Deutschland – Dienstleistungen in Verbindung mit Software – Betrieb eines hybriden Security Operations Center (SOC)

202911-2026 - Vorankündigung – Direktvergabe
Deutschland – Dienstleistungen in Verbindung mit Software – Betrieb eines hybriden Security Operations Center (SOC)
OJ S 58/2026 24/03/2026
Freiwillige Ex-ante-Transparenzbekanntmachung
Dienstleistungen

1. Beschaffer

1.1.
Beschaffer
Offizielle Bezeichnung: Berliner Verkehrsbetriebe, Bereich Einkauf/Materialwirtschaft
Rechtsform des Erwerbers: Von einer lokalen Gebietskörperschaft kontrolliertes öffentliches Unternehmen
Tätigkeit des Auftraggebers: Städtische Eisenbahn-, Straßenbahn-, Oberleitungsbus- oder Busdienste

2. Verfahren

2.1.
Verfahren
Titel: Betrieb eines hybriden Security Operations Center (SOC)
Beschreibung: Betrieb eines hybriden Security Operations Center (SOC) über 2 Jahre inkl. einer Vertragsverlängerungsoption für zwei weitere Jahre und einer weiteren Vertragsverlängerungsoption für ein weiteres Jahr
Kennung des Verfahrens: 66aa47e8-efd7-4620-bfbb-7ff634ef2644
Interne Kennung: BEK-2026-0010
Verfahrensart: Verhandlungsverfahren ohne Aufruf zum Wettbewerb
2.1.1.
Zweck
Art des Auftrags: Dienstleistungen
Haupteinstufung (cpv): 72260000 Dienstleistungen in Verbindung mit Software
2.1.2.
Erfüllungsort
Stadt: Berlin
Postleitzahl: 10179
Land, Gliederung (NUTS): Berlin (DE300)
Land: Deutschland
2.1.4.
Allgemeine Informationen
Rechtsgrundlage:
Richtlinie 2014/25/EU
sektvo -

5. Los

5.1.
Los: LOT-0000
Titel: Betrieb eines hybriden Security Operations Center (SOC)
Beschreibung: Betrieb eines hybriden Security Operations Center (SOC) über 2 Jahre zzgl. optional +2 und +1 Jahr(e)
Interne Kennung: LOT-0000
5.1.1.
Zweck
Art des Auftrags: Dienstleistungen
Haupteinstufung (cpv): 72260000 Dienstleistungen in Verbindung mit Software
Optionen:
Beschreibung der Optionen: 1. Vertragsverlängerungsoption: zwei weitere Jahre. 2. Vertragsverlängerungsoption: ein weiteres Jahr.
5.1.3.
Geschätzte Dauer
Datum des Beginns: 01/04/2026
Enddatum der Laufzeit: 31/03/2028
5.1.4.
Verlängerung
Maximale Verlängerungen: 2
Weitere Informationen zur Verlängerung: -
5.1.6.
Allgemeine Informationen
Auftragsvergabeprojekt nicht aus EU-Mitteln finanziert
Die Beschaffung fällt unter das Übereinkommen über das öffentliche Beschaffungswesen: ja
5.1.7.
Strategische Auftragsvergabe
Ziel der strategischen Auftragsvergabe: Keine strategische Beschaffung
5.1.15.
Techniken
Rahmenvereinbarung:
Rahmenvereinbarung ohne erneuten Aufruf zum Wettbewerb
Informationen über das dynamische Beschaffungssystem:
Kein dynamisches Beschaffungssystem
5.1.16.
Weitere Informationen, Schlichtung und Nachprüfung
Überprüfungsstelle: Vergabekammer des Landes Berlin
Informationen über die Überprüfungsfristen: Genaue Angaben zu den Fristen für die Einlegung von Rechtsbehelfen: (1) Die Vergabekammer leitet ein Nachprüfungsverfahren nur auf Antrag ein, nach § 160 GWB. (2) Antragsbefugt ist jedes Unternehmen, das ein Interesse an den öffentlichen Auftrag oder der Konzession hat und eine Verletzung in seinen Rechten nach § 97 Absatz 6 durch Nichtbeachtung von Vergabevorschriften geltend macht. Dabei ist darzulegen, dass dem Unternehmen durch die behauptete Verletzung der Vergabevorschriften ein Schaden entstanden ist oder zu entstehen droht. (3) Der Antrag ist unzulässig, soweit 1. der Antragsteller den geltend gemachten Verstoß gegen Vergabevorschriften vor Einreichen des Nachprüfungsantrags erkannt und gegenüber dem Auftraggeber nicht innerhalb einer Frist von zehn Kalendertagen gerügt hat; der Ablauf der Frist nach § 134 Absatz 2 bleibt unberührt, 2. Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, nicht spätestens bis zum Ablauf der in der Bekanntmachung benannten Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden, 3. Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, nicht spätestens bis zum Ablauf der Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden, 4. mehr als 15 Kalendertage nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, vergangen sind. 2 Satz 1 gilt nicht bei einem Antrag auf Feststellung der Unwirksamkeit des Venrags nach § 135 Absatz 1Nummer 2. § 134 Absatz 1 Satz 2 bleibt unberührt. Nach § 135 GWB: (1) Ein öffentlicher Auftrag ist von Anfang an unwirksam, wenn der öffentliche Auftraggeber 1. gegen § 134 verstoßen hat oder 2. den Auftrag ohne vorherige Veröffentlichung einer Bekanntmachung im Amtsblatt der Europäischen Union vergeben hat, ohne dass dies aufgrund Gesetzes gestattet ist, und dieser Verstoß in einem Nachprüfungsverfahren festgestellt worden ist. (2) Die Unwirksamkeit nach Absatz 1 kann nur festgestellt werden, wenn sie im Nachprüfungsverfahren innerhalb von 30 Kalendertagen nach der Information der betroffenen Bieter und Bewerber durch denöffentlichen Auftraggeber über den Abschluss des Vertrags, jedoch nicht später als sechs Monate nach Vertragsschluss geltend gemacht worden ist. 2Hat der Auftraggeber die Auftragsvergabe im Amtsblatt der Europäischen Union bekannt gemacht, endet die Frist zur Geltendmachung der Unwirksamkeit 30 5 /5 Kalendertagenach Veröffentlichung der Bekanntmachung der Auftragsvergabe im Amtsblatt der EuropäischenUnion. (3) Die Unwirksamkeit nach Absatz 1 Nummer 2 tritt nicht ein, wenn 1. der öffentliche Auftraggeber der Ansicht ist, dass die Auftragsvergabe ohne vorherige Veröffentlichung einer Bekanntmachung im Amtsblatt der Europäischen Union zulässig ist, 2. der öffentliche Auftraggeber eine Bekanntmachung im Amtsblatt der Europäischen Union veröffentlicht hat, mit der er die Absicht bekundet, den Vertrag abzuschließen, und 3. der Vertrag nicht vor Ablauf einer Frist von mindestens zehn Kalendertagen, gerechnet ab dem Tag nach der Veröffentlichung dieser Bekanntmachung, abgeschlossen wurde. Die Bekanntmachung nach Satz 1 Nummer 2 muss den Namen und die Kontaktdaten des öffentlichen Auftraggebers, die Beschreibung des Vertragsgegenstands, die Begründung der Entscheidung des Auftraggebers, den Auftrag ohne vorherige Veröffentlichung einer Bekanntmachung im Amtsblatt der Europäischen Union zu vergeben, und den Namen und die Kontaktdaten des Unternehmens, das den Zuschlag erhalten soll, umfassen.
Organisation, die zusätzliche Informationen über das Vergabeverfahren bereitstellt: Berliner Verkehrsbetriebe, Bereich Einkauf/Materialwirtschaft

6. Ergebnisse

Direktvergabe:
Begründung der Direktvergabe: Dringende Gründe im Zusammenhang mit für den Beschaffer unvorhersehbaren Ereignissen
Sonstige Begründung: Als Betreiberin einer kritischen Infrastruktur im Sinne des BSI-Gesetzes (BSIG) sind wir gemäß § 8a Abs. 1a BSIG verpflichtet "angemessene organisatorische und technische Vorkehrungen" zum Schutz der informationstechnischen Systeme zu treffen, was auch den Einsatz von Systemen zur Angriffserkennung umfasst. Die BSI-Unterlage "Konkretisierung der Anforderungen an die gemäß § 8a Absatz 1 und Absatz 1a BSIG umzusetzende Maßnahmen" präzisiert, dass ein System zur Angriffserkennung (SzA) zwingend folgende Bestandteile umfassen muss: • Detektionsmechanismen • Ein technisches SIEM • Ein Security Operations Center (SOC) zur Bewertung, Korrelation und Reaktion • Einen durchgängigen Prozess zur Erkennung sicherheitsrelevanter Ereignisse (Detection) und anschließender Reaktion (Response) Damit besteht die Verpflichtung nicht nur zur Einführung eines technischen Werkzeugs, sondern eines vollständig betriebenen, kontinuierlichen SOC, das 24/7 Sicherheitsereignisse überwacht und aufbereitet. Angriffe auf KRITS-Infrastruktur, z.B. eine Überlastung oder die vollständige Übernahme des Systems durch Hacker müssen dringend abgewehrt werden. Hierbei können die Detektionsmechanismen nach dem MITRE ATTACK Framework abgebildet werden. . Primärbegründung (Dringlichkeit): Es liegt eine objektive Dringlichkeit nach § 13 Abs. 2 Nr. 4 SektVO vor: . Zusammen mit der BSI-Frist zur Umsetzung liegt eine äußerste Dringlichkeit vor, die die Einhaltung der Mindestfristen der offenen/nichtoffenen Verfahren objektiv unzumutbar macht und nicht vom Auftraggeber verursacht wurde. Mit Inkrafttreten der NIS2-Umsetzung in Deutschland im Dezember 2025 haben sich die Mindestanforderungen weiter verschärft. Gemäß Art. 21 NIS2 müssen Betreiber Kritischer Infrastrukturen: • schwerwiegende Sicherheitsvorfälle binnen 24 Stunden als "Early Warning" melden • innerhalb von 72 Stunden einen detaillierten Bericht nachreichen • ein kontinuierliches Monitoring betreiben • "angemessene und verhältnismäßige technische Schutzmaßnahmen" sicherstellen, darunter insbesondere: o Logging o Kontinuierliche Überwachung o Angriffserkennung o Incident response Dies bedingt zwingend einen 24/7 SOC-Betrieb, da ein reiner 8/5-Dienstbetrieb gesetzeskonform nicht möglich ist. Desweiteren hatte die jüngste § 8a-Prüfung durch eine qualifizierte und unabhängige Prüfstelle mehrere signifikante Abweichungen festgestellt, die unmittelbar die Wirksamkeit des Systems zur Angriffserkennung beeinträchtigen. Die Umsetzung eines Teils der Abweichungen müssen gem. dem Prüfbericht bis spätestens 31.03.2026 abgestellt werden. . Dazu ist ein hybrid betriebenes SOC in Betrieb zu nehmen, wodurch alle drei Mängel gleichzeitig ausgeschlossen werden: • Aufbau eines durchgängigen, zentralen Logging- und Analyseprozesses (SIEM-Integration) • Stabilisierung und Professionalisierung der Angriffserkennung • Implementierung vollständiger Incident-Response-Prozesse inkl. automatisierter Mechanismen . Die Inbetriebnahme eines SOCs dient daher sowohl der Erfüllung der neuen gesetzlich verpflichtenden Anforderungen an die BVG gem. NIS2 als auch der Mängelbehebung gemäß § 8a BSIG. Auch stünde ein Reputationsschaden der BVG im Raum - diesen gilt es zu vermeiden. Desweiteren drohen der BVG hohe Bußgeldforderungen, sollten die Mängel nicht umgehend abgestellt und die neuen NIS2-Anforderungen nicht zeitnah umgesetzt werden. Diesem finanziellen Risiko ist zwingend und umgehend abzuhelfen.
Direktvergabe:
Begründung der Direktvergabe: Der Auftrag kann nur von einem bestimmten Wirtschaftsteilnehmer ausgeführt werden, da aus technischen Gründen kein Wettbewerb vorhanden ist
Sonstige Begründung: Desweiteren liegen technische Gründe für die Direktvergabe der Leistungen an die Telekom Security GmbH nach § 13 Abs. 2 Nr. 3b SektVO vor: . Aufgrund technischer Gründe kommt ausschließlich die Telekom Security GmbH (T-Sec.) als Dienstleister infrage - ohne einen weiteren Verzug und unverhältnismäßig hohe technische Schwierigkeiten zu riskieren: Nur die T-Sec. verfügt aktuell über bereits vorhandene und in unsere SIEM-Plattform integrierbare, herstellergebundene UseCases mit integrierter SOAR-Lösung. Die Telekom Security GmbH kann aufgrund der von ihr angebotenen technischen Lösungen in kürzester Zeit den 24/7-Betrieb gewährleisten und damit die BVG in die Lage versetzen, den derzeitigen gesetzlichen Anforderungen gerecht zu werden und gleichzeitig die festgestellten zuvor genannten Mängel zu beseitigen. Bei Durchführung eines Vergabeverfahrens mit Veröffentlichung würde allein der zusätzliche Zeitaufwand für das Vergabeverfahren die Mängelbehebung bis zum 31.03.2026 unmöglich machen; die neuen gesetzlichen Anforderungen nach NIS2 würden erst deutlich später umgesetzt werden, was für die KritiS-Infrastruktur der BVG dringend zu vermeiden ist. Die aktuell bestehenden akuten Risiken könnten nicht umgehend abgestellt werden. Aus diesem Grund kommt nur die Telekom Security GmbH als Auftragnehmer infrage. Aus den vorgenannten Gründen nach § 13 (2) Nr. 4 und 3b SektVO sieht die BVG die Voraussetzungen gegeben, diesen Auftrag direkt an die Telekom Security GmbH zu vergeben.
6.1.
Ergebnis, Los-– Kennung: LOT-0000
6.1.2.
Informationen über die Gewinner
Wettbewerbsgewinner:
Offizielle Bezeichnung: Deutsche Telekom Security GmbH
Angebot:
Kennung des Angebots: TEN-0001
Kennung des Loses oder der Gruppe von Losen: LOT-0000
Vergabe von Unteraufträgen: Nein
Informationen zum Auftrag:
Kennung des Auftrags: CON-0001

8. Organisationen

8.1.
ORG-7001
Offizielle Bezeichnung: Berliner Verkehrsbetriebe, Bereich Einkauf/Materialwirtschaft
Registrierungsnummer: 0204:11-2000016000-38
Postanschrift: Holzmarktstraße 15-17
Stadt: Berlin
Postleitzahl: 10179
Land, Gliederung (NUTS): Berlin (DE300)
Land: Deutschland
Telefon: +4930 256 28962
Rollen dieser Organisation:
Beschaffer
Organisation, die zusätzliche Informationen über das Vergabeverfahren bereitstellt
8.1.
ORG-7004
Offizielle Bezeichnung: Vergabekammer des Landes Berlin
Registrierungsnummer: 11-1300000V00-74
Postanschrift: Martin-Luther-Str. 105
Stadt: Berlin
Postleitzahl: 10825
Land, Gliederung (NUTS): Berlin (DE300)
Land: Deutschland
Telefon: +49 30-9013-8316
Fax: +49 30-9013-7613
Rollen dieser Organisation:
Überprüfungsstelle
8.1.
ORG-0001
Offizielle Bezeichnung: Deutsche Telekom Security GmbH
Größe des Wirtschaftsteilnehmers: Großunternehmen
Registrierungsnummer: DE 254595345
Postanschrift: Friedrich-Ebert-Allee 71-77
Stadt: Bonn
Postleitzahl: 53113
Land, Gliederung (NUTS): Berlin (DE300)
Land: Deutschland
E-Mail: info@telekom.de
Rollen dieser Organisation:
Bieter
Wirtschaftlicher Eigentümer:
Staatsangehörigkeit des Eigentümers: Deutschland
Gewinner dieser Lose: LOT-0000
8.1.
ORG-7005
Offizielle Bezeichnung: Datenservice Öffentlicher Einkauf (in Verantwortung des Beschaffungsamts des BMI)
Registrierungsnummer: 0204:994-DOEVD-83
Stadt: Bonn
Postleitzahl: 53119
Land, Gliederung (NUTS): Bonn, Kreisfreie Stadt (DEA22)
Land: Deutschland
Telefon: +49228996100
Rollen dieser Organisation:
TED eSender

Informationen zur Bekanntmachung

Kennung/Fassung der Bekanntmachung: 5a0dee2c-6642-4c80-aa04-b335257b5951 - 01
Formulartyp: Vorankündigung – Direktvergabe
Art der Bekanntmachung: Freiwillige Ex-ante-Transparenzbekanntmachung
Unterart der Bekanntmachung: 26
Datum der Übermittlung der Bekanntmachung: 20/03/2026 16:34:20 (UTC+01:00) Mitteleuropäische Zeit, Westeuropäische Sommerzeit
Sprachen, in denen diese Bekanntmachung offiziell verfügbar ist: Deutsch
Veröffentlichungsnummer der Bekanntmachung: 202911-2026
ABl. S – Nummer der Ausgabe: 58/2026
Datum der Veröffentlichung: 24/03/2026