Rahmenvertrag jährliche Penetrationstest Referenznummer der Bekanntmachung: EK-L_A-2022-0088

Auftragsbekanntmachung

Dienstleistungen

Rechtsgrundlage:
Richtlinie 2014/24/EU

Abschnitt I: Öffentlicher Auftraggeber

I.1)Name und Adressen
Offizielle Bezeichnung:[gelöscht]
Nationale Identifikationsnummer: DE136630247
Postanschrift:[gelöscht]
Ort: Berlin
NUTS-Code: DE300 Berlin
Postleitzahl: 10709
Land: Deutschland
Kontaktstelle(n):[gelöscht]
E-Mail: [gelöscht]
Fax: [gelöscht]
Internet-Adresse(n):
Hauptadresse: www.bwb.de
Adresse des Beschafferprofils: www.bwb.de
I.3)Kommunikation
Die Auftragsunterlagen stehen für einen uneingeschränkten und vollständigen direkten Zugang gebührenfrei zur Verfügung unter: https://vergabeplattform.bwb.de/NetServer/TenderingProcedureDetails?function=_Details&TenderOID=54321-Tender-180d73800b9-509587cc61395b05
Weitere Auskünfte erteilen/erteilt die oben genannten Kontaktstellen
Angebote oder Teilnahmeanträge sind einzureichen elektronisch via: https://vergabekooperation.berlin/NetServer/
I.4)Art des öffentlichen Auftraggebers
Andere: Versorgungsunternehmen
I.5)Haupttätigkeit(en)
Andere Tätigkeit: Wasser

Abschnitt II: Gegenstand

II.1)Umfang der Beschaffung
II.1.1)Bezeichnung des Auftrags:

Rahmenvertrag jährliche Penetrationstest

Referenznummer der Bekanntmachung: EK-L_A-2022-0088
II.1.2)CPV-Code Hauptteil
72000000 IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung
II.1.3)Art des Auftrags
Dienstleistungen
II.1.4)Kurze Beschreibung:

Rahmenvertrag jährliche Penetrationstest

II.1.5)Geschätzter Gesamtwert
II.1.6)Angaben zu den Losen
Aufteilung des Auftrags in Lose: ja
Angebote sind möglich für alle Lose
II.2)Beschreibung
II.2.1)Bezeichnung des Auftrags:

Kategorie 1 - Jährliche Penetrationstests

Los-Nr.: 1
II.2.2)Weitere(r) CPV-Code(s)
72000000 IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung
II.2.3)Erfüllungsort
NUTS-Code: DE300 Berlin
Hauptort der Ausführung:

Berliner Wasserbetriebe - Alle Standorte

II.2.4)Beschreibung der Beschaffung:

Jährliche Penetration der von außen erreichbaren IT-Services

Alle von außen (aus dem Internet) erreichbaren IT-Services

(Anwendungen, Webseiten, etc. der Berliner Wasserbetriebe )

müssen auf der Grundlage der Arbeitsanweisung "ITSicherheitsrichtlinie

Penetrationstests" jährlich wiederkehrend

penetriert werden. Derzeit umfasst dies 30-35 IT-Services.

Anwendungen /Webseiten aus dieser Kategorie sollen

entsprechend des IS-Penetrationstest nach Vorgabe des BSI in

moderater Weise und dem OWASP Testing Guide (Version 4.2)

penetriert sowie aufgedeckte Schwachstellen oder Risiken

dokumentiert werden.

Leistungsumfang maximal 400 Tage

II.2.5)Zuschlagskriterien
Der Preis ist nicht das einzige Zuschlagskriterium; alle Kriterien sind nur in den Beschaffungsunterlagen aufgeführt
II.2.6)Geschätzter Wert
Wert ohne MwSt.: [Betrag gelöscht] EUR
II.2.7)Laufzeit des Vertrags, der Rahmenvereinbarung oder des dynamischen Beschaffungssystems
Laufzeit in Monaten: 48
Dieser Auftrag kann verlängert werden: nein
II.2.10)Angaben über Varianten/Alternativangebote
Varianten/Alternativangebote sind zulässig: nein
II.2.11)Angaben zu Optionen
Optionen: nein
II.2.13)Angaben zu Mitteln der Europäischen Union
Der Auftrag steht in Verbindung mit einem Vorhaben und/oder Programm, das aus Mitteln der EU finanziert wird: nein
II.2.14)Zusätzliche Angaben

Es ist beabsichtigt einen Rahmenvertrag mit mindestens drei

Bietern, maximal mit vier Bietern abzuschließen.

Das Ziel des Abschlusses der Rahmenvereinbarung mit

mehreren Bietern besteht im Wesentlichen darin, auf diejenigen

Bieter im Einzelfall zugreifen zu können, die hinsichtlich der

konkreten zu erbringenden Abrufleistung den wirtschaftlichsten

Leistungserbringungsansatz haben. Um dies zu ermitteln, geht

der Auftraggeber wie folgt vor:

Der Auftraggeber konsultiert die Rahmenvertragsbeteiligten und

schildert diesen den notwendigen Handlungsbedarf.

Gleichzeitig legt der Auftraggeber fest, inwieweit der

Auftraggeber in preislicher

Hinsicht den Unternehmen die Möglichkeit eines Abschlags auf

die angebotenen Preise der Abrufleistung einräumt.

Die Ermittlung des wirtschaftlichsten Angebotes erfolgt wie

folgt:

70% Preis

Die Bewertung des Preises erfolgt nach folgender Formel:

Das niedrigste eingereichte Gesamtangebot (inkl. eventuellem

Abschlag) erhält 100 Punkte

Ergebnis Kriterium Preis = niedrigste eingereichte

Angebotssumme geteilt durch eingereichte Angebotssumme

Bieter x 100 x Gewichtung (hier 70)

15% Reaktionszeit (Beginn der Leistung)

Die Bewertung der Reaktionszeit erfolgt nach folgender Formel

Die kürzeste Reaktionszeit (der Bieter der im Angebot den

frühestens Beginn angegeben hat) erhält 100 Punkte. Die

Wertung für die höheren Reaktionszeiten erfolgt anhand der

Formel:

kürzeste angebotene Reaktionszeit x 100 /Reaktionszeit Bieter

x Gewichtung (hier 15)

15% Leistungsdauer in Werktagen (ab Beginn der Leistung bis

zum vollständigen Abschluss - Übergabe Management-

Summary, Findings (PDF und Excel-Tabel) sowie

abschließender Auswertungstermin/Liefertermin).

Die Bewertung der Leistungsdauer in Werktagen erfolgt nach

folgender Formel

Die kürzeste Leistungsdauer in Werktagen erhält 100 Punkte.

Die Wertung für die nachfolgenden Angaben zur

Leistungsdauer in Werktag erfolgt anhand der Formel:

kürzeste Leistungsdauer in Werktagen x 100 /Leistungsdauer in

Werktagen Bieter x Gewichtung (hier 15)

Der Bieter mit der höchsten Gesamtpunktzahl erhält den

Zuschlag im entsprechenden Miniwettbewerb.

Voraussetzung für die Zuschlagserteilung im Miniwettbewerb:

Um ein hohes Maß an Sicherheit zu gewährleisten, die

Objektivität zu erhalten und um eine Betriebsblindheit zu

verhindern, ist es notwendig, dass das ausführende

Unternehmen immer einen frischen Blick auf die Anwendungen

hat. So soll zwischen der Penetration, ein und desselben ITServices

durch ein Penetrationsunternehmen ein Zeitraum von

einem Jahr liegen. D.h. dass der Rahmenvertragsbeteiligte

dementsprechend nicht zur Angebotsabgabe im Folgejahr

aufgefordert wird (Aussetzung für 1 Jahr).

II.2)Beschreibung
II.2.1)Bezeichnung des Auftrags:

Kategorie 2 Adhoc-Untersuchung einzelner IT-Services

Los-Nr.: 2
II.2.2)Weitere(r) CPV-Code(s)
72000000 IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung
II.2.3)Erfüllungsort
NUTS-Code: DE300 Berlin
Hauptort der Ausführung:

Berliner Wasserbetriebe - Alle Standorte

II.2.4)Beschreibung der Beschaffung:

Los 2 Unterjährige Penetration der einem Major-Change unterzogenen oder neu einzuführenden Services oder Webseiten der Berliner Wasserbetriebe.

Im Laufe eines Jahres werden neue IT-Services (Anwendungen, Webseiten, etc.) eingeführt oder erfahren ein Major Update, manche sogar wiederkehrend (mehrmals im Jahr). Die BWB bewegen sich hier in einer Größenordnung von 10-15 IT-Services pro Jahr. Diese müssen vor der Produktivsetzung penetriert werden. Dies geschieht auf der Grundlage der Arbeitsanweisung "IT-Sicherheitsrichtlinie Penetrationstests". Damit sämtliche Tests des Produktivsetzungsprozesses so effizient wie möglich für das Unternehmen gestaltet werden, bedingt dies auch eine unkomplizierte Beauftragung eines Penetrationstests, unter Nennung und kurzer Beschreibung des IT-Services.

Anwendungen aus dieser Kategorie sollen entsprechend des IS-Penetrationstest nach Vorgabe des BSI in moderater Weise sowie dem OWASP Testing Guide (in der aktuellen Version, derzeit 4.2) sowie dem OWASP ASVS (in der aktuellen Version) penetriert und aufgedeckte Schwachstellen oder Risiken dokumentiert werden. Der entsprechende Penetrationslevel des OWASP ASVS ist abhängig von der IT-Kritikalität der Anwendung und der Daten die darin verarbeitet werden und wird bei der Beauftragung bzw. im Rahmen des Miniwettbewerbes angegeben.

Leistungsumfang maximal 450 Tage

II.2.5)Zuschlagskriterien
Der Preis ist nicht das einzige Zuschlagskriterium; alle Kriterien sind nur in den Beschaffungsunterlagen aufgeführt
II.2.6)Geschätzter Wert
Wert ohne MwSt.: [Betrag gelöscht] EUR
II.2.7)Laufzeit des Vertrags, der Rahmenvereinbarung oder des dynamischen Beschaffungssystems
Laufzeit in Monaten: 48
Dieser Auftrag kann verlängert werden: nein
II.2.10)Angaben über Varianten/Alternativangebote
Varianten/Alternativangebote sind zulässig: nein
II.2.11)Angaben zu Optionen
Optionen: nein
II.2.13)Angaben zu Mitteln der Europäischen Union
Der Auftrag steht in Verbindung mit einem Vorhaben und/oder Programm, das aus Mitteln der EU finanziert wird: nein
II.2.14)Zusätzliche Angaben

Es ist beabsichtigt einen Rahmenvertrag mit mindestens drei

Bietern, maximal mit vier Bietern abzuschließen.

Das Ziel des Abschlusses der Rahmenvereinbarung mit

mehreren Bietern besteht im Wesentlichen darin, auf diejenigen

Bieter im Einzelfall zugreifen zu können, die hinsichtlich der

konkreten zu erbringenden Abrufleistung den wirtschaftlichsten

Leistungserbringungsansatz haben. Um dies zu ermitteln, geht

der Auftraggeber wie folgt vor:

Der Auftraggeber konsultiert die Rahmenvertragsbeteiligten und

schildert diesen den notwendigen Handlungsbedarf.

Gleichzeitig legt der Auftraggeber fest, inwieweit der

Auftraggeber in preislicher

Hinsicht den Unternehmen die Möglichkeit eines Abschlags auf

die angebotenen Preise der Abrufleistung einräumt.

Die Ermittlung des wirtschaftlichsten Angebotes erfolgt wie

folgt:

70% Preis

Die Bewertung des Preises erfolgt nach folgender Formel:

Das niedrigste eingereichte Gesamtangebot (inkl. eventuellem

Abschlag) erhält 100 Punkte

Ergebnis Kriterium Preis = niedrigste eingereichte

Angebotssumme geteilt durch eingereichte Angebotssumme

Bieter x 100 x Gewichtung (hier 70)

15% Reaktionszeit (Beginn der Leistung)

Die Bewertung der Reaktionszeit erfolgt nach folgender Formel

Die kürzeste Reaktionszeit (der Bieter der im Angebot den

frühestens Beginn angegeben hat) erhält 100 Punkte. Die

Wertung für die höheren Reaktionszeiten erfolgt anhand der

Formel:

kürzeste angebotene Reaktionszeit x 100 /Reaktionszeit Bieter

x Gewichtung (hier 15)

15% Leistungsdauer in Werktagen (ab Beginn der Leistung bis

zum vollständigen Abschluss - Übergabe Management-

Summary, Findings (PDF und Excel-Tabel) sowie

abschließender Auswertungstermin/Liefertermin).

Die Bewertung der Leistungsdauer in Werktagen erfolgt nach

folgender Formel

Die kürzeste Leistungsdauer in Werktagen erhält 100 Punkte.

Die Wertung für die nachfolgenden Angaben zur

Leistungsdauer in Werktag erfolgt anhand der Formel:

kürzeste Leistungsdauer in Werktagen x 100 /Leistungsdauer in

Werktagen Bieter x Gewichtung (hier 15)

Der Bieter mit der höchsten Gesamtpunktzahl erhält den

Zuschlag im entsprechenden Miniwettbewerb.

Voraussetzung für die Zuschlagserteilung im Miniwettbewerb:

Um ein hohes Maß an Sicherheit zu gewährleisten, die

Objektivität zu erhalten und um eine Betriebsblindheit zu

verhindern, ist es notwendig, dass das ausführende

Unternehmen immer einen frischen Blick auf die Anwendungen

hat. So soll zwischen der Penetration, ein und desselben ITServices

durch ein Penetrationsunternehmen ein Zeitraum von

einem Jahr liegen. D.h. dass der Rahmenvertragsbeteiligte

dementsprechend nicht zur Angebotsabgabe im Folgejahr

aufgefordert wird (Aussetzung für 1 Jahr).

Abschnitt III: Rechtliche, wirtschaftliche, finanzielle und technische Angaben

III.1)Teilnahmebedingungen
III.1.1)Befähigung zur Berufsausübung einschließlich Auflagen hinsichtlich der Eintragung in einem Berufs- oder Handelsregister
Auflistung und kurze Beschreibung der Bedingungen:

Direktlink auf Dokument mit Eignungskriterien: (URL) https://vergabekooperation.berlin/NetServer/SelectionCriteria/54321-Tender-180d73800b9-509587cc61395b05

III.1.2)Wirtschaftliche und finanzielle Leistungsfähigkeit
Auflistung und kurze Beschreibung der Eignungskriterien:

Direktlink auf Dokument mit Eignungskriterien: (URL) https://vergabekooperation.berlin/NetServer/SelectionCriteria/54321-Tender-180d73800b9-509587cc61395b05

III.1.3)Technische und berufliche Leistungsfähigkeit
Auflistung und kurze Beschreibung der Eignungskriterien:

Direktlink auf Dokument mit Eignungskriterien: (URL) https://vergabekooperation.berlin/NetServer/SelectionCriteria/54321-Tender-180d73800b9-509587cc61395b05

III.2)Bedingungen für den Auftrag
III.2.3)Für die Ausführung des Auftrags verantwortliches Personal
Verpflichtung zur Angabe der Namen und beruflichen Qualifikationen der Personen, die für die Ausführung des Auftrags verantwortlich sind

Abschnitt IV: Verfahren

IV.1)Beschreibung
IV.1.1)Verfahrensart
Offenes Verfahren
IV.1.3)Angaben zur Rahmenvereinbarung oder zum dynamischen Beschaffungssystem
Die Bekanntmachung betrifft den Abschluss einer Rahmenvereinbarung
Rahmenvereinbarung mit mehreren Wirtschaftsteilnehmern
Geplante Höchstanzahl an Beteiligten an der Rahmenvereinbarung: 4
IV.1.8)Angaben zum Beschaffungsübereinkommen (GPA)
Der Auftrag fällt unter das Beschaffungsübereinkommen: ja
IV.2)Verwaltungsangaben
IV.2.2)Schlusstermin für den Eingang der Angebote oder Teilnahmeanträge
Tag: 22/06/2022
Ortszeit: 12:00
IV.2.3)Voraussichtlicher Tag der Absendung der Aufforderungen zur Angebotsabgabe bzw. zur Teilnahme an ausgewählte Bewerber
IV.2.4)Sprache(n), in der (denen) Angebote oder Teilnahmeanträge eingereicht werden können:
Deutsch
IV.2.6)Bindefrist des Angebots
Das Angebot muss gültig bleiben bis: 15/08/2022
IV.2.7)Bedingungen für die Öffnung der Angebote
Tag: 22/06/2022
Ortszeit: 12:00
Angaben über befugte Personen und das Öffnungsverfahren:

entfällt

Abschnitt VI: Weitere Angaben

VI.1)Angaben zur Wiederkehr des Auftrags
Dies ist ein wiederkehrender Auftrag: ja
Voraussichtlicher Zeitpunkt weiterer Bekanntmachungen:

1. Quartal 2026

VI.2)Angaben zu elektronischen Arbeitsabläufen
Aufträge werden elektronisch erteilt
Die Zahlung erfolgt elektronisch
VI.3)Zusätzliche Angaben:

Frauenförderung:

Gemäß Frauenförderverordnung (FFV) müssen die Bieter eine entsprechende Erklärung abgeben, die den Angebotsunterlagen beigefügt ist. Angebote, die keine oder unvollständige Erklärungen gemäß § 1 Abs. 2 FFV enthalten, werden nicht berücksichtigt.

VI.4)Rechtsbehelfsverfahren/Nachprüfungsverfahren
VI.4.1)Zuständige Stelle für Rechtsbehelfs-/Nachprüfungsverfahren
Offizielle Bezeichnung:[gelöscht]
Postanschrift:[gelöscht]
Ort: Berlin
Postleitzahl: 10825
Land: Deutschland
E-Mail: [gelöscht]
Telefon: [gelöscht]
Fax: [gelöscht]
VI.4.2)Zuständige Stelle für Schlichtungsverfahren
Offizielle Bezeichnung:[gelöscht]
Postanschrift:[gelöscht]
Ort: Berlin
Postleitzahl: 10825
Land: Deutschland
E-Mail: [gelöscht]
Telefon: [gelöscht]
Fax: [gelöscht]
Internet-Adresse: https://www.berlin.de/sen/wirtschaft/wirtschaft-und-technologie/wirtschaftsrecht/vergabekammer/
VI.4.3)Einlegung von Rechtsbehelfen
Genaue Angaben zu den Fristen für die Einlegung von Rechtsbehelfen:

Innerhalb von 10 Kalendertagen nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, kann ein Nachprüfverfahren bei der Vergabekammer beantragt werden (§ 160 Abs. 3 Nr. 4 GWB).

VI.4.4)Stelle, die Auskünfte über die Einlegung von Rechtsbehelfen erteilt
Offizielle Bezeichnung:[gelöscht]
Postanschrift:[gelöscht]
Ort: Berlin
Postleitzahl: 10825
Land: Deutschland
E-Mail: [gelöscht]
Telefon: [gelöscht]
Fax: [gelöscht]
Internet-Adresse: https://www.berlin.de/sen/wirtschaft/wirtschaft-und-technologie/wirtschaftsrecht/vergabekammer/
VI.5)Tag der Absendung dieser Bekanntmachung:
20/05/2022