Verfahrensangaben

Auftragsgegenstand ist ein Rahmenvertrag zur Beratung bei den Themen Cybersicherheits- und Resilienzstärkung.

Konkretes Ziel ist die Herstellung einer vollumfänglichen Compliance, unter Berücksichtigung der spezifischen sektoralen Anforderungen, der Komplexität der heterogenen Infrastruktur und unternehmensspezifischen Faktoren, wie der Unternehmensgröße und -kultur.
Insbesondere muss der Aspekt der Versorgungsicherheit (Erdgas) adressiert werden. Ein weiterer wesentlicher Bestandteil ist die Konsolidierung und Harmonisierung der aktuell bestehenden, weitgehend dezentral geprägten Sicherheits- und Resilienzlandschaft, bei gleichzeitiger Aufrechterhaltung der Trennung zwischen IT, OT und TK. Ebenso sind die einschlägigen Gesetze und Normen, wie das EnWG, KRITIS-DachG, die IT-Sicherheitskataloge für Gasnetze und Telekommunikation und der Stand der Technik zu beachten.

Ziel des Rahmenvertrages ist die Entwickelung, Abstimmung und Unterstützung bei der Erstellung von wirksamen und nachhaltigen Liefergegenständen/ Governance-Dokumentationen wie z. B. Politiken, Strategien, Konzepte, Risikoanalysen, Playbooks, Arbeitsanweisungen etc.) zu den benannten Arbeitspaketen (siehe Beschreibung der Beschaffung) sowie ggf. Unterstützung bei deren Umsetzung.

Zur Erreichung der genannten Projektziele sind konkret folgende Anforderungen an den Dienstleister gestellt:
Konkret muss der Dienstleister, neben projektmanagementspezifischen Leistungen, die folgen-den fachlichen Dienstleistungen erbringen:

a) Auf Basis der bestehenden Unternehmensinformationen (Unternehmenspolitik, Strate-gien, Richtlinien, Verfahrensanweisungen, Arbeitsanweisungen, Prozessen, IT-/OT-Landschaft, Gap-Analysen BIA, Netzwerkpläne, Projektergebnisse etc.) wirksame und nachhaltige Liefergegenstände/ Governance-Dokumentationen (Politiken, Strate-gien, Konzepte, Risikoanalysen, Playbooks etc.) entwickeln, abstimmen und bei der Umsetzung unterstützen. Die Umsetzungsunterstützung umfasst, sofern in den genannten Teilprojekten nichts anderes angegeben ist, mindestens:

aa) die Erstellung oder Anpassung von wirksamen und nachhaltigen Richtlinien, Verfahrensanweisungen, Arbeitsanweisungen, Prozessen (BPMN), etc.,
ab) die Definition von Rollen und Verantwortlichkeiten, insbesondere unter dem Aspekt von Segregation of Duties, und die Dokumentation in einer RACI-Matrix,
ac) die Erarbeitung von aussagekräftigen Kennzahlen und KPIs, um die Kontrolle und Weiterentwicklung zu ermöglichen,
ad) die Datenerhebung und Zusammenführung der dezentralen Fachinformationen in ein oder mehrere Systeme,
ae) die Bereitstellung und Vermittlung von Informationen für das Management und die betroffenen Organisationseinheiten, zur Vorstellung der neuen Vorgaben und Verfahren.

Konkrete Arbeitspakete der Ausschreibung sind:
- Paket Projektmanagement
- Paket Sicherheits- & Resilienzpolitik
- Paket Assetmanagement
- Paket Risikomanagement der Informationssicherheit
- Paket Risikomanagement in Vorbereitung auf die nationale Risikoanalyse
- Paket Resilienzplan
- Paket Incidentmanagement
- Paket Geschäftskontinuität
- Paket IT Service Continuity Management (ITSCM)
- Paket Identitäts- und Zugriffsmanagement
- Paket Sicherheitsbewusstsein
- Paket Sicherheit im Personalwesen
- Paket Physische Sicherheit
- Paket Netzwerk
- Paket Kryptographie
- Paket System- und Netzwerküberwachnung
- Paket Sichere Entwicklung
- Paket Lieferkettensicherheit
- Optionales Paket: Unterstützungsleistung IT-SIKAT

Folgende Leistungen sind kein Teil dieser Ausschreibung:

- Umsetzung baulicher Sicherheitsmaßnahmen.
- Bereitstellung, Beschaffung oder Betrieb von Hardware oder Software.
- Rechtsverbindliche Einzelfallprüfungen oder Rechtsberatungen, insbesondere
o verbindliche Auslegungen gesetzlicher Pflichten nach NIS2 oder KRITIS-DachG,
o Vertretung gegenüber Aufsichts- oder Meldestellen,
o Erstellung rechtsverbindlicher Stellungnahmen.
- Operative Unterstützung bei realen Sicherheitsvorfällen oder Krisenfällen, insbesondere
o Incident-Response-Leistungen im Ereignisfall,
o 24/7-Rufbereitschaften oder Notfallunterstützung,
o operative Kommunikation mit Behörden oder externen Stellen.
- Auditierungen, Zertifizierungen oder Konformitätsbewertungen, insbesondere
o interne oder externe Audits nach KRITIS-DachG, ISO/IEC 27001, BSI IT-Grundschutz oder vergleichbaren Standards,
o Prüfungen zur Feststellung der Rechts- oder Normkonformität,
o Vorbereitung, Begleitung oder Durchführung von Prüfungen durch Aufsichts- oder Zertifizierungsstellen.
- Erstellung, Fortschreibung, Vertiefung oder erneute Durchführung von Gap Analysen zu NIS2 oder KRITIS-DachG.
- Durchführung einer Business Impact Analyse (BIA).

1. Vorbemerkung
a) Die Eignung ist für jedes Mitglied einer Bewerbergemeinschaft gesondert nachzuweisen. Soweit nachfolgend nichts Abweichendes geregelt wird, sind daher alle Eignungsnachweise von jedem Mitglied einer Bewerbergemeinschaft vorzulegen.
b) Ein Bewerber kann zum Nachweis seiner Eignung (wirtschaftliche und finanzielle sowie technische und berufliche Leistungsfähigkeit) die Kapazitäten anderer Unternehmen in Anspruch nehmen (Eignungsleihe). Diese Möglichkeit besteht unabhängig von der Rechtsnatur der zwischen dem Bewerber und den anderen Unternehmen bestehenden Verbindungen. In diesem Fall ist der Vergabestelle nachzuweisen, dass dem Bewerber die erforderlichen Mittel tatsächlich zur Verfügung stehen werden, indem beispielsweise eine entsprechende Verpflichtungserklärung dieses Unternehmens vorlegt. Die Unternehmen, auf die sich ein Bewerber zum Nachweis seiner Eignung stützt, müssen die Eignung nach Ziffer III.1.1 bis III.1.3 hinsichtlich derjenigen Eignungskriterien erfüllen, zu deren Nachweis sich der Bewerber auf die Eignung des Unternehmens stützt. Zudem sind die Erklärungen über das Vorliegen von Ausschlussgründen nach § 123 Abs. 1 bis 4 GWB und § 124 Abs. 1 GWB auch für diese Unternehmen vorzulegen. Werden die vorstehend dargestellten Eignungsanforderungen nicht erfüllt oder liegen Ausschlussgründe gemäß § 123 Abs. 1 bis 4 GWB vor, so ist das Unternehmen auf Anforderung der Vergabestelle innerhalb einer von dieser vorgegebenen Frist zu ersetzen. Liegen Ausschlussgründe nach § 124 Abs. 1 GWB vor, so kann die Vergabestelle verlangen, dass der Bewerber das Unternehmen ersetzt.
Der Teilnahmeantrag ist in deutscher Sprache einzureichen. Zertifikate und Urkunden, die zum Nachweis der Eignung einzureichen sind, dürfen hiervon abweichend auch in englischer Sprache eingereicht werden.

Die Vergabestelle behält sich vor, von den Bewerbern die Nachreichung, Vervollständigung und/oder Korrektur von Unterlagen im Rahmen des vergaberechtlich Zulässigen zu verlangen (vgl. § 51 SektVO). Werden Unterlagen nicht fristgemäß nachgereicht, vervollständigt oder korrigiert, wird der Teilnahmeantrag ausgeschlossen. Ein Anspruch auf Nachforderung besteht nicht.

Eigenerklärung gemäß § 19 Abs. 3 Mindestlohngesetz (MiLOG)

Ich erkläre/wir erklären, dass ich/wir nicht wegen eines Verstoßes gegen § 21 MiLoG mit einer Geldbuße von wenigstens 2.500 Euro belegt worden bin/sind.

Hinweis: Falls die Erklärung nicht abgegeben werden kann, bitte Erläuterung hierzu und ggf. erläutern, weshalb die Voraussetzungen für einen Ausschluss von der Teilnahme an diesem Vergabeverfahren gemäß § 19 Abs. 1 MiLoG nicht vorliegen.

Die Projektsprache ist während der gesamten Vertragslaufzeit deutsch. Alle Projektkorrespondenz erfolgt in deutscher Sprache. Alle Zahlungen werden nur in EUR abgewickelt.