Als Dienstleister für die Bundeswehr unterliegt die BwFPS besonderen Sicherheitsanforderungen. Derzeit wird ein Informationssicherheitsmanagementsystem (ISMS) nach ISO 27001 auf Basis von IT-Grundschutz auf- und ausgebaut.Zurzeit werden die Aufgaben des Informationssicherheitsbeauftragten (ISB) durch den Bereichsleiter IT temporär und kommissarisch übernommen. Zielsetzung war die Übertragung der Aufgaben des ISB an einen externen Dienstleister.
Gegenstand der Ausschreibung war die Übernahme der Funktion des ISB. Er berät und unterstützt den Auftraggeber unternehmensweit zum Thema Informationssicherheit und ist für alle Fragen rund um die Informationssicherheit in der BwFPS zuständig.
Die Rahmenvereinbarung verlängert sich automatisch um ein weiteres Jahr, soweit diese nicht spätestens sechs Monate vor Ablauf durch den Auftraggeber schriftlich gekündigt wird. Eine Vertragsverlängerung unter den genannten Bedingungen kann maximal zweimal erfolgen, womit die Rahmenvereinbarung spätestens nach 48 Monaten endet.
Die Leistungserbringung erfolgt in Teilen remote und vor Ort in der Zentrale des Auftraggebers in Siegburg (Am Tum 42, 53721 Siegburg), siehe Ziffer 5.1 der Leistungsbeschreibung.
Das Angebot mit dem niedrigsten Preis pro Stunde pauschal remote gemäß Anlage Preisblatt erhält die maximale Punktzahl (15 Punkte). Die weiteren Angebote erhalten Punkte nach der folgender Formel: (niedrigster Preis pro Stunde pauschal remote / angebotener Preis pro Stunde pauschal remote) * 15 Punkte
Das Angebot mit dem Preis pro Stunde pauschal vor Ort gemäß Anlage Preisblatt erhält die maximale Punktzahl (15 Punkte). Die weiteren Angebote erhalten Punkte nach der folgender Formel: (niedrigster Preis pro Stunde pauschal vor Ort / angebotener Preis pro Stunde pauschal vor Ort) * 15 Punkte
Angebote von Bietern, deren einzusetzender Informationssicherheitsbeauftragter über Berufserfahrung in den Bereichen Informationssicherheitsmanagement, Datenschutz, Risikomanagement und Notfallmanagement verfügt werden wie folgt bewertet: Der einzusetzende Informationssicherheitsbeauftragte hat in Summe < 3 Jahre = 0 Punkte; 3 - 5 Jahre = 5 Punkte; 6 - 7 Jahre = 10 Punkte; ; > 7 Jahre = 20 Punkte Berufserfahrung in den Bereichen Informationssicherheitsmanagement, Datenschutz, Risikomanagement und Notfallmanagement.
Angebote von Bietern, deren einzusetzender Informationssicherheitsbeauftragter über Berufserfahrung im Informationssicherheitsmanagement für Auftraggeber im Verteidigungsumfeld (z.B. Verteidigungsunternehmen, militärische Einrichtungen oder KRITIS-Betreiber) verfügt, werden wie folgt bewertet: Der einzusetzende Informationssicherheitsbeauftragte hat in Summe < 2 Jahre = 0 Punkte; 2 - 3 Jahre = 2 Punkte; 4 - 7 Jahre = 5 Punkte; > 7 Jahre = 10 Punkte Berufserfahrung im Informationssicherheitsmanagement für Auftraggeber im Verteidigungsumfeld (z.B. Verteidigungsunternehmen, militärische Einrichtungen oder KRITIS-Betreiber).Punkte Berufserfahrung im behördlichen Informationssicherheitsmanagement für öffentliche Auftraggeber im Verteidigungsumfeld
Angebote von Bietern, deren einzusetzender Informationssicherheitsbeauftragter über Praxiserfahrung mit Arbeitsmethoden und Prozessen in hybriden IT-Ökosystemen verfügt werden wie folgt bewertet: Der einzuesetzende Informationssicherheitsbeauftragte hat in den letzten 3 Jahren in Summe an 0 Maßnahmen = 0 Punkte; 1 Maßnahme = 2 Punkte; 2 - 3 Maßnahmen = 5 Punkte; > 3 Maßnahmen = 10 Punkte (Fortbildungen, Schulungen und Seminaren) im Bereich Arbeitsmethoden und Prozessen in hybriden IT-Ökosystemen teilgenommen.
Angebote von Bietern, deren einzusetzender Informationssicherheitsbeauftragte über einen Nachweis verfügt, der über die Mindestanforderung (Zertifizierung als ISO/IEC 27001 Lead Implementer/ Lead Auditor oder Zertifizierung als BSI IT-Grundschutz-Praktiker oder Zertifizierung als Certified Information Systems Security Professional 8 (CISSP)) hinausgeht, werden wie folgt bewertet: Der einzusetzende Informationssicherheitsbeauftragte verfügt über eine Zertifizierung als ISO/IEC 27001 Lead Implementer / Lead Auditor = 20 Punkte oder Zertifizierung als BSI IT-Grundschutz-Berater = 20 Punkte oder vergleichbare Zertifizierung = 20 Punkte. Es werden maximal 20 Punkte vergeben. Sollte ein einzusetzende Informationssicherheitsbeauftragter über mehrere Zertifizierungen verfügen, so erhält der Bieter das Maximum von 20 Punkten.
Angebote von Bietern, deren einzusetzender Informationssicherheitsbeauftragter über Erfahrung in der Umsetzung von regulatorischen Anforderungen, wie IT-Sicherheitsgesetz, NIS-2, DSGVO, verfügt, werden wie folgt bewertet: Der einzusetzende Informationssicherheitsbeauftragte war in den letzten 3 Jahren in Summe an 0 Projekten = 0 Punkte; 1 Projekt = 2 Punkte; 2 - 3 Projekten = 5 Punkte; > 3 Projekten = 10 Punkte zur Umsetzung von regulatorischen Anforderungen, wie IT-Sicherheitsgesetz, NIS-2, DSGVO, beteiligt.
Hinsichtlich der Fristen zur Einlegung von Rechtsbehelfen wird auf § 160 Abs. 3 des Gesetzes gegen Wettbewerbsbeschränkungen (GWB) verwiesen.§ 160 GWB lautet wie folgt:(1) Die Vergabekammer leitet ein Nachprüfungsverfahren nur auf Antrag ein.(2) Antragsbefugt ist jedes Unternehmen, das ein Interesse an dem öffentlichen Auftrag oder der Konzession hat und eine Verletzung in seinen Rechten nach § 97 Abs. 6 durch Nichtbeachtung von Vergabevorschriften geltend macht. Dabei ist darzulegen, dass dem Unternehmen durch die behauptete Verletzung der Vergabevorschriften ein Schaden entstanden ist oder zu entstehen droht.(3) Der Antrag ist unzulässig, soweit:1) der Antragsteller den geltend gemachten Verstoß gegen Vergabevorschriften vor Einreichen des Nachprüfungsantrags erkannt und gegenüber dem Auftraggeber nicht innerhalb einer Frist von 10 Kalendertagen gerügt hat; der Ablauf der Frist nach § 134 Absatz 2 bleibt unberührt,2) Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, nicht spätestens bis zum Ablauf der in der Bekanntmachung benannten Frist zur Bewerbung oder Angebotsabgabe gegenüber dem Auftraggeber gerügt werden,3) Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, nicht spätestens bis zum Ablauf der Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden,4) mehr als 15 Kalendertage nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, vergangen sind.Satz 1 gilt nicht bei einem Antrag auf Feststellung der Unwirksamkeit des Vertrages nach § 135 Abs. 1 Nr. 2. § 134 Abs. 1 Satz 2 bleibt unberührt.