Privileged Access Management (PAM) Referenznummer der Bekanntmachung: SC4-2022-0780
Auftragsbekanntmachung
Lieferauftrag
Abschnitt I: Öffentlicher Auftraggeber
Postanschrift:[gelöscht]
Ort: Mainz
NUTS-Code: DEB35 Mainz, Kreisfreie Stadt
Postleitzahl: 55131
Land: Deutschland
E-Mail: [gelöscht]
Internet-Adresse(n):
Hauptadresse: https://www.unimedizin-mainz.de
Ort: München
NUTS-Code: DE212 München, Kreisfreie Stadt
Postleitzahl: 80636
Land: Deutschland
E-Mail: [gelöscht]
Internet-Adresse(n):
Hauptadresse: https://www.pwc.de/
Abschnitt II: Gegenstand
Privileged Access Management (PAM)
Die Universitätsmedizin der Johannes Gutenberg-Universität Mainz KdöR beabsichtigt, einen Auftrag über die Anschaffung und Integration eines Privileged Access Management-Systems gemäß den beiliegenden Unterlagen zu vergeben. Eine genaue Beschreibung der erforderlichen Leistungsmerkmale ist der Leistungsbeschreibung und den Anlagen zu entnehmen.
Universitätsmedizin der Johannes Gutenberg-Universität Mainz Langenbeckstraße 1 55131 Mainz
Die etwa 1.500 informationstechnischen Systeme der Universitätsmedizin Mainz werden von zahlreichen Personen in unterschiedlichen Funktionalitäten betrieben, abgesichert, gewartet und weiterentwickelt. Für die Systeme soll im Rahmen der Förderung über das KHZG ein Privileged Access Management-System (PAM) auf einer Hardware-Appliance On-Premises beschafft werden, um die Fernwartungs- und Administratorenzugänge dieser Personen abzusichern. Das System soll im Rechenzentrum der UM gehostet werden.
Die UM rechnet damit, in den kommenden fünf Jahren 250 bis 400 Subsysteme anbinden zu können. Es soll sich um ein clientless PAM handeln, also keine Clients auf PCs oder Servern erfordern.
Gegenstand dieser Ausschreibung sind:
- Hardware-Appliance
- Lizenzen für die Anbindung von 400 Zielsystemen
- Verfügbarkeit von Support für fünf Jahre ab Inbetriebnahme sowie bereits während Inbetriebnahme des Systems
- Individualisiertes Betriebshandbuch
- Support und Wartung für fünf Jahre
- Vier Anwenderschulungen
Abschnitt III: Rechtliche, wirtschaftliche, finanzielle und technische Angaben
(i) Aktueller Nachweis, dass das Unternehmen im Berufs- oder Handelsregister nach Maßgabe der Rechtsvorschriften des Landes der Gemeinschaft oder des Vertragsstaates des EWR-Abkommens eingetragen ist, in dem es ansässig ist. Im Fall der Beteiligung als Bietergemeinschaft ist der Nachweis von jedem Mitglied der Bietergemeinschaft einzureichen. Der Nachweis darf nicht älter als sechs Monate ab Veröffentlichung der Bekanntmachung sein.
(ii) Eigenerklärung zu Ausschlussgründen.
(iii) Eigenerklärung zur Einhaltung von Art. 5k Verordnung (EU) 2022/576 des Rates vom 8. April 2022 ("Eigenerklärung VO-2022-833")
(i) Gefordert ist ein durchschnittlicher Netto-Jahresumsatz von mindestens EUR 600.000,00 in den EWR-Ländern im Bereich im Bereich Lieferung, Wartung, Pflege und Support von einem Privileged Access Management-System in den letzten drei Geschäftsjahren. Im Fall einer Bietergemeinschaft ist der Gesamtumsatz aller Unternehmen anzugeben, die Umsätze werden für die Erfüllung der Mindestanforderungen kumuliert berücksichtigt.
(ii) Kopie des gültigen Haftpflichtversicherungsscheins in Höhe von EUR 2,0 Mio. für Personen-, Sach- und Vermögensschäden zweifach maximiert für alle Versicherungsfälle eines Versicherungsjahres. Im Fall der Beteiligung als Bietergemeinschaft ist der Nachweis von jedem Mitglied der Bietergemeinschaft einzureichen.
(i) Der Bewerber bzw. die Bewerbergemeinschaft muss die Anzahl der in den letzten drei abgeschlossenen Geschäftsjahren jeweils im Jahresdurchschnitt im EWR beschäftigten Mitarbeiter (Vollzeitäquivalente) im relevanten Einsatzbereich Informationstechnologie und Informationssicherheit angeben. Die Anzahl der Mitarbeiter im relevanten Einsatzbereich beträgt mindestens 10 pro Geschäftsjahr.
(ii) Der Bieter bzw. die Bietergemeinschaft muss über die folgenden Zertifizierungen verfügen und einen Nachweis mit dem Angebot in Kopie vorlegen:
- gültige Zertifizierung für ein Informationssicherheits-Managementsystem nach ISO 27001 (oder gleichwertig)
- gültige Zertifizierung zum Qualitätsmanagement nach ISO 9001 (oder gleichwertig).
Kann keine ISO 27001 Zertifizierung (oder gleichwertig) vorgelegt werden, bestätigt der Bieter/ die Bietergmeinschaft, dass die Anforderungen an Sicherheitsmaßnahmen in den folgenden Bereichen erfüllt werden:
o Schwachstellen Management
o Patch Management
o Systemhärtung
o Fernzugang für Drittanbieter
o Einsatz der kryptographischen Lösungen
o Dokumentation
o Benachrichtigung über sicherheitsrelevante Vorfälle
o Informationssicherheitsbewusstsein, -ausbildung und -schulung
o Personalsicherheit
o Physische Sicherheit und umgebungsbezogene Sicherheit
o Audits
o Maßnahmen gegen Schadsoftware
Hinsichtlich der Einzelheiten zu den Anforderungen an Sicherheitsmaßnahmen wird auf die Anlage 22 Richtlinie Lieferanten und die Anlage 25 Anforderungen an Sicherheitsmaßnahmen verwiesen.
(iii) Der Bewerber bzw. die Bewerbergemeinschaft hat die technische und berufliche Leistungsfähigkeit durch die Angabe von Referenzprojekten zur Lizensierung und Implementierung eines Privileged Access Management-Systems belegen. Es sind mindes-tens drei Referenzen einzureichen. Jedes Referenzprojekt muss für ein Krankenhaus mit je mindestens 500 Betten erbracht worden sein.
Soweit der Bieter oder die Bietergemeinschaft im Hinblick auf die wirtschaftliche und finanzielle bzw. technische und berufliche Leistungsfähigkeit die Kapazitäten anderer Unternehmen in Anspruch nehmen möchte (Eignungsleihe) ist dies durch den Bieter bzw. die Bietergemeinschaft mit dem Formblatt "Einsatz Eignungsleihe" zu erklären. Für das sich zur Eignungsleihe verpflichtende Unternehmen ist das Formblatt "Verpflichtungserklärung Eignungsleihe" einzureichen.
Abschnitt IV: Verfahren
Abschnitt VI: Weitere Angaben
(i) Für das Angebot sind die zur Verfügung gestellten Dokumente einschließlich des Formblatts "Angebotsschreiben" zu verwenden.
(ii) Das Angebot ist in deutscher Sprache abzufassen. Alle Gespräche sowie der Schriftverkehr im Zusammenhang mit dem Vergabeverfahren und Leistungsausführung werden in deutscher Sprache geführt.
(iii) Die Angebote sind in Textform nach § 126b BGB elektronisch abzugeben. Hierzu genügt, dass die natürliche Person benannt wird, die die Erklärung abgibt. Diese Voraussetzung wird durch die ordnungsgemäße Nutzung des Bietertools des Vergabeplattform der DTVP Deutsches Vergabeportal GmbH unter www.dtvp.de ("Vergabeplattform") erfüllt. Somit muss das Angebot und / oder einzelne Formblätter nicht unterschrieben und / oder mit einem Firmenstempel versehen werden.
(iv) Erklärungen Dritter im Angebot sind unterschrieben dem Angebot beizufügen. Hierzu können folgende Möglichkeiten genutzt werden: Datei der unterschriebenen und eingescannten Dritterklärung oder Datei der unterschriebenen und abfotografierten Dritterklärung.
(v) Die Bieter haben diejenigen Bestandteile des Angebots zu kennzeichnen, die Geschäfts- und / oder Betriebsgeheimnisse beinhalten.
(vi) Fragen zum Vergabeverfahren bzw. zur Bekanntmachung sind ausschließlich über die Vergabeplattform an die unter I.3) benannte Kontaktstelle zu richten. Es ist nicht gestattet, zusätzliche oder vertrauliche Informationen über das Vergabeverfahren direkt von Mitarbeitern der Auftraggeberin oder dessen Beratern zu fordern oder zu erlangen.
(vii) Die Universitätsmedizin Mainz beantwortet ausschließlich Fragen, deren Beantwor-tung für die Erstellung des Angebots erforderlich sind. Die Fragen der Bieter werden gesammelt, sortiert und in angemessener Frist beantwortet. Sofern Fragen nicht un-ternehmensspezifische Sachverhalte betreffen, werden die Fragen und Antworten in anonymisierter Form allen Bietern über die Vergabeplattform zur Verfügung gestellt.
(viii) Um die Fragen im Sinne der vergaberechtlichen Gleichbehandlung gegenüber allen Bietern beantworten zu können, müssen sie bis acht Tage vor Ende der Angebotsfrist gem. Ziffer IV.2.2) der Bekanntmachung gestellt werden. Auf die Beantwortung später gestellter Fragen besteht kein Anspruch.
(ix) Die den Bietern übermittelten anonymisierten Fragen und Antworten werden verbind-licher Teil der Vergabeunterlagen.
(x) Sollten Bieterfragen Betriebs- und Geschäftsgeheimnisse enthalten, ist hierauf mit der Fragestellung hinzuweisen. Erfolgt ein solcher Hinweis nicht, geht die Auftraggeberin im Zweifel von der Zustimmung zur Veröffentlichung aus. Aufklärungsfragen bleiben insoweit vorbehalten.
(xi) Nach der abschließenden Angebotswertung wird die Universitätsmedizin Mainz den bestplatzierten Bieter - sofern er den Einsatz von Nachunternehmern beabsichtigt - dazu auffordern, den bzw. die Nachunternehmer zu benennen sowie Verpflichtungs-erklärungen und ggf. Eignungsnachweise für die Nachunternehmer vorzulegen.
Bekanntmachungs-ID: CXP4Y8L65PN
Postanschrift:[gelöscht]
Ort: Mainz
Postleitzahl: 55116
Land: Deutschland
E-Mail: [gelöscht]
Internet-Adresse: https://mwvlw.rlp.de/de/ministerium/zugeordnete-institutionen/vergabekammer/
Verfahrensrügen sind an die Vergabestelle über die Vergabeplattform DTVP zu richten und als solche ausdrücklich zu bezeichnen. Verfahrensrügen erfolgen ausschließlich in Textform gem. § 126b BGB.
Soweit ein Nachprüfungsantrag auf eine Verfahrensrüge gestützt wird, ist der Nachprüfungsantrag unzulässig, soweit mehr als 15 Kalendertage nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, vergangen sind. Auf die übrigen Voraussetzungen der Rügeobliegenheit wird verwiesen.
Postanschrift:[gelöscht]
Ort: Mainz
Postleitzahl: 55116
Land: Deutschland
E-Mail: [gelöscht]
Internet-Adresse: https://mwvlw.rlp.de/de/ministerium/zugeordnete-institutionen/vergabekammer/