IT-Sicherheitsberatung Referenznummer der Bekanntmachung: 2022CSC000003
Auftragsbekanntmachung
Dienstleistungen
Abschnitt I: Öffentlicher Auftraggeber
Postanschrift:[gelöscht]
Ort: München
NUTS-Code: DE212 München, Kreisfreie Stadt
Postleitzahl: 80333
Land: Deutschland
Kontaktstelle(n):[gelöscht]
E-Mail: [gelöscht]
Telefon: [gelöscht]
Fax: [gelöscht]
Internet-Adresse(n):
Hauptadresse: https://www.auftraege.bayern.de
Abschnitt II: Gegenstand
IT-Sicherheitsberatung
Das Bayerische Staatsministerium für Unterricht und Kultus benötigt Dienstleistungen aus dem Bereich IT- Sicherheit. Der Bedarf ist wie folgt in zwei Lose aufgeteilt.
• Los 1: IT-Security-Consulting ( ITSC)
Beratende Unterstützung bei der Entwicklung von Sicherheitskonzepten und der operativen Umsetzung und
Überwachung von Sicherheitsanforderungen:
o Cybersecurity
o IT-Sicherheit (ISO 27K)
o Datenschutz (DSGVO)
• Los 2: Sicherheits-Testing (nachfolgend SITE)
Durchführung von Sicherheitstests und Unterstützung bei der Umsetzung von notwendigen
Sicherheitsmaßnahmen
Rolle IT-Security-Consulting (Los 1):
bayernweit - ortsunabhängig; einzelne Besprechungen finden entweder vor Ort in München (Räumlichkeiten des Auftraggebers) oder per Telefon/ Videokonferenz statt
Los 1: IT-Security-Consulting (ITSC)
Das IT-Security-Consulting (ITSC) berät den Ressort-Sicherheitsbeauftragten des AG und steht bei Sachfragen beratend und operativ
zur Seite. Die Rolle ITSC beinhaltet u.a. folgende Aufgaben:
• Unterstützung bei der Beschreibung von Sicherheitsanforderungen bei der Erstellung von Vergabeunterlagen
in weiteren Digitalisierungsprojekten des StMUK in Zusammenarbeit mit dem Ressort-ISB
• Entwicklung von Sicherheitskonzepten gemäß BSI IT-Grundschutz
• Unterstützung bei Datenschutzfragen z.B. im Zshg. mit der DSGVO
• Unterstützung bei der Erstellung von Datenschutzkonzepten, Datenschutzfolgeabschätzung etc.
• Unterstützung des ISB bei der Durchführung des IT-Grundschutzchecks (Vorgaben an die Programmierung zur Sicherstellung der notwendigen Cyber-Security Levels)
• Entwicklung und Etablierung von sicherheitsrelevanten Prozessen gemäß BSI IT-Grundschutz
• Prüfung der Gesamtdokumentation der Lösungen auf die Einhaltung des BSI IT-Grundschutzes
• Durchführung von internen Audits
• Auditierung der Umsetzung von ISO-27K-Anforderungen durch beauftragte ext. Dienstleister in Zusammenarbeit mit dem CISO/IT-Sicherheitsbeauftragten
Der Vertrag kann einseitig durch den Auftraggeber um weitere 15 Monate verlängert werden. Die Verlängerung
erfolgt schriftlich und mindestens einen Kalendermonat vor Ende der Vertragsgrundlaufzeit gegenüber dem
Auftragnehmer. Zu den Konditionen: siehe EVB-IT Dienstleistungsvertrag Nr. 4.1.3 sowie dessen Anlage 1 (Kap. 4.2 der Leistungsbeschreibung).
Der Vertrag kann einseitig durch den Auftraggeber um weitere 15 Monate verlängert werden. Die Verlängerung
erfolgt schriftlich und mindestens einen Kalendermonat vor Ende der Vertragsgrundlaufzeit gegenüber dem
Auftragnehmer. Zu den Konditionen: siehe EVB-IT Dienstleistungsvertrag Nr. 4.1.3 sowie dessen Anlage 1 (Kap. 4.2 der Leistungsbeschreibung).
Rolle Sicherheits-Testing (Los 2):
bayernweit - ortsunabhängig; einzelne Besprechungen finden entweder vor Ort in München (Räumlichkeiten des Auftraggebers) oder per Telefon/ Videokonferenz statt
Los 2: Aufgaben Sicherheits-Testing (SITE)
Das SITE führt Sicherheitstests für vom AG verantwortete IT-Services durch. Die Rolle SITE beinhaltet u.a. folgende Aufgaben:
• Prüfung der IT-Sicherheit (Cyber Security) von Anwendungen und Software-Diensten (Penetrationstests, Greytest, Whitetest von Webanwendungen und mobile Applikationen verschiedener Betriebssysteme (insb. iOS, Android, Windows, MacOS))
• Unterstützung bei Abnahmetests
• Analyse und Bewertung von Sicherheitslücken der Lösungen mit IT-forensischen Methoden
• Beratung der Softwareentwickler bei der Behebung der Sicherheitslücken
• Beratung der Softwareentwickler bei der Behebung von Sicherheitsschwachstellen im Rahmen von PEN-Tests (=Außensicht) durch Einblicke in die Software-Architektur (=Innensicht)
Der Vertrag kann einseitig durch den Auftraggeber um weitere 15 Monate verlängert werden. Die Verlängerung
erfolgt schriftlich und mindestens einen Kalendermonat vor Ende der Vertragsgrundlaufzeit gegenüber dem
Auftragnehmer. Zu den Konditionen: siehe EVB-IT Dienstleistungsvertrag Nr. 4.1.3 sowie dessen Anlage 1 (Kap. 4.2 der Leistungsbeschreibung).
Der Vertrag kann einseitig durch den Auftraggeber um weitere 15 Monate verlängert werden. Die Verlängerung
erfolgt schriftlich und mindestens einen Kalendermonat vor Ende der Vertragsgrundlaufzeit gegenüber dem
Auftragnehmer. Zu den Konditionen: siehe EVB-IT Dienstleistungsvertrag Nr. 4.1.3 sowie dessen Anlage 1 (Kap. 4.2 der Leistungsbeschreibung).
Abschnitt III: Rechtliche, wirtschaftliche, finanzielle und technische Angaben
1) Haftpflichtversicherung (§ 45 Abs. 4 Nr. 2 VgV) (Ausschlusskriterium), betrifft Los 1 und Los 2:
Der Bieter hat unter Verwendung der Anlage "Weitere Eignungskriterien" zu erklären, dass er über eine Berufs-und Betriebshaftpflichtversicherung mit einer Deckungssumme in Höhe von mindestens [Betrag gelöscht] EUR (2-fach
maximiert je Versicherungsjahr), davon
• mindestens [Betrag gelöscht] EUR (2-fach maximiert je Versicherungsjahr) für Personen- und Sachschäden sowie
• mindestens [Betrag gelöscht] EUR (2-fach maximiert je Versicherungsjahr) für Vermögensschäden
entweder:
- bereits derzeit verfügt; eine entsprechende Bescheinigung der Versicherung oder Kopie der
Versicherungspolice ist als Nachweis beizulegen oder
- dass er wie gefordert versicherbar ist und im Falle der Zuschlagserteilung eine entsprechende Versicherung
abschließen kann; eine entsprechende Bestätigung der Versicherung oder Bescheinigung eines
Versicherungsmaklers ist als Nachweis beizulegen.
Im Falle einer Bietergemeinschaft (BG) bzw. Eignungsleihe hat jedes Mitglied der BG bzw. jeder Beteiligte
an der Eignungsleihe das Vorliegen der genannten Mindestdeckung zu erklären und nachzuweisen. Es wird
insoweit nicht auf die gemeinschaftlich addierten Werte abgestellt. Kann ein Unternehmen den Nachweis nicht
führen, führt dies zum Ausschluss des Angebots. Im Falle eines „bloßen“ Subunternehmereinsatzes behält sich
der Auftraggeber vor, vor Zuschlagserteilung von den Bietern, deren Angebote in die engere Wahl kommen,
ebenfalls den Nachweis eines entsprechenden Versicherungsschutzes für den jeweiligen Unterauftragnehmer
zu fordern.
2) Jahresmindestumsatz (§ 45 Abs. 4 Nr. 4 VgV)
Erklärung des Mindestjahresumsatzes (Ausschlusskriterium)
- Erklärung bei Angebot für Los 1:
Der Bieter erklärt unter Verwendung der Anlage "Jahresmindestumsatz", dass in jedem der letzten drei
Geschäftsjahre der Jahresumsatz (netto) seines Unternehmens im Bereich IT-Sicherheitsberatung mindestens
5,2 Mio. € (Los 1) betragen hat.
- Erklärung bei Angebot für Los 2:
Der Bieter erklärt unter Verwendung der Anlage "Jahresmindestumsatz", dass in jedem der letzten drei
Geschäftsjahre der Jahresumsatz (netto) seines Unternehmens im Bereich IT-Sicherheitsberatung mindestens
8,6 Mio. € (Los 2) betragen hat.
siehe Bekanntmachungsziffer III.1.2): Haftpflichtversicherung sowie Jahresmindestumsatz
1) Technische Fachkräfte (§ 46 Abs. 3 Nr. 2 VgV)
- Erklärung bei Angebot für Los 1 (Ausschlusskriterium):
Der Bieter erklärt unter Verwendung der Anlage "Weitere Eignungskriterien", dass in jedem der letzten drei
Kalenderjahre die Anzahl der technischen Fachkräfte (z. B. IT-Security-Berater/-in), die seinem Unternehmen
zur Verfügung standen, durchschnittlich mindestens 25 FTE
betragen hat (FTE = Vollzeitäquivalente Fachkräfte)
- Erklärung bei Angebot für Los 2 (Ausschlusskriterium):
Der Bieter erklärt, dass in jedem der letzten drei Kalenderjahre die Anzahl der technischen Fachkräfte (z. B. IT-Sicherheitstester/-in), die seinem Unternehmen zur Verfügung standen, durchschnittlich mindestens 15 FTE
betragen hat (FTE = Vollzeitäquivalente Fachkräfte)
2) Beschäftigtenzahlen (§ 46 Abs. 3 Nr. 8 VgV)
Der Bieter gibt unter Verwendung der Anlage "Weitere Eignungskriterien" die durchschnittliche
Mindestbeschäftigtenzahl (in FTE) seines Unternehmens in den letzten drei Kalenderjahren an.
3) Maßnahmen zur Qualitätssicherung (§ 46 Abs. 3 Nr. 3 VgV)
a) Qualitätsmanagement-Zertifizierung (relevant für Los 1 und Los 2) (Ausschlusskriterium):
Der Bieter setzt ein Qualitätsmanagementsystem nach EN ISO 9001: 2015 ein.
b) BSI-Zertifizierung (nur für Los 1 relevant) (Ausschlusskriterium):
Der Bieter ist ein BSI-zertifizierter IT-Sicherheitsdienstleister.
Siehe Ziffer III.1.3) Nummer 1) "Technische Fachkräfte", Nummer 3a) "Qualitätsmanagement-Zertifizierung" und
Nummer 3b) BSI-Zertifizierung
Abschnitt IV: Verfahren
Abschnitt VI: Weitere Angaben
1) Bietergemeinschaften
Die Angebotsabgabe ist durch Einzelbieter und Bietergemeinschaften (BG) möglich, soweit die Bildung der
BG kartell- und wettbewerbsrechtlich zulässig ist. Das Vorliegen der kartell- und wettbewerbsrechtlichen
Voraussetzungen ist dem Auftraggeber auf Verlangen nachzuweisen. Eine BG hat mit ihrem Angebot eine von
allen Mitgliedern rechtsverbindlich unterschriebene Erklärung „Erklärung der Bietergemeinschaft“ abzugeben.
Soweit der Begriff Bieter in den Vergabeunterlagen verwendet wird, sind damit auch BG gemeint und erfasst.
2) Unterauftragnehmer
Die Einschaltung von Unterauftragnehmern ist grundsätzlich zulässig, soweit sich aus den Vergabeunterlagen
im Übrigen nichts anderes ergibt. Als anderes Unternehmen kommen insbesondere auch (konzern-)verbundene
Unternehmen in Betracht.
Sofern ein Bieter oder eine BG Unterauftragnehmer einschaltet, tritt der Bieter als Generalunternehmer auf. Er
haftet für die ordnungsgemäße Gesamtabwicklung des Auftrags.
Wird ein „einfacher“ Unterauftragnehmereinsatz (d.h. ohne eine Eignungsleihe) beabsichtigt, hat der Bieter/die
BG mit Abgabe des Angebotes, in dem Formular „Darstellung der Struktur des Bieters“, die Teile des Auftrags
zu benennen, die im Wege der Unterauftragsvergabe an Dritte vergeben werden sollen. Darüber hinaus wird
der Auftraggeber die Bieter vor Zuschlagserteilung auffordern, die Unterauftragnehmer zu benennen und
nachzuweisen, dass ihnen die erforderlichen Mittel dieser Unterauftragnehmer für die Auftragsausführung
tatsächlich zur Verfügung stehen werden. Der Nachweis ist durch eine entsprechende Verpflichtungserklärung
des/der anderen Unternehmen(s) zu erbringen (siehe Formular „Verpflichtungserklärung anderer
Unternehmen“). Zudem hat der Bieter dann für jeden „einfachen“ Unterauftragnehmer auch das Nichtvorliegen
von Ausschlussgründen einschließlich Eigenerklärung, Scientology-Schutzerklärung, entsprechend dem
Kriterienkatalog zu den Eignungskriterien Nr. 4 zu bestätigen und auf Verlangen des Auftraggebers vor
Zuschlag auch nachzuweisen.
3) Eignungsleihe
Ein Bieter, eine BG oder ein Mitglied einer BG kann im Wege der sog. Eignungsleihe (§47 VgV) die
Fähigkeiten anderer Unternehmen (unabhängig von der Rechtsnatur der zwischen dem Bieter/der BG/dem
Mitglied der BG und dem anderen Unternehmen bestehenden Verbindungen, d.h. auch bei verbundenen
Unternehmen) in Anspruch nehmen. Die Eignungsleihe bietet den Bietern die Möglichkeit, sich im Hinblick
auf die geforderten Nachweise der erforderlichen wirtschaftlichen und finanziellen sowie der technischen
und beruflichen Leistungsfähigkeit auf die Fähigkeiten eines anderen Unternehmens zu berufen, um so ihre
Eignung nachzuweisen. Beabsichtigt ein Bieter/eine BG/ ein Mitglied einer BG ein anderes Unternehmen
im Wege der Unterauftragsvergabe für die Auftragsausführung einzusetzen und sich auf die Kapazitäten
dieses Unternehmens zum Nachweis der Eignung zu berufen, hat er/sie/es mit dem Angebot zusätzliche
folgende Angaben vorzunehmen und zusätzliche folgende Unterlagen einzureichen: Benennung des
Unterauftragnehmers (=Eignungsverleihers) in dem Formular „Darstellung der Struktur des Bieters“; Angabe
der Teile des Auftrags, die im Wege der Unterauftragsvergabe an Dritte vergeben werden sollen, in dem
Formular „Darstellung der Struktur des Bieters“; Formular „Eigenerklärung“ des Eignungsverleihers; Formular
„Auskunft aus dem Gewerbezentralregister gem. § 150a Abs. 1 Nr. 4 GewO“ des Eignungsverleihers;
Scientology-Schutzerklärung des Eignungsverleihers; Angaben des Eignungsverleihers entsprechend
Nr. 4 des Kriterienkatalogs zu den Eignungskriterien sowie Nrn. 5.1 bis 5.3 des Kriterienkatalogs inkl.
der danach geforderten gesonderten Dokumente/Nachweise des Eignungsverleihers, sofern und soweit
sich die Eignungsleihe auf die Anforderungen der Nrn. 5.1 bis 5.3bezieht; Verpflichtungserklärung des
Eignungsverleihers gem. Formular „Verpflichtungserklärung anderer Unternehmen".
Postanschrift:[gelöscht]
Ort: München
Postleitzahl: 80538
Land: Deutschland
E-Mail: [gelöscht]
Telefon: [gelöscht]
Fax: [gelöscht]
Genaue Angaben zu den Fristen für die Einlegung von Rechtsbehelfen: Auf die bei Einreichung eines Nachprüfungsantrags bei der zuständigen Vergabekammer einzuhaltenden Fristen und Zulässigkeitsvoraussetzungen wird ausdrücklich hingewiesen. Der Bewerber/Bieter hat etwaige Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung oder den Vergabeunterlagen erkennbar sind, spätestens bis zum Ablauf der in dieser Bekanntmachung unter IV.2.2 genannten Frist gegenüber der Auftraggeberin (bei der oben unter I.1 benannten Kontaktstelle) zu rügen (§ 160 Abs. 3 S. 1 Nr. 2 und 3 GWB). Etwaige sonstige Verstöße gegen Vergabevorschriften haben Bewerber/Bieter innerhalb einer Frist von 10 Kalendertagen nach Kenntnisnahme gegenüber der Auftraggeberin (bei der oben unter I.1 benannten Kontaktstelle) zu rügen (§ 160 Abs. 3 S. 1 Nr. 1 GWB). Hilft die Auftraggeberin dem gerügten Verstoß gegen Vergabevorschriften nicht ab, kann der Bewerber/Bieter innerhalb einer Frist von 15 Kalendertagen nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, einen Antrag auf Einleitung eines vergaberechtlichen Nachprüfungsverfahrens stellen (§ 160 Abs. 3 S. 1 Nr. 4 GWB). Bei Nichteinhaltung der vorgenannten Fristen ist der Bewerber/Bieter mit seiner Rüge präkludiert und ein etwaiger darauf gestützter Nachprüfungsantrag unzulässig.