Als Dienstleister für die Bundeswehr unterliegt die BwFPS besonderen Sicherheitsanforderungen. Derzeit wird ein Informationssicherheitsmanagementsystem (ISMS) nach ISO 27001 auf Basis von IT-Grundschutz auf- und ausgebaut.Zurzeit werden die Aufgaben des Informationssicherheitsbeauftragten (ISB) durch den Bereichsleiter IT temporär und kommissarisch übernommen. Zielsetzung ist die Übertragung der Aufgaben des ISB an einen externen Dienstleister. Hierzu gehören die in Ziffer der Leistungsbeschreibung näher aufgeführten Aufgaben.
Gegenstand der Ausschreibung ist die Übernahme der Funktion des ISB. Er berät und unterstützt den Auftraggeber unternehmensweit zum Thema Informationssicherheit und ist für alle Fragen rund um die Informationssicherheit in der BwFPS zuständig.
Die Rahmenvereinbarung verlängert sich automatisch um ein weiteres Jahr, soweit diese nicht spätestens sechs Monate vor Ablauf durch den Auftraggeber schriftlich gekündigt wird. Eine Vertragsverlängerung unter den genannten Bedingungen kann maximal zweimal erfolgen, womit die Rahmenvereinbarung spätestens nach 48 Monaten endet.
Die Leistungserbringung erfolgt in Teilen remote und vor Ort in der Zentrale des Auftraggebers in Siegburg (Am Tum 42, 53721 Siegburg), siehe Ziffer 5.1 der Leistungsbeschreibung.
Das Angebot mit dem niedrigsten Preis pro Stunde pauschal remote gemäß Anlage Preisblatt erhält die maximale Punktzahl (15 Punkte). Die weiteren Angebote erhalten Punkte nach der folgender Formel: (niedrigster Preis pro Stunde pauschal remote / angebotener Preis pro Stunde pauschal remote) * 15 Punkte
Das Angebot mit dem Preis pro Stunde pauschal vor Ort gemäß Anlage Preisblatt erhält die maximale Punktzahl (15 Punkte). Die weiteren Angebote erhalten Punkte nach der folgender Formel: (niedrigster Preis pro Stunde pauschal vor Ort / angebotener Preis pro Stunde pauschal vor Ort) * 15 Punkte
Angebote von Bietern, deren einzusetzender Informationssicherheitsbeauftragter über Berufserfahrung in den Bereichen Informationssicherheitsmanagement, Datenschutz, Risikomanagement und Notfallmanagement verfügt werden wie folgt bewertet: Der einzusetzende Informationssicherheitsbeauftragte hat in Summe < 3 Jahre = 0 Punkte; 3 - 5 Jahre = 5 Punkte; 6 - 7 Jahre = 10 Punkte; ; > 7 Jahre = 20 Punkte Berufserfahrung in den Bereichen Informationssicherheitsmanagement, Datenschutz, Risikomanagement und Notfallmanagement.
Angebote von Bietern, deren einzusetzender Informationssicherheitsbeauftragter über Berufserfahrung im behördlichen Informationssicherheitsmanagement für öffentliche Auftraggeber im Verteidigungsumfeld verfügt, werden wie folgt bewertet: Der einzusetzende Informationssicherheitsbeauftragte hat in Summe < 2 Jahre = 0 Punkte; 2 - 3 Jahre = 2 Punkte; 4 - 7 Jahre = 5 Punkte; > 7 Jahre = 10 Punkte Berufserfahrung im behördlichen Informationssicherheitsmanagement für öffentliche Auftraggeber im Verteidigungsumfeld
Angebote von Bietern, deren einzusetzender Informationssicherheitsbeauftragter über Praxiserfahrung mit Arbeitsmethoden und Prozessen in hybriden IT-Ökosystemen verfügt werden wie folgt bewertet: Der einzuesetzende Informationssicherheitsbeauftragte hat in den letzten 3 Jahren in Summe an 0 Maßnahmen = 0 Punkte; 1 Maßnahme = 2 Punkte; 2 - 3 Maßnahmen = 5 Punkte; > 3 Maßnahmen = 10 Punkte (Fortbildungen, Schulungen und Seminaren) im Bereich Arbeitsmethoden und Prozessen in hybriden IT-Ökosystemen teilgenommen.
Angebote von Bietern, deren
Informationssicherheitsbeauftragte über einen Nachweis verfügt, die über die Mindestanforderung ( Zertifizierung als ISO/IEC 27001 Implementer/ Auditor oder vergleichbare Zertifizierung als BSI IT-Grundschutz-Auditor ) hinausgeht, werden wie folgt bewertet: Der einzuesetzende Informationssicherheitsbeauftragte verfügt über eine Zertifizierung als ISO/IEC 27001 Lead Implementer/ Lead Auditor = 20 Punkte oder Zertifizierung als BSI IT-Grundschutz-Experte = 20 Punkte
Angebote von Bietern, deren Informationssicherheitsbeauftragte über verfügt, werden wie folgt bewertet: Der einzusetzende Informationssicherheitsbeauftragte hat in Summe < 1 Jahr = 0 Punkte; 1 - 4 Jahre = 2 Punkte; > 4 - 7 Jahre = 5 Punkte > 7 Jahre = 10 Punkte Berufserfahrung als Chief Information Security Officer (CISO).
Hinsichtlich der Fristen zur Einlegung von Rechtsbehelfen wird auf § 160 Abs. 3 des Gesetzes gegen Wettbewerbsbeschränkungen (GWB) verwiesen.§ 160 GWB lautet wie folgt:(1) Die Vergabekammer leitet ein Nachprüfungsverfahren nur auf Antrag ein.(2) Antragsbefugt ist jedes Unternehmen, das ein Interesse an dem öffentlichen Auftrag oder der Konzession hat und eine Verletzung in seinen Rechten nach § 97 Abs. 6 durch Nichtbeachtung von Vergabevorschriften geltend macht. Dabei ist darzulegen, dass dem Unternehmen durch die behauptete Verletzung der Vergabevorschriften ein Schaden entstanden ist oder zu entstehen droht.(3) Der Antrag ist unzulässig, soweit:1) der Antragsteller den geltend gemachten Verstoß gegen Vergabevorschriften vor Einreichen des Nachprüfungsantrags erkannt und gegenüber dem Auftraggeber nicht innerhalb einer Frist von 10 Kalendertagen gerügt hat; der Ablauf der Frist nach § 134 Absatz 2 bleibt unberührt,2) Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, nicht spätestens bis zum Ablauf der in der Bekanntmachung benannten Frist zur Bewerbung oder Angebotsabgabe gegenüber dem Auftraggeber gerügt werden,3) Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, nicht spätestens bis zum Ablauf der Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden,4) mehr als 15 Kalendertage nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, vergangen sind.Satz 1 gilt nicht bei einem Antrag auf Feststellung der Unwirksamkeit des Vertrages nach § 135 Abs. 1 Nr. 2. § 134 Abs. 1 Satz 2 bleibt unberührt.
Für die Abgabe des Angebots sind zwingend die von der Abteilung Vergaben vorgegebenen Formulare/Vordrucke zu verwenden und ausgefüllt abzugeben.-----Geben mehrere Unternehmen als Bietergemeinschaft ein gemeinschaftliches Angebot ab, so wird dieses Angebot wie das Angebot eines Einzelbieters behandelt. Bietergemeinschaften sind Einzelbietern grundsätzlich gleichgestellt. Eine bestimmte Rechtsform ist nicht vorgeschrieben. Die Mitglieder einer Bietergemeinschaft haften gesamtschuldnerisch für die Erfüllung aller vertraglichen Verpflichtungen. Im Falle einer Teilnahme als Bietergemeinschaft sind die Eignungsnachweise gemäß Ziffer 2 des Angebotsformulars von jedem Mitglied der Bietergemeinschaft vorzulegen.-----Soweit der Bieter oder die Bietergemeinschaft zum Nachweis der Eignung die Kapazitäten anderer Unternehmen (z. B. eines Unterauftragnehmers oder eines konzernverbundenen Unternehmens) in Anspruch nimmt (sog. "Eignungsleihe"), muss mit Angebotsabgabe nachgewiesen werden, dass die für den Auftrag erforderlichen Kapazitäten dem Bieter bzw. der Bietergemeinschaft zur Verfügung stehen. Zu diesem Zweck muss der Bieter/die Bietergemeinschaft, die den Vergabeunterlagen beigefügte Anlage Verpflichtungserklärung Eignungsleihe des betreffenden Unternehmens vorlegen. Diese Anlage ist dem Angebot beizufügen. Jedes Mitglied einer Bietergemeinschaft hat seine Eignung für den Teil der Leistungen nachzuweisen, den es im Auftragsfall übernimmt. Eignungsnachweise sind auch für Unternehmen vorzulegen, auf die sich ein Bieter/eine Bietergemeinschaft zum Nachweis seiner/ihrer Eignung beruft.-----Ab einem Auftragswert von 30.000,00 Euro netto wird die Abteilung Vergaben beim Bundeskartellamt von Amts wegen einen Auszug aus dem Wettbewerbsregister (gemäß § 6 Abs. 1 WRegG) anfordern und bei der Eignung entsprechend bewerten. Diese Anforderung erfolgt nur, sofern der Bieter für eine Zuschlagserteilung in Betracht kommt.-----Die gesamte Korrespondenz ist in deutscher Sprache abzufassen.
Der Auftraggeber behält sich vor, bei Angebotsabgabe nicht beiliegende bzw. den Anforderungen formal bzw. inhaltlich nicht genügende Dokumente, Nachweise, Angaben und Erklärungen unter Fristsetzung nachzufordern. Ein Anspruch der Bieter auf Nachforderung besteht nicht.
Nachweis des Bestehens einer Betriebshaftpflichtversicherung:Zum Nachweis der wirtschaftlichen und finanziellen Leistungsfähigkeit wird eine Betriebshaftpflichtversicherung mit den folgenden Mindestversicherungssummen gefordert.- Deckung für Personen- und Sachschäden pro Versicherungsfall und -jahr: 10 Mio. EUR- Deckung für Vermögensschäden pro Versicherungsfall und -jahr: 10 Mio. EUR
Nachweis von Referenzen:Zum Nachweis der technischen und beruflichen Leistungsfähigkeit werden 2 Referenzen über erbrachte Leistungen im Bereich Informationssicherheitsmanagement bei einem öffentlichen Auftraggeber im Verteidigungsumfeld, welche mit dem Vergabegegenstand vergleichbar sind, aus den letzten drei Jahren gefordert.Es gilt folgende Mindestanforderung: Vorlage von zwei vergleichbaren Referenzen aus den letzten drei Jahren über erbrachte Leistungen im Bereich Informationssicherheitsmanagement bei einem öffentlichen Auftraggeber im Verteidigungsumfeld mit den folgenden Schwerpunkten:- Mitarbeit bei der Entwicklung und Betrieb eines Informationssicherheitsmanagement (ISMS)- Aktive Begleitung einer Auditierung nach ISO /IEC 27001 - Erfahrung in der Erstellung von Richtlinien und Vorgaben
Nachweis über die Qualifikation des eingesetzten Personals:Für die Erfüllung der Leistungen ist für den Auftraggeber ständig und dauerhaft ein externer Informationssicherheitsbeauftragter zuständig. An den Informationssicherheitsbeauftragten wird folgende Min-destanforderung gestellt:Vertiefte Kenntnisse der ISO 27001 und des BSI-Grundschutzes, nachzuweisen durch Zertifizierung als - ISO/IEC 27001 Implementer/ Auditor oder - BSI IT-Grundschutz-Auditor
siehe Vergabeunterlagen