1.1.
Beschaffer
Offizielle Bezeichnung: Universitätsmedizin der Johannes Gutenberg-Universität Mainz
Rechtsform des Erwerbers: Von einer regionalen Gebietskörperschaft kontrollierte Einrichtung des öffentlichen Rechts
Tätigkeit des öffentlichen Auftraggebers: Gesundheit
2.1.
Verfahren
Titel: Rahmenvertrag InfoSec 2.0
Beschreibung: Die Universitätsmedizin Mainz (UM Mainz) zählt zu den führenden Einrichtungen Deutschlands und verbindet Spitzenmedizin, Forschung und Lehre in enger Zusammenarbeit mit der Johannes Gutenberg-Universität Mainz. Als Supramaximalversorger übernimmt sie eine zentrale Rolle in der stationären und ambulanten Versorgung sowie in der medizinischen Forschung und Ausbildung. Zur UM Mainz gehören 60 Kliniken, Institute & Abteilungen, 320.000 Patienten pro Jahr (stationär & ambulant) und 8.700 Mitarbeitende. Die fortschreitende Digitalisierung von elektronischen Patientenakten über vernetzte klinische IT bis hin zu medizintechnischen OT-Systemen, eröffnet große Chancen für eine moderne, effiziente und vernetzte Gesundheitsversorgung. Gleichzeitig steigen die regulatorischen Anforderungen an die Informationssicherheit durch beispielsweise NIS2 und KRITIS-Dachgesetz, insbesondere für versorgungskritische Infrastrukturen wie die UM Mainz. Die UM Mainz ist als Betreiber kritischer Infrastrukturen verpflichtet, ein hohes Schutzniveau in der Informationssicherheit sicherzustellen. Neben der technischen Einführung eines Systems zur Angriffserkennung und einer zentralen Protokollierung sind zusätzliche organisatorische, beratende und operative Unterstützungsleistungen erforderlich. Die UM Mainz beabsichtigt daher deshalb im Rahmen eines mehrjährigen Rahmenvertrags einen erfahrenen Auftragnehmer zu beauftragen, der die UM Mainz bei der ganzheitlichen Umsetzung, Weiterentwicklung und Verstetigung von Informationssicherheitsmaßnahmen unterstützt. Zudem soll die UM Mainz zukunftssicher aufgestellt werden, um die aufkommenden regulatorischen Anforderungen zu bewältigen. Die zu beschaffenden Unterstützungsleistungen gliedern sich in die nachfolgenden Leistungsbereiche: - Informationssicherheit - Business Continuity Management - IT-Beratung - Projektmanagement - Datenschutz
Kennung des Verfahrens: f5b46176-5d0e-4940-96ce-21b4d27a0518
Interne Kennung: GBE-2026-0270
Verfahrensart: Offenes Verfahren
Das Verfahren wird beschleunigt: nein
Zentrale Elemente des Verfahrens: Abschluss einer Rahmenvereinbarung -Rahmenvereinbarung mit einem einzigen Wirtschaftsteilnehmer
2.1.1.
Zweck
Art des Auftrags: Dienstleistungen
Haupteinstufung (cpv): 72000000 IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung
Zusätzliche Einstufung (cpv): 72000000 IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung
2.1.2.
Erfüllungsort
Postanschrift: Langenbeckstraße 1
Stadt: Mainz
Postleitzahl: 55131
Land, Gliederung (NUTS): Mainz, Kreisfreie Stadt (DEB35)
Land: Deutschland
2.1.4.
Allgemeine Informationen
Zusätzliche Informationen: #Bekanntmachungs-ID: CXPDYD8YKDB#
Rechtsgrundlage:
Richtlinie 2014/24/EU
vgv -
2.1.6.
Ausschlussgründe
Quellen der Ausschlussgründe: Bekanntmachung, Auftragsunterlagen
Verstoß gegen die in den rein innerstaatlichen Ausschlussgründen verankerten Verpflichtungen:
Beteiligung an einer kriminellen Vereinigung:
Terroristische Straftaten oder Straftaten im Zusammenhang mit terroristischen Aktivitäten:
Geldwäsche oder Terrorismusfinanzierung:
Betrug:
Korruption:
Kinderarbeit und andere Formen des Menschenhandels:
Verstoß gegen die Verpflichtung zur Entrichtung von Steuern:
Verstoß gegen die Verpflichtung zur Entrichtung von Sozialversicherungsbeiträgen:
Verstoß gegen umweltrechtliche Verpflichtungen:
Verstoß gegen sozialrechtliche Verpflichtungen:
Verstoß gegen arbeitsrechtliche Verpflichtungen:
Zahlungsunfähigkeit:
Verwaltung der Vermögenswerte durch einen Insolvenzverwalter:
Einstellung der gewerblichen Tätigkeit:
Der Zahlungsunfähigkeit vergleichbare Lage gemäß nationaler Rechtsvorschriften:
Schwerwiegendes berufliches Fehlverhalten:
Vereinbarungen mit anderen Wirtschaftsteilnehmern zur Verzerrung des Wettbewerbs:
Interessenkonflikt aufgrund seiner Teilnahme an dem Vergabeverfahren:
Direkte oder indirekte Beteiligung an der Vorbereitung des Vergabeverfahrens:
Vorzeitige Beendigung, Schadensersatz oder andere vergleichbare Sanktionen:
Täuschung, Zurückhaltung von Informationen, Unfähigkeit zur Vorlage erforderlicher Unterlagen oder Erlangung vertraulicher Informationen zu dem Verfahren:
5.1.
Los: LOT-0001
Titel: Rahmenvertrag InfoSec 2.0
Beschreibung: Die Universitätsmedizin Mainz (UM Mainz) zählt zu den führenden Einrichtungen Deutschlands und verbindet Spitzenmedizin, Forschung und Lehre in enger Zusammenarbeit mit der Johannes Gutenberg-Universität Mainz. Als Supramaximalversorger übernimmt sie eine zentrale Rolle in der stationären und ambulanten Versorgung sowie in der medizinischen Forschung und Ausbildung. Zur UM Mainz gehören 60 Kliniken, Institute & Abteilungen, 320.000 Patienten pro Jahr (stationär & ambulant) und 8.700 Mitarbeitende. Die fortschreitende Digitalisierung von elektronischen Patientenakten über vernetzte klinische IT bis hin zu medizintechnischen OT-Systemen, eröffnet große Chancen für eine moderne, effiziente und vernetzte Gesundheitsversorgung. Gleichzeitig steigen die regulatorischen Anforderungen an die Informationssicherheit durch beispielsweise NIS2 und KRITIS-Dachgesetz, insbesondere für versorgungskritische Infrastrukturen wie die UM Mainz. Die UM Mainz ist als Betreiber kritischer Infrastrukturen verpflichtet, ein hohes Schutzniveau in der Informationssicherheit sicherzustellen. Neben der technischen Einführung eines Systems zur Angriffserkennung und einer zentralen Protokollierung sind zusätzliche organisatorische, beratende und operative Unterstützungsleistungen erforderlich. Die UM Mainz beabsichtigt daher deshalb im Rahmen eines mehrjährigen Rahmenvertrags einen erfahrenen Auftragnehmer zu beauftragen, der die UM Mainz bei der ganzheitlichen Umsetzung, Weiterentwicklung und Verstetigung von Informationssicherheitsmaßnahmen unterstützt. Zudem soll die UM Mainz zukunftssicher aufgestellt werden, um die aufkommenden regulatorischen Anforderungen zu bewältigen. Die zu beschaffenden Unterstützungsleistungen gliedern sich in die nachfolgenden Leistungsbereiche: - Informationssicherheit - Business Continuity Management - IT-Beratung - Projektmanagement - Datenschutz
Interne Kennung: GBE-2026-0270
5.1.1.
Zweck
Art des Auftrags: Dienstleistungen
Haupteinstufung (cpv): 72000000 IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung
Zusätzliche Einstufung (cpv): 72000000 IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung
5.1.2.
Erfüllungsort
Postanschrift: Langenbeckstraße 1
Stadt: Mainz
Postleitzahl: 55131
Land, Gliederung (NUTS): Mainz, Kreisfreie Stadt (DEB35)
Land: Deutschland
5.1.3.
Geschätzte Dauer
Laufzeit: 4 Jahre
5.1.4.
Verlängerung
Maximale Verlängerungen: 2
Weitere Informationen zur Verlängerung: Die Laufzeit des Vertrags beträgt vier Jahre ab Zuschlagserteilung zuzüglich einer Verlängerungsoption um insgesamt zwei Mal zwölf Monate.
5.1.6.
Allgemeine Informationen
Vorbehaltene Teilnahme:
Teilnahme ist nicht vorbehalten.
Die Namen und beruflichen Qualifikationen des zur Auftragsausführung eingesetzten Personals sind anzugeben: Erforderlich für das Angebot
Auftragsvergabeprojekt nicht aus EU-Mitteln finanziert
Die Beschaffung fällt unter das Übereinkommen über das öffentliche Beschaffungswesen: nein
Diese Auftragsvergabe ist auch für kleine und mittlere Unternehmen (KMU) geeignet: nein
5.1.7.
Strategische Auftragsvergabe
Ziel der strategischen Auftragsvergabe: Keine strategische Beschaffung
5.1.9.
Eignungskriterien
Quellen der Auswahlkriterien: Bekanntmachung
Kriterium: Andere wirtschaftliche oder finanzielle Anforderungen
Beschreibung des Auswahlkriteriums: 1.1 Rechtliche & wirtschaftliche Stabilität 1.2 Finanzielle Leistungsfähigkeit 1.3 Personelle Ressource 1.4 Abdeckung der relevanten Kompetenzbereiche 1.5 Verfügbarkeit 1.6 Nachweis von mindestens fünf Referenzprojekten 1.6.1 Vollständige Angaben zu allen Referenzen 1.6.2 Eine Referenz für Nachweis vergleichbarer Projektgröße / -struktur 1.6.3 Zwei Referenzen mit Klinik-/Gesundheitsbezug (? 600 Betten) 1.6.4 Drei Referenzen Fachlicher Schwerpunkt ISMS / BCMS 1.6.5 Drei Referenzen Fachlicher Schwerpunkt Technische Sicherheit (PenTests, SOC/SIEM, Netzwerksicherheit) 1.6.6 Zwei Referenzen Fachlicher Schwerpunkt Auditierungen / Nachweisprüfungen (§ 8a BSIG, ISO 27001, BSI) 1.7 Akkreditierungen und regulatorische Eignung 1 1.8 Akkreditierungen und regulatorische Eignung 2 1.9 Haftpflichtversicherung
Kriterium: Relevante Bildungs- und Berufsqualifikationen
Beschreibung des Auswahlkriteriums: 2. Profil Gesamtverantwortung / Projektleitung
Kriterium: Relevante Bildungs- und Berufsqualifikationen
Beschreibung des Auswahlkriteriums: 3. Profil PMO
Kriterium: Relevante Bildungs- und Berufsqualifikationen
Beschreibung des Auswahlkriteriums: 4. Profil Cyber Security Beratung
Kriterium: Relevante Bildungs- und Berufsqualifikationen
Beschreibung des Auswahlkriteriums: 5. Profil Fachexperte BCMS
Kriterium: Relevante Bildungs- und Berufsqualifikationen
Beschreibung des Auswahlkriteriums: 6. Profil Fachexperte SOC/SIEM
Kriterium: Relevante Bildungs- und Berufsqualifikationen
Beschreibung des Auswahlkriteriums: 7. Profil Fachexperte Pentesting
Kriterium: Relevante Bildungs- und Berufsqualifikationen
Beschreibung des Auswahlkriteriums: 8. Profil Fachexperte Produktsicherheit/OT
Kriterium: Relevante Bildungs- und Berufsqualifikationen
Beschreibung des Auswahlkriteriums: 9. Profil Fachexperte Gesundheitswesen
Kriterium: Relevante Bildungs- und Berufsqualifikationen
Beschreibung des Auswahlkriteriums: 10. Profil Fachexperte Datenschutz
5.1.10.
Zuschlagskriterien
Kriterium:
Art: Preis
Bezeichnung: Preis
Beschreibung: Preis mit einem Anteil von 30%
Kategorie des Festwert-Zuschlagskriteriums: Fester Wert (insgesamt)
Zuschlagskriterium — Zahl: 30
Kriterium:
Art: Qualität
Bezeichnung: Konzepte & Profile
Beschreibung: Konzeptionen und Profile mit einem Anteil von 70%
Kategorie des Festwert-Zuschlagskriteriums: Fester Wert (insgesamt)
Zuschlagskriterium — Zahl: 70
5.1.11.
Auftragsunterlagen
Sprachen, in denen die Auftragsunterlagen offiziell verfügbar sind: Deutsch
Frist für die Anforderung zusätzlicher Informationen: 28/04/2026 23:59:59 (UTC+02:00) Osteuropäische Zeit, Mitteleuropäische Sommerzeit
Ad-hoc-Kommunikationskanal:
Name: Sollten sich bei der Angebotserstellung Rückfragen ergeben, so sind diese über die Vergabeplattform "Vergabemarktplatz Rheinland-Pfalz" über die Funktion "Kommunikation" an die Vergabestelle zu richten. Telefonische Auskünfte werden nicht erteilt. Ausschließlicher Kontaktpartner der Bieter für Fragen zum Vergabeverfahren und Auftragsinhalt ist der Geschäftsbereich Einkauf und Materialwirtschaft
5.1.12.
Bedingungen für die Auftragsvergabe
Bedingungen für die Einreichung:
Elektronische Einreichung: Erforderlich
Sprachen, in denen Angebote oder Teilnahmeanträge eingereicht werden können: Deutsch
Elektronischer Katalog: Nicht zulässig
Varianten: Nicht zulässig
Die Bieter können mehrere Angebote einreichen: Nicht zulässig
Frist für den Eingang der Angebote: 05/05/2026 10:00:00 (UTC+02:00) Osteuropäische Zeit, Mitteleuropäische Sommerzeit
Dauer, während der das Angebot gültig bleiben muss: 60 Tage
Informationen, die nach Ablauf der Einreichungsfrist ergänzt werden können:
Fehlende Bieterunterlagen können nicht nach Fristablauf nachgereicht werden.
Informationen über die öffentliche Angebotsöffnung:
Eröffnungstermin: 05/05/2026 10:01:00 (UTC+02:00) Osteuropäische Zeit, Mitteleuropäische Sommerzeit
Ort des Eröffnungstermins: Die Angebotsöffnung erfolgt elektronisch.
Eröffnungstermin — Beschreibung: Elektronisch ohne Bieter
Auftragsbedingungen:
Die Auftragsausführung muss im Rahmen von Programmen für geschützte Beschäftigungsverhältnisse erfolgen: Nein
Elektronische Rechnungsstellung: Zulässig
Aufträge werden elektronisch erteilt: nein
Zahlungen werden elektronisch geleistet: nein
5.1.15.
Techniken
Rahmenvereinbarung:
Rahmenvereinbarung ohne erneuten Aufruf zum Wettbewerb
Höchstzahl der Teilnehmer: 1
Informationen über das dynamische Beschaffungssystem:
Kein dynamisches Beschaffungssystem
Elektronische Auktion: nein
5.1.16.
Weitere Informationen, Schlichtung und Nachprüfung
Überprüfungsstelle: Vergabekammer Rheinland-Pfalz beim Ministerium für Wirtschaft, Verkehr, Landwirtschaft und Weinbau,
Informationen über die Überprüfungsfristen: Einlegung von Rechtsbehelfen Genaue Angaben zu den Fristen für die Einlegung von Rechtsbehelfen Das Vergabeverfahren unterliegt den Vorschriften über das Nachprüfungsverfahren vor der Vergabekammer und dem Vergabesenat (§§ 155 ff. GWB). Nach § 160 Abs. 3 GWB ist ein etwaiger Nachprüfungsantrag unzulässig, soweit: 1) der Antragsteller den geltend gemachten Verstoß gegen Vergabevorschriften vor Einreichen des Nachprüfungsantrags erkannt und gegenüber dem Auftraggeber nicht innerhalb einer Frist von 10 Kalendertagen gerügt hat, wobei der Ablauf der Frist nach § 134 Abs. 2 GWB unberührt bleibt, 2) Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, nicht spätestens bis zum Ablauf der in der Bekanntmachung genannten Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden, 3) Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, nicht spätestens bis zum Ablauf der Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden, 4) mehr als 15 Kalendertage nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, vergangen sind. Die vorgenannten Rügeobliegenheiten gelten nicht für einen Antrag auf Feststellung der Unwirksamkeit des Vertrages nach § 135 Abs. 1 Nr. 2 GWB wegen unzulässiger Vergabe ohne vorherige Veröffentlichung einer Bekanntmachung (wie der vorliegenden) im Amtsblatt der EU. Der Auftraggeber ist zur Absendung einer Bieterinformation spätestens 10 Tage vor Zuschlagserteilung verpflichtet (§134 GWB). Nach Zuschlagserteilung (Vertragsschluss) ist ein Nachprüfungsantrag nicht mehr zulässig. Ausgenommen sind Anträge auf Feststellung einer Unwirksamkeit des Vertrages nach § 135 Abs. 1 GWB, also wegen Verletzung der vorgenannten Pflicht zur Bieterinformation und Einhaltung der Wartefrist gem. § 134 GWB oder wegen unzulässiger Vergabe ohne vorherige Veröffentlichung einer Bekanntmachung im Amtsblatt der EU. Solche Anträge auf Feststellung der Unwirksamkeit des Vertrages sind nach § 135 Abs. 3 GWB nur innerhalb von 30 Kalendertagen nach der Information der betroffenen Bieter und Bewerber durch den öffentlichen Auftraggeber über den Abschluss des Vertrags zulässig, jedoch nicht später als 6 Monate nach Vertragsschluss. Hat der Auftraggeber die Auftragsvergabe im Amtsblatt der Europäischen Union bekannt gemacht, endet die Frist zur Geltendmachung der Unwirksamkeit 30 Kalendertage nach Veröffentlichung der Bekanntmachung dieser Vergabe im Amtsblatt der Europäischen Union.
Organisation, die zusätzliche Informationen über das Vergabeverfahren bereitstellt: Universitätsmedizin der Johannes Gutenberg-Universität Mainz
Organisation, die Teilnahmeanträge entgegennimmt: Universitätsmedizin der Johannes Gutenberg-Universität Mainz
8.1.
ORG-0001
Offizielle Bezeichnung: Universitätsmedizin der Johannes Gutenberg-Universität Mainz
Registrierungsnummer: 07-HSJOGUUNIMZ01-93
Postanschrift: Langenbeckstraße 1
Stadt: Mainz
Postleitzahl: 55131
Land, Gliederung (NUTS): Mainz, Kreisfreie Stadt (DEB35)
Land: Deutschland
Kontaktperson: Geschäftsbereich Einkauf
Telefon: +49 6131-17-5997
Rollen dieser Organisation:
Beschaffer
Organisation, die zusätzliche Informationen über das Vergabeverfahren bereitstellt
Organisation, die Teilnahmeanträge entgegennimmt
8.1.
ORG-0002
Offizielle Bezeichnung: Vergabekammer Rheinland-Pfalz beim Ministerium für Wirtschaft, Verkehr, Landwirtschaft und Weinbau,
Registrierungsnummer: 07-0001801100000-05
Postanschrift: Stiftstraße 9
Stadt: Mainz
Postleitzahl: 55116
Land, Gliederung (NUTS): Mainz, Kreisfreie Stadt (DEB35)
Land: Deutschland
Telefon: +49 613116-2234
Rollen dieser Organisation:
Überprüfungsstelle
8.1.
ORG-0003
Offizielle Bezeichnung: Datenservice Öffentlicher Einkauf (in Verantwortung des Beschaffungsamts des BMI)
Registrierungsnummer: 0204:994-DOEVD-83
Stadt: Bonn
Postleitzahl: 53119
Land, Gliederung (NUTS): Bonn, Kreisfreie Stadt (DEA22)
Land: Deutschland
Telefon: +49228996100
Rollen dieser Organisation:
TED eSender
Kennung/Fassung der Bekanntmachung: a1cf81d3-7d6e-4b56-baa0-e7d31b827a8e - 01
Formulartyp: Wettbewerb
Art der Bekanntmachung: Auftrags- oder Konzessionsbekanntmachung – Standardregelung
Unterart der Bekanntmachung: 16
Datum der Übermittlung der Bekanntmachung: 02/04/2026 12:18:32 (UTC+02:00) Osteuropäische Zeit, Mitteleuropäische Sommerzeit
Sprachen, in denen diese Bekanntmachung offiziell verfügbar ist: Deutsch
Veröffentlichungsnummer der Bekanntmachung: 230879-2026
ABl. S – Nummer der Ausgabe: 66/2026
Datum der Veröffentlichung: 03/04/2026