5.1.1.
Zweck
Art des Auftrags: Dienstleistungen
Haupteinstufung (cpv): 72700000 Computernetze
Zusätzliche Einstufung (cpv): 72246000 Systemberatung, 79710000 Dienstleistungen von Sicherheitsdiensten
5.1.2.
Erfüllungsort
Postanschrift: Charlottenstraße 65
Stadt: Berlin
Postleitzahl: 10117
Land, Gliederung (NUTS): Berlin (DE300)
Land: Deutschland
Zusätzliche Informationen: Die Leistungserbringung muss ausschließlich aus der Europäischen Union (EU) oder dem Europäischen Wirtschaftsraum (EWR) erfolgen.
5.1.6.
Allgemeine Informationen
Vorbehaltene Teilnahme:
Teilnahme ist nicht vorbehalten.
Die Namen und beruflichen Qualifikationen des zur Auftragsausführung eingesetzten Personals sind anzugeben: Erforderlich für das Angebot
Auftragsvergabeprojekt nicht aus EU-Mitteln finanziert
Die Beschaffung fällt unter das Übereinkommen über das öffentliche Beschaffungswesen: nein
Diese Auftragsvergabe ist auch für kleine und mittlere Unternehmen (KMU) geeignet: nein
Zusätzliche Informationen: Die Bekanntmachung wird auch auf service.bund.de und dem Deutschen Vergabeportal (DTVP) veröffentlicht. Der Auftraggeber behält sich vor, die Eignung und Qualifikation des vorgeschlagenen Personals mittels Interviews zu verifizieren. Es gelten besondere Anforderungen an die Datenhaltung: Protokoll- und Logdaten bei "Bronze Cloud" und "Managed SOC" dürfen nur in RZ innerhalb der EU/EWR verarbeitet werden, die keinem Abfluss an Drittstaatenbehörden unterliegen.
5.1.7.
Strategische Auftragsvergabe
Ziel der strategischen Auftragsvergabe: Keine strategische Beschaffung
5.1.9.
Eignungskriterien
Quellen der Auswahlkriterien: Bekanntmachung
Kriterium: Eintragung in das Handelsregister
Beschreibung: Der Bewerber (bei Bewerbergemeinschaften jedes Mitglied) hat folgende Unterlagen vorzulegen: Berufs- oder Handelsregisterauszug: Nicht älter als sechs Monate Eigenerklärung zu Sanktionsvorschriften: Erklärung zur Einhaltung von Sanktionsvorschriften (EU-Russland-Sanktionen) gemäß Anlage TWB 10 Unternehmensbeschreibung: Vorlage des Formblatts Unternehmensbeschreibung (Anlage TWB 4) Ggf. Bewerbergemeinschaftserklärung: Bei Bewerbergemeinschaften ist eine Erklärung aller Mitglieder vorzulegen (Anlage TWB 3) Beabsichtigt der Bewerber, sich bei der Erfüllung der Eignungskriterien (wirtschaftlich oder technisch) der Kapazitäten anderer Unternehmen zu bedienen (Eignungsleihe), so sind die entsprechenden Verpflichtungserklärungen (Anlage TWB 7) und das Formblatt Eignungsleihe (Anlage TWB 6) vorzulegen.
Kriterium: Allgemeiner Jahresumsatz
Beschreibung: Mindestjahresumsatz in den letzten 3 abgeschlossenen Geschäftsjahren im Bereich MDR/SOC-Services: jeweils min. 10 Mio. EUR (netto)
Kriterium: Berufliche Risikohaftpflichtversicherung
Beschreibung: Berufs-/Betriebshaftpflichtversicherung: Min. 5 Mio. EUR für Personen-/Sachschäden und 3 Mio. EUR für Vermögensschäden (2-fach maximiert)
Kriterium: Spezifischer durchschnittlicher Jahresumsatz
Beschreibung: Umsatz in den Bereichen Managed Detection and Response Services in den vergangenen drei abgeschlossenen Geschäftsjahren* jeweils mindestens EUR 10 Millionen EUR netto. Bei einer Bewerbergemeinschaft werden die entsprechenden Angaben der Mitglieder kumuliert.
Kriterium: Zertifikate von Qualitätskontrollinstituten
Beschreibung: Nachweis eines Informationssicherheitsmanagementsystems nach DIN ISO 27001 oder IT-Grundschutz auf Basis ISO 27001 (Zertifikat), das den Bereich der Erbringung von MDR-Dienstleistungen umfasst
Kriterium: Durchschnittliche jährliche Belegschaft
Beschreibung: Gesamtzahl der durchschnittlich fest angestellten Mitarbeitenden in den Bereichen Managed Detection and Response (MDR/SOC) Services in den vergangenen drei abgeschlossenen Geschäftsjahren (B) 20 - 30 MDR Mitarbeitende: 10 EP Mehr als 30 - 40 MDR Mitarbeitende: 20 EP Mehr als 40 MDR Mitarbeitende, 30 EP Max. 30 EP Angabe in Anlage TWB 4 erforderlich
Anhand der Kriterien werden die Bewerber ausgewählt, die zur zweiten Phase des Verfahrens eingeladen werden sollen
Gewichtung (Punkte, genau): 30
Kriterium: Relevante Bildungs- und Berufsqualifikationen
Beschreibung: Anteil der Mitarbeitenden in den Bereichen Managed Detection and Response (MDR/SOC) Services mit für die Serviceerbringung (MDR/SOC) relevanten Zertifizierungen* (B) 30% - 40%: 10 EP >40%- 50%: 20 EP >50%: 30 EP Maximal 30 EP *Relevante Zertifizierungen: GIAC Certified Incident Handler (GCIH), GIAC Certified Intrusion Analyst (GCIA), GIAC Certified Detection Analyst (GCDA), GIAC Security Operations (GSOC), GIAC Continuous Monitoring (GMON), GIAC Certified Forensic Analyst (GCFA), GIAC Certified Forensic Examiner (GCFE), CompTIA Security+, Certified CyberDefender (CCD), HTB Certified Defensive Security Analyst (HTB CDSA), INE Certified Digital Forensics Professional (eCDFP), INE Certified Incident Responder (eCIR), INE Certified Threat deDHunting Professional (eCTHP), Certified Red Team Operator (CRTO), Certified Red Team Lead (CRTL)
Anhand der Kriterien werden die Bewerber ausgewählt, die zur zweiten Phase des Verfahrens eingeladen werden sollen
Gewichtung (Punkte, genau): 30
Kriterium: Zertifikate von unabhängigen Stellen über Qualitätssicherungsstandards
Beschreibung: Nachweise über Sicherheitszertifizierungen oder -testate (B) Vorlage eines aktuellen SOC 2 Type II Audit-Berichts, der den Bereich der Erbringung von MDR-Dienstleistungen umfasst, als Nachweis für effektiv implementierte und auditierte Kontrollsysteme oder Vorlage eines C5-Testats, das den Bereich der Erbringung von MDR-Dienstleistungen umfasst: 20 EP Maximal 20 EP (keine Kumulation)
Anhand der Kriterien werden die Bewerber ausgewählt, die zur zweiten Phase des Verfahrens eingeladen werden sollen
Gewichtung (Punkte, genau): 20
Kriterium: Werkzeuge, Anlagen oder technische Ausrüstung
Beschreibung: Redundanter SOC-Betrieb über mindestens zwei getrennte Rechenzentrums-Standorte (B) Redundanter Betrieb über mindestens zwei getrennte Rechenzentrums-Standorte: 10 EP
Anhand der Kriterien werden die Bewerber ausgewählt, die zur zweiten Phase des Verfahrens eingeladen werden sollen
Gewichtung (Punkte, genau): 10
Kriterium: Techniker oder technische Stellen zur Durchführung der Arbeiten
Beschreibung: Anteil der Senior-Rollen (mindestens 2 Jahre einschlägige SOC-Erfahrung) im MDR/SOC-Team (B) 20-30%: 10 EP >30%: 15 EP Maximal 15 EP
Anhand der Kriterien werden die Bewerber ausgewählt, die zur zweiten Phase des Verfahrens eingeladen werden sollen
Gewichtung (Punkte, genau): 15
Kriterium: Maßnahmen zur Sicherstellung der Qualität
Beschreibung: Nachweis über den Betrieb eines MDR-Governance Frameworks: (B) "Basis": 5 EP Nachweis grundlegender Strukturen durch Vorlage von: - einer Beschreibung der organisatorischen Struktur des MDR/SOC-Betriebs (Organigramm oder Funktionsdiagramm), - dokumentierter Rollen & Verantwortlichkeiten (RACI oder vergleichbar) und - einem Grundkonzept für MDR-Qualitätssicherung (z. B. Review durch Teamleitung oder Vier-Augen-Prinzip). "Erweitert": 10 EP Voraussetzungen von "Basis" liegen vor, zusätzlich: - formalisierte interne Auditverfahren (z. B. jährliche Service-interne Audits oder Peer-Audits), - dokumentierte Lessons-Learned-Prozesse, die nach Major Incidents verpflichtend durchgeführt werden und - definierte Risikomanagementprozesse für den MDR-Servicebereich. Nachweis: z.B. durch interne Richtlinien und/oder Auszüge aus Prozesshandbüchern oder entsprechenden ISO-Dokumentationen (z.B. ISO 9001/27001) "Umfassend": 20 EP Voraussetzungen von "Basis" und "Erweitert" liegen vor, zusätzlich: - definierte Management-KPIs zur Steuerung des MDR-Betriebs (z. B. MTTD, TTR, Analysten-Workload), - regelmäßige Management-Reviews (mind. quartalsweise) mit dokumentierter Auswertung, - klar dokumentierte Verbesserungsmaßnahmen (Continuous Improvement), die auf Kennzahlen aufbauen. Nachweis: Anonymisierter, beispielhafter Managementreport, Prozessbeschreibung, KPI-Dashboard oder aktueller Auditbericht. Maximal 20 EP (keine Kumulation)
Anhand der Kriterien werden die Bewerber ausgewählt, die zur zweiten Phase des Verfahrens eingeladen werden sollen
Gewichtung (Punkte, genau): 20
Kriterium: Maßnahmen zur Sicherstellung der Qualität
Beschreibung: Onboarding-Prozessreife (B) "Basis": 5 EP Bewerber verfügt über: - standardisierten Onboarding-Prozess, - strukturierte Log-Quellen-Liste, - Rollenmatrix. Nachweis: Onboarding-Playbook "Erweitert": 10 EP Voraussetzungen von "Basis" liegen vor, zusätzlich: - Migrations- und Risikoanalyse als fester Be-standteil, - definierte Kommunikations- & Stakeholder-prozesse, - Checklisten für technische und organisatori-sche Übergaben. Nachweis: Onboarding-Playbook "Hoch": 20 EP Voraussetzungen von "Basis" und "Erweitert" liegen vor, zusätzlich: - Onboarding mit Phasenmodell (z. B. Discovery -> Baseline -> Integration -> Validation -> Handover), - wiederholbarer "Rule Baseline Assessment"-Prozess, - integriertes KPI-Monitoring schon während Onboarding. Nachweis: Phasenmodell Maximal 20 EP (keine Kumulation)
Anhand der Kriterien werden die Bewerber ausgewählt, die zur zweiten Phase des Verfahrens eingeladen werden sollen
Gewichtung (Punkte, genau): 20
Kriterium: Muster, Beschreibungen oder Fotos ohne Echtheitszertifikat
Beschreibung: Reifegrad Detection Engineering (B) "Basis": 5 EP Der Bewerber legt dar, dass: - Detektionsregeln regelmäßig entwickelt werden, - manuelle Tests vor Einsatz erfolgen, - Regeln versioniert werden Nachweis: Dokumentierte Vorgehensweise, oder interne SOP "Erweitert": 10 EP Voraussetzungen von "Basis" liegen vor, zusätzlich: - formalisierte QA-Prozesse (z. B. Peer Review der Rule Changes), - definiertes Testverfahren (z. B. Testdatensets, Replay, Sandbox), - dokumentierter Lebenszyklus für Detektionsregeln (Lifecycle-Management). Nachweis: entsprechende Richtlinie, QA-Checkliste, Protokolle "Umfassend": 15 EP Voraussetzungen von "Basis" und "Erweitert" liegen vor, zusätzlich: - Automatisierte Tests (z. B. CI-Pipeline, automatische Rule Validation), - Abbildung auf MITRE ATT&CK oder eine andere Methodik für systematische Abdeckung (Mapping), - kontinuierliche Impact-Analyse & Performance-Monitoring von Regeln. Nachweis: Mapping-Dokumente, Automatisierungsbeschreibung Max 15 EP;keine Kum.
Anhand der Kriterien werden die Bewerber ausgewählt, die zur zweiten Phase des Verfahrens eingeladen werden sollen
Gewichtung (Punkte, genau): 15
Kriterium: Werkzeuge, Anlagen oder technische Ausrüstung
Beschreibung: SOAR-/Automatisierungsreife (B) "Basis": 5 EP - SOAR vorhanden und im produktiven Einsatz - Mindestens 3 standardisierte Response-Workflows (z.B. Account Compromise, Mal-ware Infection) Nachweis: Standardisierte Responseworkflows "Erweitert": 10 EP Voraussetzungen von "Basis" liegen vor, zusätzlich: - dediziertes Automationsteam, - dokumentierte Playbook-Struktur, - standardisierte Change-Prozesse für Play-books. Nachweis Prozessbeschreibung "Umfassend": 15 EP Voraussetzungen von "Basis" und "Erweitert" liegen vor, zusätzlich: - >10 produktive Response-Playbooks, - automatisierte Abhängigkeiten (Ticketing, I-OC-Sync, Quarantäne), - regelmäßige Performance-Auswertung Nachweis: Standardisierte Responseworkflows Maximal 15 EP (keine Kumulation)
Anhand der Kriterien werden die Bewerber ausgewählt, die zur zweiten Phase des Verfahrens eingeladen werden sollen
Gewichtung (Punkte, genau): 15
Kriterium: Referenzen zu bestimmten Dienstleistungen
Beschreibung: Für die zu vergebende Leistung benennt der Bewerber jeweils mindestens ein von ihm (ggfs. auch in Zusammenarbeit mit Unterauftragnehmern) durchgeführtes Referenzprojekt in den Kategorien Hybrides SOC (On-prem), Hybrides SOC (Cloud) sowie Managed SOC (24/7), d.h. insgesamt mindestens drei Referenzprojekte (siehe Vorlage in Anlage TWB 5, die hierzu Verwendung finden muss). Das Formblatt ist je Referenz gesondert vorzulegen und mit einem aussagekräftigen Dateinamen zu versehen. Die Referenzen müssen jeweils alle Ausschlusskriterien (gekennzeichnet durch (A)) erfüllen, um gültig zu sein. Gültige Referenzen werden anhand bestimmter Eigenschaften mit Eignungspunkten bewertet (gekennzeichnet durch (B)). Es sind je gültiger eingereichter Referenz 130 Eignungspunkte (EP) zu erreichen. Bei Einreichung von mehr als drei gültigen Referenzen für einen Referenztyp werden jeweils nur die drei Referenzen mit den höchsten erreichten Eignungspunktzahlen in die Wertung einbezogen. Insgesamt sind damit je Referenztyp 390 EP und über alle Referenzen hinweg 1170 EP zu erreichen. I. Mindestanforderungen (Ausschlusskriterien) Jedes Referenzprojekt muss folgende Eigenschaften vollumfänglich erfüllen: Leistungsinhalt: Das Projekt umfasste die Leistungsbereiche Sicherheitsüberwachung und Eskalation, Detection Engineering, Containment sowie Dokumentation/Reporting. Rolle des Bewerbers: Der Bewerber agierte als Hauptauftragnehmer oder Konsortialführer mit einer Beteiligungsquote von über 50 %. Mengengerüst: Es wurden mindestens 5.000 Endpunkte betreut ODER es bestand ein Logvolumen von ? 1.500 EPS ODER ? 80 Log-Quellen (davon mind. 20 Infrastruktur- und 40 Applikationsquellen). Datenhaltung: Kundendaten wurden ausschließlich in Rechenzentren innerhalb der EU/des EWR verarbeitet; es bestand kein Datenabfluss an Behörden außerhalb der EU/des EWR. Laufzeit & Aktualität: Das Projekt weist eine Mindestlaufzeit von 12 Monaten im ununterbrochenen Produktivbetrieb auf. Das Projektende liegt maximal 3 Jahre zurück oder das Projekt dauert noch an. Sprache: Die Projektsprache (Kommunikation und Dokumentation) war Deutsch. Technischer Zugriff: Der Zugriff auf die Infrastruktur erfolgte über einen sicheren, personalisierten Remote-Zugriff (z. B. Jump-Hosts, PAM). Steuerung: Die Leistungserbringung war an tabellierten Leistungskennzahlen (KPIs) ausgerichtet. Transition: Ein strukturiertes Transition-Projekt mit Migrationsplan wurde durchgeführt. Kategoriespezifische Anforderungen: Betreuung: Betreuung von Sicherheitswerkzeugen und Alarmbearbeitung innerhalb der Kundenumgebung (Hybrid/Managed). Mandantentrennung: Nachweisbare logische und technische Trennung der Datenhaltung (für Hybrid On-prem & Managed). Datenausleitung: Verschlüsselte Übertragung (mind. TLS 1.2, VPN) bei Ausleitung von Daten (für Hybrid Cloud & Managed). II. Bewertungskriterien und Eignungspunkte Gültige Referenzen, die alle Mindestanforderungen erfüllen, werden anhand der folgenden Kriterien bewertet. Es werden je Kriterium Punkte bis zu dem angegebenen Maximalwert vergeben: Projektlaufzeit: Bewertung der Dauer des produktiven Betriebs (über die Mindestlaufzeit von 12 Monaten hinaus). Maximal erreichbar: 25 Eignungspunkte (EP) Aktualität: Bewertung, wie weit das Projektende zurückliegt bzw. ob es noch andauert. Maximal erreichbar: 20 Eignungspunkte (EP) Threat-Hunting Kampagnen: Bewertung des Umfangs und der Regelmäßigkeit durchgeführter Threat-Hunting Kampagnen. Maximal erreichbar: 20 Eignungspunkte (EP) Skalierung: Bewertung einer signifikanten Steigerung des überwachten Umfangs (Events/Daten/Log-Quellen) während der Laufzeit ohne SLA-Verletzung. Maximal erreichbar: 25 Eignungspunkte (EP) Sicherheitsüberprüfung des Personals: Bewertung des Anteils des eingesetzten Personals mit Sicherheitsüberprüfung (mind. SÜ2). Maximal erreichbar: 20 Eignungspunkte (EP) Automatisierung (SOAR): Bewertung des Einsatzes einer SOAR-/Automationsplattform sowie der Tiefe der Automatisierung (Playbooks/Reaktionsschritte). Maximal erreichbar: 20 Eignungspunkte (EP)
Anhand der Kriterien werden die Bewerber ausgewählt, die zur zweiten Phase des Verfahrens eingeladen werden sollen
Gewichtung (Punkte, genau): 1 170
Informationen über die zweite Phase eines zweiphasigen Verfahrens:
Mindestzahl der zur zweiten Phase des Verfahrens einzuladenden Bewerber: 3
Höchstzahl der zur zweiten Phase des Verfahrens einzuladenden Bewerber: 5
Das Verfahren wird in mehreren aufeinanderfolgenden Phasen durchgeführt. In jeder Phase können einige Teilnehmer ausgeschlossen werden
Der Erwerber behält sich das Recht vor, den Auftrag aufgrund der ursprünglichen Angebote ohne weitere Verhandlungen zu vergeben
5.1.12.
Bedingungen für die Auftragsvergabe
Verfahrensbedingungen:
Sicherheitsüberprüfung ist erforderlich
Beschreibung: Bereitschaft zur Ü2: Die Mitarbeitenden müssen die Bereitschaft nachweisen, sich einer erweiterten Sicherheitsüberprüfung (Ü2) gemäß § 9 Sicherheitsüberprüfungsgesetz (SÜG) bzw. vergleichbaren Landesvorschriften zu unterziehen. Erweitertes Führungszeugnis: Für alle eingesetzten Personen muss ein erweitertes Führungszeugnis vorgelegt werden, das nicht älter als 12 Monate ist. Verschwiegenheit: Vor Aufnahme der Tätigkeit müssen alle Personen schriftlich zur Vertraulichkeit verpflichtet werden (mindestens gemäß Art. 28 DSGVO, BDSG und ggf. § 203 StGB). Ablauf: Der Auftraggeber initiiert das Verfahren zur Sicherheitsüberprüfung auf Anforderung des Bedarfsträgers unverzüglich ODER: Bestätigung der Bereitschaft aller eingesetzten Mitarbeitenden zur Durchführung einer erweiterten Sicherheitsüberprüfung (Ü2) nach § 9 SÜG sowie Vorlage erweiterter Führungszeugnisse
Bedingungen für die Einreichung:
Elektronische Einreichung: Erforderlich
Sprachen, in denen Angebote oder Teilnahmeanträge eingereicht werden können: Deutsch
Elektronischer Katalog: Nicht zulässig
Varianten: Nicht zulässig
Die Bieter können mehrere Angebote einreichen: Nicht zulässig
Frist für den Eingang der Teilnahmeanträge: 09/02/2026 23:59:00 (UTC+01:00) Mitteleuropäische Zeit, Westeuropäische Sommerzeit
Informationen, die nach Ablauf der Einreichungsfrist ergänzt werden können:
Nach Ermessen des Käufers können alle fehlenden Bieterunterlagen nach Fristablauf nachgereicht werden.
Zusätzliche Informationen: Die Nachforderung von Unterlagen gemäß § 56 Abs. 2 VgV bleibt vorbehalten. Ein genereller Anspruch auf Nachforderung besteht für die Bewerber/Bieter jedoch nicht. Fordert der Auftraggeber Unterlagen nach, sind diese in gleicher Form wie das Angebot einzureichen.
Auftragsbedingungen:
Die Auftragsausführung muss im Rahmen von Programmen für geschützte Beschäftigungsverhältnisse erfolgen: Nein
Bedingungen für die Ausführung des Auftrags: Einhaltung von arbeitsrechtlichen Mindeststandards (ILO-Kernarbeitsnormen): Der Auftragnehmer verpflichtet sich, die Leistungen ausschließlich mit Waren auszuführen, die nachweislich unter Beachtung der in den ILO-Kernarbeitsnormen festgelegten Mindeststandards gewonnen oder hergestellt wurden (u. a. Verbot von Zwangsarbeit und Kinderarbeit, Diskriminierungsverbot). Verstöße sind pönalisiert. Verschwiegenheit und Datenschutz: Der Auftragnehmer muss die strikte Einhaltung der DSGVO, des BDSG, des TDDDG sowie einschlägiger Landesdatenschutzgesetze gewährleisten. Er verpflichtet sich zur absoluten Verschwiegenheit über alle im Rahmen des Auftrags bekanntwerdenden Informationen und muss sicherstellen, dass alle eingesetzten Personen (inkl. Nachunternehmer) schriftlich zur Vertraulichkeit verpflichtet sind. Ort der Leistungserbringung und Datensouveränität: Die Leistungserbringung sowie die Datenhaltung und -verarbeitung müssen ausschließlich innerhalb der Europäischen Union (EU) oder de
Elektronische Rechnungsstellung: Erforderlich
Aufträge werden elektronisch erteilt: nein
Zahlungen werden elektronisch geleistet: ja
5.1.15.
Techniken
Rahmenvereinbarung:
Rahmenvereinbarung ohne erneuten Aufruf zum Wettbewerb
Höchstzahl der Teilnehmer: 3
Informationen über das dynamische Beschaffungssystem:
Kein dynamisches Beschaffungssystem
Elektronische Auktion: nein
5.1.16.
Weitere Informationen, Schlichtung und Nachprüfung
Überprüfungsstelle: Vergabekammer des Landes Berlin
Informationen über die Überprüfungsfristen: Bewerber/Bieter haben einen Anspruch auf Einhaltung der bieterschützenden Bestimmungen über das Vergabeverfahren gegenüber dem Auftraggeber. Erkennt ein am Auftrag inte-ressiertes Unternehmen eine Verletzung seiner Rechte durch Nichtbeachtung von Vergabevorschriften, ist der Verstoß innerhalb von 10 Kalendertagen gegenüber der Vergabestelle zu rügen (§ 160 Abs. 3 Nr. 1 Gesetz gegen Wettbewerbsbeschränkungen (GWB)). Verstöße, die aufgrund der Bekanntmachung erkennbar sind, müssen spätestens bis zu der in der Bekanntmachung genannten Frist zur Bewerbung (Abgabe Teilnahmeantrag) gegenüber der Vergabestelle gerügt werden (§ 160 Abs. 3 Nr. 2 GWB). Verstöße, die aufgrund von weiteren im Rahmen des Teilnahmewettbewerbs zugänglich gemachten Unterlagen erkennbar sind, müssen spätestens bis zum Ablauf der Bewerbungs-frist, Verstöße, die aufgrund der Vergabeunterlagen für die Angebotsphase erkennbar sind, bis zum Ablauf der Angebotsfrist gegenüber der Vergabestelle gerügt werden (§ 160 Abs. 3 Nr. 3 GWB). Teilt die Vergabestelle dem Bewerber/Bieter mit, seiner Rüge nicht abhelfen zu wollen, so kann der Bewerber/Bieter nur innerhalb von 15 Kalendertagen nach Eingang dieser Rügeerwiderung einen Nachprüfungsantrag bei der Vergabekammer stellen (§ 160 Abs. 3 Nr. 4 GWB). Bieter, deren Angebote für den Zuschlag nicht berücksichtigt werden sollen, werden vor dem Zuschlag gemäß § 134 Abs. 1 GWB darüber informiert. Ein Vertrag darf erst 15 Kalendertage (bzw. bei elektronischer Übermittlung 10 Kalendertage) nach Absendung dieser In-formation durch den Auftraggeber geschlossen werden. Diese Frist beginnt am Tag nach Absendung der Information durch die Vergabestelle. Die Unwirksamkeit gemäß § 135 Abs. 1 GWB kann nur festgestellt werden, wenn sie im Nachprüfungsverfahren innerhalb von 30 Kalendertagen ab Kenntnis des Verstoßes, jedoch nicht später als sechs Monate nach Vertragsschluss geltend gemacht worden ist. Hat der Auftraggeber die Auftragsvergabe im Amtsblatt der Europäischen Union bekannt gemacht, endet die Frist zur Geltendmachung der Unwirksamkeit 30 Kalendertage nach Veröffentlichung der Bekanntmachung der Auftragsvergabe im Amtsblatt der Europäischen Union.
Organisation, die zusätzliche Informationen über das Vergabeverfahren bereitstellt: govdigital eG
Organisation, die Teilnahmeanträge entgegennimmt: govdigital eG