Art der Leistung
Das Ziel der Ausschreibung ist der Abschluss einer Rahmenvereinbarung zur Auditierung und Überprüfung des koordinierenden Informationssicherheitsmanagementsystems (kISMS) der gematik GmbH zur Identifizierung von Feststellungen/Schwachstellen und Verbesserungspotenzialen. Im Fokus der Rahmenvereinbarung steht die unabhängige Überprüfung der Umsetzung der Anforderungen aus der internationalen Norm ISO/IEC 27001:2022 seitens der gematik. Der Schwerpunkt des Geltungsbereichs liegt dabei auf der anbieter- und herstellerübergreifenden Überwachung des sicheren Betriebs der Telematikinfrastruktur mit ihren Diensten und Komponenten. Die durchgeführten Kontrollaudits sollen die Wirksamkeit, Konformität und Weiterentwicklung des ISMS bewerten und dokumentieren. Dabei müssen die internen Prozesse innerhalb verschiedener Abteilungen der gematik betrachtet werden. Die Prüfmethoden und die erforderliche Qualität der Audits richten sich nach ISO/IEC 27001:2022.
Darüber hinaus soll der beauftragte Dienstleister die gematik bei der anbieter- und herstellerübergreifenden Überwachung des sicheren Betriebs der Telematikinfrastruktur bei Bedarf unterstützen.

Umfang der Leistung
Es sollen jährlich mindestens ein (1) und maximal zwei (2) Kontrollaudits, daher in Summe mindes-tens drei (3) maximal sechs (6) (sofern die Verlängerungsoption wahrgenommen wird mindestens vier (4) maximal acht (8) Audits) während der Vertragslaufzeit durchgeführt werden.

Für die Unterstützungsleistungen plant die gematik einen jährlichen Gesamtumfang von maximal fünf (5) und damit maximal fünfzehn (15) Personentagen während der Vertragslaufzeit (sofern die Verlängerungsoption wahrgenommen wird maximal zwanzig (20) Personentagen) ein.

Angaben zum Nichtvorliegen von Ausschlussgründen nach §§ 123 ff. GWB, § 21 AEntG, § 98c AufenthG § 19 MiLoG, § 21 SchwarzarbG.
Angaben zur Eintragung im Handelsregister.
Angaben zum Nichtvorliegen von Eintragungen im Gewerbezentral-/Wettbewerbsregister bzw. vergleichbarer Register aus dem Sitzland des Unternehmens (sofern Sitz nicht in Deutschland).
Bietergemeinschaften haften gesamtschuldnerisch für die Erfüllung der angebotenen Leistungen und haben in den Angeboten sämtliche Mitglieder der Bietergemeinschaft zu benennen sowie eines ihrer Mitglieder als bevollmächtigten Vertreter für das Vergabeverfahren, den Abschluss und die Durchführung des Vertrages zu bezeichnen (Bietergemeinschaftserklärung (Anlage 05)).
Der Bieter hat Art und Umfang der Leistungen anzugeben, die er an Unterauftragnehmer übertragen will. Er kann die Unterauftragnehmer bereits mit der Abgabe des Angebots benennen.
Sofern der Bieter von der Eignungsleihe gem. § 26 UVgO Gebrauch macht, hat er die Unternehmen, deren Eignung er sich bedient, bereits mit der Abgabe des Angebots zu benennen. In diesem Fall hat er zudem eine entsprechende Verpflichtungserklärung einzureichen, aus der hervorgeht, dass ihm die Kapazitäten der Unternehmen tatsächlich zur Verfügung stehen (Verpflichtungserklärung Unteraufträge (Anlage 06)).
Für den Fall der Bildung einer Bietergemeinschaft und für den Fall des Einsatzes von Eignungsleihgebern muss durch jedes Mitglied der Bietergemeinschaft bzw. durch jeden Eignungsleihgeber ein entsprechend ausgefülltes Eignungsformblatt (Anlage 04) eingereicht werden.

Vorzulegende Nachweise:
Handelsregisterauszug; Sofern eine Pflicht zur Eintragung ins Handelsregister (oder in einem vergleichbaren Register) besteht, ist ein aktueller Handelsregisterauszug (oder vergleichbarer Auszug), der nicht älter als 3 Monate ist, gerechnet ab der Abgabefrist des Verfahrens, einzureichen.; Mit dem Angebot; Mittels Dritterklärung

1) Umsatzangaben: Es sind Angaben zum durchschnittlichen Jahresumsatz und zu dem Umsatz von Leistungen, die mit ausgeschriebenen Leistungen vergleichbar sind für die letzten drei abgeschlossenen Geschäftsjahre (2022 - 2024) einzureichen.

Mindestanforderung: Der erwirtschaftete Umsatz mit Leistungen, die mit den ausgeschriebenen Leistungen vergleichbar sind - Durchführung von Audits im Bereich ISO 27001 - muss mindestens 300.000 EUR (netto) pro Jahr betragen.

2) Es ist eine Betriebshaftpflichtversicherung (oder eine vergleichbare marktübliche Versicherung) mit Deckungssummen in marktüblicher und für den Auftrag ausreichender Höhe nachzuweisen.

Sofern eine entsprechende Betriebshaftpflichtversicherung (oder eine vergleichbare marktübliche Versicherung) noch nicht besteht, ist zu erklären, dass eine solche Versicherung im Falle der Auftragserteilung abgeschlossen wird. In dem Zuge ist eine Erklärung eines Versicherers, aus der hervorgeht, dass er zum Abschluss einer entsprechenden Versicherung bereit ist, als Anlage beizufügen.

Vorzulegende Nachweise:
Betriebshaftpflichtversicherung / Berufshaftpflichtversicherung; Es ist eine Betriebshaftpflichtversicherung (oder eine vergleichbare marktübliche Versicherung) mit Deckungssummen in marktüblicher und für den Auftrag ausreichender Höhe nachzuweisen.

Sofern eine entsprechende Betriebshaftpflichtversicherung (oder eine vergleichbare marktübliche Versicherung) noch nicht besteht, ist zu erklären, dass eine solche Versicherung im Falle der Auftragserteilung abgeschlossen wird. In dem Zuge ist eine Erklärung eines Versicherers, aus der hervorgeht, dass er zum Abschluss einer entsprechenden Versicherung bereit ist, als Anlage beizufügen.; Mit dem Angebot; Mittels Dritterklärung
Erklärung über den Umsatz; Es sind Angaben zum durchschnittlichen Jahresumsatz und zu dem Umsatz von Leistungen, die mit ausgeschriebenen Leistungen vergleichbar sind für die letzten drei abgeschlossenen Geschäftsjahre (2022 - 2024) einzureichen.

Mindestanforderung: Der erwirtschaftete Umsatz mit Leistungen, die mit den ausgeschriebenen Leistungen vergleichbar sind - Durchführung von Audits im Bereich ISO 27001 - muss mindestens 300.000 EUR (netto) pro Jahr betragen.; Mit dem Angebot; Mittels Eigenerklärung

1) Erklärung über den Bestand an Mitarbeitern und Anzahl der Führungskräfte: Es sind Angaben zu dem durchschnittlichen jährlichen Bestand an Beschäftigte und Anzahl der Führungskräfte für die letzten drei Geschäftsjahre (2022 - 2024) einzureichen.

2) Referenzprojekte: Es sind unternehmensbezogene Referenzprojekte für nach ihrer Art und ihrem Umfang mit der ausgeschriebenen Leistung vergleichbare Leistungen aus den letzten 3 Jahren anzugeben. Eine Referenz ist vergleichbar, wenn sie die Durchführung von Audits im Bereich ISO27001 umfasste.
Ein Referenzprojekt gilt als in den letzten 3 Jahren erbracht, wenn die Leistungen in diesem Zeitraum erfolgten und der Vertrag mindestens schon 6 Monate mit dem Referenzgeber abgeschlossen war. Der 3-Jahres-Zeitraum beinhaltet dabei das bereits angefangene Jahr 2026 (bis zum Zeitpunkt der Veröffentlichung der Bekanntmachung) sowie die Jahre 2023, 2024 und 2025.

Mindestanforderungen:
- Es müssen mindestens drei Referenzprojekte aus den letzten 3 Jahren nachgewiesen werden, die mit den ausgeschriebenen Leistungen vergleichbar sind

3) Erklärung über Akkreditierung

Der Bieter muss über eine Akkreditierung der DakkS (Deutsche Akkreditierungsstelle GmbH) zur Zertifizierung nach ISO/IEC 27001 verfügen.

Mindestanforderungen:
Es muss eine Akkreditierung bei der DakkS für die Zertifizierung nach ISO/IEC 27001 vorliegen. Der entsprechende Nachweis ist als Anlage zum Angebot einzureichen.

Vorzulegende Nachweise:
Erklärung über den Bestand an Mitarbeitern und Anzahl der Führungskräfte; Es sind Angaben zu dem durchschnittlichen jährlichen Bestand an Beschäftigte und Anzahl der Führungskräfte für die letzten drei Geschäftsjahre (2022 - 2024) einzureichen.; Mit dem Angebot; Mittels Eigenerklärung
Unternehmensbezogene Referenzprojekte; Es sind unternehmensbezogene Referenzprojekte für nach ihrer Art und ihrem Umfang mit der ausgeschriebenen Leistung vergleichbare Leistungen aus den letzten 3 Jahren anzugeben. Eine Referenz ist vergleichbar, wenn sie die Durchführung von Audits im Bereich ISO27001 umfasste.
Ein Referenzprojekt gilt als in den letzten 3 Jahren erbracht, wenn die Leistungen in diesem Zeitraum erfolgten und der Vertrag mindestens schon 6 Monate mit dem Referenzgeber abgeschlossen war. Der 3-Jahres-Zeitraum beinhaltet dabei das bereits angefangene Jahr 2026 (bis zum Zeitpunkt der Veröffentlichung der Bekanntmachung) sowie die Jahre 2023, 2024 und 2025.

Mindestanforderungen:
- Es müssen mindestens drei Referenzprojekte aus den letzten 3 Jahren nachgewiesen werden, die mit der ausgeschriebenen Leistungen vergleichbar sind; Mit dem Angebot; Mittels Eigenerklärung
Erklärung über Akkreditierung; Der Bieter muss über eine Akkreditierung der DakkS (Deutsche Akkreditierungsstelle GmbH) zur Zertifizierung nach ISO/IEC 27001 verfügen.

Mindestanforderungen:
Es muss eine Akkreditierung bei der DakkS für die Zertifizierung nach ISO/IEC 27001 vorliegen. Der entsprechende Nachweis ist als Anlage zum Angebot einzureichen.; Mit dem Angebot; Mittels Dritterklärung