Bereitstellung und Betrieb einer PaaS mit einer SIEM Lösung
Gegenständlich ist die Beschaffung einer neuen größeren Splunk Enterprise Lizenz inkl. Enterprise Security sowie eines vorgelagerten sog. Ingestion Layers als Plattform as a Service Lösung (nach-folgend zusammengefasst als PaaS SIEM Lösung benannt) geplant. Die PaaS SIEM Lösung muss für die Verarbeitung großer Mengen an Logdaten ausgelegt sein und ein hohes Maß an Zuverlässigkeit (Verfügbarkeit) erfüllen. Weiterhin ist geplant, eine PaaS SIEM Lösung zu nutzen, die ein hohes Maß an Kontrolle durch die gematik gewährleistet und sicherstellt, dass die Speicherung und Verarbeitung aller Daten innerhalb der EU gemäß der der EU-Datenschutz-Grundordnung (DSGVO) erfolgt. Die Zugriffsmöglichkeiten durch Personen außerhalb der EU auf Daten innerhalb der PaaS SIEM Lösung sind technisch vollständig auszuschließen.
Die Laufzeit des Vertrages beträgt 36 Monate ab initialer Bereitstellung der SIEM PaaS mit einsei-tiger Verlängerungsoption um zweimal weitere 12 Monate.
Die Grundlaufzeit des Vertrages beträgt 36 Monate. Sie kann optional durch den Auftraggeber bis zu zwei mal um je 1 Jahr verlängert werden.
36-60 Monate nach Veröffentlichung
Das Nachprüfungsverfahren ist in Kapitel 2 des 4. Teils des Gesetzes gegen Wettbewerbsbeschränkungen (GWB) geregelt.Ein Nachprüfungsverfahren wird nach § 160 GWB nur auf Antrag bei der Vergabekammer eingeleitet. Antragsbefugt ist jedes Unternehmen, das ein Interesse an dem öffentlichen Auftrag hat und eine Verletzung in seinen Rechten nach § 97 Absatz 6 GWB durch Nichtbeachtung von Vergabevorschriften geltend macht. Dabei ist darzulegen, dass dem Unternehmen durch die behauptete Verletzung der Vergabevorschrift ein Schaden entstanden ist oder zu entstehen droht.Dieser Antrag ist unzulässig, soweit:1) der Antragsteller den geltend gemachten Verstoß gegen Vergabevorschriften vor Einreichen des Nachprüfungsantrages erkannt und gegenüber dem Auftraggeber nicht innerhalb einer Frist von 10 Kalendertagen gerügt hat; der Ablauf der Frist nach § 134 Absatz 2 GWB bleibt unberührt;2) Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, nicht spätestens bis zum Ablauf der in der Bekanntmachung benannten Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden;3) Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, nicht spätestens bis zum Ablauf der Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden;4) mehr als 15 Kalendertage nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, vergangen sind. Dies gilt nicht bei einem Antrag auf Feststellung der Unwirksamkeit des Vertrages nach § 135 Absatz 1 Nummer 2 GWB. § 134 Absatz 1 Satz 1 Satz 2 GWB bleibt unberührt.Nach § 134 GWB (Informations- und Wartepflicht) wird der Auftraggeber Bieter bzw. Bewerber über den vorgesehenen Zuschlag informieren. Der Vertrag wird erst 15 Kalendertage (bei elektronischer Übermittlung oder per Fax: 10 Kalendertage) nach Absendung dieser Information geschlossen.
1) Die gematik führt dieses Vergabeverfahren nach den Vorschriften des Gesetzes gegen Wettbewerbsbeschränkungen (GWB) und der Verordnung über die Vergabe öffentlicher Aufträge (VgV) durch; 2) Mit dem Angebot sind sämtliche der aufgelisteten Nachweise, Erklärungen und Angaben (Unterlagen) beizubringen. Für die Erstellung und Einreichung des Angebotes sind die von der Vergabestelle auf der angegebenen Internetseite zum Download zur Verfügung gestellten Vordrucke und Formblätter zu verwenden. Die Vergabestelle behält sich vor, fehlende, formell fehlerhafte oder unvollständige Unterlagen bis zum Ablauf einer von der Vergabestelle zu bestimmenden Nachfrist nachzufordern oder aufzuklären. Die Bieter haben keinen Anspruch auf Nachforderung / Nachreichung oder Aufklärung / Erläuterung von Unterlagen. Sämtliche Unterlagen sind in elektronischer Form sowie in Textform nach § 126b BGB über die genannte Vergabeplattform einzureichen; 3) Soweit Auskünfte erforderlich werden, sind Fragen ausschließlich über die genannte Vergabeplattform einzureichen; 4) Eine Erstattung von Kosten/Aufwendungen für die Erstellung des Angebots und die Teilnahme am Vergabeverfahren findet nicht statt; 5) Die Verfahrens- und Vertragssprache ist deutsch;
Möglichkeit der Nachforderung und Aufklärung:Sofern Angebote unvollständig eingegangen sind, behält sich der Auftraggeber vor, fehlende, unvollständige oder fehlerhafte Unterlagen - soweit zulässig - nachzufordern. Fehlende, unvollständige oder fehlerhafte Unterlagen führen gleichwohl zum Ausschluss des Angebotes, wenn nach pflichtgemäßer Ausübung des Ermessens von einer Nachforderung abgesehen wird.Sofern Angebotspreise im Verhältnis zu der zu erbringenden Leistung ungewöhnlich niedrig erscheinen, verlangt der Auftraggeber von den betroffenen Bietern Aufklärung und die Plausibilisierung der Angebotspreise. Gleiches gilt, wenn die Angebote widersprüchliche Angaben enthalten.
gem. §§123, 124 GWB
Betriebshaftpflichtversicherung / Berufshaftpflichtversicherung (Mit dem Angebot; Mittels Dritterklärung): Es ist eine Betriebshaftpflichtversicherung (oder eine vergleichbare marktübliche Versicherung) mit Deckungssummen in marktüblicher und für den Auftrag ausreichender Höhe nachzuweisen.
Sofern eine entsprechende Betriebshaftpflichtversicherung (oder eine vergleichbare marktübliche Versicherung) noch nicht besteht, ist zu erklären, dass eine solche Versicherung im Falle der Auftragserteilung abgeschlossen wird. In dem Zuge ist eine Erklärung eines Versicherers, aus der hervorgeht, dass er zum Abschluss einer entsprechenden Versicherung bereit ist, als Anlage beizufügen.
Handelsregisterauszug (Mit dem Angebot; Mittels Dritterklärung): Sofern eine Pflicht zur Eintragung ins Handelsregister (oder in einem vergleichbaren Register) besteht, ist ein aktueller Handelsregisterauszug (oder vergleichbarer Auszug), der nicht älter als 3 Monate ist, gerechnet ab der Abgabefrist des Verfahrens, einzureichen.
Unternehmensbezogene Referenzprojekte (Mit dem Angebot; Mittels Eigenerklärung): Es sind unternehmensbezogene Referenzprojekte für nach ihrer Art und ihrem Umfang mit der ausgeschriebenen Leistung vergleichbare Leistungen aus den letzten 3 Jahren anzugeben. Eine Referenz ist vergleichbar, wenn sie den initialen Aufbau mit der Implementierungsbegleitung vergleichbarer PaaS Lösung, zusammen mit SIEM Lösungen bzw. deren Teilkomponenten (z.B. Splunk, Ingestion Layer), sowie dem kontinuierlichen Betrieb und der Bereitstellung einer solchen Plattform für Kunden als Leistungsinhalt umfasste.Ein Referenzprojekt gilt als in den letzten 3 Jahren erbracht, wenn der Vertragsabschluss in diesem Zeitraum erfolgte und die vergleichbaren Leistungen mindestens schon 6 Monate beim Referenzgeber unter dem jeweiligen Vertrag erbracht wurden. Der 3-Jahres-Zeitraum beinhaltet dabei den Zeitraum 01.01.2022 bis zur Abgabe des Angebots.
Mindestanforderungen:- Es müssen mindestens 2 Referenzprojekte aus den letzten 3 Jahren nachgewiesen werden, die mit der ausgeschriebenen Leistung vergleichbar sind.- Das Auftragsvolumen muss einen Mindestauftragswert von 100.000 EUR (netto) haben
Unternehmensbezogene Umsatzangaben (Mit dem Angebot; Mittels Eigenerklärung): Gesamtumsatz des Unternehmens
Leistungsbezogene Umsatzangaben (Mit dem Angebot; Mittels Eigenerklärung): Umsatz des Unternehmens mit Leistungen, die mit den ausgeschriebenen Leistungen - Bereitstellung und Betrieb einer PaaS mit einer SiEM Lösung vergleichbar sind.
Mindestanforderung:Der erwirtschaftete Umsatz mit Leistungen, die mit den ausgeschriebenen Leistungen vergleichbar sind, muss mindestens 1.000.000 EUR (netto) pro Jahr betragen.
Nachweis zur Einhaltung der BSI-C5-Kriterien (Mit dem Angebot; Mittels Dritterklärung): Der Bieter muss den Betreiber der PaaS Lösung - sofern er nicht selbst der Betreiber dieser ist - den Namen des Betreibers angeben. Zudem muss der Bieter - sofern er nicht selbst der Betreiber ist - den Betreiber zwingend als Unterauftragnehmer (Eignungsleihgeber) unter Ziff. VII. benennen und alle für diesen Fall geforderten Erklärungen abgeben.
Der Betreiber der PaaS Lösung hat zu erklären, dass er im Rahmen der Qualitätssicherung mit der von ihm angebotenen Platform-as-a-Service die BSI-C5-Kriterien (oder vergleichbare Kriterien) eingehalten haben. Einen entsprechenden Nachweis (bspw. ein entsprechendes BSI-C5-Testat, oder ein BSI-C5-Prüfbericht, oder einen anderen vergleichbar geeigneten BSI-C5-Reporting-Nachweis) hat der Bieter zur Plausibilisierung als Anlage zu dem Angebot beizufügen bzw. ist er unter der von ihm anzugebenden URL zu veröffentlichen.
Nachweis ISO 27001 - Informationssicherheitsmanagement (Mit dem Angebot; Mittels Dritterklärung): Der Betreiber der Paas Lösung muss erklären, dass sein Unternehmen über eine gültige Zertifizierung zur ISO 27001 - (Informationssicherheitsmanagementsystem) verfügt und hat eine Kopie des jeweiligen Zertifikats seinem Angebot als Kopie (PDF-Dokument) beizulegen.
Mindestanforderung:Der Betreiber der angebotenen PaaS Lösung muss über die o.g. Zertifizierung verfügen. Das Zertifikat ist dem Angebot als Anlage beizufügen.
Nachweis ISO 22301 - Business Continuity Management (BCM) (Mit dem Angebot; Mittels Dritterklärung): Der Betreiber der Paas Lösung hat zu erklären, dass er über ein Qualitätsmanagementsystem nach ISO 22301 (Business Continuity Management) im Bereich BCM verfügt und eine Kopie des Zertifikats seinem Angebot (PDF-Dokument) beizulegen.
Mindestanforderung:Der Betreiber der PaaS-Lösung muss über eine ISO 22301-Zertifizierung verfügen. Das Zertifikat ist dem Angebot als Anlage beizufügen. Liegt die geforderte Zertifizierung nicht vor, muss der Nachweis der Einhaltung dieser Anforderung an das BCM über den als Anlage beigefügten BCM-Fragenkatalog geführt werden.
Zertifizierungen des Herstellers Splunk als Splunk Elite Partner oder höher (Mit dem Angebot; Mittels Dritterklärung): Aufgrund der hohen fachlichen Anforderungen der ausgeschriebenen Leistungen legt der Auftraggeber besonders hohen Wert auf Splunk-Spezialisierungen, die durch entsprechende Zertifizierungen nachzuweisen sind. Die Zertifizierungen sind von dem Bieter mit dem Angebot einzureichen.
Mindestanforderung: Der Bieter muss über den genannten Partnerschaftsnachweis (Splunk Elite Partner oder höher ) des Herstellers Splunk - Splunk Elite Partner oder höher - verfügen. Der entsprechende Nachweis über den Partner-Status ist dem Angebot als Anlage beizufügen.
Zertifizierungen des Herstellers der Ingestion Layer Lösung (Mit dem Angebot; Mittels Dritterklärung): Aufgrund der hohen fachlichen Anforderungen der ausgeschriebenen Leistungen legt der Auftraggeber besonders hohen Wert auf Hersteller Spezialisierungen, die durch entsprechende Zertifizierungen nachzuweisen sind. Die Zertifizierungen sind mit dem Angebot einzureichen
Mindestanforderung: Der Bieter muss über den höchsten Partnerschaftsstatus des Herstellers der Ingestion Layer Lösung verfügen. Der entsprechende Nachweis über den Partner-Status ist dem Angebot als Anlage beizufügen
Vorliegend werden keine besonderen Bedingungen an die Ausführungen des Auftrags (Ausführungsbedingungen) im Sinne des § 128 Abs. 2 GWB festgelegt. Alle allgemeingültigen Bedingungen an die Leistungserbringung ergeben sich aus den Vergabeunterlagen (insb. Leistungsbeschreibung und Vertrag).