Abschluss einer Rahmenvereinbarung über die Beschaffung einer integrierten Managementsuite (ISMS, BCMS, DSMS)

Bereitstellung, Inbetriebnahme und Pflege einer integrierten GRC-Suite (Governance, Risk, Compliance) – also eine Software, die Informationssicherheit, Notfallplanung und Datenschutz in einem System abdeckt. Die drei Module ISMS, BCMS und DSMS teilen sich einen gemeinsamen Datenbestand und sind keine isolierten Einzellösungen.

Bereitstellungsform:

• On-Premise beim Auftraggeber (volle Datenhoheit)
• Cloud-Komponenten sind nicht zulässig
• Lauffähig auf Windows Server 2016+ oder Linux/Docker
• Zugriff über Webclient
• Pro Institution (GKD Recklinghausen + jedes Zweckverbandsmitglied) eine eigene Instanz
• Mehrbenutzerbetrieb ohne Performanceverlust
• Alle Oberflächen und Dokumentation vollständig auf Deutsch

• Zentrale Benutzerverwaltung mit Rollen und Berechtigungsprofilen
• Zentrales Asset-Management für Infrastruktur, Prozesse und Personen
• Hierarchische Prozess- und Subprozessstrukturen
• Abhängigkeitsdarstellung zwischen Assets
• Rollenmanagement zur Vermeidung von Personengebundenheit
• Aufgabenmanagement – Aufgaben können auch ohne Vollzugriff auf das Tool vergeben werden
• Integriertes Risikomanagement mit Risikokriterien, -analyse und -behandlung
• Auditmanagement (Planung, Durchführung, Dokumentation, Nachverfolgung)
• Integriertes Dokumentenmanagement, revisionssicher, mit Änderungs- und Freigabeprozessen
• Import eigener Dokumentenvorlagen, anbieterseitig vordefinierte Vorlagen
• Zentrales Sicherheitsvorfall-Management
• PDF-Export für alle Dokumente
• Native Automatisierung – ohne externe Tools, Code oder Makros

Die Suite muss Daten aus den folgenden Quellen importieren können:

• CMDB-Systeme: i-doit, Matrix42, docusnap
• Microsoft Active Directory (für Personen und Rollen)
• Excel/CSV

Zusätzlich wünschenswert: dedizierte Importer mit Fehler-Handling und Echtzeit-Integration z. B. von Macmon NAC und PRTG.

• Eigenerklärung Ausschlussgründe (Formular 521 EU): Keine strafrechtlichen Verurteilungen (z. B. Terrorismus, Geldwäsche, Bestechung, Menschenhandel), keine Steuerschulden, keine Sozialversicherungs-Verstöße, keine Insolvenz, keine schweren Verfehlungen. Nachforderung von Unterlagen behält sich der Auftraggeber vor.
• Eigenerklärung Sanktionen (Formular 523 EU): Kein Russland-Bezug gemäß Art. 5k VO (EU) 833/2014 – weder durch den Bieter noch durch Unterauftragnehmer/Lieferanten mit mehr als 10 % Auftragswert.
• Eigenerklärung Subventionen (Formular 524 EU): Drittstaatliche Subventionen angeben, falls vorhanden.

Die folgenden Anforderungen sind Mindestvoraussetzungen – wer eine davon nicht erfüllt, scheidet aus:

• GRC-Gesamtlösung mit ISMS, BCMS und DSMS auf gemeinsamer Datenbasis
• On-Premise-Betrieb mit voller Datenhoheit
• Mehrbenutzerbetrieb
• Webclient und Installation auf Windows Server 2016+ oder Linux/Docker
• Deutsche Sprachversion
• Datenimport aus i-doit, Matrix42, docusnap, Active Directory sowie Excel/CSV
• Zentrale Benutzerverwaltung mit Rollen/Zugriffsprofilen
• Zentrale Assetstruktur übergreifend
• Native Automatisierung (ohne externe Tools/Makros)
• PDF-Export
• BSI-konforme Rollen
• Aufgabenmanagement, Risikomanagement mit individuellen Risikomatrizen, Auditmanagement, Dokumentenmanagement, Sicherheitsvorfall-Management
• ISMS nach BSI IT-Grundschutz 200-1/2, Kompendium 2023+, Kern-/Basis-/Standardabsicherung, Strukturanalyse, Schutzbedarfsfeststellung, SoA, IT-Grundschutz-Check, Maßnahmenmanagement, Risikoanalyse nach BSI 200-3, NIS-2-Funktionalität
• BCMS nach BSI 200-4, Business Impact Analyse, Notfallhandbücher/Wiederanlaufpläne, BCM-Organisation, Ausfallsimulation
• DSMS gemäß DSGVO, Verarbeitungsverzeichnis, DSFA, Datenschutzvorfälle, Betroffenenrechte, Meldepflichten-Unterstützung

• Angebotene Lösung entspricht dem aktuellen Stand der Technik
• Gesicherte Entwicklungsumgebung
• Vollständige Aufstellung aller Software-Komponenten und externen Abhängigkeiten
• Nachweis der Lieferkettensicherheit gem. NIS2UmsuCG
• Unverzügliche Information des Auftraggebers bei erheblichen Sicherheitsvorfällen
• Auftraggeber darf stichprobenartige Audits zu Sicherheit/Konformität durchführen

• Bietergemeinschaften: Gesamt­schuldnerische Haftung aller Mitglieder, Bevollmächtigter ist zu benennen.
• Unterauftragnehmer/Eignungsleihe: Keine zwingenden Ausschlussgründe nach § 123 GWB; gemeinsame Haftung bei wirtschaftlicher/finanzieller Eignungsleihe.
• Präqualifizierung: Möglich über www.pq-vol.de oder www.pq-verein.de (Registrierungsnummer angeben).
• KMU: Sind nicht zugelassen – die Ausschreibung richtet sich an Großunternehmen.
• Sprache: Deutsch (für gesamte Angebotskommunikation, Fremdsprachige Bescheinigungen mit deutscher Übersetzung).