 |
icc hofmann - Ingenieurbüro für technische Informatik Am Stockborn 16, 60439 Frankfurt/M, FRG Tel.: +49 6082-910101 Fax.: +49 6082-910200 E-Mail: info@icc-hofmann.net |
|
| Titel : |
|
|---|---|
| Dokument-Nr. ( ID / ND ) : |
|
| Veröffentlicht : |
|
| Anforderung der Unterlagen bis : |
|
| Angebotsabgabe bis : |
|
| Dokumententyp : |
|
| Produkt-Codes : |
72000000 - IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung
72220000 - Systemberatung und technische Beratung
|
|
DEU-Hannover: Deutschland IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung DORA- konforme Rezertifizierung Firewall-Regelwerk 2025/S 47/2025 150974 Deutschland IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung DORA- konforme Rezertifizierung Firewall-Regelwerk OJ S 47/2025 07/03/2025 Auftrags- oder Konzessionsbekanntmachung Standardregelung Dienstleistungen 1. Beschaffer 1.1. Beschaffer Offizielle Bezeichnung: NBank E-Mail: ausschreibungen@nbank.de Rechtsform des Erwerbers: Von einer regionalen Gebietskörperschaft kontrollierte Einrichtung des öffentlichen Rechts Tätigkeit des öffentlichen Auftraggebers: Wirtschaftliche Angelegenheiten 2. Verfahren 2.1. Verfahren Titel: DORA-konforme Rezertifizierung Firewall-Regelwerk Beschreibung: Im Rahmen der Einführung eines neuen Lifecycle-Management-Prozesses für Firewall-Regeln soll eine initiale Bestandsaufnahme und Rezertifizierung der bestehenden Firewall-Regeln durch einen externen Dienstleister durchgeführt wer-den. Ziel ist es, die aktuellen Regeln auf ihre Sicherheitswirksamkeit und Konformität zu überprüfen, um die Sicherheit der IT-Infrastruktur zu gewährleisten und etwaige Schwachstellen zu identifizieren. Der Auftrag umfasst folgende Leistungen: 1. Bestandsaufnahme der aktuellen Firewall- Regeln: - Erfassen aller bestehenden Regeln, inklusive ihrer Parameter (z. B. Quell-/Ziel-IPs, Protokolle, Ports, etc.). - Dokumentation der vorhandenen Regeln - Identifikation und Erfassung der verantwortlichen Stellen bzw. Verantwortliche für die einzelnen Regeln. 2. Überprüfung auf Konformität und Sicherheit: - Analyse der Regeln auf Redundanzen, veraltete oder ungenutzte Regeln. - Überprüfung der Firewall-Regeln hinsichtlich der Einhaltung geltender Sicherheitsrichtlinien (z. B. Unternehmensrichtlinien, rechtliche Anforderungen, Vorgaben des ISMS) und allgemeiner Compliance-Regeln der Finanzwirtschaft (z.B. DORA) unter Berücksichtigung des jeweils aktuellen Stands der Technik. - Bewertung der Regeln hinsichtlich möglicher Sicherheitsrisiken (z. B. unnötig offene Ports, unzureichende Beschränkungen, etc. - Überprüfung der grundsätzlichen Firewall-Einstellungen gegenüber der all-gemeinen Bedrohungslage und ggü. bekannten Schwachstellen der eingesetzten Firewall-Systeme 3. Dokumentation der Feststellungen: - Erstellung eines Abschlussberichts mit den Ergebnissen der Prüfung. - Dokumentation der Einzelüberprüfungsergebnisse aus (2) in strukturierter Form je Regel. - Empfehlung von Maßnahmen zur Optimierung und Verbesserung der Sicherheit und Effizienz der Firewalls. 4. Bearbeitungsstruktur / Umsetzung: - Die Bearbeitung der Rezertifizierung muss o toolgestützt, - Es soll ein Tool für die Rezertifizierung eingeführt werden, welches die NBank im Nachgang selbstständig weiterbetreibt. - Das Tool muss folgende Mindestanforderungen haben: - Open-Source- Lösung - Installierbar auf VMware Virtualisierungsumgebung - Zentrale Übersicht über alle Firewall-Regeln aus sämtlichen Systemen - Einheitliche Ansicht für eine dezentrale Infrastruktur - Vollständige Dokumentation und Nachverfolgung von Änderungen - Bereitstellung von Berichten zu aktuellen und historischen Regelwerken - Filterfunktionen für Systeme und andere Kriterien - Vermeidung redundanter oder überflüssiger Firewall-Regeln o strukturiert und o für Dritte nachvollziehbar umgesetzt werden. 5. Abschlusspräsentation: - Präsentation der Ergebnisse vor den zuständigen Stellen des Auftraggebers (IT- Sicherheitsverantwortliche, ISMS-Beauftragte, etc.). - Beratung zu möglichen Anpassungen oder Neuausrichtungen der Firewall-Regeln auf Grundlage der Ergebnisse. - Beratung des Kunden, wie zukünftig der Rezertifizierungsprozess als InhouseLeistung aufgebaut und durchgeführt werden kann: o Aufzeigen eines praktikablen und pragmatischen Prozesses zur Rezertifizierung im Eigenbetrieb o Möglicher Pfad zur Einführung sowohl technisch, prozessual und kaufmännisch o Möglicher Zeitplan und Ressourcenbedarf o Entwicklungspfad für den Eigenbetrieb sowie für die Überwachung ausgelagerter Services von einem Firewall as a Service bis hin zu ei-nem Full Managed Betriebskonzept Kennung des Verfahrens: 341c33ac-7c28-49bc-9756-1392d4314b12 Interne Kennung: RE 2024.77 Verfahrensart: Offenes Verfahren Das Verfahren wird beschleunigt: nein 2.1.1. Zweck Art des Auftrags: Dienstleistungen Haupteinstufung (cpv): 72000000 IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung Zusätzliche Einstufung (cpv): 72220000 Systemberatung und technische Beratung 2.1.2. Erfüllungsort Postanschrift: Günther-Wagner-Allee 12-16 Stadt: Hannover Postleitzahl: 30177 Land, Gliederung (NUTS): Region Hannover (DE929) Land: Deutschland 2.1.4. Allgemeine Informationen Zusätzliche Informationen: Bekanntmachungs-ID: CXP4Y6450LH Rechtsgrundlage: Richtlinie 2014/24/EU vgv - 2.1.6. Ausschlussgründe Der Zahlungsunfähigkeit vergleichbare Lage gemäß nationaler Rechtsvorschriften: Korruption: Beteiligung an einer kriminellen Vereinigung: Vereinbarungen mit anderen Wirtschaftsteilnehmern zur Verzerrung des Wettbewerbs: Verstoß gegen umweltrechtliche Verpflichtungen: Geldwäsche oder Terrorismusfinanzierung: Betrugsbekämpfung: Kinderarbeit und andere Formen des Menschenhandels: Zahlungsunfähigkeit: Verstoß gegen arbeitsrechtliche Verpflichtungen: Verwaltung der Vermögenswerte durch einen Insolvenzverwalter: Falsche Angaben, verweigerte Informationen, die nicht in der Lage sind, die erforderlichen Unterlagen vorzulegen, und haben vertrauliche Informationen über dieses Verfahren erhalten.: Interessenkonflikt aufgrund seiner Teilnahme an dem Vergabeverfahren: Direkte oder indirekte Beteiligung an der Vorbereitung des Vergabeverfahrens: Schwere Verfehlung im Rahmen der beruflichen Tätigkeit: Vorzeitige Beendigung, Schadensersatz oder andere vergleichbare Sanktionen: Verstoß gegen sozialrechtliche Verpflichtungen: Zahlung der Sozialversicherungsbeiträge: Einstellung der gewerblichen Tätigkeit: Entrichtung von Steuern: Terroristische Straftaten oder Straftaten im Zusammenhang mit terroristischen Aktivitäten: 5. Los 5.1. Los: LOT-0001 Titel: DORA-konforme Rezertifizierung Firewall-Regelwerk Beschreibung: Der Vertrag beginnt mit Zuschlagserteilung. Der Dienstleister hat die Rezertifizierung der Firewall-Regeln bis zum 30.04.2026 abzuschließen. Eine Abstimmung der Meilensteine erfolgt mit dem Auftraggeber. Der angebotene Leistungsumfang gem. Konzept ist zwischen 110-130 Personentagen festzulegen. Anforderungen an den Dienstleister 1. Referenzen: Nachweisbare Erfahrung in der Analyse und Rezertifizierung von Firewall-Regeln im öffentlichen Sektor oder in stark regulierten Umfeldern. Dies ist in Form von Referenzen nachzuweisen (siehe Anlage 02 Bewerbungsbedingungen). 2. Mitarbeiterqualifikation: Der Dienstleister muss über qualifizierte Mitarbeiter mit Zertifizierungen im Bereich IT-Sicherheit und Netzwerksicherheit (z. B. CISSP, CISM, ISO 27001 Lead Auditor oder vergleichbar) verfügen und erklären diese für die Leistungserbringung einzusetzen. Einzelheiten zu den Mindestanforderungen ergeben sich aus 11.4.7 der Bewerbungsbedingungen. 3. Der Dienstleister benennt einen für die Auftragsdurchführung verantwortlichen Hauptansprechpartner in Form eines führenden Beraters. Der Auftraggeber behällt sich das Recht vor, im Falle von Unstimmigkeiten zu verlangen, dass die betreffenden Tätigkeiten vom führenden Berater durchgeführt werden. 4. Methoden und Tools: Der Dienstleister muss in der Lage sein, gängige Tools zur Firewall-Analyse (z. B. Firewall Analyzer, SIEM-Systeme) zu nutzen und nach Best Practices vorzugehen. Umfang Firewall-Regelwerk - circa 2500 Firewall- Regeln - Firewalls diverser Hersteller wie Cisco, Fortinet, Palo Alto Sonstiges 1. Die Arbeiten finden in enger Abstimmung mit der IT-Sicherheitsabteilung und den Netzwerkspezialisten des Auftraggebers statt. 2. Alle Ergebnisse sind in deutscher Sprache zu dokumentieren. 3. Der Dienstleister hat sich an die geltenden Datenschutzbestimmungen und Sicherheitsrichtlinien des Auftraggebers zu halten. Interne Kennung: RE 2024.77 5.1.1. Zweck Art des Auftrags: Dienstleistungen Haupteinstufung (cpv): 72000000 IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung Zusätzliche Einstufung (cpv): 72220000 Systemberatung und technische Beratung 5.1.2. Erfüllungsort Postanschrift: Günther-Wagner-Allee 12-16 Stadt: Hannover Postleitzahl: 30177 Land, Gliederung (NUTS): Region Hannover (DE929) Land: Deutschland 5.1.3. Geschätzte Dauer Datum des Beginns: 01/05/2025 Enddatum der Laufzeit: 30/04/2026 5.1.6. Allgemeine Informationen Die Namen und beruflichen Qualifikationen des zur Auftragsausführung eingesetzten Personals sind anzugeben: Erforderlich für das Angebot Auftragsvergabeprojekt nicht aus EU-Mitteln finanziert Die Beschaffung fällt unter das Übereinkommen über das öffentliche Beschaffungswesen: nein Diese Auftragsvergabe ist auch für kleine und mittlere Unternehmen (KMU) geeignet: nein Zusätzliche Informationen: Die Auftraggeberin wird dem Auftragnehmer alle für eine ordnungsgemäße Durchführung der Betreuung erforderlichen Informationen und Auskünfte erteilen sowie notwendige Unterlagen unter Beachtung der datenschutzrechtlichen Bestimmungen vollständig und rechtzeitig übergeben, soweit sie der Auftraggeberin vorliegen und zur Beurteilung notwendig sind. Vergütung und Zahlungsmethoden - Die Auftragnehmerin entrichtet für die Leistungen nach diesem Vertrag an den Auftragnehmer eine Vergütung je Einsatzstunde. Berechnungsgrundlage sind die vereinbarten und auch tatsächlich erbrachten Einsatzzeiten der Grundbetreuung und der betriebsspezifischen Betreuung sowie ggf. sonstig vereinbarten Leistungen. Für Wegzeiten und sonstige Auslagen wird keine Vergütung entrichtet. - Die Einsatzzeit errechnet sich aus der tatsächlich aufgewendeten Zeit der jeweiligen Leistungserbringung (z.B. Gesundheitstag, Beratungen etc.) sowie je nach Einzelfall einen angemessenen Anteil für notwendige Vor- und Nachbereitungszeiten. Jeder Einsatz bedarf der Zustimmung der Auftraggeberin. Ohne Zustimmung erfolgt keine Vergütung. - Der Stundensatz wird bis zum Vertragsende festgeschrieben. Eine Erhöhung der Honorarsätze darf nur auf Basis des Verbraucherpreisindexes für Deutschland erfolgen, wenn sich der veröffentlichte Verbraucherpreisindex gegenüber dem für den Monat des Vertragsabschlusses veröffentlichten VPI um mind. 2 Prozent ändert. Rechnungsstellung - Der Auftragnehmer stellt monatlich eine prüffähige Rechnung über die erbrachten Leistungen aus. Die einzelnen Abrechnungspositionen werden hierbei detailliert aufgeführt. Sie weisen die im Abrechnungszeitraum jeweils erbrachten Leistungen mit Datum, Anzahl und Art der erbrachten Leistung, den Einsatzstundensatz sowie die erforderliche Mehrwertsteuer aus. - Sollten Rückfragen zur Rechnung seitens der Auftraggeberin bestehen, wendet er sich innerhalb von 14 Tagen ab Rechnungszustellung zwecks Klärung an den Auftragnehmer. Nach Klärung der Rückfragen begleicht die Auftraggeberin schnellstmöglich, spätestens jedoch innerhalb von weiteren 14 Tagen die Rechnung. - Sollten keine Rückfragen aufkommen begleicht die Auftraggeberin die Rechnung innerhalb von 14 Tagen ab Rechnungszustellung, ohne Abzug von Skonto. - Rechnungen sind als PDF-Datei an folgende Mailadresse zu senden: rechnungen@nbank.de Neben der Leistungsbeschreibung werden folgende Dokumente in folgender Reihenfolge Vertragsbestandteil: - Verpflichtungserklärung zum Datenschutz - Auftragsverarbeitungsvertrag nebst Anlage - EVB-IT Dienstvertrag mitsamt AGB - Die allgemeinen Vertragsbedingungen für die Ausführung von Leistungen VOL/B - Angebot des Auftragnehmers Durch den Bieter vorgelegte allgemeine Geschäftsbedingungen werden nicht Vertragsbestandteil. 5.1.7. Strategische Auftragsvergabe Ziel der strategischen Auftragsvergabe: Keine strategische Beschaffung 5.1.9. Eignungskriterien Kriterium: Art: Eignung zur Berufsausübung Bezeichnung: Befähigung / Erlaubnis zur Berufsausübung Beschreibung: Zum Nachweis der Befähigung und Erlaubnis zur Berufsausübung ist mit dem Angebot die Eintragung in einem Berufs- oder Handelsregister oder auf andere Weise die erlaubte Berufsausübung nachzuweisen (formlos bzw. Eigenerklärung). Kriterium: Art: Wirtschaftliche und finanzielle Leistungsfähigkeit Bezeichnung: Betriebs- und Berufshaftpflichtversicherung Beschreibung: Zum Nachweis der wirtschaftlichen und finanziellen Leistungsfähigkeit ist anzugeben und nachzuweisen, dass eine Betriebshaftpflichtversicherung mit einer Mindestdeckungssumme in Höhe von 2 Mio. EUR für Sach- bzw. Personenschäden besteht und für die Dauer des Auftrages fortbestehen wird (formlos bzw. Eigenerklärung). Kriterium: Art: Technische und berufliche Leistungsfähigkeit Bezeichnung: Referenzen Beschreibung: Zum Nachweis der technischen und beruflichen Leistungsfähigkeit sind mit dem Angebot geeignete Referenzen über früher ausgeführte Liefer- und Dienstleistungsaufträge zu benennen, die inhaltlich und im Umfang mit den beschriebenen Leistungen vergleichbar sind und innerhalb der letzten drei Jahre erbracht wurden. Dabei ist der jeweilige Auftraggeber namentlich unter Nennung eines Ansprechpartners, dessen Rufnummer sowie Auftragswert und Liefer- bzw. Leistungszeit-raum zu nennen (spätestens auf Nachfrage vor Bezuschlagung). Es sind maximal fünf, aber mindestens drei Referenzaufträge zu nennen. Bitte nutzen Sie das bei-gefügte Formular (Anlage 06 der Vergabeunterlagen). Mindestanforderungen an Referenzen: - Mindestens ein abgeschlossenes Projekt bzgl. einer Rezertifizierung der bestehenden Firewall-Regeln bei einem BaFin regulierten Unternehmen im Bereich Finanzdienstleistungen - Mindestens eine Referenz muss die Thematik Überprüfung der Firewall-Regeln hinsichtlich der Einhaltung geltender Sicherheitsrichtlinien (z. B. Unternehmensrichtlinien, rechtliche Anforderungen, Vorgaben des ISMS) und allgemeiner Compliance-Regeln der Finanzwirtschaft beinhalten Kriterium: Art: Technische und berufliche Leistungsfähigkeit Bezeichnung: Dritte Beschreibung: Sofern der Einsatz von Dritten/ Subunternehmern/ Nachunternehmern/ konzernverbundenen Unternehmen vorgesehen ist, sind alle Nachweise/ Erklärungen auch von jedem dieser Partner im Bereich des vorgesehenen Einsatzes vorzulegen. Es ist ein Verzeichnis über diese eingesetzten Partner mit Angabe der Namen vorzulegen (formlos bzw. Eigenerklärung). Zum Nachweis der technischen und beruflichen Leistungsfähigkeit ist mit dem Angebot anzugeben, welche Teile des Auftrags unter Umständen als Unteraufträge vergeben werden (Anlage 08 und 08a). Kriterium: Art: Eignung zur Berufsausübung Bezeichnung: Erklärung zum Nichtvorliegen von Ausschlussgründen Beschreibung: Zum Nachweis des Nichtvorliegens von Ausschlussgründen ist das beigefügte Formular zu unterzeichnen und mit dem Angebot vorzulegen (Anlage 03 der Vergabeunterlagen). Kriterium: Art: Sonstiges Bezeichnung: Angaben zum Unternehmen Beschreibung: Angaben (Name, Rechtsform, Anschrift, Ansprechpartner) zum Unternehmen des Bieters sowie Kurzdarstellung des Unternehmens (z. B. Leistungsspektrum und Schwerpunkte der Geschäftstätigkeit) und der Unternehmensorganisation (z. B. Standorte, Struktur, hierarchischer Aufbau) bezogen auf die geforderte Leistung (formlos bzw. Eigenerklärung). Kriterium: Art: Sonstiges Bezeichnung: Bietergemeinschaft Beschreibung: Sofern das Angebot durch eine Bietergemeinschaft abgegeben wird, eine Erklärung, welche Leistungen vom welchem Bietergemeinschaftsmitglied übernommen werden (formlos), Name und Anschrift des bevollmächtigten Vertreters der Bietergemeinschaft, sowie eine Erklärung, dass die Mitglieder der Bietergemeinschaft für Verbindlichkeiten, die den Mitgliedern der Bietergemeinschaft aus dem Vergabeverfahren gegenüber den NBank entstehen, gesamtschuldnerisch haften (§ 421 BGB) (formlos). Kriterium: Art: Sonstiges Bezeichnung: Ansprechpartner / Stellvertreter Beschreibung: Nennung eines Ansprechpartners und seines Stellvertreters, der den Auftrag für die NBank federführend bearbeitet, sowie Zusage, dass Ansprechpartner und Stellvertreter während der üblichen Geschäftszeiten (montags bis freitags von 9:00 Uhr bis 17:00 Uhr) jederzeit telefonisch zu erreichen sind und Reaktionszeiten von max. vier Stunden an Werktagen eingehalten werden (formlos bzw. Eigenerklärung). Kriterium: Art: Sonstiges Bezeichnung: Preisblatt/Preisangabe Beschreibung: Mit dem Angebot ist das ausgefüllte Preisblatt einzureichen. Kriterium: Art: Sonstiges Bezeichnung: Mindestentgelterklärung Beschreibung: Mit dem Angebot ist die unterzeichnete Mindestentgelterklärung einzureichen (Anlage 05 der Vergabeunterlagen). Ausländische Bieter haben gleichwertige Bescheinigungen ihres Herkunftslandes vorzulegen. Bei fremdsprachigen Bescheinigungen ist eine Übersetzung in die deutsche Sprache beizufügen Kriterium: Art: Sonstiges Bezeichnung: Qualifikation und Erfahrung der Mitarbeiter Beschreibung: Mit dem Angebot sollen die für den Auftrag einzusetzenden Mitarbeiter (Leitung und Personal) unter Darstellung der Qualifikation und Erfahrung inkl. Angaben zur beruflichen Qualifikation genannt werden (formlos bzw. Eigenerklärung). Folgende Mindestanforderungen müssen die einzusetzenden Mitarbeiter aufweisen: - Es sind ausschließlich qualifizierte Mitarbeiter mit Zertifizierungen im Bereich IT-Sicherheit und Netzwerksicherheit (z. B. CISSP, CISM, ISO 27001 Lead Auditor oder vergleichbar) einzusetzen. Dies ist mittels aktueller Zertifikate nachzuweisen. - Es ist ein führender Berater als Hauptansprechpartner anzubieten, der mindestens über 5 Jahre einschlägige Berufserfahrung verfügt - Der führende Berater muss nachweisen, dass er mindestens 2 vergleichbare Projekte abgeschlossen hat. - Die einzusetzenden Mitarbeiter müssen, sollte deutsch nicht deren Muttersprache sein, einen Nachweis über mindestens ein C1 Niveau der deutschen Sprache erbringen. Andernfalls genügt die Eigenerklärung, dass deutsch die Muttersprache ist. Die Nachweise sind in Form von Mitarbeiterprofilen und von aktuellen Zertifikaten zu erbringen. Sollten die einschlägige Berufserfahrung und die nachzuweisenden Projekte aufgrund der Darstellung/Inhalte Zweifel an der Erfüllung der Mindestanforderungen erwecken, behält sich der Auftraggeber das Recht vor zusätzliche Informationen beim Bieter einzufordern. Der Bieter ist in dieser Konstellation insbesondere verpflichtet einen Kontakt zum Referenzgeber bzgl. der Projekte herzustellen und dafür Sorge zu tragen, dass die Informationen innerhalb von einer Woche zur Verfügung gestellt werden. Sollte die genannte Referenz nicht bestätigt werden können, behällt sich der Auftraggeber einen Angebotsausschluss vor. Kriterium: Art: Sonstiges Bezeichnung: Verpflichtungserklärung zum Datenschutz Beschreibung: Mit dem Angebot ist die unterzeichnete Verpflichtungserklärung zum Datenschutz einzureichen (Anlage 04 der Vergabeunterlagen). Kriterium: Art: Sonstiges Bezeichnung: Bestätigung KMU/Großunternehmen Beschreibung: Angaben, ob das Unternehmen des Bieters ein KMU oder ein Großunternehmen ist. (formlos bzw. Eigenerklärung). Dies sind Unternehmen, die weniger als 250 Personen beschäftigen und entweder einen Jahresumsatz von höchstens 50 Mio. EUR erzielen oder deren Jahresbilanzsumme sich auf höchstens 43 Mio. EUR beläuft. Kriterium: Art: Sonstiges Bezeichnung: Eigenerklärung im Zusammenhang mit EU-Maßnahmen gegen die russische Föderation Beschreibung: Mit dem Angebot ist die Eigenerklärung im Zusammenhang mit EU- Maßnahmen gegen die russische Föderation (Anlage 09) einzureichen. Kriterium: Art: Wirtschaftliche und finanzielle Leistungsfähigkeit Bezeichnung: Mindestjahresumsatz Beschreibung: Zum Nachweis der wirtschaftlichen und finanziellen Leistungsfähigkeit ist der Um-satz der letzten drei Geschäftsjahre anzugeben (formlos bzw. Eigenerklärung). Sollten Ihnen die Zahlen für 2024 noch nicht vorliegen, tätigen Sie die Angaben bitte für die letzten drei Jahre. Es wird ein Mindestjahresumsatz in Höhe von 500.000 EUR gefordert. Als Beleg können Bankerklärungen, Jahresabschlüsse oder Auszüge von Jahresabschlüssen dienen. 5.1.10. Zuschlagskriterien Kriterium: Art: Preis Bezeichnung: Gesamtpreis Beschreibung: Für die Wertung maßgeblich ist der Gesamtpreis gem. Preisblatt. Kategorie des Gewicht-Zuschlagskriteriums: Gewichtung (Prozentanteil, genau) Zuschlagskriterium Zahl: 30 Kriterium: Art: Qualität Bezeichnung: Umsetzungskonzept Beschreibung: Vorlage eines Konzeptes. In dem Konzept soll jeweils das eigene Vorgehen bei der Durchführung des Auftrags und den in der Leistungsbeschreibung aufgeführten Tätigkeiten dargestellt werden. Es soll insbesondere auf folgende Aspekte eingegangen werden: - Beschreibung des einzuführenden Tools - Beschreibung des Vorgehens, wie die Firewall-Regeln rezertifiziert werden - Beschreibung des Vorgehens, wie ein Prozess für die Rezertifizierung implementiert wird Das Konzept soll mindestens 10 bis maximal 15 Seiten umfassen. Das Konzept muss auf die Bepreisung der einzelnen abverlangten Leistungsumfänge abgestimmt sein. Insgesamt darf die geplante Erbringung der Leistung nach dem Konzept 110-130 Personentage (8 Stunden) umfassen. In dem Konzept müssen die Anzahl der geplanten Personentage sowie die zeitlichen Planungen (bspw. in Form eines Meilensteinplans) enthalten sein. Das Konzept ist bindend für den angebote-nen Gesamtpreis. Über die geplanten Personentage hinausgehende und für die vollständige Leistungserbringung erforderliche Personentage werden nicht vergütet. Für das Konzept für die Erbringung und Umsetzung der Leistung können folgende Punkte erreicht werden: Für eine volle Punktzahl müssen folgende Prämissen erfüllt werden: - Das eingereichte Konzept lässt eine hervorragende Leistungserbringung erwarten. Die Schlüssigkeit und Qualität des Konzepts überzeugen im höchsten Maße. - Der Umsetzungsplan ist sehr anschaulich, detailreich und lässt eine sehr gut strukturierte Vorgehensweise erwarten. - Die genannten Anforderungen sind sehr verständlich dargestellt. - Die Herleitung der geschätzten erforderlichen PT Anzahl ist sehr anschaulich und sehr gut nachvollziehbar dargestellt. - Die Meilensteinplanung ist sehr erfolgsversprechend und lässt eine sehr gute Leistungserbringung erwarten. - Es werden sehr anschaulich Risiken antizipiert und der Umgang damit sehr gut dargestellt. Negative Abweichungen davon führen zu einer entsprechend schlechteren Bewertung. 5 Punkte = sehr gut Das eingereichte Konzept lässt eine hervorragende Leistungserbringung erwarten. Die Schlüssigkeit und Qualität des Konzepts sind sehr gut. 4 Punkte = gut Anhand des eingereichten Konzepts kann eine gute Leistungserbringung erwartet werden. Die Schlüssigkeit und Qualität des Konzepts sind in hohem Maße gegeben. 3 Punkt = Befriedigend Das eingereichte Konzept entspricht den Anforderungen und lässt eine zufriedenstellende Leistungserbringung erwarten. 2 Punkte = ausreichend Das eingereichte Konzept entspricht zwar im Wesentlichen den Anforderungen und lässt eine ausreichende Leistungserbringung erwarten. Die Schlüssigkeit und Qualität des Konzepts sind jedoch vereinzelt mängelbehaftet. 1 Punkt = mangelhaft Das Konzept ist mit erheblichen Mängeln behaftet und lässt eine ordnungsgemäße Leistungserbringung nicht mehr zu. Die Schlüssigkeit und Qualität sind nur in geringem Maße gegeben. 0 Punkte = ungenügend Das eingereichte Konzept erfüllt in keiner Hinsicht die Anforderung der zu erbringenden Leistung. Eine ordnungsgemäße Leistungserbringung ist unwahrscheinlich. Die Schlüssigkeit und Qualität des Konzepts sind leider an erheblichen Mängeln und machen die Leistung unbrauchbar. Kategorie des Gewicht-Zuschlagskriteriums: Gewichtung (Prozentanteil, genau) Zuschlagskriterium Zahl: 50 Kriterium: Art: Qualität Bezeichnung: Qualifikation und Erfahrung der Mitarbeiter Beschreibung: Mit dem Angebot sollen die für den Auftrag einzusetzenden Mitarbeiter (Leitung und Personal) unter Darstellung der Qualifikation und Erfahrung inkl. Angaben zur beruflichen Qualifikation genannt werden (formlos bzw. Eigenerklärung). Folgende Mindestanforderungen müssen die einzusetzenden Mitarbeiter aufweisen: - Es sind ausschließlich qualifizierte Mitarbeiter mit Zertifizierungen im Bereich IT-Sicherheit und Netzwerksicherheit (z. B. CISSP, CISM, ISO 27001 Lead Auditor oder vergleichbar) einzusetzen. Dies ist mittels aktueller Zertifikate nachzuweisen. - Es ist ein führender Berater als Hauptansprechpartner anzubieten, der mindestens über 5 Jahre einschlägige Berufserfahrung verfügt - Der führende Berater muss nachweisen, dass er mindestens 2 vergleichbare Projekte abgeschlossen hat. - Die einzusetzenden Mitarbeiter müssen, sollte deutsch nicht deren Muttersprache sein, einen Nachweis über mindestens ein C1 Niveau der deutschen Sprache erbringen. Andernfalls genügt die Eigenerklärung, dass deutsch die Muttersprache ist. Die Nachweise sind in Form von Mitarbeiterprofilen und von aktuellen Zertifikaten zu erbringen. Sollten die einschlägige Berufserfahrung und die nachzuweisenden Projekte aufgrund der Darstellung/Inhalte Zweifel an der Erfüllung der Mindestanforderungen erwecken, behält sich der Auftraggeber das Recht vor zusätzliche Informationen beim Bieter einzufordern. Der Bieter ist in dieser Konstellation insbesondere verpflichtet einen Kontakt zum Referenzgeber bzgl. der Projekte herzustellen und dafür Sorge zu tragen, dass die Informationen innerhalb von einer Woche zur Verfügung gestellt werden. Sollte die genannte Referenz nicht bestätigt werden können, behällt sich der Auftraggeber einen Angebotsausschluss vor. Für die Erfahrung/Qualifikation der Mitarbeiter können folgende Punkte erreicht werden: Der Nachweis der Mindestanforderungen gem. Ziff. 11.4.7 an das einzusetzende Personal bedeutet eine Bewertung mit einem Punkt. Sollten die Mindestanforderungen nicht erfüllt werden wird das Angebot ausgeschlossen. 5 Punkte Die Erfahrungen/Qualifikationen lassen eine hervorragende Leistungserbringung erwarten und erfüllen die Anforderungen der NBank in höchstem Maße. Darüber hinaus verfügt der führende Berater über 10 Jahre einschlägige Berufserfahrung und über Erfahrung in der BaFin regulierten Finanzbranche. Zusätzlich verfügt der führende Berater über mindestens 2 der unter 2.4 der Leistungsbeschreibung genannten Zertifikate. 4 Punkte Die Erfahrungen /Qualifikationen lassen eine gute Leistungserbringung erwarten und erfüllen die Anforderungen der NBank in hohem Maße. Darüber hinaus verfügt der führende Berater über 10 Jahre einschlägige Berufserfahrung und über Erfahrung in der BaFin regulierten Finanzbranche. 3 Punkte Die Erfahrungen/Qualifikationen erfüllen die Mindestanforderungen der NBank. Darüber hinaus verfügt der führende Berater über 8 Jahre einschlägige Berufserfahrung und über Erfahrung in der BaFin regulierten Finanzbranche. 2 Punkte Die Erfahrungen/Qualifikationen erfüllen die Mindestanforderungen der NBank. Darüber hinaus verfügt der führende Berater über 5 Jahre einschlägige Berufserfahrung in der BaFin regulierten Finanzbranche. 1 Punkt Die Erfahrungen/Qualifikationen erfüllen die Mindestanforderungen der NBank. 0 Punkte = Angebotsausschluss Die Erfahrungen /Qualifikationen lassen eine ungenügende Leistungserbringung erwarten und erfüllen die Anforderungen der NBank nicht. Kategorie des Gewicht-Zuschlagskriteriums: Gewichtung (Prozentanteil, genau) Zuschlagskriterium Zahl: 20 5.1.11. Auftragsunterlagen Sprachen, in denen die Auftragsunterlagen offiziell verfügbar sind: Deutsch Frist für die Anforderung zusätzlicher Informationen: 03/04/2025 23:59:59 (UTC+2) Internetadresse der Auftragsunterlagen: https://www.dtvp.de/Satellite/notice/CXP4Y6450LH /documents Ad-hoc-Kommunikationskanal: Name: Die ausschließliche Verfahrenssprache ist deutsch. Während des Vergabeverfahrens dürfen die Bieter mit der NBank ausschließlich über das Deutsche Vergabeportal kommunizieren. URL: https://www.dtvp.de/Satellite/notice/CXP4Y6450LH 5.1.12. Bedingungen für die Auftragsvergabe Bedingungen für die Einreichung: Elektronische Einreichung: Erforderlich Adresse für die Einreichung: https://www.dtvp.de/Satellite/notice/CXP4Y6450LH Sprachen, in denen Angebote oder Teilnahmeanträge eingereicht werden können: Deutsch Elektronischer Katalog: Nicht zulässig Varianten: Nicht zulässig Die Bieter können mehrere Angebote einreichen: Nicht zulässig Frist für den Eingang der Angebote: 10/04/2025 11:00:00 (UTC+2) Frist, bis zu der das Angebot gültig sein muss: 2 Monate Informationen, die nach Ablauf der Einreichungsfrist ergänzt werden können: Nach Ermessen des Käufers können einige fehlenden Bieterunterlagen nach Fristablauf nachgereicht werden. Zusätzliche Informationen: Die NBank wird die fristgerecht eingegangenen Angebote zunächst gem. § 56 Abs. 1 VgV auf Vollständigkeit sowie auf rechnerische und fachliche Richtigkeit prüfen. Sodann wird entschieden, ob allein auf dieser Grundlage die Wertung durchgeführt werden kann oder ob von der Möglichkeit Gebrauch macht wird, Erklärungen (Angaben) und Nachweise nach Maßgabe des § 56 Abs. 2 Satz 1 VgV nachzufordern. Den Bietern wird weder ein Recht darauf gewährt, dass die NBank eine allgemeine Nachforderungsrunde durchführt, noch besteht ein Recht zur Nachreichung von Erklärungen und Nachweisen außerhalb einer allgemeinen Nachforderungsrunde. Die Bieter bleiben für den rechtzeitigen Nachweis ihrer Eignung und die Vollständigkeit ihres Angebotes innerhalb der Angebotsfrist allein verantwortlich. Informationen über die öffentliche Angebotsöffnung: Eröffnungsdatum: 10/04/2025 11:05:00 (UTC+2) Auftragsbedingungen: Die Auftragsausführung muss im Rahmen von Programmen für geschützte Beschäftigungsverhältnisse erfolgen: Nein Bedingungen für die Ausführung des Auftrags: Siehe Vergabeunterlagen. Elektronische Rechnungsstellung: Erforderlich Aufträge werden elektronisch erteilt: nein Zahlungen werden elektronisch geleistet: nein 5.1.15. Techniken Rahmenvereinbarung: Keine Rahmenvereinbarung Informationen über das dynamische Beschaffungssystem: Kein dynamisches Beschaffungssystem Elektronische Auktion: nein 5.1.16. Weitere Informationen, Schlichtung und Nachprüfung Überprüfungsstelle: Vergabekammer Niedersachsen beim Nds. Ministerium für Wirtschaft, Verkehr, Bauen und Digitalisierung Informationen über die Überprüfungsfristen: Nachprüfungsstelle Vergabekammer Niedersachsen beim Nds. Ministerium für Wirtschaft, Verkehr, Bauen und Digitalisierung Auf der Hude 2 21339 Lüneburg Fax: 04131/15-2943 E-mail: vergabekammer@mw. niedersachsen.de Der Antrag ist unzulässig, soweit 1. der Antragsteller den geltend gemachten Verstoß gegen Vergabevorschriften vor Einreichen des Nachprüfungsantrags erkannt und gegenüber dem Auftraggeber nicht innerhalb einer Frist von zehn Kalendertagen gerügt hat; der Ablauf der Frist nach § 134 Absatz 2 bleibt unberührt, 2.Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, nicht spätestens bis zum Ablauf der in der Bekanntmachung benannten Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden, 3.Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, nicht spätestens bis zum Ablauf der Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden, 4.mehr als 15 Kalendertage nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, vergangen sind. Satz 1 gilt nicht bei einem Antrag auf Feststellung der Unwirksamkeit des Vertrags nach § 135 Absatz 1 Nummer 2. § 134 Absatz 1 Satz 2 bleibt unberührt. (§ 160 Abs. 3 S. 1 Nr. 4 GWB). Organisation, die zusätzliche Informationen über das Vergabeverfahren bereitstellt: NBank Organisation, die weitere Informationen für die Nachprüfungsverfahren bereitstellt: Vergabekammer Niedersachsen beim Nds. Ministerium für Wirtschaft, Verkehr, Bauen und Digitalisierung Organisation, die Teilnahmeanträge entgegennimmt: NBank TED eSender: Datenservice Öffentlicher Einkauf (in Verantwortung des Beschaffungsamts des BMI) 8. Organisationen 8.1. ORG-0001 Offizielle Bezeichnung: NBank Registrierungsnummer: Hannover HRA 201010 Postanschrift: Günther-Wagner-Allee 12-16 Stadt: Hannover Postleitzahl: 30177 Land, Gliederung (NUTS): Region Hannover (DE929) Land: Deutschland E-Mail: ausschreibungen@nbank.de Telefon: +49 511 30031-0 Rollen dieser Organisation: Beschaffer Organisation, die zusätzliche Informationen über das Vergabeverfahren bereitstellt Organisation, die Teilnahmeanträge entgegennimmt 8.1. ORG-0002 Offizielle Bezeichnung: Vergabekammer Niedersachsen beim Nds. Ministerium für Wirtschaft, Verkehr, Bauen und Digitalisierung Registrierungsnummer: keine Angabe Postanschrift: Auf der Hude 2 Stadt: Lüneburg Postleitzahl: 21339 Land, Gliederung (NUTS): Lüneburg, Landkreis (DE935) Land: Deutschland E-Mail: vergabekammer@mw.niedersachsen.de Telefon: +49 4131 15-3308 Rollen dieser Organisation: Überprüfungsstelle Organisation, die weitere Informationen für die Nachprüfungsverfahren bereitstellt 8.1. ORG-0003 Offizielle Bezeichnung: Datenservice Öffentlicher Einkauf (in Verantwortung des Beschaffungsamts des BMI) Registrierungsnummer: 0204:994-DOEVD-83 Stadt: Bonn Postleitzahl: 53119 Land, Gliederung (NUTS): Bonn, Kreisfreie Stadt (DEA22) Land: Deutschland E-Mail: noreply.esender_hub@bescha.bund.de Telefon: +49228996100 Rollen dieser Organisation: TED eSender Informationen zur Bekanntmachung Kennung/Fassung der Bekanntmachung: 4ef0e5bc-4779-4f78-a99a-1a2441c11cb0 - 01 Formulartyp: Wettbewerb Art der Bekanntmachung: Auftrags- oder Konzessionsbekanntmachung Standardregelung Unterart der Bekanntmachung: 16 Datum der Übermittlung der Bekanntmachung: 05/03/2025 17:39:24 (UTC+1) Sprachen, in denen diese Bekanntmachung offiziell verfügbar ist: Deutsch ABl. S Nummer der Ausgabe: 47/2025 Datum der Veröffentlichung: 07/03/2025 Referenzen: https://www.dtvp.de/Satellite/notice/CXP4Y6450LH https://www.dtvp.de/Satellite/notice/CXP4Y6450LH/documents http://icc-hofmann.net/NewsTicker/202503/ausschreibung-150974-2025-DEU.txt |
