Projekt 552: Die aUtomatiSche digiTale Nachweisführung zur Evaluierung von VS-IT (DUST) Referenznummer der Bekanntmachung: P 552
Auftragsbekanntmachung
Dienstleistungen
Abschnitt I: Öffentlicher Auftraggeber
Postanschrift:[gelöscht]
Ort: Bonn
NUTS-Code: DEA22 Bonn, Kreisfreie Stadt
Postleitzahl: 53133
Land: Deutschland
E-Mail: [gelöscht]
Internet-Adresse(n):
Hauptadresse: https://www.bsi.bund.de
Abschnitt II: Gegenstand
Projekt 552: Die aUtomatiSche digiTale Nachweisführung zur Evaluierung von VS-IT (DUST)
Ziel des Projekts ist es, Möglichkeiten für die Erhöhung des Automatisierungsgrads im Evaluierungsprozess zu finden. Die Aufgabenstellung beschränkt sich auf Komponenten und Produkte, die für VS-NfD zugelassen werden sollen. Der Fokus soll dabei auf Softwareprodukte gelegt werden.
- Als erstes Projektziel soll untersucht werden, welche Möglichkeiten es gibt, Nachweise für den bisherigen Nachweiskatalog für den Einstufungsgrad VS-NfD automatisch entwicklungsbegleitend zu erzeugen und zu prüfen.
- Als zweites Projektziel soll untersucht werden, inwiefern der vorhandene VS-NfD Nachweiskatalog angepasst werden kann, um eine Erhöhung des Automatisierungsgrads zu erreichen, und mit welchen Methoden man diese Nachweise erbringen kann.
- Als drittes Projektziel soll systematisch ein vollständig automatisierbarer Nachweiskatalog für VS-NfD neu erstellt werden und eine dafür geeignete CI/CD Pipeline entworfen werden.
- Darauf aufbauend sollen als viertes Projektziel die vorherigen Projektziele bewertet werden und daraus Handlungsempfehlungen abgeleitet werden, indem sowohl die drei ersten Projektziele separat betrachtet werden als auch eine Kombination der Maßnahmen der Projektziele.
Im Rahmen des Projektes werden keine VS geteilt oder verarbeitet. Falls im Rahmen des ersten Projektziels ein externes Produkt oder System vorgeschlagen wird, wird davon ausgegangen, dass dieses zunächst keine VS verarbeiten wird. Der Einsatz unter VS Bedingungen ist notwendig und vergleichbar mit dem anderer Produkte und Systeme zur Entwicklung von VS verarbeitender IT.
Details sind der Leistungsbeschreibung (siehe Anlage) zu entnehmen.
Beim Auftragnehmer
Siehe Punkt II 1.4.
Der Projektverlauf ist in großem Maße abhängig von den erzielten Ergebnissen. Ein Anspruch auf Beauftragung der optionalen Leistungen besteht nicht.
Folgende optionale Leistungen können durch den Auftraggeber bis zu 13 Monate nach dem Projektbeginn bzw. der Auftaktbesprechung gezogen werden:
- Arbeitspaket 3.3 und
- Arbeitspaket 3.4.
Abschnitt III: Rechtliche, wirtschaftliche, finanzielle und technische Angaben
-1- Eigenerklärung zu Artikel 5k der Verordnung (EU) 833/2014
Im Rahmen des EU-Sanktionspakets im Zusammenhang mit dem Angriffskrieg Russlands auf die Ukraine wurde durch Verordnung (EU) 2022/576 des Rates vom 08.04.2022 folgender Artikel in die Verordnung (EU) 833/2014 aufgenommen:
Artikel 5k
(1) Es ist verboten, öffentliche Aufträge oder Konzessionen, die in den Anwendungsbereich der Richtlinien über die öffentliche Auftragsvergabe sowie unter Artikel 10 Absatz 1, Absatz 3, Absatz 6 Buchstaben a bis e, Absatz 8, Absatz 9 und Absatz 10 und die Artikel 11, 12, 13 und 14 der Richtlinie 2014/23/EU, unter die Artikel 7 und 8, Artikel 10 Buchstaben b bis f und h bis j der Richtlinie 2014/24/EU, unter Artikel 18, Artikel 21 Buchstaben b bis e und g bis i, Artikel 29 und Artikel 30 der Richtlinie 2014/25/EU und unter Artikel 13 Buchstaben a bis d, f bis h und j der Richtlinie 2009/81/EG fallen, an folgende Personen, Organisationen oder Einrichtungen zu vergeben bzw. Verträge mit solchen Personen, Organisationen oder Einrichtungen weiterhin zu erfüllen:
a) russische Staatsangehörige oder in Russland niedergelassene natürliche oder juristische Personen, Organisationen oder Einrichtungen,
b) juristische Personen, Organisationen oder Einrichtungen, deren Anteile zu über 50 % unmittelbar oder mittelbar von einer der unter Buchstabe a genannten Organisationen gehalten werden, oder
c) natürliche oder juristische Personen, Organisationen oder Einrichtungen, die im Namen oder auf Anweisung einer der unter Buchstabe a oder b genannten Organisationen handeln,
auch solche, auf die mehr als 10 % des Auftragswerts entfällt, Unterauftragnehmer, Lieferanten oder Unternehmen, deren Kapazitäten im Sinne der Richtlinien über die öffentliche Auftragsvergabe in Anspruch genommen werden.
Bestätigen Sie, dass keine der o.g. Ausschlussgründe für eine öffentliche Auftragsvergabe oder Konzessionsvergabe bzw. eine Vertragsweiterführung auf Sie zutreffen und dass Sie auch im Rahmen der Vertragsausführung keine Änderungen vornehmen (z.B. durch Einbindung eines Unterauftragnehmers oder eines Lieferanten), die gegen die o.g. Ausschlussgründe verstoßen?
Bitte die Frage nur mit „JA“ (-> Bestätigung) oder „NEIN“ (-> keine Bestätigung) beantworten.
Mindestanforderung: Die Frage wurde mit „Ja“ beantwortet. Wurde die Frage mit „Nein“ beantwortet, so führt dies zum Ausschluss aus dem Vergabeverfahren. Ihnen ist bewusst, dass eine wissentlich falsche Angabe der Erklärung zum Ausschluss aus dem Vergabeverfahren führt und nach Vertragsschluss den Auftraggeber zur außerordentlichen Kündigung berechtigt.
-2- Ausschluss eines Interessenskonflikts
Bestätigen Sie, dass weder Sie noch Ihre Partner im Fall einer Bietergemeinschaft noch ggf. Unterauftragnehmer Interessen haben, die mit der Ausführung der Leistungen dieses Projekts im Widerspruch stehen und die sich ggf. nachteilig auf das Projektergebnis auswirken könnten? Eingeschlossen von dieser Bestätigung ist das bei dem Projekt eingesetzte Personal.
Bitte mit „JA“ oder „NEIN“ beantworten.
Ein Interessenskonflikt liegt beispielsweise bei einer Verpflichtung gegenüber oder Kooperation mit dem Hersteller eines untersuchten oder recherchierten Produkts oder durch eine sonstige wirtschaftliche Abhängigkeit vom genannten vor.
Mindestanforderung: Wurde die Frage mit „Nein“ beantwortet (= es besteht ein Interessenskonflikt), so erläutern Sie den Konflikt und stellen Sie dar, wie Sie ihn auflösen wollen. Das Angebot kann in diesem Fall nur berücksichtigt werden, wenn der beschriebene Lösungsansatz vom BSI als ausreichend beurteilt wird.
Führen Sie im Angebot lediglich den Titel des Kriteriums sowie Ihre Antwort auf. Verzichten Sie auf die wörtliche oder sinngemäße Zitierung des Kriteriums.
-3- Referenzen: Projektarbeit im Bereich IT-Sicherheit
Legen Sie geeignete Referenzen der beteiligten Unternehmen vor. Referenzen sind geeignet, wenn die der Referenz zu Grunde liegenden Projekte hinsichtlich der fachlichen und technischen Leistungsfähigkeit im Wesentlichen ähnliche Anforderungen an die Unternehmen gestellt haben wie die ausgeschriebene Leistung. Dies ist bei der vorliegenden Ausschreibung insbesondere gegeben, bei Erfahrungen in der Zulassung, Evaluierung oder Zertifizierung von Projekten im Bereich Netzwerk- und Informationssicherheit oder von Verschlüsselungssystemen und deren Komponenten.
Die genannten Referenzen müssen insbesondere die Fähigkeit der beteiligten Unternehmen auf dem Gebiet der Forschung und Entwicklung sowie die Ausarbeitung und Umsetzung innovativer Lösungen belegen. Im Wege der Referenzen ist daher nachzuweisen, dass die beteiligten Unternehmen bereits Erfahrungen in den folgenden Erfahrungsbereichen gesammelt haben:
1. Erfahrungen in der Entwicklung, Test oder Evaluierung von Software im Bereich Sicherheitsinformationstechnik
2. Kenntnisse über die Common Criteria (CC) oder vergleichbaren Regelwerken und Normen im Bereich IT-Sicherheit und die Durchführung von Evaluierungstätigkeiten an IT-Systemen oder -Produkten anhand von definierten und CC-nahen Evaluierungskriterien
3. Umsetzung/Realisierung eines innovativen Test- oder Pilotbetriebs
Gehen Sie bei der Erstellung des Referenznachweises auf die folgenden Punkte ein:
- Auftraggeber inkl. Fachbereich
- (detaillierte) Darstellung des Auftragsgegenstands / der Tätigkeit
- Umfang / Betroffener Erfahrungsbereich
- Dauer
- Auftragsvolumen
Die Darstellung sollte zwei Seiten pro Referenzprojekt nicht überschreiten.
Es werden keine Referenzschreiben früherer Auftraggeber benötigt.
Mindestanforderungen: Insgesamt ist mindestens eine geeignete Referenz vorzulegen. Alle Erfahrungsbereiche müssen durch geeignete Referenzen belegt werden, wobei eine Referenz zur Abdeckung mehrerer Bereiche herangezogen werden darf. Es ist zulässig eine Referenz für den Nachweis mehrerer Eignungskriterien anzugeben.
-4- Referenzen: Kenntnisse im Bereich Entwicklungsumgebungen
Belegen Sie anhand von Referenzprojekten, dass mindestens ein beteiligtes Unternehmen umfangreiche praktische Erfahrungen in den folgenden Bereichen hat:
- Entwicklungsumgebungen
- Automatisierung von Software-Tests
- Einrichtung von oder Arbeit mit CI/CD Pipelines
Gehen Sie dabei auf folgende Punkte ein:
- Auftraggeber inkl. Fachbereich
- Zeitraum der Umfrage
- Art und Anzahl der angeschriebenen Teilnehmer
- Rücklaufquote
Die Darstellung sollte eine Seite pro Referenz nicht überschreiten.
Es werden keine Referenzschreiben früherer Auftraggeber benötigt.
Mindestanforderung: Mindestens ein beteiligtes Unternehmen muss Kenntnisse in mindestens zwei der Bereiche vorweisen können. Es ist zulässig eine Referenz für den Nachweis mehrerer Eignungskriterien anzugeben.
-5- Referenzen: Erfahrungen im Bereich Zulassung, Zertifizierung, Evaluierung oder Prüfung von informationssichernden Systemen
Belegen Sie anhand von Referenzprojekten, dass mindestens eines der beteiligten Unternehmen umfangreiche Kenntnisse und praktische Erfahrungen in folgenden Bereichen besitzt:
- Begleitung einer Zulassung oder Zertifizierung
- Prüfung gemäß eines anerkannten Regelwerks aus dem Bereich IT-Sicherheitsevaluierung
- Begleitung oder Durchführung einer Evaluierung anhand einer anerkannten Regelwerks
Gehen Sie dabei auf folgende Punkte ein:
- Auftraggeber inkl. Fachbereich
- Gegenstand der Marktanalyse
- Umfang / Dauer
Die Darstellung sollte eine Seite pro Referenz nicht überschreiten.
Es werden keine Referenzschreiben früherer Auftraggeber benötigt.
Mindestanforderung: In den letzten drei Jahren wurden mindestens ein Projekt erfolgreich durchgeführt und dabei mindestens zwei der obigen Bereich abgedeckt. Es ist zulässig eine Referenz für den Nachweis mehrerer Eignungskriterien anzugeben.
-6- Referenzen: Marktanalyse
Belegen Sie anhand von Referenzen, dass mindestens eines der beteiligten Unternehmen innerhalb der letzten drei Jahre an der Planung und Durchführung an Projekten, die Marktrecherchen oder Marktanalysen zu IT-Produkten enthalten, maßgeblich beteiligt war.
Gehen Sie dabei auf folgende Punkte ein:
- Auftraggeber inkl. Fachbereich
- Gegenstand der Marktrecherche oder Marktanalyse
- Umfang / Dauer
Die Darstellung sollte eine Seite pro Referenz nicht überschreiten.
Es werden keine Referenzschreiben früherer Auftraggeber benötigt.
Mindestanforderung: In den letzten drei Jahren wurden mindestens eine Marktrecherche oder Marktanalyse innerhalb eines Projektes aus dem IT Bereich geplant und durchgeführt. Es ist zulässig eine Referenz für den Nachweis mehrerer Eignungskriterien anzugeben.
-7- Technische Ausrüstung
Geben Sie einen kurzen Überblick über das technische Equipment, welches Ihnen zur Verfügung steht und von Ihnen zur Erbringung der hier ausgeschriebenen Leistung im Bereich CI/CD Pipelines und insbesondere des AP 3.3 eingesetzt wird.
Mindestanforderung: Der Bieter ist aus Sicht des BSI in der Lage, die hier zu vergebende Leistung mit Hilfe der beschriebenen technischen Ausrüstung erfolgreich zu erbringen.
Ausführungsbedingungen gemäß Auftragsunterlagen
Abschnitt IV: Verfahren
Abschnitt VI: Weitere Angaben
Postanschrift:[gelöscht]
Ort: Bonn
Postleitzahl: 53123
Land: Deutschland
E-Mail: [gelöscht]
Telefon: [gelöscht]
Fax: [gelöscht]
Internet-Adresse: http://www.bundeskartellamt.de
Unternehmen haben Anspruch darauf, dass das BSI die Bestimmungen über das Vergabeverfahren einhält, vgl. § 97 Abs. 6 Gesetz gegen Wettbewerbsbeschränkungen (GWB). Rechte aus § 97 Abs. 6 GWB sowie sonstige Ansprüche gegen das BSI, die auf die Vornahme oder das Unterlassen einer Handlung in einem Vergabeverfahren gerichtet sind, können nur vor den
Vergabekammern und dem Beschwerdegericht geltend gemacht werden, § 156 Abs. 2 GWB. Die Vergabekammer leitet ein Nachprüfungsverfahren nur auf Antrag ein, § 160 Abs. 1 GWB.
Es wird darüber belehrt, dass ein solcher Nachprüfungsantrag gemäß § 160 Abs. 3 Satz 1 GWB unzulässig ist, soweit
1. der Antragsteller den geltend gemachten Verstoß gegen Vergabevorschriften vor Einreichen des Nachprüfungsantrags erkannt und gegenüber dem BSI nicht innerhalb einer Frist von zehn Kalendertagen gerügt hat; der Ablauf der Frist nach § 134 Absatz 2 GWB bleibt unberührt,
2. Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, nicht spätestens bis zum Ablauf der in der Bekanntmachung benannten Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem BSI gerügt werden,
3. Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, nicht spätestens bis zum Ablauf der Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem BSI gerügt werden,
4. mehr als 15 Kalendertage nach Eingang der Mitteilung des BSI, einer Rüge nicht abhelfen zu wollen, vergangen sind.
Die o.g. vier Unzulässigkeitsgründe gelten gemäß § 160 Abs. 3 Satz 2 GWB nicht bei einem Antrag auf Feststellung der Unwirksamkeit des Vertrags nach § 135 Abs. 1 Nr. 2 GWB. § 134 Abs. 1 Satz 2 GWB bleibt unberührt.