): München, Kreisfreie Stadt (DE212)
Land: Deutschland
Telefon: 000
Rollen dieser Organisation:
Beschaffer
Organisation, die zusätzliche Informationen über das Vergabeverfahren bereitstellt
8.1.
ORG-0002
Offizielle Bezeichnung: Regierung von Oberbayern - Vergabekammer Südbayern
Registrierungsnummer: t:08921762411
Postanschrift: Maximilianstr. 39
Stadt: München
Postleitzahl: 80538
Land, Gliederung (NUTS): München, Kreisfreie Stadt (DE212)
Land: Deutschland
Telefon: +49 8921762411
Fax: +49 8921762847
Rollen dieser Organisation:
Überprüfungsstelle
8.1.
ORG-0003
Offizielle Bezeichnung: Controlware GmbH
Größe des Wirtschaftsteilnehmers: Großunternehmen
Registrierungsnummer: DE 113 539225
Postanschrift: Waldstraße 92
Stadt: Dietzenbach
Postleitzahl: 63128
Land, Gliederung (NUTS): Offenbach, Landkreis (DE71C)
Land: Deutschland
Telefon: 000
Rollen dieser Organisation:
Bieter
Wirtschaftlicher Eigentümer:
Staatsangehörigkeit des Eigentümers: Deutschland
Gewinner dieser Lose: LOT-0001
8.1.
ORG-0004
Offizielle Bezeichnung: Datenservice Öffentlicher Einkauf (in Verantwortung des Beschaffungsamts des BMI)
Registrierungsnummer: 0204:994-DOEVD-83
Stadt: Bonn
Postleitzahl: 53119
Land, Gliederung (NUTS): Bonn, Kreisfreie Stadt (DEA22)
Land: Deutschland
Telefon: +49228996100
Rollen dieser Organisation:
TED eSender
Informationen zur Bekanntmachung
Kennung/Fassung der Bekanntmachung: 7e6a2309-bd91-4877-9cb5-f7a751f6b03b - 01
Formulartyp: Ergebnis
Art der Bekanntmachung: Bekanntmachung vergebener Aufträge oder Zuschlagsbekanntmachung – Standardregelung
Unterart der Bekanntmachung: 29
Datum der Übermittlung der Bekanntmachung: 23/05/2025 13:54:49 (UTC+2) Osteuropäische Zeit, Mitteleuropäische Sommerzeit
Sprachen, in denen diese Bekanntmachung offiziell verfügbar ist: Deutsch
Veröffentlichungsnummer der Bekanntmachung: 338726-2025
ABl. S – Nummer der Ausgabe: 100/2025
Datum der Veröffentlichung: 26/05/2025