MISC_SOC_2021_TNW Referenznummer der Bekanntmachung: MISC_Security Operation Center (SOC)_TNW
Auftragsbekanntmachung
Dienstleistungen
Abschnitt I: Öffentlicher Auftraggeber
Postanschrift:[gelöscht]
Ort: Lehrte
NUTS-Code: DE929 Region Hannover
Postleitzahl: 31275
Land: Deutschland
Kontaktstelle(n):[gelöscht]
E-Mail: [gelöscht]
Internet-Adresse(n):
Hauptadresse: https://www.mobil-isc.de
Abschnitt II: Gegenstand
MISC_SOC_2021_TNW
Ziel dieser Ausschreibung ist es, zunächst den Bedarf der Vergabestelle selbst zu decken und die Beschäftigten der Vergabestelle in die Lage zu versetzen, Standarddienstleistungen innerhalb des Security Operation Center (SOC) selbst zu übernehmen. In einem weiteren Schritt ist es beabsichtigt, auch Kunden und insbesondere die Gesellschafter der MISC als eigene Mandanten in das SOC zu integrieren. Der abzuschließende Rahmenvertrag umfasst alle Szenarien.
Mobil ISC GmbH Raiffeisenstrasse 12 31275 Lehrte
Die Mobil ISC GmbH ist der IT-Dienstleister für ihre Gesellschafter. In der modernen digitalisierten und vernetzen Welt sind Netzwerke von Unternehmen, Rechenzentren und Endgeräte einer zunehmenden Bedrohung durch Cyber-Attacken über vielfältige Angriffsvektoren ausgesetzt. Davon ausgehend, dass Cyber Angriffe auch durch verschiedene, sich ergänzende präventive Maßnahmen nicht vollständig verhindert werden können, rückt die Erkennung von Bedrohungen und Sicherheitsvorfällen in den Fokus. Zur Sicherstellung ihrer Aufgaben gegenüber ihren Gesellschaftern und sonstigen Kunden ist ein hohes Schutz-niveau erforderlich..
Die MISC beabsichtigt aus diesem Grunde ein SOC (Security Operation Center) inkl. SIEM-Lösung für das eigene Unternehmen aufbauen, mit der Option, den Anwendungsbereich bei Bedarf auf ihre Gesellschafter und ggfs. weiterer Kunden auszuweiten. Eine Mandantenfähigkeit der Systeme ist eine zwingende Voraussetzung für die Auswahl. Eine Mandantenfähigkeit wird ausdrücklich gefordert. Besondere Herausforderungen sind dabei die technische und organisatorische Komplexität des Vorhabens sowie die Verfügbarkeit (insbesondere auch am Arbeitsmarkt) an speziell
ausgebildeten Fachpersonal (Security-Experten).
Der Aufbau eines SOC und den SIEM-Betrieb ist dringlich und so zeitnah wie möglich vorzunehmen, um das Sicherheitsniveau im gesamten Unternehmen auf einen höheren Level zu bringen. Die MISC legt daher besonderen Wert auf eine schnelle Umsetzung der ausgeschriebenen Leistung.
Die MISC verfolgt mit dieser Ausschreibung zwei Zielsetzungen: Zum einen muss das Sicherheitsniveau im gesamten Unternehmen kurzfristig auf einen höheren Level gebracht werden, zum anderen muss der Beschaffungsgegenstand auch den Gesellschaftern sowie weiteren Kunden der MISC offenstehen. Der Bedarf wird dann entsprechend den Bedürfnissen des Endkunden angepasst. Gegenstand der Ausschreibung sind folgende Kernbestandteile:
1. Managed-SIEM Services
SIEM-Services umfassen die Installation und den Betrieb eines SIEM-Systems zur au-tomatisierten Erfassung und Korrelation von sicherheitsrelevanten Log- und Event-Daten der MISC. Dies umfasst ebenfalls die Implementierung und Pflege geeigneter Use-Cases zur Erkennung von Angriffen und Sicherheitsvorfällen und Alarmierung un-ter Einbeziehung von Cyber Threat Intelligence Informationen. Für das Erreichen der Ziele soll eine SIEM Software beschafft werden die in das Eigentum der MISC übergeht. Dazu zählen sämtliche Lizenzen, Betriebskosten sowie etwaige Beschaffung von Hardware.
2. SOC-Monitoring Services
Der Service beinhaltet eine Echtzeit-Überwachung der SIEM Alarme und Vorfaller-kennung durch ein Anbieter-SOC sowie die Meldung bestätigter Vorfälle an MISC.
3. Incident Response Support
Unterstützung des Vorfallmanagement bei MISC durch Bereitstellung von qualifizier-ten Experten für forensische Untersuchungen, Malwareanalyse oder Incident-Koordination auf Anfrage.
Es sind Dienstleistungen aller drei Service-Levels anzubieten. Details ergeben sich aus Anlage 1 - Leistungsbeschreibung.
Eine Verlängerung um einmal 12 Monate erfolgt nach Bedarf des Auftraggebers.
Das geschätzte Auftragsvolumen zur Deckung des Eigenbedarfs schätzt die Mobil ISC GmbH über die Grundlaufzeit inkl. der beiden Verlängerungsoptionen auf 1 Mio EUR netto. Die Mobil ISC GmbH rechnet mit einem zusätzlichen Bedarf ihrer Gesellschafter und/oder anderer Kunden, daher beträgt das geschätzte maximale Auftragsvolumen 3 Mio EUR netto.
Ausgewählt werden maximal vier Bieter anhand nachstehender Auswahlkriterien:
a) Referenzen des Bewerbers ("Kompetenz und Erfahrung"), 55 %
Für die Auswahl entscheidend ist zu 55 % die nachgewiesene Kompetenz und Erfahrung anhand der Vergleichbarkeit und nachrangig der Anzahl der eingereichten Referenzen über die mit der ausgeschriebenen Leistung vergleichbar erbrachten Leistungen.
Positiv berücksichtigt werden umfassende Erfahrungen und Kompetenzen anhand der nachgewiesenen Referenzprojekte mit einer hohen Vergleichbarkeit der Aufgabenstellung. Der Grad der Vergleichbarkeit wird ermittelt anhand der aufgestellten Kriterien der Vergleichbarkeit. Vergleichbar ist eine Infrastruktur mit mindestens 2000 IT-Komponenten. Die Vergabestelle legt besonderen Wert auf eine hinsichtlich des Datenschutzes, der Datensicherheit und der Komplexität der ausgeschriebenen Leistung vergleichbare Aufgabenstellung. Positiv bewertet wird daneben die Dauer der nachgewiesene Laufzeit des Betriebs der Referenzanwendung.
Pro Referenz wird die Bewertungspunktzahl ermittelt und die Bewertungspunktzahlen aller eingereichten Referenzen addiert. Maximal dürfen acht (8) Referenzen eingereicht werden.
Der Grad der Vergleichbarkeit wird wie folgt bewertet:
Vergleichbarkeitsgrad A
15 - 13 Punkte (Gewichtungsfaktor 10):
Referenzen eines Bewerbers aus dem Bereich der Sozialversicherung, die in höchstem Maß vergleichbar sind. In höchstem Maß vergleichbar sind Referenzprojekte aus dem Bereich der Sozialversicherung in einer Umgebung mit folgenden Charakteristika:
- hochverfügbare performante Infrastruktur (Tier 3),
- Infrastruktur mit mehr als 3000 IT-Komponenten,
- In der SAP - Anwendungen, Cloudsysteme, Windows- und Linux-Systeme betrieben werden.
In höchstem Maße vergleichbar sind innerhalb dieser Umgebungen Referenzprojekte, die die Implementierung und den gemanagten Betrieb eines SOC inkl. SIEM mit einem 24/7/365 Support in allen drei Supportklassen (1/2/3) zum Gegenstand haben/hatten und der 24/7/365-Support mehr als 20 Monate andauerte/andauert.
Die konkrete Punktzahl ergibt sich aus dem Vergleich der eingereichten Referenzen zueinander. Die erreichte Punktzahl wird mit dem Gewichtungsfaktor 10 multipliziert.
Vergleichbarkeitsgrad B
12 - 10 Punkte (Gewichtungsfaktor 5):
Referenzen eines Bewerbers, die in hohem Maß vergleichbar sind. In hohem Maß vergleichbar sind Referenzprojekte in einer Umgebung mit folgenden Charakteristika:
- hochverfügbare performante Infrastruktur (Tier 3),
- Infrastruktur mit bis zu 3000 IT-Komponenten,
- In der SAP - Anwendungen, Cloudsysteme, Windows- und Linux-Systeme betrieben werden.
In hohem Maße vergleichbar sind innerhalb dieser Umgebungen Referenzprojekte, die die Implementierung und den gemanagten Betrieb eines SOC inkl. SIEM mit einem 24/7/365 Support in allen drei Supportklassen (1/2/3) zum Gegenstand haben/hatten und der 24/7/365-Support mehr als 18 Monate andauerte/andauert.
Die konkrete Punktzahl ergibt sich aus dem Vergleich der eingereichten Referenzen zueinander. Die erreichte Punktzahl wird mit dem Gewichtungsfaktor 5 multipliziert.
Vergleichbarkeitsgrad C
9 - 7 Punkte (Gewichtungsfaktor 2):
Referenzen eines Bewerbers, die vergleichbar sind. Vergleichbar sind Referenzprojekte in einer Umgebung mit folgenden Charakteristika:
- hochverfügbare Infrastruktur (Tier 2),
- Infrastruktur mit bis zu 2500 IT-Komponenten,
- SAP-Anwendungen, Windows- und Linux-Systeme betrieben werden. Vergleichbar sind innerhalb dieser Umgebungen Referenzprojekte, die die Implementierung und den gemanagten Betrieb eines SOC inkl. SIEM mit einem 24/7/365 Support in allen drei Supportklassen (1/2/3) zum Gegenstand haben/hatten und der 24/7/365-Support mehr als 15 Monate andauerte/andauert.
Die konkrete Punktzahl ergibt sich aus dem Vergleich der eingereichten Referenzen zueinander.sich aus dem Vergleich der eingereichten Referenzen zueinander. Die erreichte Punktzahl wird mit dem Gewichtungsfaktor 2 multipliziert.
Vergleichbarkeitsgrad D
6 - 4 Punkte: Referenzen eines Bewerbers, die im Wesentlichen vergleichbar sind. Vergleichbar im Rahmen der Bewertungsmatrix sind Referenzprojekte in einer Umgebung mit folgenden Charakteristika:
- hochverfügbare Infrastruktur (Tier 2),
- Infrastruktur ab 2000 IT-Komponenten,
- SAP-Anwendungen, Windows- und Linux-Systeme betrieben werden. Vergleichbar sind innerhalb dieser Umgebungen Referenzprojekte, die die Implementierung und den gemanagten Betrieb eines SOC inkl. SIEM mit einem 24/7/365 Support in allen drei Supportklassen (1/2/3) zum Gegenstand haben/hatten und der 24/7/365-Support mindestens 12 Monate andauerte/andauert.
Die konkrete Punktzahl ergibt sich aus dem Vergleich der eingereichten Referenzen zueinander.sich aus dem Vergleich der eingereichten Referenzen zueinander.
0 Punkte: Referenzen eines Bewerbers, die nicht vergleichbar sind, erhalten null Punkte.
Jeder Bewerber darf maximal acht (8) Referenzen einreichen. Jede Referenz wird entsprechend der Tabelle gewertet und die Punktzahlen addiert.
Konkret bedeutet dies, dass ein Bewerber, der 2 Referenzen mit der höchsten Vergleichbarkeit gem. Vergleichbarkeitsgrad A, 3 Referenzen mit Referenzen des Vergleichbarkeitsgrades B und 1 Referenz mit dem Vergleichbarkeitsgrad D einreicht, folgende Bewertungspunkte erhält:
2 x 15 x 10= 300
3 x 12 x 5 = 180
1 x 6 = 6
Gesamtpunktzahl: 486
Ein Bewerber kann maximal 1200 Punkte (8 x 15 x 10) erhalten. Die erreichten Punkte werden mit dem o.g. Gewichtungsfaktor (55 %) multipliziert.
Die vier Bewerber mit den höchsten Punktzahlen werden zur Angebotsabgabe aufgefordert und nehmen an dem weiteren Wettbewerb teil.
Abschnitt III: Rechtliche, wirtschaftliche, finanzielle und technische Angaben
Soweit der Bieter oder die Bietergemeinschaft zum Nachweis der Eignung die Kapazitäten anderer Unternehmen (z. B. eines Unterauftragnehmers oder eines konzernverbundenen Unternehmens) in Anspruch nimmt (sogenannte "Eignungsleihe"), muss mit Abgabe des Teilnahmeantrags nachgewiesen werden, dass die für den Auftrag erforderlichen Kapazitäten dem Bewerber bzw. der Bewerbergemeinschaft zur Verfügung stehen.
Zu diesem Zweck hat der Bewerber/die Bewerbergemeinschaft eine entsprechende Verpflichtungserklärung des betreffenden Unternehmens vorzulegen, welches die Eignung leiht. Dieser Nachweis bzw. diese Erklärung ist als Anlage dem Teilnahmeantrag beizufügen.
Die nachfolgenden Eignungsnachweise sind auch für Unternehmen vorzulegen, auf die sich ein Bewerber/eine Bewerbergemeinschaft zum Nachweis seiner/ihrer Eignung beruft.
Im Falle einer Teilnahme als Bewerbergemeinschaft sind die Eignungsnachweise zu Ziffer 1. von jedem Mitglied der Bietergemeinschaft vorzulegen.
Der Auftraggeber behält sich vor, bei Angebotsabgabe nicht beiliegende bzw. den Anforderungen formal bzw. inhaltlich nicht genügende Dokumente, Nachweise, Angaben und Erklärungen unter Fristsetzung nachzufordern. Ein Anspruch der Bewerber/der Bewerbergemeinschaft auf Nachforderung besteht nicht.
Vorstehende Regelungen sind auch für die Nachweise gemäß Ziffer III.1.2) und III. 1.3) der Auftragsbekanntmachung zu beachten.
Die Abgabe einer Einheitlichen Europäischen Eigenerklärung (EEE) wird akzeptiert. Die Vergabestelle behält sich dann die jederzeitige Abforderung der geforderten Nachweise vor.
a) Eigenerklärung über das Nichtvorliegen von Ausschlussgründen gemäß §§ 123 f. GWB;
b) Nachweis einer Betriebshaftpflichtversicherung für Personenschäden sowie für sonstige Schäden je Schadensfall, welche bei einem in der EU zugelassenen Versicherer abgeschlossen ist. Die Mindestdeckungssummen für Personen-, Sach- und Vermögensschäden muss 5 Mio. EUR betragen. Es genügt eine verbindliche Erklärung, dass eine entsprechende Versicherung für den Bewerber/die Bewerbergemeinschaft im Auftragsfall abgeschlossen wird und ein in der EU zugelassenes Versicherungsunternehmen die Bereitschaft zum Abschluss des Versicherungsvertrages schriftlich bestätigt.
c) Aktueller Handelsregisterauszug, nicht älter als 6 Monate zum Stichtag der Bewerbungsfrist, oder soweit dieser nicht existiert, eine Gewerbeanmeldung. Sollte der Bewerber in einem EU-Mitgliedsland ansässig sein, sind die vergleichbaren Bescheinigungen des EU-Mitgliedslandes vorzulegen.
d) Bewerbergemeinschaftserklärung über die gesamtschuldnerische Haftung nebst Angabe des bevollmächtigten Vertreters.
a) Umsätze des Unternehmens bezogen auf die letzten drei (3) abgeschlossenen Geschäftsjahre, aufgegliedert nach Gesamtumsätzen und Umsätzen zu vergleichbaren Leistungen in Bezug auf die ausgeschriebenen Leistungen, soweit verfügbar. Vergleichbar sind nur Umsätze aus Leistungen, die sich auf Leistungen im Bereich Security Operation Center (SOC) und SIEM erstrecken.
b) Jahresabschlüsse oder Bilanzen der letzten 3 Geschäftsjahre, soweit vorhanden.
a) Zertifizierung des Bewerbers/der Mitglieder der Bewerbergemeinschaft nach DIN ISO/IEC 27001:2013 oder aktueller in Bezug auf das gesamte Unternehmen oder eine gleichwertige Bescheinigung von akkreditierten Stellen in anderen Mitgliedstaaten.
b) Zertifizierung des Unternehmens nach DIN ISO 9001 oder eine gleichwertige Bescheinigung von akkreditierten Stellen in anderen Mitgliedstaaten
c) Referenzliste über vergleichbare Leistungen der letzten fünf (5) Jahre. Vergleichbar sind Leistungen im Bereich des Security Operation Center (SOC) sowie Security Information and Event Management (SIEM). Anzugeben sind:
- Projektinhalt mit Angaben zu Zeitdauer und Charakteristik, Projektziel, inbesondere zu Implementierung und Dauer des Betriebs von SOC und SIEM,
- Auftraggeber inkl. Ansprechpartner und Telefonnummer,
- Leistungszeitraum,
- Kurzbeschreibung der durchgeführten Dienstleistungen, insbesondere Angabe zum erbrachten Support/Service.
Mindestanforderung: Nachweis über mindestens drei vergleichbare Referenzprojekte der letzten fünf Jahre, davon mindestens eine vergleichbare Referenz, die für einen Rechenzentrumsbetreiber eines Trägers der Sozialversicherung oder einem direktem Träger der Sozialversicherung erbracht wurde. Vergleichbar sind Referenzprojekte, die die Implementierung und den gemanagten Betrieb eines SOC inkl. SIEM in einer hochverfügbaren performanten Infrastruktur mit mehr als 3000 Serverkomponenten mit einem 24/7 Support in allen drei Supportklassen (1/2/3) zum Gegenstand haben/hatten. Gefordert wird eine angeschlossene Mindestlaufzeit von 18 Monaten des Betriebs mit 24/7-Support.
d) Eigenerklärung gem. § 46 Abs. 3 Nr. 2 VgV und Angabe des jährlichen Mittelwertes der in den letzten drei Jahren im Unternehmen angestellten Personen, jeweils aufgegliedert in die Bereiche Support zu SOC/SIEM und Entwicklung des SOC/SIEM.
Mindestanforderung: Eigenerklärung, dass der Bewerber/die Bewerbergemeinschaft über verfügbares Personal von mindestens 30 Beschäftigten im Bereich Cyber Security/Cyber defense/IT-Sicherheit, die alle drei Support-Levels bearbeiten, davon mindestens jeweils 10 Beschäftigte im Level 3-Support verfügt.
Mindestanforderung1:
Nachweis über mindestens drei vergleichbare Referenzprojekte der letzten fünf Jahre, davon mindestens eine vergleichbare Referenz, die für einen Rechenzentrumsbetreiber eines Trägers der Sozialversicherung oder einem direktem Träger der Sozialversicherung erbracht wurde. Vergleichbar sind Referenzprojekte, die die Implementierung und den gemanagten Betrieb eines SOC inkl. SIEM in einer hochverfügbaren performanten Infrastruktur mit mehr als 3000 Serverkomponenten mit einem 24/7 Support in allen drei Supportklassen (1/2/3) zum Gegenstand haben/hatten. Gefordert wird eine angeschlossene Mindestlaufzeit von 18 Monaten des Betriebs mit 24/7-Support.
Mindestanforderung 2:
Eigenerklärung, dass der Bewerber/die Bewerbergemeinschaft über verfügbares Personal von mindestens 30 Beschäftigten im Bereich Cyber Security/Cyber defense/IT-Sicherheit, die alle drei Support-Levels bearbeiten, davon mindestens jeweils 10 Beschäftigte im Level 3-Support verfügt.
Im Zeitraum der Vertragsausführung wird die Angabe der vorgesehenen Projektleitung mit Nachweis der beruflichen Qualifizierung und Angabe der Berufserfahrung sowie die Eigenerklärung gefordert, dass die im Gesamtprojekt eingesetzten Mitarbeiter Deutsch mindestens mit der Niveaustufe C1 beherrschen.
Abschnitt IV: Verfahren
Abschnitt VI: Weitere Angaben
Bekanntmachungs-ID: CXP4YHSREW1
Postanschrift:[gelöscht]
Ort: Bonn
Postleitzahl: 53123
Land: Deutschland
E-Mail: [gelöscht]
Fax: [gelöscht]
Internet-Adresse: http://www.bundeskartellamt.de
Der Nachprüfungsantrag ist nach § 160 Abs. 3 GWB unzulässig, soweit:
1) der Antragsteller den geltend gemachten Verstoß gegen Vergabevorschriften vor Einreichen des Nachprüfungsantrags erkannt und gegenüber dem Auftraggeber nicht innerhalb einer Frist von 10 Kalendertagen gerügt hat; der Ablauf der Frist nach § 134 Abs. 2 GWB bleibt unberührt,
2) Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, nicht spätestens bis zum Ablauf der in der Bekanntmachung benannten Frist zur Bewerbung oder zur Angebotsabgabe gegenüberdem Auftraggeber gerügt werden,
3) Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, nicht spätestens biszum Ablauf der Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden,
4) mehr als 15 Kalendertage nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, vergangen sind.
Postanschrift:[gelöscht]
Ort: Bonn
Postleitzahl: 53123
Land: Deutschland
Fax: [gelöscht]