1.1.
Beschaffer
Offizielle Bezeichnung: Ministerium für Heimat, Kommunales, Bau und Digitalisierung des Landes Nordrhein-Westfalen
Rechtsform des Erwerbers: Regionale Gebietskörperschaft
Tätigkeit des öffentlichen Auftraggebers: Wohnungswesen und kommunale Einrichtungen
2.1.
Verfahren
Titel: IT-Sicherheitscheck
Beschreibung: Das Land Nordrhein-Westfalen, vertreten durch das Ministerium für Heimat, Kommunales, Bau und Digitalisierung des Landes Nordrhein-Westfalen (MHKBD), möchte die Informationssicherheit auf Landesebene sowie auf kommunaler Ebene stärken. Um dieses Ziel zu erreichen, möchte das MHKBD für die Landesbehörden, die Kommunen und die vom Land NRW oder kommunal beherrschten IT-Dienstleister eine Möglichkeit anbieten, einen IT-Sicherheitscheck durchführen zu lassen. Der IT-Sicherheitscheck soll die gesamtheitliche Informationssicherheit der bezugsberechtigten Parteien ermitteln, Verbesserungspotentiale aufdecken und dem MHKBD überdies eine empirisch belastbare Übersicht über systematische Probleme bzgl. Informationssicherheit (aufgeteilt nach diversen Kriterien, z.B. regional) liefern. Grundlage ist auch die im Jahr 2024 durchgeführte Informationssicherheitsanalyse. Der Auftragnehmer muss den IT-Sicherheitscheck nach den Vorgaben des BSI IT-Grundschutz-Kompendiums und den BSI-Standards der Reihe 200-x durchführen. Ein IT-Sicherheitscheck im Sinne der vorliegenden Ausschreibung ist eine überwiegend organisatorisch ausgerichtete standardisierte Überprüfung des Reifegrads eines Informationssicherheitsmanagements (ISMS) eines öffentlichen Auftraggebers. Im Fokus stehen u.a. die vorhandenen Richtlinien, Rollen, Verantwortlichkeiten und Prozesse sowie deren gelebte Umsetzung im Rahmen eines ISMS auf Basis des BSI-Grundschutz-Kompendiums und der BSI-Normenreihe 200x. Die Bewertung erfolgt primär qualitativ, etwa durch Fragebögen, Workshops und Interviews, mit dem Ziel, in einem standardisierten Report den Reifegrad der ISMS-Organisation festzustellen und Handlungsbedarfe aufzuzeigen. Die technische Umsetzung der Vorgaben des ISMS wird hierbei lediglich überblicksartig und stichprobenartig betrachtet, ohne den Einsatz tiefergehender technischer Scans oder aktiver Prüfmaßnahmen. Der Umfang des IT-Sicherheitschecks wird einheitlich vorgegeben. Zu diesem Zweck schreibt das MHKBD einen Rahmenvertrag aus, auf dessen Grundlage die abrufberechtigten Parteien - Landesbehörden, Kommunen und vom Land oder kommunal beherrschte IT-Dienstleister - den Auftragnehmer mit der Durchführung eines IT-Sicherheitschecks beauftragen können. Hierdurch können die abrufberechtigten Parteien die Dienstleistung ohne zusätzliches förmliches Vergabeverfahren abrufen. Das MHKBD übernimmt für die Kommunen sowie für die kommunal beherrschen IT-Dienstleister bis zum 31.12.2026 die Kosten aus Mitteln des Gesetzes zur Regelung der Zuweisungen des Landes Nordrhein-Westfalen an die Gemeinden und Gemeindeverbände (Gemeindefinanzierungsgesetz). Die Landesbehörden und IT-Dienstleister des Landes müssen die Kosten selbst tragen.
Kennung des Verfahrens: 119f5bb1-d748-41ee-87fe-67501dfe6676
Interne Kennung: MHKBD
Verfahrensart: Nichtoffenes Verfahren
Das Verfahren wird beschleunigt: nein
Zentrale Elemente des Verfahrens: Das MHKBD vergibt den Rahmenvertrag im Wege eines nicht offenen Verfahrens. Mit dieser Bekanntmachung fordert das MHKBD interessierte Unternehmen auf, einen Teilnahmeantrag einzureichen. Für den Teilnahmeantrag sind allein die Anforderungen dieser Bekanntmachung maßgeblich. Anhand des eingereichten Teilnahmeantrags prüft das MHKBD die Eignung der Bewerber für den Auftrag anhand der gemäß der Bekanntmachung einzureichenden Unterlagen. Im zweiten Schritt fordert das MHKBD die nach Maßgabe der Bekanntmachung ausgewählten Bewerber auf, ein verbindliches Angebot einzureichen. Die weiteren Einzelheiten zum Verfahren ergeben sich aus den Vergabeunterlagen.
2.1.1.
Zweck
Art des Auftrags: Dienstleistungen
Haupteinstufung (cpv): 72000000 IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung
2.1.2.
Erfüllungsort
Land: Deutschland
Ort im betreffenden Land
Zusätzliche Informationen: Ganzes Landesgebiet Nordrhein-Westfalen
2.1.3.
Wert
Geschätzter Wert ohne MwSt.: 4 500 000,00 EUR
Höchstwert der Rahmenvereinbarung: 8 000 000,00 EUR
2.1.4.
Allgemeine Informationen
Zusätzliche Informationen: #Bekanntmachungs-ID: CXPNY6CDVBH# Der Auftraggeber wird mindestens 5 Bewerber bzw. Bewerbergemeinschaften für das weitere Verfahren auswählen, sofern eine entsprechende Anzahl von geeigneten Bewerbern bzw. Bewerbergemeinschaften zur Verfügung steht. Der Auftraggeber wird zur Auswahl der Bewerber bzw. Bewerbergemeinschaften in 3 Stufen vorgehen: 1. Zunächst wird geprüft, ob die Teilnahmeanträge den formalen Anforderungen genügen. 2. Anschließend wird beurteilt, ob der Bewerber nach den vorgelegten Angaben und Nachweisen geeignet erscheint, die verfahrensgegenständlichen Leistungen ordnungsgemäß zu erbringen. Dies ist der Fall, wenn der Bewerber/die Bewerbergemeinschaft die gestellten Eignungsanforderungen erfüllt. 3. Schließlich, für den Fall, dass sich mehr als 5 geeignete Unternehmen beworben haben, wird beurteilt, wer unter den geeigneten Bewerbern im Vergleich zu den Mitbewerbern mit Blick auf die zu erbringende Leistung besonders geeignet erscheint und daher am weiteren Verfahren beteiligt wird. Der Auftraggeber wird zur Abgabe eines Angebotes die Bewerber bzw. Bewerbergemeinschaften auffordern, die die Eignungsanforderungen am besten erfüllen (Ranking). Er behält sich vor, nur die 5 besten Bewerber aufzufordern, auch wenn mehr Bewerber die Eignungsanforderungen erfüllen. Bei Ermittlung des Rankings wird der Auftraggeber insbesondere die Referenzen des Bewerbers und deren Vergleichbarkeit mit dem vorliegenden Beschaffungsvorhaben bewerten. Die Bewertung erfolgt in einem relativen Vergleich der Bewerber miteinander. Hierbei handelt es sich um Auswahlkriterien für den Teilnahmewettbewerb, nicht um Zuschlagskriterien.
Rechtsgrundlage:
Richtlinie 2014/24/EU
vgv -
2.1.6.
Ausschlussgründe
Quellen der Ausschlussgründe: Bekanntmachung
Verstoß gegen die in den rein innerstaatlichen Ausschlussgründen verankerten Verpflichtungen:
Beteiligung an einer kriminellen Vereinigung:
Terroristische Straftaten oder Straftaten im Zusammenhang mit terroristischen Aktivitäten:
Geldwäsche oder Terrorismusfinanzierung:
Betrug:
Korruption:
Kinderarbeit und andere Formen des Menschenhandels:
Verstoß gegen die Verpflichtung zur Entrichtung von Steuern:
Verstoß gegen die Verpflichtung zur Entrichtung von Sozialversicherungsbeiträgen:
Verstoß gegen umweltrechtliche Verpflichtungen:
Verstoß gegen sozialrechtliche Verpflichtungen:
Verstoß gegen arbeitsrechtliche Verpflichtungen:
Zahlungsunfähigkeit:
Verwaltung der Vermögenswerte durch einen Insolvenzverwalter:
Einstellung der gewerblichen Tätigkeit:
Der Zahlungsunfähigkeit vergleichbare Lage gemäß nationaler Rechtsvorschriften:
Schwerwiegendes berufliches Fehlverhalten:
Vereinbarungen mit anderen Wirtschaftsteilnehmern zur Verzerrung des Wettbewerbs:
Interessenkonflikt aufgrund seiner Teilnahme an dem Vergabeverfahren:
Direkte oder indirekte Beteiligung an der Vorbereitung des Vergabeverfahrens:
Vorzeitige Beendigung, Schadensersatz oder andere vergleichbare Sanktionen:
Täuschung, Zurückhaltung von Informationen, Unfähigkeit zur Vorlage erforderlicher Unterlagen oder Erlangung vertraulicher Informationen zu dem Verfahren:
5.1.
Los: LOT-0001
Titel: IT-Sicherheitscheck
Beschreibung: Das MHKBD schreibt einen Rahmenvertrag über die Durchführung des IT-Sicherheitschecks auf Landesebene und kommunaler Ebene aus. Abrufberechtigte Parteien sind in Nordrhein-Westfalen: - die Landesbehörden, - die nordrhein-westfälischen Kommunen, - die IT-Dienstleister, - die vom Land NRW und/oder den nordrhein-westfälischen Kommunen unmittelbar oder mittelbar beherrscht werden. Der Auftragnehmer muss zur Durchführung des IT-Sicherheitschecks geeignete Prüfschemata, z.B. in Form von geeigneten Fragebögen, entwickeln. Es müssen bei dieser Prüfung alle in der Praxis vorkommenden IT-Betriebsszenarien im Land Nordrhein-Westfalen in ausreichender Qualität und Güte sowie die Erfüllung der informationssicherheitstechnischen Obliegenheiten seitens zu prüfender Organisation erfasst sein. Bei der Entwicklung der Prüfschemata muss sich an einschlägigen Dokumenten des Bundesamts für Sicherheit in der Informationstechnik, insbesondere des Wegs in die Basisabsicherung (WiBA), orientiert werden. Zu den vorkommenden Betriebsszenarien zählen insbesondere der Fall eines vollständigen Eigenbetriebs von IT-Leistungen sowie der Fall von Outsourcing von Leistungen und auch etwaige Mischformen. Diese Betriebsszenarien müssen vollständig durch die Prüfschemata erfasst sowie - hinsichtlich Anforderungserfüllung - im Rahmen der Prüfung erhoben werden. Definitorisch gilt: Eigenbetrieb liegt dann vor, wenn eine datenverantwortende Stelle (Behörde) gleichzeitig auch datenverarbeitende Stelle ist. Outsourcing liegt dann vor, wenn eine datenverantwortende Stelle (Behörde) ihre IT von einer datenverarbeitenden Stelle betreiben lässt (IT-Dienstleister, der vom Land NRW und/oder den nordrhein-westfälischen Kommunen unmittelbar oder mittelbar beherrscht wird). Sollte eine datenverantwortende Stelle IT-Dienste von IT-Dienstleistern betreiben lassen, die nicht mittelbar oder unmittelbar vom Land NRW und/oder den nordrhein-westfälischen Kommunen beherrscht werden, so sind diese (externen) IT-Dienstleister nicht vom Umfang der Prüfungen umfasst und müssen selbst nicht in Prüfschemata aufgenommen werden. Gleichwohl muss jedoch auch in diesen Fällen durch die Prüfschemata erhoben werden, ob die datenverantwortende Stelle allen einschlägigen Obliegenheiten des BSI IT-Grundschutzes sowie der BSI-Normen 200-x in hinreichender Qualität und Güte nachgekommen ist. Der Auftragnehmer muss die Prüfschemata strikt nach den fachlichen Vorgaben des BSI IT-Grundschutz-Kompendiums und den BSI-Standards der Reihe 200-x erstellen, inkl. der spezifischen Realisation einer Prüfung mittels WiBA. Auf Abruf der abrufberechtigten Parteien muss der Auftragnehmer einen IT-Sicherheitscheck durchführen. Ein IT-Sicherheitscheck im Sinne der vorliegenden Ausschreibung ist eine überwiegend organisatorisch ausgerichtete standardisierte Überprüfung des Reifegrads eines Informationssicherheitsmanagements (ISMS) eines öffentlichen Auftraggebers. Im Fokus stehen u.a. die vorhandenen Richtlinien, Rollen, Verantwortlichkeiten und Prozesse, insbesondere inkl. Outsourcing, sowie deren gelebte Umsetzung im Rahmen eines ISMS auf Basis des BSI IT-Grundschutz-Kompendiums und der BSI-Normenreihe 200-x. Die Bewertung erfolgt durch den späteren Auftragnehmer primär qualitativ durch geeignete Prüfschemata mittels z.B. Fragebögen, Workshops und Interviews. Ziel ist ein standardisierter Report bzgl. Reifegrad des ISMS in der geprüften Organisation. Zudem muss der Report konkrete und eigenständig nachnutzbare Handlungsbedarfe mit zugehörigen Handlungsempfehlungen aufzeigen. Explizit nicht Gegenstand der Ausschreibung ist die Behebung der aufgefundenen Defizite oder Erbringung von individuellen Beratungsleistungen über die im standardisierten Report und ggf. Ergebnispräsentation gegenüber den geprüften Organisationen hinaus. Die technische Umsetzung der Vorgaben des ISMS wird hierbei lediglich überblicksartig und stichprobenartig betrachtet, ohne den Einsatz tiefergehender technischer Scans oder aktiver Prüfmaßnahmen. Die Stichproben müssen hierbei repräsentativ gewählt werden und sind insbesondere in Bereichen erfahrungsgemäß hoher Fehlerträchtigkeit anzusiedeln. Der Umfang des IT-Sicherheitschecks wird im Rahmen der Leistungsbeschreibung einheitlich vorgegeben werden. Der Auftragnehmer muss mindestens 50 IT-Sicherheitschecks pro Monat durchführen können. Der Auftragnehmer muss dem MHKBD zudem quartalsweise zwei schriftliche High- Level-Reports zuliefern (eine für die Landesverwaltungs- und eine für die Kommunalebene). In diesen High-Level-Reports sind die Prüfergebnisse nach seitens MHKBD im Rahmen der Leistungsbeschreibung definierten Kriterien aggregiert zusammenzufassen (z.B. aber nicht nur regionale Zugehörigkeit, Behördengröße, IT-Selbst- bzw. IT-Fremdbetrieb usw.). Wesentliche Trends inkl. globalen Handlungsbedarfen müssen aus diesen High-Level-Reports zweifelsfrei ableitbar sein. Der Auftraggeber behält sich vor, die Anforderungen im Laufe des Verfahrens zu präzisieren und anzupassen.
Interne Kennung: MHKBD
5.1.1.
Zweck
Art des Auftrags: Dienstleistungen
Haupteinstufung (cpv): 72000000 IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung
5.1.2.
Erfüllungsort
Land: Deutschland
Ort im betreffenden Land
Zusätzliche Informationen: Ganzes Landesgebiet Nordrhein-Westfalen
5.1.3.
Geschätzte Dauer
Laufzeit: 4 Jahre
5.1.6.
Allgemeine Informationen
Vorbehaltene Teilnahme:
Teilnahme ist nicht vorbehalten.
Auftragsvergabeprojekt nicht aus EU-Mitteln finanziert
Die Beschaffung fällt unter das Übereinkommen über das öffentliche Beschaffungswesen: nein
Diese Auftragsvergabe ist auch für kleine und mittlere Unternehmen (KMU) geeignet: nein
Zusätzliche Informationen: 1. Bewerber werden gebeten, Rückfragen zum Teilnahmeantrag ausschließlich über die in Ziffer 5.1.11. genannte Website einzureichen. Der Auftraggeber wird alle Fragen und Antworten auf der in Ziffer 5.1.11. genannten Website anonymisiert zur Verfügung stellen. Bewerbungen für Teilleistungen sind nicht möglich. Fragen können bis 7 Kalendertage vor Ablauf der Teilnahmefrist gestellt werden. 2. Ausreichend ist die Abgabe des Teilnahmeantrages in Textform (§ 126b BGB) über das in Ziffer 5.1.11. genannte Vergabeportal. Nähere Informationen stehen auf der Startseite des in Ziffer 5.1.11. genannten Vergabeportals zur Verfügung. Zur Formwahrung muss die Teilnahmeerklärung die Firma des Bewerbers/ des bevollmächtigten Bewerbergemeinschaftsmitglieds ausweisen. Eine Unterschrift oder Signatur ist nicht erforderlich. Bewerber werden gebeten, im Teilnahmeantrag einen Ansprechpartner mit Namen, Adresse, E-Mail, Telefon- und Faxnummer zu benennen. Die gesamte Kommunikation zwischen Auftraggeber und Bewerbern findet ausschließlich über das in Ziffer 5.1.11. genannte Vergabeportal statt. Der Auftraggeber wird alle Fragen und Antworten auf dem in Ziffer 5.1.11. genannten Vergabeportal anonymisiert zur Verfügung stellen. 3. Mehrfachbewerbungen als Einzelbewerber sowie als Mitglied einer/mehrerer Bewerbergemeinschaften (BG) sind unzulässig. Soweit mehrere Unternehmen im Rahmen der Vergabe miteinander kooperieren (z. B. über ein gemeinsames Tochterunternehmen, als Nachunternehmer oder im Rahmen einer BG), behält sich der Auftraggeber vor, Nachweise dafür zu fordern, dass die Kooperation als Ganzes sowie die Teilnahme der einzelnen Unternehmen an der Kooperation zulässig ist, insbesondere keine unzulässige wettbewerbsbeschränkende Abrede getroffen wurde. Für jeden Teilnehmer der Kooperation wäre dann zu begründen, inwieweit sein Entschluss zur Teilnahme an der Kooperation eine im Rahmen von zweckmäßigen und kaufmännisch vernünftigen Handelns liegende Entscheidung ist, z. B. weil der jeweilige Teilnehmer zur Zeit der Bildung der Kooperation überhaupt nicht oder jedenfalls zu dieser Zeit nicht über die erforderliche Kapazität zur Durchführung des hier ausgeschriebenen Auftrages verfügt oder aus anderen Gründen erst die Kooperation den jeweiligen Teilnehmer in die Lage versetzt, ein erfolgsversprechendes Angebot abzugeben. 4. Die Bildung von Bewerber-/Bietergemeinschaften (BG) ist nur bis zur Abgabe des Teilnahmeantrages möglich. Die Angaben zur Zusammensetzung der BG sind grundsätzlich bindend. Bewerber, die sich mit anderen Unternehmen zu Bewerber-/Bietergemeinschaften zusammenschließen und als solche einen Teilnahmeantrag einreichen, sind für die Dauer des Verfahrens daran gebunden. Ein Austausch einzelner Mitglieder der BG vor Auftragsvergabe bedarf der Zustimmung des Auftraggebers. Die Abgabe von Teilnahmeanträgen durch BG ist nur bei gesamtschuldnerischer Haftung mit bevollmächtigtem Vertreter möglich. Hierzu ist eine von allen Mitgliedern unterschriebene Vollmacht mittels einer BG-Erklärung vorzulegen. Außerdem haben sämtliche Mitglieder der BG namentlich mit Anschrift einen bevollmächtigten Vertreter für das Vergabeverfahren sowie den Abschluss und die Durchführung des Vertrages zu bezeichnen. Der Auftraggeber behält sich ausdrücklich vor, diese Angaben nachzufordern. Bei der Eignungsprüfung wird die BG als Ganzes beurteilt. 5. Der Auftraggeber wird die von dem Bewerber übermittelten Informationen vertraulich behandeln und die anwendbaren Vorschriften zum Datenschutzrecht beachten. Dies gilt insbesondere für personenbezogene Informationen, die im Zusammenhang mit der Angabe von Referenzen an den Auftraggeber weitergegeben werden. 6. Für den Fall, dass ein Bewerber einzelne Unternehmen als Nachunternehmer einsetzen möchte, wird auf die Möglichkeit der Eignungsleihe und die in § 47 VgV genannten Voraussetzungen hingewiesen. Wenn und soweit sich der Bewerber auf die Eignung des Nachunternehmers beruft, ist mit dem Teilnahmeantrag insbesondere eine Verpflichtungserklärung des Nachunternehmers einzureichen, dass dieser seine Ressourcen und Kapazitäten dem Bewerber im Auftragsfall zur Verfügung stellt. 7. Bewerber sollten die auf der in Ziff. 5.1.11 genannten Website hinterlegten Vordrucke für ihre nach der Bekanntmachung erforderlichen Eigenerklärungen verwenden. Der Auftraggeber behält sich vor, fehlende Unterlagen gemäß § 56 Abs. 2 VgV nachzufordern. Auf die Nachforderung besteht kein Rechtsanspruch.
5.1.7.
Strategische Auftragsvergabe
Ziel der strategischen Auftragsvergabe: Keine strategische Beschaffung
5.1.9.
Eignungskriterien
Quellen der Auswahlkriterien: Bekanntmachung
Kriterium: Eintragung in das Handelsregister
Beschreibung des Auswahlkriteriums: Mit dem Teilnahmeantrag sollen die Bewerber möglichst folgende Unterlagen vorlegen (im Fall einer Bewerbergemeinschaft von jedem Mitglied der Bewerbergemeinschaft): a) Formlose Unternehmensdarstellung mit Angabe des Namens, des Sitzes, der Kontaktdaten, der Umsatzsteuer-Identifikations-Nr., des Namens, des Geburtsdatums und der Staatsangehörigkeit des wirtschaftlich Berechtigten im Sinne von § 3 GwG sowie zur Eintragung ins Handelsregister / Berufsregister; b) Formlose Eigenerklärung, aus der hervorgeht, dass keine Ausschlussgründe im Sinne der §§ 123, 124 GWB vorliegen bzw. erfolgreiche Selbstreinigungsmaßnahmen nach § 125 GWB durchgeführt worden sind; der Bewerber in das einschlägige Berufsregister oder ein vergleichbares Register (Standeskammern etc.) des Herkunftslandes eingetragen ist; sowie nicht zu den in Artikel 5 k) Absatz 1 der Verordnung (EU) Nr. 833/2014 in der Fassung des Art. 1 Ziff. 16 der Verordnung (EU) 2025/2033 des Rates vom 23. Oktober 2025 über restriktive Maßnahmen angesichts der Handlungen Russlands, die die Lage in der Ukraine destabilisieren, genannten Personen oder Unternehmen zählt. c) Bewerbergemeinschaften sollen zusätzlich eine Erklärung abgeben, aus der hervorgeht, dass kein Verstoß gegen Kartellrecht vorliegt, und dass keine unzulässigen wettbewerbsbeschränkenden Absprachen getroffen wurden. Bewerber werden gebeten, im Teilnahmeantrag einen Ansprechpartner mit Namen, Adresse, E-Mail, Telefon- und Faxnummer zu benennen.
Kriterium: Spezifischer Jahresumsatz
Beschreibung des Auswahlkriteriums: Mit dem Teilnahmeantrag sollen die Bewerber möglichst folgende Unterlagen vorlegen (bei Bewerbergemeinschaften von mindestens einem Mitglied): Angabe der Gesamtumsätze der letzten bis zu 3 abgeschlossenen Geschäftsjahre, möglichst durch Jahresabschlüsse und Prüfberichte belegt, sowie die Angabe der Umsätze der letzten 3 Geschäftsjahre mit Leistungen, die mit dem vorliegenden Auftragsgegenstand (Überprüfung des Reifegrads eines Informationssicherheitsmanagements) vergleichbar sind.
Anhand der Kriterien werden die Bewerber ausgewählt, die zur zweiten Phase des Verfahrens eingeladen werden sollen
Rangfolge: 2
Kriterium: Berufliche Risikohaftpflichtversicherung
Beschreibung des Auswahlkriteriums: Mit dem Teilnahmeantrag sollen die Bewerber möglichst folgende Unterlagen vorlegen (bei Bewerbergemeinschaften von mindestens einem Mitglied): Bestätigung, dass der Bewerber eine Berufs-/Betriebshaftpflichtversicherung mit einer Deckungssumme von mindestens Euro 1,5 Millionen pro Schadensfall, 2-fach maximiert, unterhält oder im Falle der Auftragserteilung abschließen wird.
Kriterium: Referenzen zu bestimmten Dienstleistungen
Beschreibung des Auswahlkriteriums: Mit dem Teilnahmeantrag sollen die Bewerber möglichst folgende Unterlagen vorlegen (bei Bewerbergemeinschaften von mindestens einem Mitglied): geeignete Referenzen über früher ausgeführte Aufträge, die mit der zu vergebenden Leistung (Überprüfung des Reifegrads eines Informationssicherheitsmanagements) vergleichbar sind, in Form einer Liste der in den letzten höchstens 3 (drei) Jahren erbrachten wesentlichen Dienstleistungsaufträge, mit Angabe des Werts, des Erbringungszeitpunkts sowie des öffentlichen oder privaten Empfängers. Die eingereichten Referenzprojekte sollen in Summe folgende Anforderungen erfüllen: - in drei Projekten wurden Informationssicherheitsmanagements öffentlicher Auftraggeber, einschließlich einer Vor-Ort-Besichtigung, überprüft; - in drei Projekten wurde mit den Vorgaben des BSI IT-Grundschutz-Kompendiums und den BSI-Standards der Reihe 200-x gearbeitet. Bei den vorgenannten Kriterien handelt es sich um keine Mindestanforderungen. Der Auftraggeber wird die Referenzen gemäß Ziffer 2.1.4 der Bekanntmachung im Rahmen des Rankings berücksichtigen.
Anhand der Kriterien werden die Bewerber ausgewählt, die zur zweiten Phase des Verfahrens eingeladen werden sollen
Rangfolge: 1
Kriterium: Durchschnittliche jährliche Belegschaft
Beschreibung des Auswahlkriteriums: Mit dem Teilnahmeantrag sollen die Bewerber möglichst eine folgende Unterlagen vorlegen (bei Bewerbergemeinschaften von mindestens einem Mitglied): Angabe der Anzahl der in den letzten bis zu 3 abgeschlossenen Geschäftsjahren durchschnittlich jährlich beschäftigten Arbeitskräfte insgesamt und gesondert ausgewiesen das Personal im Bereich Informationssicherheit. Bewerbergemeinschaften werden als Ganzes betrachtet.
Anhand der Kriterien werden die Bewerber ausgewählt, die zur zweiten Phase des Verfahrens eingeladen werden sollen
Rangfolge: 2
Kriterium: Techniker oder technische Stellen zur Durchführung der Arbeiten
Beschreibung des Auswahlkriteriums: Mit dem Teilnahmeantrag sollen die Bewerber möglichst folgende Unterlagen vorlegen (bei Bewerbergemeinschaften von mindestens einem Mitglied): Bestätigung, dass mindestens 10 Mitarbeiter über folgende Qualifikationen verfügen: - Qualifikation als IT-Grundschutz-Praktiker oder gleich- oder höherwertig; oder - Berufserfahrung von mindestens 2 Jahren in der Umsetzung des BSI IT-Grundschutzes. Im Auftragsfall müssen entsprechend qualifizierte Mitarbeiter die Leistungen ausführen.
Anhand der Kriterien werden die Bewerber ausgewählt, die zur zweiten Phase des Verfahrens eingeladen werden sollen
Rangfolge: 2
Kriterium: Anteil der Unterauftragsvergabe
Beschreibung des Auswahlkriteriums: Mit dem Teilnahmeantrag sollen die Bewerber möglichst folgende Unterlagen vorlegen (bei Bewerbergemeinschaften von mindestens einem Mitglied): Angabe, welche Teile des Auftrags das Unternehmen unter Umständen als Unteraufträge zu vergeben beabsichtigt. Der Auftraggeber behält sich vor, im Laufe des Verfahrens eine Verpflichtungserklärung des vorgesehenen Nachunternehmers zu verlangen, dass dieser im Auftragsfall tatsächlich zur Verfügung steht.
Informationen über die zweite Phase eines zweiphasigen Verfahrens:
Mindestzahl der zur zweiten Phase des Verfahrens einzuladenden Bewerber: 5
Das Verfahren wird in mehreren aufeinanderfolgenden Phasen durchgeführt. In jeder Phase können einige Teilnehmer ausgeschlossen werden
5.1.10.
Zuschlagskriterien
Kriterium:
Art: Preis
Bezeichnung: Preis
Beschreibung: Preis pro Einzelabruf; der Auftraggeber weist darauf hin, dass der angebotene Preis EUR 9.000,00 (netto) / EUR 10.710,00 (brutto) pro Einzelabruf nicht überschreiten darf. Ein Überschreiten der vorgenannten Preisobergrenze führt nach § 57 Abs. 1 Nr. 4 VgV zum Ausschluss des Bieters. Im Teilnahmewettbewerb fragt der Auftraggeber keinen Preis ab.
Kategorie des Gewicht-Zuschlagskriteriums: Rangfolge
Zuschlagskriterium — Zahl: 1,00
5.1.11.
Auftragsunterlagen
Sprachen, in denen die Auftragsunterlagen offiziell verfügbar sind: Deutsch
Ad-hoc-Kommunikationskanal:
Name: Die Teilnahmeanträge sind elektronisch in Textform (§ 126b BGB) über das Vergabeportal einzureichen. Für den Versand und den Empfang von rechtserheblichen Erklärungen an bzw. von dem MHKBD müssen die Bewerber den Bewerberbereich der Vergabeplattform nutzen. Die gesamte Kommunikation zwischen Auftraggeber und Bewerbern findet ausschließlich über das Vergabeportal statt.
5.1.12.
Bedingungen für die Auftragsvergabe
Bedingungen für die Einreichung:
Elektronische Einreichung: Erforderlich
Sprachen, in denen Angebote oder Teilnahmeanträge eingereicht werden können: Deutsch
Elektronischer Katalog: Nicht zulässig
Varianten: Nicht zulässig
Die Bieter können mehrere Angebote einreichen: Nicht zulässig
Frist für den Eingang der Teilnahmeanträge: 17/03/2026 13:00:00 (UTC+01:00) Mitteleuropäische Zeit, Westeuropäische Sommerzeit
Informationen, die nach Ablauf der Einreichungsfrist ergänzt werden können:
Nach Ermessen des Käufers können alle fehlenden Bieterunterlagen nach Fristablauf nachgereicht werden.
Zusätzliche Informationen: Der Auftraggeber behält sich vor, Unterlagen im Rahmen des § 56 Abs. 2 VgV nachzufordern. Hierauf besteht kein Rechtsanspruch.
Auftragsbedingungen:
Die Auftragsausführung muss im Rahmen von Programmen für geschützte Beschäftigungsverhältnisse erfolgen: Nein
Bedingungen für die Ausführung des Auftrags: Die Ausführungsbedingungen ergeben sich aus den Vergabeunterlagen.
Elektronische Rechnungsstellung: Erforderlich
Aufträge werden elektronisch erteilt: ja
Zahlungen werden elektronisch geleistet: ja
5.1.15.
Techniken
Rahmenvereinbarung:
Rahmenvereinbarung ohne erneuten Aufruf zum Wettbewerb
Höchstzahl der Teilnehmer: 1
Informationen über das dynamische Beschaffungssystem:
Kein dynamisches Beschaffungssystem
Elektronische Auktion: nein
5.1.16.
Weitere Informationen, Schlichtung und Nachprüfung
Überprüfungsstelle: Vergabekammer Westfalen
Informationen über die Überprüfungsfristen: Das Verfahren für Verstöße gegen diese Vergabe richtet sich nach den Vorschriften der §§ 160 ff. des Gesetzes gegen Wettbewerbsbeschränkungen (GWB). Zur Wahrung der Fristen wird auf die §§ 160 ff. GWB verwiesen. Insbesondere weisen wir darauf hin, dass der Nachprüfungsantrag gemäß § 160 Abs. 3 Satz 1 Nr. 4 GWB spätestens 15 Kalendertage nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, zu stellen ist. Vergabeverstöße sind nach § 160 Abs. 3 Satz 1 Nr. 1 GWB vor Einreichen des Nachprüfungsantrags innerhalb von 10 Kalendertagen, nachdem der Bewerber den Verstoß erkannt hat, beim Auftraggeber zu rügen. Vergabeverstöße, die aufgrund der Bekanntmachung erkennbar sind, sind gemäß § 160 Abs. 3 Satz 1 Nr. 2 GWB spätestens bis zum Ablauf der Teilnahmefrist bei dem Auftraggeber zu rügen.
Organisation, die zusätzliche Informationen über das Vergabeverfahren bereitstellt: Ministerium für Heimat, Kommunales, Bau und Digitalisierung des Landes Nordrhein-Westfalen
Organisation, die Teilnahmeanträge entgegennimmt: Ministerium für Heimat, Kommunales, Bau und Digitalisierung des Landes Nordrhein-Westfalen
8.1.
ORG-0001
Offizielle Bezeichnung: Ministerium für Heimat, Kommunales, Bau und Digitalisierung des Landes Nordrhein-Westfalen
Registrierungsnummer: 05111-08001-06
Postanschrift: Hubertusstraße 9
Stadt: Düsseldorf
Postleitzahl: 40219
Land, Gliederung (NUTS): Düsseldorf, Kreisfreie Stadt (DEA11)
Land: Deutschland
Telefon: 000
Rollen dieser Organisation:
Beschaffer
Organisation, die zusätzliche Informationen über das Vergabeverfahren bereitstellt
Organisation, die Teilnahmeanträge entgegennimmt
8.1.
ORG-0002
Offizielle Bezeichnung: Vergabekammer Westfalen
Registrierungsnummer: 05515-03004-07
Postanschrift: Albrecht-Thaer-Straße 9
Stadt: Münster
Postleitzahl: 48147
Land, Gliederung (NUTS): Münster, Kreisfreie Stadt (DEA33)
Land: Deutschland
Telefon: (+49) 251 411-1604
Fax: 0251 4112165
Rollen dieser Organisation:
Überprüfungsstelle
8.1.
ORG-0003
Offizielle Bezeichnung: Datenservice Öffentlicher Einkauf (in Verantwortung des Beschaffungsamts des BMI)
Registrierungsnummer: 0204:994-DOEVD-83
Stadt: Bonn
Postleitzahl: 53119
Land, Gliederung (NUTS): Bonn, Kreisfreie Stadt (DEA22)
Land: Deutschland
Telefon: +49228996100
Rollen dieser Organisation:
TED eSender
Kennung/Fassung der Bekanntmachung: ab3400e5-ac05-449b-bfd3-ccabfe9f2c7d - 01
Formulartyp: Wettbewerb
Art der Bekanntmachung: Auftrags- oder Konzessionsbekanntmachung – Standardregelung
Unterart der Bekanntmachung: 16
Datum der Übermittlung der Bekanntmachung: 13/02/2026 14:56:41 (UTC+01:00) Mitteleuropäische Zeit, Westeuropäische Sommerzeit
Sprachen, in denen diese Bekanntmachung offiziell verfügbar ist: Deutsch
Veröffentlichungsnummer der Bekanntmachung: 112953-2026
ABl. S – Nummer der Ausgabe: 33/2026
Datum der Veröffentlichung: 17/02/2026