RV Beratung Cybersicherheit- & Resilienzstärkung

Ziel ist der Aufbau bzw. die Weiterentwicklung einer vollumfänglichen Cybersicherheits- und Resilienz-Compliance unter Berücksichtigung der sektoralen Vorgaben für die Erdgas-Versorgungssicherheit (KRITIS/NIS2). Die dezentrale Sicherheits- und Resilienzlandschaft soll zu einer konsolidierten Gesamtstruktur zusammengeführt werden, wobei die Trennung der Welten IT, OT und TK (Informationstechnik, Betriebstechnik, Telekommunikation) aufrechterhalten bleibt. Im Mittelpunkt steht zudem die Erstellung von Governance-Dokumentationen wie Politiken, Strategien, Konzepten, Risikoanalysen und Playbooks.

Der Auftragnehmer übernimmt das Gesamtprojektmanagement über die gesamte Vertragslaufzeit. Dazu gehören die Steuerung der 19 Arbeitspakete, Berichtswesen, Termin- und Ressourcenplanung, Eskalationsmanagement sowie die Abstimmung mit den Fachbereichen der terranets bw.

Erstellung und Pflege der zentralen Governance-Dokumente:

• Sicherheits- & Resilienzpolitik (Paket 2)
• Risikomanagement der Informationssicherheit (Paket 4)
• Risikomanagement zur nationalen Risikoanalyse (Paket 5)
• Resilienzplan (Paket 6)
• Incidentmanagement (Paket 7)

Beratung zu geschäftskritischen Prozessen und dem Sicherheitsbewusstsein:

• Geschäftskontinuität / Business Continuity Management (Paket 8)
• IT Service Continuity Management – ITSCM (Paket 9)
• Identitäts- und Zugriffsmanagement (Paket 10)
• Sicherheitsbewusstsein / Awareness (Paket 11)
• Sicherheit im Personalwesen (Paket 12)

Konzeptionelle und beratende Bearbeitung technischer Sicherheitsthemen:

• Physische Sicherheit (Paket 13)
• Netzwerksicherheit (Paket 14)
• Kryptografie (Paket 15)
• System- und Netzwerküberwachung (Paket 16)
• Sichere Entwicklung (Paket 17)

• Assetmanagement (Paket 3): Erfassung und Bewertung der relevanten Assets (IT, OT, TK).
• Lieferkettensicherheit (Paket 18): Beratung zu Anforderungen an Dienstleister und Lieferanten.

Das Arbeitspaket 19 (Unterstützungsleistung IT-SIKAT) ist optional und kann bei Bedarf abgerufen werden. Inhalt und Umfang sind im Angebot gesondert zu kalkulieren.

Die folgenden Leistungen sind kein Bestandteil der Ausschreibung und dürfen nicht eingepreist werden:

• Umsetzung baulicher Sicherheitsmaßnahmen
• Beschaffung, Bereitstellung oder Betrieb von Hard- oder Software
• Rechtsverbindliche Einzelfallprüfungen oder Rechtsberatung
• Operative Unterstützung bei realen Sicherheits- oder Krisenvorfällen
• Auditierungen, Zertifizierungen oder Konformitätsbewertungen
• Gap-Analysen zu NIS2 oder KRITIS-DachG
• Business Impact Analysen (BIA)

Vorlage von 4 Referenzprojekten aus den Bereichen Informationssicherheit oder Resilienz. Bewertet werden:

• Bezug zu Informationssicherheit/Resilienz
• Mindestens 2 abgeschlossene bzw. 'implementierte' Projekte
• Mindestens 2 Projekte bei einem KRITIS-Betreiber (Verteil-/Übertragungsnetz, Telekommunikation oder Fernleitungsnetz)
• Abdeckung von 8 der 11 vorgegebenen Themenschwerpunkte (Assetmanagement, Incidentmanagement, physische Sicherheit, System-/Netzwerküberwachung, OT-/ICS-Sicherheit, BCM, ITSCM, Netzwerksicherheit, Kryptografie, sichere Entwicklung, Risikomanagement Informationssicherheit)
• Erstellung von mindestens 3 der 5 Governance-Dokumentationen (Politik, Richtlinie, Verfahrensanweisung, Risikoanalyse, Incident-Playbook)

Dieses Kriterium ist mit 17 von 24 möglichen Wertungspunkten das stärkste Eignungs-/Zuschlagskriterium.

Nachweis eines zertifizierten Informationssicherheits-Managementsystems (ISMS), akkreditiert nach mindestens einem der folgenden Standards:

• ISO/IEC 27001
• IT-Grundschutz (BSI)
• VdS 10000
• CISIS12

Der Anwendungsbereich des Zertifikats muss die hier ausgeschriebene Beratungsleistung abdecken.

Weitere Eignungsanforderungen (jeweils 1 Wertungspunkt):

• Maßnahmen zur Qualitätssicherung
• Sicherheit bei der Verarbeitung klassifizierter Informationen
• Mitarbeiterdisposition: Start innerhalb von 6 Wochen nach Vertragsunterzeichnung
• Sprachen: verhandlungssicher in Deutsch und Englisch
• Datenhaltung: ausschließlich EU/EWR
• Sicherheitsüberprüfbarkeit: Mitarbeitende müssen ggf. überprüfbar sein

• Ausschlussgründe: Eigenerklärungen, dass keine Gründe nach § 123 GWB und § 124 GWB vorliegen
• Mindestlohn: Eigenerklärung nach § 19 Abs. 3 MiLoG (keine Verstöße)
• Handelsregistereintragung: aktueller Auszug (1 Wertungspunkt)
• Haftpflichtversicherung: Mindestdeckung 5 Mio. EUR für Personen-/Sachschäden, alternativ Eigenerklärung zur Stellung im Auftragsfall (1 Wertungspunkt)

• Jahresumsatz: Eigenerklärung für die letzten 3 Geschäftsjahre sowie zu vergleichbaren Leistungen
• Mitarbeiterzahlen: durchschnittlich beschäftigte Mitarbeitende mit Aufschlüsselung nach Schwerpunkten (OT-/ICS-Sicherheit, Netzwerksicherheit, BCM, physische Sicherheit, Risikomanagement, Assetmanagement)
• Bonuspunkte: Erfahrung mit der GRC-Plattform CRISAM®
• Tiebreaker: durchschnittliche Betriebszugehörigkeit des SAP-Gesamtteams

Nach dem Teilnahmewettbewerb werden in Phase 2 folgende Kriterien gewichtet:

• 40 % Preis
• 30 % Fachkonzept
• 25 % Projekt-Setup
• 5 % Vertragsbedingungen

Mindestens 3 Bewerber werden zur Angebotsphase zugelassen, höchstens 3.