Rahmenvertrag Jährliche Penetrationstest Referenznummer der Bekanntmachung: EK-L_A-2021-0167

Bekanntmachung vergebener Aufträge

Ergebnisse des Vergabeverfahrens

Dienstleistungen

Rechtsgrundlage:
Richtlinie 2014/24/EU

Abschnitt I: Öffentlicher Auftraggeber

I.1)Name und Adressen
Offizielle Bezeichnung:[gelöscht]
Nationale Identifikationsnummer: DE136630247
Postanschrift:[gelöscht]
Ort: Berlin
NUTS-Code: DE300 Berlin
Postleitzahl: 10709
Land: Deutschland
Kontaktstelle(n):[gelöscht]
E-Mail: [gelöscht]
Fax: [gelöscht]
Internet-Adresse(n):
Hauptadresse: www.bwb.de
Adresse des Beschafferprofils: www.bwb.de
I.4)Art des öffentlichen Auftraggebers
Andere: Versorgungsunternehmen
I.5)Haupttätigkeit(en)
Andere Tätigkeit: Wasser

Abschnitt II: Gegenstand

II.1)Umfang der Beschaffung
II.1.1)Bezeichnung des Auftrags:

Rahmenvertrag Jährliche Penetrationstest

Referenznummer der Bekanntmachung: EK-L_A-2021-0167
II.1.2)CPV-Code Hauptteil
72000000 IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung
II.1.3)Art des Auftrags
Dienstleistungen
II.1.4)Kurze Beschreibung:

Rahmenvertrag für jährliche Penetrationstest

II.1.6)Angaben zu den Losen
Aufteilung des Auftrags in Lose: ja
II.2)Beschreibung
II.2.1)Bezeichnung des Auftrags:

Kategorie 1 - Jährliche Penetrationstests

Los-Nr.: 1
II.2.2)Weitere(r) CPV-Code(s)
72000000 IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung
II.2.3)Erfüllungsort
NUTS-Code: DE300 Berlin
Hauptort der Ausführung:

Berliner Wasserbetriebe - Alle Standorte

II.2.4)Beschreibung der Beschaffung:

Jährliche Penetration der von außen erreichbaren IT-Services Alle von außen (aus dem Internet) erreichbaren IT-Services (Anwendungen, Webseiten, etc. der Berliner Wasserbetriebe ) müssen auf der Grundlage der Arbeitsanweisung "IT-Sicherheitsrichtlinie Penetrationstests" jährlich wiederkehrend penetriert werden. Derzeit umfasst dies 30-35 IT-Services. Anwendungen / Webseiten aus dieser Kategorie sollen entsprechend des IS-Penetrationstest nach Vorgabe des BSI in moderater Weise und dem OWASP Testing Guide (Version 4.2) penetriert sowie aufgedeckte Schwachstellen oder Risiken dokumentiert werden. Leistungsumfang maximal 400 Tage

II.2.5)Zuschlagskriterien
Preis
II.2.11)Angaben zu Optionen
Optionen: nein
II.2.13)Angaben zu Mitteln der Europäischen Union
Der Auftrag steht in Verbindung mit einem Vorhaben und/oder Programm, das aus Mitteln der EU finanziert wird: nein
II.2.14)Zusätzliche Angaben

Es ist beabsichtigt einen Rahmenvertrag mit mindestens drei Bietern, maximal mit vier Bietern abzuschließen.

Das Ziel des Abschlusses der Rahmenvereinbarung mit mehreren Bietern besteht im Wesentlichen darin, auf diejenigen Bieter im Einzelfall zugreifen zu können, die hinsichtlich der konkreten zu erbringenden Abrufleistung den wirtschaftlichsten

Leistungserbringungsansatz haben. Um dies zu ermitteln, geht der Auftraggeber wie folgt vor:

Der Auftraggeber konsultiert die Rahmenvertragsbeteiligten und schildert diesen den notwendigen Handlungsbedarf.

Gleichzeitig legt der Auftraggeber fest, inwieweit der Auftraggeber in preislicher

Hinsicht den Unternehmen die Möglichkeit eines Abschlags auf die angebotenen Preise der Abrufleistung einräumt.

Die Ermittlung des wirtschaftlichsten Angebotes erfolgt wie folgt:

70% Preis

Die Bewertung des Preises erfolgt nach folgender Formel:

Das niedrigste eingereichte Gesamtangebot (inkl. eventuellem Abschlag) erhält 100 Punkte

Ergebnis Kriterium Preis = niedrigste eingereichte Angebotssumme geteilt durch eingereichte Angebotssumme Bieter x 100 x Gewichtung (hier 70)

15% Reaktionszeit (Beginn der Leistung)

Die Bewertung der Reaktionszeit erfolgt nach folgender Formel

Die kürzeste Reaktionszeit (der Bieter der im Angebot den frühestens Beginn angegeben hat) erhält 100 Punkte. Die Wertung für die höheren Reaktionszeiten erfolgt anhand der Formel:

kürzeste angebotene Reaktionszeit x 100 / Reaktionszeit Bieter x Gewichtung (hier 15)

15% Leistungsdauer in Werktagen (ab Beginn der Leistung bis zum vollständigen Abschluss - Übergabe Management-Summary, Findings (PDF und Excel-Tabel) sowie abschließender Auswertungstermin/Liefertermin).

Die Bewertung der Leistungsdauer in Werktagen erfolgt nach folgender Formel

Die kürzeste Leistungsdauer in Werktagen erhält 100 Punkte. Die Wertung für die nachfolgenden Angaben zur Leistungsdauer in Werktag erfolgt anhand der Formel:

kürzeste Leistungsdauer in Werktagen x 100 / Leistungsdauer in Werktagen Bieter x Gewichtung (hier 15)

Der Bieter mit der höchsten Gesamtpunktzahl erhält den Zuschlag im entsprechenden Miniwettbewerb.

Voraussetzung für die Zuschlagserteilung im Miniwettbewerb:

Um ein hohes Maß an Sicherheit zu gewährleisten, die Objektivität zu erhalten und um eine Betriebsblindheit zu verhindern, ist es notwendig, dass das ausführende Unternehmen immer einen frischen Blick auf die Anwendungen hat. So soll zwischen der Penetration, ein und desselben IT-Services durch ein Penetrationsunternehmen ein Zeitraum von einem Jahr liegen. D.h. dass der Rahmenvertragsbeteiligte dementsprechend nicht zur Angebotsabgabe im Folgejahr aufgefordert wird (Aussetzung für 1 Jahr).

II.2)Beschreibung
II.2.1)Bezeichnung des Auftrags:

Kategorie 2 Adhoc-Untersuchung einzelner IT-Services

Los-Nr.: 2
II.2.2)Weitere(r) CPV-Code(s)
72000000 IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung
II.2.3)Erfüllungsort
NUTS-Code: DE300 Berlin
Hauptort der Ausführung:

Berliner Wasserbetriebe - Alle Standorte

II.2.4)Beschreibung der Beschaffung:

Unterjährige Penetration der einem Major-Change unterzogenen oder neu einzuführenden Services oder Webseiten der Berliner Wasserbetriebe. Im Laufe eines Jahres werden neue IT-Services (Anwendungen, Webseiten, etc.) eingeführt oder erfahren ein Major Update, manche sogar wiederkehrend (mehrmals im Jahr). Die BWB bewegen sich hier in einer Größenordnung von 10-15 IT-Services pro Jahr. Diese müssen vor der Produktivsetzung penetriert werden. Dies geschieht auf der Grundlage der Arbeitsanweisung "IT-Sicherheitsrichtlinie Penetrationstests". Damit sämtliche Tests des Produktivsetzungsprozesses so effizient wie möglich für das Unternehmen gestaltet werden, bedingt dies auch eine unkomplizierte Beauftragung eines Penetrationstests, unter Nennung und kurzer Beschreibung des IT-Services. Anwendungen aus dieser Kategorie sollen entsprechend des IS-Penetrationstest nach Vorgabe des BSI in moderater Weise sowie dem OWASP Testing Guide (in der aktuellen Version, derzeit 4.2) sowie dem OWASP ASVS (in der aktuellen Version ). Der entsprechende Penetrationslevel ist abhängig von der IT-Kritikalität der Anwendung und der Daten die darin verarbeitet werden und wird bei der Beauftragung angegeben) penetriert und aufgedeckte Schwachstellen oder Risiken dokumentiert werden. Leistungsumfang maximal 450 Tage

II.2.5)Zuschlagskriterien
Preis
II.2.11)Angaben zu Optionen
Optionen: nein
II.2.13)Angaben zu Mitteln der Europäischen Union
Der Auftrag steht in Verbindung mit einem Vorhaben und/oder Programm, das aus Mitteln der EU finanziert wird: nein
II.2.14)Zusätzliche Angaben

Es ist beabsichtigt einen Rahmenvertrag mit mindestens drei Bietern, maximal mit vier Bietern abzuschließen.

Das Ziel des Abschlusses der Rahmenvereinbarung mit mehreren Bietern besteht im Wesentlichen darin, auf diejenigen Bieter im Einzelfall zugreifen zu können, die hinsichtlich der konkreten zu erbringenden Abrufleistung den wirtschaftlichsten

Leistungserbringungsansatz haben. Um dies zu ermitteln, geht der Auftraggeber wie folgt vor:

Der Auftraggeber konsultiert die Rahmenvertragsbeteiligten und schildert diesen den notwendigen Handlungsbedarf.

Gleichzeitig legt der Auftraggeber fest, inwieweit der Auftraggeber in preislicher

Hinsicht den Unternehmen die Möglichkeit eines Abschlags auf die angebotenen Preise der Abrufleistung einräumt.

Die Ermittlung des wirtschaftlichsten Angebotes erfolgt wie folgt:

70% Preis

Die Bewertung des Preises erfolgt nach folgender Formel:

Das niedrigste eingereichte Gesamtangebot (inkl. eventuellem Abschlag) erhält 100 Punkte

Ergebnis Kriterium Preis = niedrigste eingereichte Angebotssumme geteilt durch eingereichte Angebotssumme Bieter x 100 x Gewichtung (hier 70)

15% Reaktionszeit (Beginn der Leistung)

Die Bewertung der Reaktionszeit erfolgt nach folgender Formel

Die kürzeste Reaktionszeit (der Bieter der im Angebot den frühestens Beginn angegeben hat) erhält 100 Punkte. Die Wertung für die höheren Reaktionszeiten erfolgt anhand der Formel:

kürzeste angebotene Reaktionszeit x 100 / Reaktionszeit Bieter x Gewichtung (hier 15)

15% Leistungsdauer in Werktagen (ab Beginn der Leistung bis zum vollständigen Abschluss - Übergabe Management-Summary, Findings (PDF und Excel-Tabel) sowie abschließender Auswertungstermin/Liefertermin).

Die Bewertung der Leistungsdauer in Werktagen erfolgt nach folgender Formel

Die kürzeste Leistungsdauer in Werktagen erhält 100 Punkte. Die Wertung für die nachfolgenden Angaben zur Leistungsdauer in Werktag erfolgt anhand der Formel:

kürzeste Leistungsdauer in Werktagen x 100 / Leistungsdauer in Werktagen Bieter x Gewichtung (hier 15)

Der Bieter mit der höchsten Gesamtpunktzahl erhält den Zuschlag im entsprechenden Miniwettbewerb.

Voraussetzung für die Zuschlagserteilung im Miniwettbewerb:

Um ein hohes Maß an Sicherheit zu gewährleisten, die Objektivität zu erhalten und um eine Betriebsblindheit zu verhindern, ist es notwendig, dass das ausführende Unternehmen immer einen frischen Blick auf die Anwendungen hat. So soll zwischen der Penetration, ein und desselben IT-Services durch ein Penetrationsunternehmen ein Zeitraum von einem Jahr liegen. D.h. dass der Rahmenvertragsbeteiligte dementsprechend nicht zur Angebotsabgabe im Folgejahr aufgefordert wird (Aussetzung für 1 Jahr).

Abschnitt IV: Verfahren

IV.1)Beschreibung
IV.1.1)Verfahrensart
Offenes Verfahren
IV.1.3)Angaben zur Rahmenvereinbarung oder zum dynamischen Beschaffungssystem
Die Bekanntmachung betrifft den Abschluss einer Rahmenvereinbarung
IV.1.8)Angaben zum Beschaffungsübereinkommen (GPA)
Der Auftrag fällt unter das Beschaffungsübereinkommen: ja
IV.2)Verwaltungsangaben
IV.2.1)Frühere Bekanntmachung zu diesem Verfahren
Bekanntmachungsnummer im ABl.: 2022/S 025-062561
IV.2.8)Angaben zur Beendigung des dynamischen Beschaffungssystems
IV.2.9)Angaben zur Beendigung des Aufrufs zum Wettbewerb in Form einer Vorinformation

Abschnitt V: Auftragsvergabe

Los-Nr.: 1
Bezeichnung des Auftrags:

Kategorie 1 - Jährliche Penetrationstests

Ein Auftrag/Los wurde vergeben: nein
V.1)Information über die Nichtvergabe
Der Auftrag/Das Los wird nicht vergeben
Sonstige Gründe (Einstellung des Verfahrens)

Abschnitt V: Auftragsvergabe

Los-Nr.: 2
Bezeichnung des Auftrags:

Kategorie 2 Adhoc-Untersuchung einzelner IT-Services

Ein Auftrag/Los wurde vergeben: nein
V.1)Information über die Nichtvergabe
Der Auftrag/Das Los wird nicht vergeben
Sonstige Gründe (Einstellung des Verfahrens)

Abschnitt VI: Weitere Angaben

VI.3)Zusätzliche Angaben:
VI.4)Rechtsbehelfsverfahren/Nachprüfungsverfahren
VI.4.1)Zuständige Stelle für Rechtsbehelfs-/Nachprüfungsverfahren
Offizielle Bezeichnung:[gelöscht]
Postanschrift:[gelöscht]
Ort: Berlin
Postleitzahl: 10825
Land: Deutschland
E-Mail: [gelöscht]
Telefon: [gelöscht]
Fax: [gelöscht]
VI.4.2)Zuständige Stelle für Schlichtungsverfahren
Offizielle Bezeichnung:[gelöscht]
Postanschrift:[gelöscht]
Ort: Berlin
Postleitzahl: 10825
Land: Deutschland
E-Mail: [gelöscht]
Telefon: [gelöscht]
Fax: [gelöscht]
Internet-Adresse: https://www.berlin.de/sen/wirtschaft/wirtschaft-und-technologie/wirtschaftsrecht/vergabekammer/
VI.4.4)Stelle, die Auskünfte über die Einlegung von Rechtsbehelfen erteilt
Offizielle Bezeichnung:[gelöscht]
Postanschrift:[gelöscht]
Ort: Berlin
Postleitzahl: 10825
Land: Deutschland
E-Mail: [gelöscht]
Telefon: [gelöscht]
Fax: [gelöscht]
Internet-Adresse: https://www.berlin.de/sen/wirtschaft/wirtschaft-und-technologie/wirtschaftsrecht/vergabekammer/
VI.5)Tag der Absendung dieser Bekanntmachung:
27/04/2022