NEU! Webbasierte Angebotsabgabe! Weitere Informationen unter https://csx.de/JiViu

Verfahrensangaben

Penetrationtesting und Threat-Modeling
VO: VgV Vergabeart: Offenes Verfahren Status: Veröffentlicht

Fristen

Fristen
18.05.2026
01.06.2026 12:00 Uhr

Adressen/Auftraggeber

Auftraggeber

Auftraggeber

DAK-Gesundheit
DE811462382
http://www.dak.de
Nagelsweg 27-31
20097
Hamburg
Deutschland
DE600
vergabestelle@dak.de
+49 000

Angaben zum Auftraggeber

Körperschaften des öffentlichen Rechts auf Bundesebene
Gesundheit

Gemeinsame Beschaffung

Beschaffungsdienstleister
Weitere Auskünfte
Rechtsbehelfsverfahren / Nachprüfungsverfahren

Stelle, die Auskünfte über die Einlegung von Rechtsbehelfen erteilt

Zuständige Stelle für Rechtsbehelfs-/Nachprüfungsverfahren

Vergabekammern des Bundes
000
https://www.bundeskartellamt.de
Bundeskanzlerplatz 2
53113
Bonn
Deutschland
DEA22
vk@bundeskartellamt.bund.de
+49 22894990

Zuständige Stelle für Schlichtungsverfahren

Auftragsgegenstand

Klassifikation des Auftrags
Dienstleistungen

CPV-Codes

72000000-5
72254000-0
Umfang der Beschaffung

Kurze Beschreibung

Rahmenvertrag über Penetrationstests und Threat Modelings bei der DAK-Gesundheit.

Beschreibung der Beschaffung (Art und Umfang der Dienstleistung bzw. Angabe der Bedürfnisse und Anforderungen)

Ausgeschrieben wird ein Rahmenvertrag für die Bereitstellung von Penetrationstests und Threat Modelings. Der Rahmenvertrag hat ein geschätztes Gesamtvolumen von 90 Personentagen (PT) pro Jahr und wird über vier Jahre geschlossen. Zwei Auftragnehmer bekommen den Zuschlag. Das Volumen verteilt sich auf beide Auftragnehmer und kann sowohl für Pentests als auch für Threat-Modelings abgerufen werden.

Einzelheiten sind der Anlage Leistungsbeschreibung zu entnehmen.

Umfang der Auftragsvergabe

EUR

Laufzeit des Vertrags, der Rahmenvereinbarung oder des dynamischen Beschaffungssystems

Laufzeit in Monaten
48
Erfüllungsort(e)

Erfüllungsort(e)

Ort im betreffenden Land
Deutschland

Weitere Erfüllungsorte

Zuschlagskriterien

Zuschlagskriterien

---
Weitere Informationen

Angaben zu Mitteln der europäischen Union

Angaben zu KMU

Angaben zu Optionen

Zusätzliche Angaben

Verfahren

Verfahrensart

Verfahrensart

Offenes Verfahren

Angaben zum Verfahren

Angaben zum Beschaffungsübereinkommen (GPA)

Besondere Methoden und Instrumente im Vergabeverfahren

Angaben zur Rahmenvereinbarung

Rahmenvereinbarung ohne erneuten Aufruf zum Wettbewerb

2
500.000,00
EUR

Angaben zum dynamischen Beschaffungssystem

Entfällt

Angaben zur elektronischen Auktion

Angaben zur Wiederkehr von Aufträgen

Angaben zur Wiederkehr von Aufträgen

Strategische Auftragsvergabe

Strategische Auftragsvergabe

Gesetz über die Beschaffung sauberer Straßenfahrzeuge

Energieeffizienz-Richtlinie

Angaben zu elektronischen Arbeitsabläufen

Angaben zu elektronischen Arbeitsabläufen

Erforderlich
Auftragsunterlagen

Sprache der Auftragsunterlagen

Deutsch
Sonstiges / Weitere Angaben

Kommunikationskanal


https://www.dtvp.de/Satellite/notice/CXS0YRXYTP3CQZFC

Einlegung von Rechtsbehelfen

§ 160 Einleitung, Antrag
(1) Die Vergabekammer leitet ein Nachprüfungsverfahren nur auf Antrag ein.
(2) Antragsbefugt ist jedes Unternehmen, das ein Interesse an dem öffentlichen Auftrag oder der Konzession hat und eine Verletzung in seinen Rechten nach § 97 Absatz 6 durch Nichtbeachtung von Vergabevorschriften geltend macht. Dabei ist darzulegen, dass dem Unternehmen durch die behauptete Verletzung der Vergabevorschriften ein Schaden entstanden ist oder zu entstehen droht.
(3) Der Antrag ist unzulässig, soweit
1. der Antragsteller den geltend gemachten Verstoß gegen Vergabevorschriften vor Einreichen des Nachprüfungsantrags erkannt und gegenüber dem Auftraggeber nicht innerhalb einer Frist von zehn Kalendertagen gerügt hat; der Ablauf der Frist nach § 134 Absatz 2 bleibt unberührt,
2. Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, nicht spätestens bis zum Ablauf der in der Bekanntmachung benannten Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden,
3. Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, nicht spätestens bis zum Ablauf der Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden,
4. mehr als 15 Kalendertage nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, vergangen sind.
Satz 1 gilt nicht bei einem Antrag auf Feststellung der Unwirksamkeit des Vertrags nach § 135 Absatz 1 Nummer 2. § 134 Absatz 1 Satz 2 bleibt unberührt.

Frühere Bekanntmachung zu diesem Verfahren

Anwendbarkeit der Verordnung zu drittstaatlichen Subventionen

Zusätzliche Informationen

Unabhängig von dieser Ausschreibung würden wir uns freuen, wenn wir Ihnen und Ihren Beschäftigten unser Leistungs- bzw. Serviceangebot vermitteln dürften. Sofern Sie hieran Interesse haben, senden Sie uns bitte die anliegende Erklärung "Freiwillige Einverständniserklärung Vertrieb" zu.

WICHTIG! Die Entscheidung, ob Sie uns die Möglichkeit der Information hinsichtlich unseres Leistungs- bzw. Serviceangebotes geben möchten, hat keinerlei Auswirkung auf die Ausschreibung, d. h. auch wenn Sie uns die Erklärung "Freiwillige Einverständniserklärung Serviceangebot" nicht übermitteln, wird Ihr Angebot, wie jedes andere Angebot, geprüft und gewertet!

Angebote

Anforderungen an Angebote / Teilnahmeanträge

Übermittlung der Angebote / Teilnahmeanträge

Anforderungen an die Form bei elektronischer Übermittlung

Sprache(n), in der (denen) Angebote / Teilnahmeanträge eingereicht werden können

Deutsch

Varianten / Alternativangebote

Elektronische Kataloge

Nicht zulässig

Mehrere Angebote pro Bieter

Nicht zulässig
Verwaltungsangaben

Bindefrist

60
Tage

Bedingungen für die Öffnung der Angebote

Nachforderung

Eine Nachforderung von Erklärungen, Unterlagen und Nachweisen ist teilweise ausgeschlossen.

Unvollständige Angebote können vom weiteren Verfahren ausgeschlossen werden. Die Auftraggeberin behält sich vor, die Bieter unter Setzung einer Frist und Einhaltung der Grundsätze der Transparenz und der Gleichbehandlung aufzufordern, fehlende, unvollständige oder fehlerhafte unternehmensbezogene Unterlagen, insbesondere Eigenerklärungen, Angaben, Bescheinigungen oder sonstige Nachweise, nachzureichen, zu vervollständigen oder zu korrigieren, oder fehlende oder unvollständige leistungsbezogene Unterlagen nachzureichen oder zu vervollständigen.
Die Nachforderung von leistungsbezogenen Unterlagen, die die Wirtschaftlichkeitsbewertung der Angebote anhand der Zuschlagskriterien betreffen, ist ausgeschlossen. Dies gilt nicht für Preisangaben, wenn es sich um unwesentliche Einzelpositionen handelt, deren Einzelpreise den Gesamtpreis nicht verändern oder die Wertungsreihenfolge und den Wettbewerb nicht beeinträchtigen.
Im Übrigen gilt § 56 Abs. 2 und 3 VgV.

Bedingungen

Ausschlussgründe

Ort der Angabe der Ausschlussgründe

Auswahl der Ausschlussgründe

Es wird auf die Vorgaben der Vergabeunterlagen und die geltenden Vergabevorschriften (insbesondere die §§ 123, 124 GWB) verwiesen.

Es wird auf die Vorgaben der Vergabeunterlagen und die geltenden Vergabevorschriften (insbesondere die §§ 123, 124 GWB) verwiesen.

Es wird auf die Vorgaben der Vergabeunterlagen und die geltenden Vergabevorschriften (insbesondere die §§ 123, 124 GWB) verwiesen.

Es wird auf die Vorgaben der Vergabeunterlagen und die geltenden Vergabevorschriften (insbesondere die §§ 123, 124 GWB) verwiesen.

Es wird auf die Vorgaben der Vergabeunterlagen und die geltenden Vergabevorschriften (insbesondere die §§ 123, 124 GWB) verwiesen.

Es wird auf die Vorgaben der Vergabeunterlagen und die geltenden Vergabevorschriften (insbesondere die §§ 123, 124 GWB) verwiesen.

Es wird auf die Vorgaben der Vergabeunterlagen und die geltenden Vergabevorschriften (insbesondere die §§ 123, 124 GWB) verwiesen.

Es wird auf die Vorgaben der Vergabeunterlagen und die geltenden Vergabevorschriften (insbesondere die §§ 123, 124 GWB) verwiesen.

Es wird auf die Vorgaben der Vergabeunterlagen und die geltenden Vergabevorschriften (insbesondere die §§ 123, 124 GWB) verwiesen.

Es wird auf die Vorgaben der Vergabeunterlagen und die geltenden Vergabevorschriften (insbesondere die §§ 123, 124 GWB) verwiesen.

Es wird auf die Vorgaben der Vergabeunterlagen und die geltenden Vergabevorschriften (insbesondere die §§ 123, 124 GWB) verwiesen.

Es wird auf die Vorgaben der Vergabeunterlagen und die geltenden Vergabevorschriften (insbesondere die §§ 123, 124 GWB) verwiesen.

Es wird auf die Vorgaben der Vergabeunterlagen und die geltenden Vergabevorschriften (insbesondere die §§ 123, 124 GWB) verwiesen.

Es wird auf die Vorgaben der Vergabeunterlagen und die geltenden Vergabevorschriften (insbesondere die §§ 123, 124 GWB) verwiesen.

Es wird auf die Vorgaben der Vergabeunterlagen und die geltenden Vergabevorschriften (insbesondere die §§ 123, 124 GWB) verwiesen.

Es wird auf die Vorgaben der Vergabeunterlagen und die geltenden Vergabevorschriften (insbesondere die §§ 123, 124 GWB) verwiesen.

Es wird auf die Vorgaben der Vergabeunterlagen und die geltenden Vergabevorschriften (insbesondere die §§ 123, 124 GWB) verwiesen.

Es wird auf die Vorgaben der Vergabeunterlagen und die geltenden Vergabevorschriften (insbesondere die §§ 123, 124 GWB) verwiesen.

Es wird auf die Vorgaben der Vergabeunterlagen und die geltenden Vergabevorschriften (insbesondere die §§ 123, 124 GWB) verwiesen.

Es wird auf die Vorgaben der Vergabeunterlagen und die geltenden Vergabevorschriften (insbesondere die §§ 123, 124 GWB) verwiesen.

Es wird auf die Vorgaben der Vergabeunterlagen und die geltenden Vergabevorschriften (insbesondere die §§ 123, 124 GWB) verwiesen.

Es wird auf die Vorgaben der Vergabeunterlagen und die geltenden Vergabevorschriften (insbesondere die §§ 123, 124 GWB) verwiesen.
Teilnahmebedingungen

Eignungskriterien / Ausschreibungsbedingungen

Eignungskriterium

Berufliche Risikohaftpflichtversicherung

2.1 Nachweis einer Berufs-/Betriebshaftpflichtverischerung - "2.1 Nachweis einer Berufs-/Betriebshaftpflichtversicherung: Abgabe einer Eigenerklärung des Bieters, dass eine Berufs- oder Betriebshaftpflichtversicherung vorhanden ist, bzw. im Auftragsfall abgeschlossen wird und diese während der gesamten Vertragslaufzeit aufrecht erhalten wird

(Nachzuweisen durch Eigenerklärung: Anlage A2, Ziffer 2.1),

Im Fall einer Bietergemeinschaft muss eine entsprechende Versicherung von mindestens einem Mitglied oder alternativ von der Bietergemeinschaft selbst vorhanden sein.

Inhaltliche Mindestanforderung:
Bestehen einer im Rahmen und Umfang marktüblichen Industriehaftpflichtversicherung oder einer vergleichbaren Versicherung aus einem Mitgliedsstaat der EU."

Eignungskriterium

Allgemeiner Jahresumsatz

2.2 Eigenerklärung zu den Unternehmensumsätzen - "2.2 Eigenerklärung zu den Unternehmensumsätzen: Abgabe einer Eigenerklärung des Bieters/von jedem Mitglied einer Bietergemeinschaft über seine Gesamt- sowie tätigkeitsbezogenen Umsatzerlöse der letzten drei abgeschlossenen Geschäftsjahre

(Nachzuweisen durch Eigenerklärung: Anlage A2, Ziffer 2.2).
Inhaltliche Mindestanforderung:
"

Eignungskriterium

Referenzen zu bestimmten Dienstleistungen

3.1 Eigenerklärung über geeignete Unternehmensreferenzen - "3.1 Eigenerklärung über geeignete Unternehmensreferenzen: Abgabe einer Eigenerklärung über geeignete Referenzen über früher ausgeführte Aufträge, die mit dem Ausschreibungsgegenstand vergleichbar sind.

Eine Referenz ist vergleichbar, wenn sie die nachfolgenden Bedingungen erfüllt:
- Das Referenzprojekt entspricht im wesentlichen den hier ausgeschriebenen Leistungen.
- Projektbeginn und -ende nicht länger als 3 Kalenderjahre (gerechnet ab Angebotsfristende) zurückliegend
- Das Penetrationstesting oder Threat-Modeling muss erfolgreich abgeschlossen sein.

(Nachzuweisen durch Eigenerklärung: Anlage A2, Ziffer 3.1).

Inhaltliche Mindestanforderung:
Es sind mindestens 6 vergleichbare Referenzprojekte nachzuweisen:

I. Threat-Modeling
Es sind mindestens 3 Referenzprojekte mit dem Inhalt Threat-Modeling einzureichen, die die folgenden Mindestanforderungen kumulativ erfüllen müssen:
- Die Architektur eines verteilten, technischen Systems wurde anhand von Design-Dokumenten untersucht. Dabei wurden Schwachstellen identifiziert und beschrieben.
- Es wurde ein Bedrohungsmodell in Form eines Diagrams erstellt. Hierfür wurden anerkannte Modellierungstechniken eingesetzt, beispielsweise das C4 Model.
- Die Referenzprojekte müssen für einen Kunden außerhalb des eigenen Unternehmens durchgeführt worden sein.

Zwei der mindestens 3 Refrenzprojekte müssen zusätzliche folgender Kriterien erfüllen:

- Es wurde ein Workshop fürs Threat-Modeling mit mindestens 4 Teilnehmern durchgeführt. Im Rahmen des Workshops wurden zusammen Diagramme erstellt oder ergänzt, anhand derer mögliche Schwachstellen identifiziert werden konnten. Die Termine können Remote stattgefunden haben.

II. Penetrationtesting
Es sind mindestens 3 Referenzprojekte mit dem Inhalt Penetrationtesting einzureichen, die die folgenden Mindestanforderungen kumulativ erfüllen müssen:

- Aus den vorlegten Refernzprojekten muss jedes der folgenden Themengebiete mindestens einmal belegt werden können: Smartphone-Apps (z.B. für iOS oder Android), Web-Applications, Cloud-Umgebungen und Netzwerke
- Sie haben einen Umfang von mindestens 5 Personentagen
- Sie müssen für einen Kunden außerhalb des eigenen Unternehmens durchgeführt worden sein.

HINWEIS:
Die Erfüllung sämtlicher Mindestkriterien muss sich aus der inhaltlichen Beschreibung der erbrachten Leistungen in der Eigenerklärung in Anlage A2, Ziffer 3.1 ergeben."

Eignungskriterium

Referenzen zu bestimmten Dienstleistungen

3.2 Eigenerklärung zur Menge durchgeführter Threat-Modelings - "3.2 Eigenerklärung zur Menge durchgeführter Threat-Modelings: Abgabe einer Eigenerklärung des Bieters / der Bietergemeinschaft, dass im Zeitraum der letzten 3 Jahre mindestens 10 Threat-Modelings durchgeführt wurden.

(Nachzuweisen durch Eigenerklärung: Anlage A2, Ziffer 3.2).

Inhaltliche Mindestanforderung:
Die Threat-Modelings müssen vergleichbar sein mit den Anforderungen dieser Ausschreibung an Threat-Modelings, beschrieben in Kapitel 4.9 der B1_Leistungsbeschreibung."

Finanzierung

Rechtsform des Bieters

Bedingungen für den Auftrag

Bedingungen für den Auftrag

"1.1 Eigenerklärung zur Zuverlässigkeit: Abgabe einer Eigenerklärung vom Bieter/jedem Mitglied einer Bietergemeinschaft zur Zuverlässigkeit gemäß §§ 123, 124 GWB

(Nachzuweisen durch Eigenerklärung: Anlage A2, Ziffer 1.1). || "
"1.2 Eigenerklärung Mindestlohn und Tariftreue: Abgabe einer Eigenerklärung vom Bieter/jedem Mitglied einer Bietergemeinschaft zur Einhaltung der Pflicht zur Zahlung des Mindestlohns und zur Tariftreue

(Nachzuweisen durch Eigenerklärung: Anlage A2, Ziffer 1.2). || "
"1.3 Eigenerklärung zu Russlandsanktionen: Abgabe einer Eigenerklärung vom Bieter/jedem Mitglied einer Bietergemeinschaft, von jedem benannten Nachunternehmer, dass die Art. 5k Abs. 1 VO (EU) 833/2014 genannten Sachverhalte zu Russlandsanktionen eingehalten werden

(Nachzuweisen durch Eigenerklärung: Anlage A2, Ziffer 1.3). || "

Angaben zu geschützten Beschäftigungsverhältnissen

Nein

Angaben zur reservierten Teilnahme

Angaben zur beruflichen Qualifikation

Erforderlich für das Angebot

Angaben zur Sicherheitsüberprüfung