(1) Searching for "2021051409254448687" in Archived Documents Library (TED-ADL)
Ausschreibung: Dienstleistungen in Verbindung mit Software - DE-Eschborn
Dienstleistungen in Verbindung mit Software
Softwareprogrammierung und -beratung
Entwicklung von IT-Software
Entwicklung von Sicherheitssoftware
Entwicklung von Dateisicherheitssoftware
Software-Entwicklung
Software-Implementierung
Software-Konfiguration
Software-Beratung
Bereitstellung von Software
Dokument Nr...: 243072-2021 (ID: 2021051409254448687)
Veröffentlicht: 14.05.2021
*
DE-Eschborn: Dienstleistungen in Verbindung mit Software
2021/S 93/2021 243072
Auftragsbekanntmachung
Dienstleistungen
Rechtsgrundlage:
Richtlinie 2014/24/EU
Abschnitt I: Öffentlicher Auftraggeber
I.1)Name und Adressen
Offizielle Bezeichnung: Deutsche Gesellschaft für Internationale
Zusammenarbeit (GIZ) GmbH
Postanschrift: Dag-Hammarskjöld-Weg 1 - 5
Ort: Eschborn
NUTS-Code: DE71A Main-Taunus-Kreis
Postleitzahl: 65760
Land: Deutschland
E-Mail: [6]vergabe@bho-legal.com
Telefon: +49 2212709560
Fax: +49 221270956222
Internet-Adresse(n):
Hauptadresse: [7]https://www.giz.de
I.3)Kommunikation
Die Auftragsunterlagen stehen für einen uneingeschränkten und
vollständigen direkten Zugang gebührenfrei zur Verfügung unter:
[8]https://ausschreibungen.giz.de/Satellite/notice/CXTRYY6Y9XJ/document
s
Weitere Auskünfte erteilen/erteilt die oben genannten Kontaktstellen
Angebote oder Teilnahmeanträge sind einzureichen elektronisch via:
[9]https://ausschreibungen.giz.de/Satellite/notice/CXTRYY6Y9XJ
I.4)Art des öffentlichen Auftraggebers
Andere: Juristische Person des privaten Rechts (gemeinnützige GmbH)
finanziert durch die Bundesrepublik Deutschland
I.5)Haupttätigkeit(en)
Andere Tätigkeit: Internationale Zusammenarbeit
Abschnitt II: Gegenstand
II.1)Umfang der Beschaffung
II.1.1)Bezeichnung des Auftrags:
81268265_Integrierte Risiko-, Audit- und Vorfalls-Management-Software
Referenznummer der Bekanntmachung: 81268265
II.1.2)CPV-Code Hauptteil
72260000 Dienstleistungen in Verbindung mit Software
II.1.3)Art des Auftrags
Dienstleistungen
II.1.4)Kurze Beschreibung:
Die Deutsche Gesellschaft für Internationale Zusammenarbeit (GIZ) GmbH
plant, eine modular aufgebaute, Integrierte Risikomanagement-Software
(IRM-Software, international üblicherweise auch bezeichnet als
Governance, Risk and Controlling (GRC) Software), als
Software-as-a-Service (SaaS)-Lösung zu beschaffen.
Die Software soll zur Erfassung und zum Management von
(1) Unternehmensrisiken,
(2) Informationssicherheitsrisiken,
(3) internen und externen Prüfungen und Kontrollen sowie
(4) Vorfällen unterschiedlichster Art eingesetzt werden.
Die vorgenannten Funktionalitäten sollten idealerweise als
eigenständige Module auf einer gemeinsamen und einheitlichen Plattform
integriert betrieben werden. Die initiale Vertragslaufzeit sollte 46
Monate plus 12 Monate optionale Verlängerung betragen. Neben den
Kernleistungen sollen optionale Nebenleistungen, wie zum Beispiel
Trainings angeboten werden. Die Software muss allgemeine
IT-Sicherheits-, Informationssicherheits- und Datenschutzanforderungen
erfüllen (u.a. EU-DSGVO, ISO 27001) und auch fachlich in der Lage sein,
internationale Standards im Risikomanagement (insbesondere COSO 2017)
abbilden zu können.
II.1.5)Geschätzter Gesamtwert
II.1.6)Angaben zu den Losen
Aufteilung des Auftrags in Lose: nein
II.2)Beschreibung
II.2.2)Weitere(r) CPV-Code(s)
72200000 Softwareprogrammierung und -beratung
72212517 Entwicklung von IT-Software
72212730 Entwicklung von Sicherheitssoftware
72212731 Entwicklung von Dateisicherheitssoftware
72262000 Software-Entwicklung
72263000 Software-Implementierung
72265000 Software-Konfiguration
72266000 Software-Beratung
72268000 Bereitstellung von Software
II.2.3)Erfüllungsort
NUTS-Code: DE71A Main-Taunus-Kreis
Hauptort der Ausführung:
Deutsche Gesellschaft für Internationale Zusammenarbeit (GIZ) GmbH
Dag-Hammarskjöld-Weg 1 - 5
65760 Eschborn
II.2.4)Beschreibung der Beschaffung:
Neben der Erfüllung der vorgenannten allgemeinen IT-Sicherheits-,
Informationssicherheits- und Datenschutzanforderungen (u. a. EU-DSGVO,
ISO 27001) muss die Software in der Lage sein, ein
Unternehmensrisikomanagement-System und
Unternehmensrisikomanagement-Prozesse abzubilden, die an nationalen und
internationalen Standards (COSO 2017, IDW PS 340, IDW PS 981)
ausgerichtet sind. Weiterhin muss die Software die Möglichkeit bieten,
die grundlegenden Strukturen und Prozesse gemäß der in den nationalen
und internationalen Rahmenwerken (BSI-IT-Grundschutz Standard 200-3,
ISO/IEC 27001:2013) geforderten Mindestanforderungen an das Management
von Informationssicherheitsrisiken abzubilden.
Neben der Berücksichtigung dieser Standards soll die Software einfach
konfigurierbar sein und flexibel an Unternehmensrisikomanagement-,
Informationssicherheitsrisikomanagement- Audit Management- und
Vorfallsmanagement-Prozesse der GIZ angepasst werden können. Die
Softwarelösung soll modular aufgebaut sein und die nachstehenden
Teilfunktionalitäten beinhalten, die auf idealerweise einer
einheitlichen Systemplattform durch Schnittstellen miteinander
verbunden sind:
1. Risikomanagement-Modul (inkl. Informationssicherheitsrisiken,
alternativ auch als eigenständiges Modul),
2. Audit Management-Modul,
3. Incident-Management-Modul.
Kern der Software ist das Risikomanagement-Modul, das sowohl zum
Management der unternehmensrelevanten Risiken wie auch dem Management
von Informationssicherheitsrisiken genutzt werden soll und
Risikomanagement-Prozesse sowohl bottom-up als auch top-down abbilden
kann. Einzelrisiken können standardisiert erfasst, beschrieben,
klassifiziert und mit Risikosteuerungsmaßnahmen unterlegt werden. Bei
Bedarf können Risiken gleichzeitig oder sukzessiv an mehrere
Führungshierarchien zur Information oder Befassung weitergeleitet
werden. Die Software unterstützt mit geeigneten Methodiken die
Risikoaggregation und die Ermittlung des Gesamtrisikos. Die integrierte
Risikoberichterstattung liefert inhaltlich und optisch ansprechende
Berichte für Risikoverantwortliche und Führungskräfte. Sollte der
Anbieter für Unternehmensrisikomanagement und
Informationssicherheitsmanagement unterschiedliche Module anbieten,
sollte die Überleitung von Risiken zwischen diesen Modulen möglich
sein.
Das Audit-Modul muss in der Lage sein, prozessual sehr unterschiedliche
interne und externe, fachlich-inhaltliche und finanz-administrative
Prüfungen erfassen zu können. Das Prozessdesign soll eine
bedarfsgerechte Anpassung ermöglichen, um alle Phasen von der
Prüfungsplanung bis zum Abschluss und Nachbereitung einer Prüfung
individuell pro Prüfungsart konfigurieren zu können. Berechtigte
Prüfbeteiligte können Fragebögen anlegen, ändern und löschen und diese
auch als Kernelement in die Prozessabläufe insbesondere interner
Prüfungen einbetten. Darüber hinaus soll das Audit Management-Modul die
Möglichkeit bieten, prüfungsrelevante Dokumente mit ausgewählten
Beteiligten zu teilen und NutzerInnen unterstützen, aus den
verschiedenen Phasen und Elementen einer Prüfung mit geringem Aufwand
einen strukturierten Prüfbericht zu erstellen. Auswertungen zur
Quantität und den qualitativen Ergebnissen von Prüfungen können in
optisch und inhaltlich angemessener Form effizient erstellt werden. Die
Auswertungsfunktionalität erlaubt es darüber hinaus, die einzelnen
Felder von Fragebögen auszuwerten und die Ergebnisse ansprechend
aufzubereiten.
Das Vorfallsmanagement-Modul (Incident Management oder Issue
Management) soll idealerweise ein autarkes Systemmodul und keine
Zusatzfunktionalität des Risikomanagement- oder des Audit-Moduls sein.
Das Modul soll es ermöglichen, unterschiedliche Vorfallsarten, d. h
personenbezogene Vorfälle, Compliance- und Integritäts-Vorfälle,
datenschutzrelevante Vorfälle und Vorfälle aus dem Bereich IT- und
Informationssicherheit zu erfassen, zu bearbeiten und an zuständige
Einheiten weiterzuleiten. Wiederkehrende Meldungen können über eine
(teil-)automatisierte First-Level-Response bearbeitet werden. Ein
stringentes Rollenkonzept oder abgetrennte Datenräume sorgen für die
strikte Vertraulichkeit der Meldungen in den unterschiedlichen
Themenfeldern. Berichte und Statistiken zu Vorfällen, Vorfalls-Status
und eventuellen Schäden können im System durch berechtigte Nutzer*innen
mit geringem zeitlichem Aufwand erstellt werden.
Die Software muss relevante gesetzliche Vorgaben, Normen und Standards,
wie die Europäische Datenschutz-Grundverordnung und ISO 27001,
erfüllen. Das Anonymisieren oder Maskieren personenbezogener Daten soll
in allen Systemmodulen möglich sein. Das System muss über Konnektoren
oder API-Schnittstellen mit den von der GIZ eingesetzten
SAP-Basissystemen (zunächst ERP, später S/4) kompatibel sein. Darüber
hinaus soll die Software weltweit einsatzfähig sein und auch in Büros
in Entwicklungsländern mit einer schwach oder instabil ausgebauten
IT-Infrastruktur effizient bedienbar sein. Offline-Funktionalitäten
sollten das Bearbeiten von Risiken, Audits und Incidents ermöglichen
und den anschließenden Re-Import des Vorgangs in die Software
unterstützen.
Die Möglichkeit der modularen Erweiterbarkeit der Softwarelösung um
Module zur Abbildung des Internen Kontrollsystems" (IKS), des
Business Continuity Managements" (BCM), der Geschäftspartnerprüfung
oder des Projektrisikomanagements (PRM) ist von Vorteil; die
Beschaffung solcher Module liegt aber außerhalb des Scopes der hier
beschriebenen Beschaffung.
II.2.5)Zuschlagskriterien
Der Preis ist nicht das einzige Zuschlagskriterium; alle Kriterien sind
nur in den Beschaffungsunterlagen aufgeführt
II.2.6)Geschätzter Wert
II.2.7)Laufzeit des Vertrags, der Rahmenvereinbarung oder des
dynamischen Beschaffungssystems
Laufzeit in Monaten: 46
Dieser Auftrag kann verlängert werden: ja
Beschreibung der Verlängerungen:
Die Vertragslaufzeit von 46 Monaten kann optional um 12 Monate
verlängert werden.
II.2.9)Angabe zur Beschränkung der Zahl der Bewerber, die zur
Angebotsabgabe bzw. Teilnahme aufgefordert werden
Geplante Mindestzahl: 3
Höchstzahl: 5
II.2.10)Angaben über Varianten/Alternativangebote
Varianten/Alternativangebote sind zulässig: nein
II.2.11)Angaben zu Optionen
Optionen: ja
Beschreibung der Optionen:
Die Auftraggeberin behält sich optional vor, Vertragsverlängerungen
und/oder -aufstockungen auf Basis der in den Vergabeunterlagen
genannten Kriterien an das in diesem Verfahren erfolgreiche Unternehmen
zu vergeben; i. Ü. siehe ausführliche Leistungsbeschreibung.
II.2.13)Angaben zu Mitteln der Europäischen Union
Der Auftrag steht in Verbindung mit einem Vorhaben und/oder Programm,
das aus Mitteln der EU finanziert wird: nein
II.2.14)Zusätzliche Angaben
Abschnitt III: Rechtliche, wirtschaftliche, finanzielle und technische
Angaben
III.1)Teilnahmebedingungen
III.1.1)Befähigung zur Berufsausübung einschließlich Auflagen
hinsichtlich der Eintragung in einem Berufs- oder Handelsregister
Auflistung und kurze Beschreibung der Bedingungen:
1. Eigenerklärung zur Eintragung ins Handelsregister oder
gleichwertigem Register nach den Rechtsvorschriften des Herkunftslands
und Einreichung des Auszuges.
2. Eigenerklärung, dass keine Ausschlussgründe nach § 123, § 124 GWB
vorliegen.
3. Eigenerklärung Nachunternehmer/Bewerbergemeinschaften.
4. Erklärung der Bewerbergemeinschaft (falls zutreffend).
III.1.2)Wirtschaftliche und finanzielle Leistungsfähigkeit
Auflistung und kurze Beschreibung der Eignungskriterien:
1. Durchschnittlicher Jahresumsatz in den letzten 3 Geschäftsjahren in
EUR (Bei Ausschreibungen, die innerhalb von 6 Monaten nach dem Ende des
letzten Geschäftsjahres von der GIZ veröffentlicht werden, kann das
viertletzte Geschäftsjahr herangezogen werden.)
2. Anzahl der Beschäftigten und Führungslräfte zum 31.12. des letzten
Kalenderjahres.
Möglicherweise geforderte Mindeststandards:
1. Durchschnittlicher Jahresumsatz in den letzten 3 Geschäftsjahren in
EUR (Bei Ausschreibungen, die innerhalb von sechs Monaten nach dem Ende
des letzten Geschäftsjahres von der GIZ veröffentlicht werden, kann das
viertletzte Geschäftsjahr herangezogen werden.), mindestens: 5 000 000
EUR.
2. Anzahl der Beschäftigten und Führungslräfte zum 31.12. des letzten
Kalenderjahres, mindestens 40 Personen.
III.1.3)Technische und berufliche Leistungsfähigkeit
Auflistung und kurze Beschreibung der Eignungskriterien:
1. Vorlage geeigneter Referenzprojekte aus den letzten 3 Jahren.
Möglicherweise geforderte Mindeststandards:
1. Grundlage der fachlichen Bewertung sind nur Referenzprojekte mit
einem Mindestauftragsvolumen von 500 000 EUR.
2. Mindestens 5 Referenzprojekte im Fachgebiete GRC-Software
(Governance, Risk and Controlling), wobei die Module
Unternehmensrisiko-Management und
Informationssicherheitsrisikomanagement innerhalb dieser Projekte
mindestens je 3 Mal, das Audit Modul mindestens 2 Mal und das Incident
Modul mindestens 1-mal abgedeck sein müssen.
3. Mindestens 2 Referenzprojekte im in der Region Welt ohne Europa und
Nordamerika (dazu zählen auch Installationen für Unternehmen mit ihrem
Hauptsitz in Europa oder Nordamerika, bei denen die Software in Ländern
außerhalb von Europa oder Nordamerika eingesetzt wird).
Abschnitt IV: Verfahren
IV.1)Beschreibung
IV.1.1)Verfahrensart
Verhandlungsverfahren
IV.1.3)Angaben zur Rahmenvereinbarung oder zum dynamischen
Beschaffungssystem
IV.1.4)Angaben zur Verringerung der Zahl der Wirtschaftsteilnehmer oder
Lösungen im Laufe der Verhandlung bzw. des Dialogs
Abwicklung des Verfahrens in aufeinander folgenden Phasen zwecks
schrittweiser Verringerung der Zahl der zu erörternden Lösungen bzw. zu
verhandelnden Angebote
IV.1.5)Angaben zur Verhandlung
IV.1.8)Angaben zum Beschaffungsübereinkommen (GPA)
Der Auftrag fällt unter das Beschaffungsübereinkommen: ja
IV.2)Verwaltungsangaben
IV.2.2)Schlusstermin für den Eingang der Angebote oder Teilnahmeanträge
Tag: 10/06/2021
Ortszeit: 12:00
IV.2.3)Voraussichtlicher Tag der Absendung der Aufforderungen zur
Angebotsabgabe bzw. zur Teilnahme an ausgewählte Bewerber
Tag: 07/07/2021
IV.2.4)Sprache(n), in der (denen) Angebote oder Teilnahmeanträge
eingereicht werden können:
Deutsch
Abschnitt VI: Weitere Angaben
VI.1)Angaben zur Wiederkehr des Auftrags
Dies ist ein wiederkehrender Auftrag: nein
VI.2)Angaben zu elektronischen Arbeitsabläufen
Aufträge werden elektronisch erteilt
VI.3)Zusätzliche Angaben:
Die Kommunikation findet ausschließlich über den Projektbereich des
Portals statt.
Bekanntmachungs-ID: CXTRYY6Y9XJ
VI.4)Rechtsbehelfsverfahren/Nachprüfungsverfahren
VI.4.1)Zuständige Stelle für Rechtsbehelfs-/Nachprüfungsverfahren
Offizielle Bezeichnung: Die Vergabekammern des Bundes
Postanschrift: Villemombler Straße 76
Ort: Bonn
Postleitzahl: 53123
Land: Deutschland
E-Mail: [10]vk@bundeskartellamt.bund.de
Telefon: +49 2289499-0
Fax: +49 2289499-163
Internet-Adresse: [11]https://www.bundeskartellamt.de
VI.4.3)Einlegung von Rechtsbehelfen
Genaue Angaben zu den Fristen für die Einlegung von Rechtsbehelfen:
Ein Nachprüfungsantrag ist gemäß § 160 Abs. 3 GWB unzulässig, soweit
1. der Antragsteller den geltend gemachten Verstoß gegen
Vergabevorschriften vor Einreichen des Nachprüfungsantrags erkannt und
gegenüber dem Auftraggeber nicht innerhalb einer Frist von 10
Kalendertagen gerügt hat; der Ablauf der Frist nach § 134 Absatz 2
bleibt unberührt,
2. Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung
erkennbar sind, nicht spätestens bis zum Ablauf der in der
Bekanntmachung benannten Frist zur Bewerbung oder zur Angebotsabgabe
gegenüber dem Auftraggeber gerügt werden,
3. Verstöße gegen Vergabevorschriften, die erst in den
Vergabeunterlagen erkennbar sind, nicht spätestens bis zum Ablauf der
Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber
gerügt werden,
4. mehr als 15 Kalendertage nach Eingang der Mitteilung des
Auftraggebers, einer Rüge nicht abhelfen zu wollen, vergangen sind.
Satz 1 gilt nicht bei einem Antrag auf Feststellung der Unwirksamkeit
des Vertrags nach § 135 Absatz 1 Nummer 2. § 134 Absatz 1 Satz 2 bleibt
unberührt.
VI.5)Tag der Absendung dieser Bekanntmachung:
10/05/2021
References
6. mailto:vergabe@bho-legal.com?subject=TED
7. https://www.giz.de/
8. https://ausschreibungen.giz.de/Satellite/notice/CXTRYY6Y9XJ/documents
9. https://ausschreibungen.giz.de/Satellite/notice/CXTRYY6Y9XJ
10. mailto:vk@bundeskartellamt.bund.de?subject=TED
11. https://www.bundeskartellamt.de/
--------------------------------------------------------------------------------
Database Operation & Alert Service (icc-hofmann) for:
The Office for Official Publications of the European Communities
The Federal Office of Foreign Trade Information
Phone: +49 6082-910101, Fax: +49 6082-910200, URL: http://www.icc-hofmann.de
|