-

Das Qualitätskriterium teilt sich auf in Konzepte, die in Summe 90 % des Qualitätskriteriums ausmachen, sowie in ein Lizenzmodell, auf das 10 % des Qualitätskriteriums entfallen.

Eigenerklärung über das Bestehen einer Haftpflichtversicherung mit einer Mindestdeckungssumme von 10 Mio. EUR für Personen-, Sach- und Vermögensschäden pro Vertragsjahr.
Alternativ kann eine Erklärung abgegeben werden, eine entsprechende Versicherung im Auftragsfall abzuschließen. Die Eigenerklärung hat unter Verwendung der in den Vergabeunterlagen vorgesehenen Formblätter zu erfolgen.

Eigenerklärung zum Umsatz des Unternehmens im Themenbereich dieser Ausschreibung jeweils bezogen auf die letzten drei abgeschlossenen Geschäftsjahre in EUR (netto). Der entsprechende Jahresnetto-Umsatz ist für jedes der drei abgeschlossenen Geschäftsjahre für den einschlägigen Themenbereich gesondert anzugeben.

Bei Bewerbergemeinschaften sind für jedes Bewerbergemeinschaftsmitglied gesondert die Netto-Umsätze für diesen Themenbereich der jeweils drei letzten abgeschlossenen Geschäftsjahre anzugeben.

Bewerber müssen über eine Zertifizierung nach ISO/IEC 27001 oder eine gleichwertige Zertifizierung verfügen, deren Anwendungsbereich die gesamte Dienstleistung der hier ausgeschriebenen Leistung umfasst. Falls die eigene Zertifizierung des Bewerbers nicht die gesamte Dienstleistung abdeckt, muss bei Eignungsleihe und Unterauftragsvergabe mindestens die Steuerung der Unterauftragnehmer durch die eigene Zertifizierung des Bewerbers nach ISO/IEC 27001 oder durch eine gleichwertige Zertifizierung abgedeckt sein.

Bei Bewerbergemeinschaften muss jedes Mitglied über eine ISO/IEC 27001 Zertifizierung oder über eine gleichwertige Zertifizierung verfügen. Bei Bewerbergemeinschaften muss die vorgenannte Sicherheitszertifizierung des Mitglieds der Bewerbergemeinschaft dabei in Bezug auf diejenigen Leistungen vorliegen, die das Mitglied im Rahmen seines Leistungsanteils bei der Ausführung des Auftrags erbringen soll.

Der Auftraggeber behält sich das Recht vor, sich die ISO/IEC 27001 bzw. die gleichwertige Zertifizierung auf gesondertes Verlangen vorlegen und erläutern zu lassen.

Eigenerklärung darüber, dass Bewerber bei einem Einsatz von Cloud-Computing-Diensten zur Verarbeitung von Sozial- und/oder Gesundheitsdaten über ein aktuelles und gültiges C5-Testat gem. § 393 SGB V oder über einen gleichwertigen Sicherheitsnachweis (Testat oder Zertifikat) nebst Maßnahmenplan gemäß § 1 C5-Gleichwertigkeitsverordnung im Hinblick auf die C5-Basiskriterien für den jeweiligen Cloud-Computing-Dienst spätestens bei Beginn der Datenverarbeitung verfügen.

Der Auftraggeber behält sich das Recht vor, sich das C5 Testat oder den gleichwertigen Sicherheitsnachweis vorlegen und erläutern zu lassen.

Soweit der Bewerber den Cloud-Dienst als Kunde bezieht, Eigenerklärung dazu, dass spätestens bei Beginn der Datenverarbeitung die korrespondierenden Kriterien für Cloud-Kunden des dann vorliegenden C5-Testats umgesetzt sind.

Ist der Bewerber selbst Cloud-Computing Dienst-Anbieter, sind zusätzlich die korrespondierenden Kriterien für Cloud-Kunden bei Angebotsabgabe ggü. dem Auftraggeber darzustellen.

Diese Anforderungen gelten auch beim Einsatz von Unterauftragnehmern oder anderen Drittunternehmen, die ihre Leistungen unter Einsatz von Cloud-Computing-Diensten erbringen.

1) Eigenerklärung der Bewerber bzw. jedes Mitglieds einer Bewerbergemeinschaft, dass die Maßnahmen der "Auftragsverarbeitungsregelung" zum Schutz der personenbezogenen Daten bzw. Sozialdaten bei der Verarbeitung im Auftrag unter Berück-sichtigung des Art. 28 DS-GVO in Verbindung mit § 80 SGB X (bei Sozialdaten) eingehalten werden. (Hinweis: Die "Auftragsverarbeitungsregelung" regelt die Maßnahmen zum Schutz personenbezogener Daten bei der Verarbeitung im Auftrag unter Berücksichtigung des Art. 28 DS-GVO und, soweit Sozialdaten verarbeitet werden, unter Berücksichtigung des Art. 28 DS-GVO i.V.m. § 80 SGB X).

2): Eigenerklärung des Bewerbers bzw. jedes Mitglieds einer Bewerbergemeinschaft darüber, dass die vertraglich vereinbarte Datenverarbeitung ausschließlich in einem Mitgliedsstaat der EU oder in einem Mitgliedsstaat des EWR oder der Schweiz stattfindet. Zudem Eigenerklärung jedes Bewerbers bzw. jedes Mitglieds einer Bewerbergemeinschaft darüber, dass Verlagerung in ein Drittland ausnahmsweise und nur mit Zustimmung des Auftraggebers erfolgt, wenn
- ein Angemessenheitsbeschluss nach Art. 45 DS-GVO vorliegt (dies gilt dann, wenn Art. 28 DS-GVO i.V.m. § 80 SGB X einschlägig ist) oder

- die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind (dies gilt dann, sofern ausschließlich Art. 28 DS-GVO einschlägig ist).

Eigenerklärung des Bewerbers bzw. jedes Mitglieds einer Bewerbergemeinschaft darüber, in welchem Staat erfolgt die Verarbeitung von personenbezogenen Daten nach Art. 28 DS-GVO sowie von Sozialdaten nach Art. 28 DS-GVO i.V.m. § 80 SGB X erfolgt.

Eigenerklärung des Bewerbers, dass dieser im Auftragsfall für alle Positionen im Projekt, welche in direktem Kontakt mit dem Auftraggeber stehen, Mitarbeiter mit folgendem Sprachniveau einsetzen kann:

- Deutsch als Muttersprache oder

- Deutsch Niveaustufe C2 gemäß dem "Gemeinsamen Europäischen Referenzrahmen für Sprachen".

Eigenerklärung des Bewerbers, dass wenn zur Leistungserbringung ein Rechenzentrum eingesetzt wird, dieses die Anforderungen an Standortsicherheit und Rechenzentrumsbetrieb gemäß Tier-3 erfüllt und die Sicherheit des Netzzugangs mittels Vorlage eines erfolgreichen Penetrationstests (nicht älter als 1,5 Jahre) nachgewiesen werden kann.

Los 1:
Eigenerklärung des Bewerbers über das Vorliegen von mindestens 3 Referenzen, die nach Art und Umfang mit dem zu vergebenenden Auftrag zur Beschaffung von Managed SOC Services vergleichbar sind; mit Angaben dazu, wer die Referenzleistung erbracht hat; zum Referenzkunden (inkl. Ansprechpartner und Telefonnummer), zur Branche, zum Zeitraum (Beginn MM/JJJJ; Ende MM/JJJJ bzw. laufend), dazu, ob der Referenzkunde aus dem Gesundheitswesen oder aus einem Sektor mit hohem Schutzniveau (Datensicherheit, IT-Sicherheit usw.) stammt; Angaben zum durchschnittlichen Logvolumen im SIEM (der Durchschnitt ergibt sich hierbei durch die Teilung des in einem im Referenzprojekt liegenden Referenzmonat aufgelaufenen Datenvolumens, geteilt durch die Anzahl der Tage in diesem Monat); Angaben zu angebundenen distinkten Logquellen an das SIEM (Auth & Identify, Network & Perimeter, Endpoint, Apllication, IaaS/PaaS-Sicherheitstools, Infrastructure (Server/OS), Security Tools und/oder External Feeds/Threat Intelligence); Angaben dazu, ob das Referenzprojekt die Übernahme der SOC Level 1 Überwachungsfunktion 24/7 der im SIEM auftretenden Alarme umfasst hat; Angaben dazu, ob das Referenzprojekt die Bereitstellung der SOC Level 1 Dienstleistungen unter der Implementierung und Nutzung von Playbooks zur Automatisierung umfasst hat; Angaben zum Projektnamen / zur Art des Projekts (inkl. Kategorie/Bereich, zu dem das Projekt gehört - grundlegender Zweck bzw. das Hauptziel des Projekts); Angaben zum Leistungsinhalt (inkl. konkrete Beschreibung der Leistungsinhalte und Schwerpunkte [bei Beteiligung mehrerer Unternehmen: Angabe der Aufgabenteilung ihrer Aufgaben- und Verantwortungsbereiche, Darstellung des Zusammenwirkens sämtlicher Projektbeteiligter; zudem Angabe der prozentualen Eigenleistung bei der Projekterbringung]; Angaben zu den Projektergebnissen (konkrete Ergebnisse oder Erfolge, die im Rahmen des Projekts erreicht wurden).

Zu beachtende Mindesanforderungen:
Die Mindestanforderungen, die von jeder der eingereichten Referenzen erfüllt sein müssen, damit ein Projekt als vergleichbar erachtet wird, sind:
a) Projektende (falls nicht noch laufendes Projekt) darf nicht länger als fünf Jahre in der Vergangenheit liegen (Stichtag: Ablauf der Frist zur Abgabe des Teilnahmeantrags). Als Ausführungszeitraum gilt dabei der Zeitraum, in dem die auftragsgegenständlichen Leistungen der Referenztätigkeit tatsächlich erbracht worden sind.

b) Durchschnittliches Logvolumen im SIEM von mind. 50 GB/Tag (Der Durchschnitt ergibt sich hierbei durch die Teilung des in einem im Referenzprojekt liegenden Referenzmonat aufgelaufenen Datenvolumens, geteilt durch die Anzahl der Tage in diesem Monat).

c) Anbindung von mindestens zwei der folgenden distinkten Klassen von Logquellen an das SIEM:

- Auth & Identity (Active Directory, Entra ID, Okta);

- Network & Perimeter (VPN-Appliances, Router, Switches, WiFi-Access Points, Firewalls, Load-Balancer);

- Endpoint (EDR-/XDR-Systeme, Windows Eventlogs, Linux/Unix Syslogs, lokale Schwachstellenscanner)

- Application (Webapplikationen, Apache/Nginx Logs, API-Logs, SAP-Anwendungen, SaaS-Anwendungen wie Microsoft 365, ServiceNow, WAFs, Reverse Proxies)

- IaaS/PaaS-Sicherheitstools (AWS CloudTrail, Azure Activity Logs, GCP Admin Logs, CSPM-Tools wie Prisma Cloud oder Defender for Cloud)

- Infrastructure (Server/OS) (Windows Server Eventlogs, Linux-/Unix-Systemlogs wie Syslog, Auth.log, Auditd, DHCP- und DNS-Logs)

- Security Tools (IDS/IPS, Honeypots, PAM-Systeme, DLP, Mail-gateways, Schwachstellenscanner, SIEM-interne Logs)

- External Feeds / Threat Intelligence (Threat-Intelligence-Feeds wie MISP oder IBM X-Force, IOC-Feeds, Reputationsdaten externer Anbieter)

d) Mindestens die Übernahme der SOC Level 1 Überwachungsfunktion 24/7 der im SIEM auftretenden Alarme

e) Mindestlaufzeit von 12 Monaten

f) Mindestens 70% Eigenleistung des Bewerbers bei der Projekterbringung.

g) Mind. eine der mind. drei einzureichenden Referenzen muss zusätzlich zu den vorgenannten Mindestanforderungen (a) - f)) aus dem Gesundheitswesen oder aus einem Sektor mit vergleichbar hohem Schutzniveau hinsichtlich Datensicherheit und IT-Sicherheit stammen (z. B. Finanzwesen, öffentliche Verwaltung, kritische Infrastrukturen).

[Hinweis: Im Falle einer notwendigen Auswahl der besonders geeigneten 5 Bewerber erfolgt die Auswahl je Los zu 100 % anhand der losspezifisch einschlägigen Referenzlage. Sofern in der Bekanntmachung davon die Rede ist, dass nur zu 50 % auf die Referenzlage abgestellt werde ["Gewichtung (Prozentanteil, genau): 50"], ist dies unzutreffend und allein den technischen Rahmenbedingungen des Vergabeportals geschuldet.]

Los 2:
Eigenerklärung des Bewerbers über Vorliegen von mind. 3 Referenzen, die nach Art & Umfang mit dem zu vergebenenden Auftrag zur Etablierung von Managed Connectivity Security Leistungen vergleichbar sind; mit Angaben dazu, wer die Referenz erbracht hat; zum Referenzkunden (inkl. Ansprechpartner und Telefonnummer), zur Branche, zum Zeitraum (Beginn MM/JJJJ; Ende MM/JJJJ bzw. laufend), dazu, ob der Referenzkunde aus dem Gesundheitswesen oder aus einem Sektor mit hohem Schutzniveau (Datensicherheit, IT-Sicherheit usw) stammt; Angaben dazu, ob Referenz eine Anbindung von mind. 2 Rechenzentren in unterschiedlichen geografischen Regionen über ein produktives SD-WAN umfasst, wobei die beteiligten Standorte operativ relevant und voneinander unabhängig sein müssen sowie Angaben zur Anzahl der angebundenen Rechenzentren sowie deren geografischer Region und dazu ob es sich um eine produktive Cloud Umgebund gehandelt hat; Angaben dazu, die Etablierung welcher der folgenden Bestandteile vom Referenzprojekt umfasst sind (SD-WAN, SWG/CASB, WAF, dDoS-Schutz, Client-2Site-VPN, Site-2-Site-VPN, RBI); Angaben dazu, dass das Referenzprojekt die Absicherung des Netzwerkverkehrs übver eine SWG-/CASB-Lösung von mind. 500 Endgeräten umfasst (inkl. Angabe konkreter Anzahl der Endgeräte); Angaben dazu, dass das Referenzprojekt die Absicherung von mind. 2 Webanwendungen über eine WAF umfasst hat (inkl. Angabe der konkreten Anzahl der Webanwendungen); Angaben dazu, ob Referenzprojekt die Mitigation eines realen oder simulierten dDoS-Angriffes von mind. 300 Ggbit/s umfasst hat (inkl. Angabe der konkreten Ggbit/s); Angaben dazu, ob im Rahmen des Referenzprojekts die dynamische Pfadauswahl sowie die Skalierbarkeit durch verschiedene Mengen an Netzwerktraffic des SD-Wan dargestellt werden kann (inkl. Darstellung der dynamischen Pfadauswahl sowie der verschiedenen Mengen des Netzwerktraffics des SD-WAN); Angaben zum Projektnamen/zur Art des Projekts (inkl. Kategorie/Bereich, zu dem das Projekt gehört - grundlegender Zweck bzw. das Hauptziel des Projekts); Angaben zum Leistungsinhalt (inkl. konkrete Beschreibung der Leistungsinhalte und Schwerpunkte [bei Beteiligung mehrerer Unternehmen: Angabe der Aufgabenteilung ihrer Aufgaben- und Verantwortungsbereiche, Darstellung des Zusammenwirkens sämtlicher Projektbeteiligter, Angabe der dynamische Pfadauswahl des SD-WAN, Anzahl und Beschreibung der abgesicherten Webanwendungen; zudem Angabe der prozentualen Eigenleistung bei der Projekterbringung]; Angaben zu den Projektergebnissen (konkrete Ergebnisse oder Erfolge, die im Rahmen des Projekts erreicht wurden).

Zu beachtende Mindestanforderungen:
Die Mindestanforderungen, die von jeder der eingereichten Referenzen erfüllt sein müssen, damit ein Projekt als vergleichbar erachtet wird, sind (a)-d)):

a) Projektinhalt muss die Etablierung oder maßgebliche Anpassung mindestens einer der ausgeschriebenen Leistungsbestandteile umfassen (SD-WAN, SWG / CASB, WAF, dDoS-Schutz, Client-2-Site-VPN, Site-2-Site-VPN und/oder RBI);

b) Mindestlaufzeit von 12 Monaten;

c) Projektende (falls nicht noch laufendes Projekt) darf nicht länger als 5 Jahre in der Vergangenheit liegen (Stichtag: Ablauf der Frist zur Abgabe des Teilnahmeantrags). Als Ausführungszeitraum gilt dabei der Zeitraum, in dem die auftragsgegenständlichen Leistungen der Referenztätigkeit tatsächlich erbracht worden sind;

d) Mindestens 70% Eigenleistung des Bewerbers bei der Projekterbringung.

e) Zudem muss mind. eine der mind. 3 einzureichenden Referenzen zusätzlich zu den vorgenannten Mindestanforderungen (a) - d)) im Gesundheitswesen oder in einem Sektor mit vergleichbar hohem Schutzniveau hinsichtlich Datensicherheit und IT-Sicherheit erbracht worden sein (z.B. Finanzwesen, öffentliche Verwaltung, kritische Infrastrukturen);

f) Die im Folgenden genannten Anforderungen sind durch die mind. 3 einzureichenden Referenzprojekte in Summe nachzuweisen. Dabei kann jedes Projekt einzelne oder sämtliche Anforderungen abdecken. Es ist lediglich sicherzustellen, dass jede der im Folgenden benannten Anforderungen durch mindestens eines der mind. 3 einzureichenden Referenzprojekte erfüllt wird.
- Mind. eine der mind. 3 einzureichenden Referenzen muss die Anbindung von mindestens zwei Rechenzentren in unterschiedlichen geografischen Regionen über ein produktives SD-WAN umfassen. Die beteiligten Standorte müssen operativ relevant und voneinander unabhängig sein.

- Mind. eine der mind. 3 einzureichenden muss die Absicherung des Netzwerkverkehrs über eine SWG- / CASB-Lösung von mindestens 500 Endgeräten umfassen.

- Mind. eine der mind. 3 einzureichenden muss die Absicherung von mindestens 2 Webanwendungen über eine WAF zum Gegenstand haben.

- Mind. eine der mind. 3 einzureichenden Referenzen stammt aus dem Gesundheitswesen oder aus einem Sektor mit vergleichbar hohem Schutzniveau hinsichtlich Datensicherheit und IT-Sicherheit (z.B. Finanzwesen, öffentliche Verwaltung, kritische Infrastrukturen).

- In Summe müssen die mind. 3 einzureichenden Referenzen vier der folgenden ausgeschriebenen Leistungsbestandteile umfassen: SD-WAN, SWG/CASB, WAF und eines der folgenden Leistungsbestandteile: dDoS-Schutz, Cli-ent-2-Site-VPN, Site-2-Site-VPN oder RBI (Zur Erläuterung: Die Leistungsbestandteile "SD-WAN", "SWG/CASB" und "WAF" müssen in jedem Fall in Summe von den mindestens drei einzureichenden Referenzen abgedeckt werden. Zusätzlich muss durch die mind. 3 einzureichenden Referenzen eines der übrigen Leistungsbestandteile (dDoS- Schutz, Client-2-Site-VPN, Site-2-Site-VPN oder RBI) abgedeckt sein. Es ist nicht erforderlich, dass die insg. 4 geforderten Leistungsbestandteile durch eine einzige Referenz erfüllt werden. Sollten durch die eingereichten Referenzen in Summe nur 3 verschiedene Leistungsbestandteile abgedeckt sein oder sollte in Summe entweder "SD-WAN" oder "SWG/CASB" oder "WAF" durch die Referenzen nicht abgedeckt sein, ist die Mindestanforderung an die Referenzlage nicht erfüllt.)