Unterstützung und Beratung bei der Erstellung bzw. Aktualisierung von IT-Sicherheitskonzepten

Beratung und Unterstützung bei der Erstellung und Aktualisierung von IT-Sicherheitskonzepten für Anwendungen der bayerischen Justiz. Die Sicherheitskonzepte müssen die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit (CIA-Kriterien) gewährleisten.

Die Leistung erfolgt nach der IT-Grundschutz-Methodik des BSI:

• BSI-Standard 200-2 (IT-Grundschutz-Methodik, Standard-Absicherung)
• BSI-Standard 200-3 (Risikoanalyse auf Basis von IT-Grundschutz)
• IT-Grundschutzkompendium des BSI (jeweils aktuelle Fassung bzw. Nachfolgeversionen)
• Anpassung an neue BSI-Standards (z. B. Grundschutz++) erfolgt im Bedarfsfall

Die Leistungserbringung erfolgt überwiegend im ISMS-Tool HiScout GRC, dem Standardwerkzeug der bayerischen Staatsverwaltung. Voraussetzungen dafür sind:

• Schulungsnachweis für HiScout (wird durch das LSI – Landesamt für Sicherheit in der Informationstechnik – erteilt)
• Zugangskennung und VPN-Token (durch das IT-DLZ)
• Leistungsfähige Client-Endgeräte (bevorzugt Windows), die im ISMS des Auftragnehmers aufgenommen sind

Für jedes zu erstellende oder zu aktualisierende Sicherheitskonzept sind folgende Phasen zu durchlaufen:

1. Strukturanalyse – Erfassung von Prozessen, Daten, Anwendungen, IT-Systemen, Kommunikationsbeziehungen, Netzen und Räumen; Erstellung eines bereinigten Netzplans

2. Schutzbedarfsfeststellung – nach BSI-Definition und bayerischer Schutzbedarfsmatrix (wird vom Auftraggeber bereitgestellt)

3. Modellierung – Identifikation der relevanten BSI-Bausteine mit Dokumentation jeder Zuordnung oder Ablehnung

4. IT-Grundschutz-Check – GAP-Analyse pro Baustein und Anforderung; Interviews mit Systemverantwortlichen; Soll-Umsetzungsbeschreibungen

5. Risikoanalyse – Schadensszenarien, Risikoeinstufung nach Risikomatrix des Auftraggebers (Brutto- und Netto-Risiken)

6. Realisierungsplan – nicht erfüllte Anforderungen, Maßnahmen, Terminplanung, Kosteneinschätzung, Priorisierung und Verantwortlichkeiten

Abweichungen sind frühzeitig mit dem Auftraggeber abzustimmen und von diesem bestätigen zu lassen.

Im Rahmen jedes Auftrags sind folgende Unterlagen zu liefern:

• Manteldokument als zusammenfassender Managementbericht
• Bearbeitbare digitale Dokumente (MS Office oder kompatibel)
• Eingebettete Zeichnungen/Pläne digital weiterverarbeitbar (Visio, Project, Mindmaps)
• Finale abnahmefähige Dokumente als PDF

Das Leistungsverzeichnis enthält folgende Positionen:

| Position | Beschreibung | Menge |

|----------|--------------|-------|

| 1 | Stundensatz IT-Sicherheitsberater | max. 7.200 Personenstunden = max. 900 Personentage über die Vertragslaufzeit |

| 2 (optional) | Reisekostenpauschale | max. 16 Pauschalen |

Abrufmodell:

• Geplante Abnahme: ca. 200 Personentage pro Jahr
• Mindestabnahme: 50 Personentage pro Jahr
• Abrechnung nach tatsächlich erbrachten Leistungen mit Leistungsnachweis (keine Pauschalen, keine Mindestabnahmen)
• Jour-Fixe-Termine alle 14 Tage, ca. 60 Minuten

Folgende Schlüsselpositionen müssen mit eigenem festangestelltem Personal besetzt werden – der Einsatz von Unterauftragnehmern oder Personaldienstleistern ist hier nicht zulässig:

• IT-Sicherheitsberater Nr. 1 – höher qualifiziert, inkl. Sicherheitsüberprüfung nach § 9 SÜG
• IT-Sicherheitsberater Nr. 2 – inkl. Sicherheitsüberprüfung nach § 8 SÜG (mindestens Ü1)

Beide Berater benötigen:

• Abgeschlossenes Bachelor-Studium (oder höher)
• Deutsch fließend (C2)
• Nachweis über BSI-Grundschutz-Zertifikat (oder vergleichbar)
• HiScout-Schulung der bayerischen Staatsverwaltung
• Umfangreiche Praxiserfahrung in BSI-Sicherheitskonzepten, Audits und Schwachstellenanalyse

Mit dem Auftrag wird eine Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO (Anlage 7 zum Vertrag) abgeschlossen. Wichtige Pflichten des Auftragnehmers:

• Vertraulichkeitsverpflichtung aller eingesetzten Mitarbeiter
• Benennung eines Datenschutzbeauftragten
• Technische und organisatorische Maßnahmen nach Art. 32 DSGVO
• Verarbeitung personenbezogener Daten ausschließlich in der EU (außerhalb nur mit Zustimmung und unter Beachtung von Kapitel V DSGVO)
• Unverzügliche Meldepflicht bei Datenschutzverstößen (Art. 33 DSGVO)
• Mitwirkung bei Datenschutz-Folgenabschätzungen
• Rückgabe oder datenschutzgerechte Vernichtung aller Daten nach Vertragsende
• Gewährung von Kontrollrechten für den Auftraggeber und die Aufsichtsbehörde

Folgende Ausschlussgründe führen zum Ausschluss vom Verfahren:

• Ausschlussgründe nach §§ 123, 124 GWB (z. B. Verurteilungen, Steuerdelikte, Insolvenz, Schwarzarbeit, schwere Menschenrechtsverletzungen)
• Russlandbezug gemäß EU-Verordnung 833/2014 – betrifft Bieter und Unterauftragnehmer mit einem Auftragswert > 10 %
• Fehlende oder unzureichende Berufshaftpflichtversicherung (Mindestdeckung 5 Mio. €, Nachweis zum Vertragsbeginn)

Als Ausschlusskriterien zu erfüllen:

• Mindestumsatz: mind. 500.000 € pro Kalenderjahr (2023, 2024 und 2025) für Beratungs- und Unterstützungsleistungen im Bereich Erstellung/Aktualisierung von Sicherheitskonzepten
• Mindestpersonal: mind. 10 festangestellte Mitarbeiter für die genannten Leistungen, durchgehend seit Januar 2023
• Jahresabschlüsse: Verpflichtung zur Vorlage der letzten 3 Jahresabschlüsse (2023, 2024, 2025) auf Anforderung
• Angabe des projektbezogenen Umsatzes und des Gesamtumsatzes für 2023–2025
• KMU-Eignung: nicht gegeben – die Vergabe ist nicht ausdrücklich für kleine und mittlere Unternehmen gekennzeichnet

Mindestens 1 Referenz ist vorzulegen. Jede Referenz muss alle folgenden Mindestanforderungen (Ausschlusskriterien) erfüllen:

• Referenz stammt aus den letzten 4 Jahren, das Projekt hatte zum Ablauf der Angebotsfrist mindestens 2 Jahre Bestand
• Projektvolumen bzw. Bieteranteil: mindestens 500.000 €
• Eingesetzte Mitarbeiteranzahl (bzw. Bieteranteil): mindestens 2 Personen
• Beschreibung des Projektgegenstands mittels Formblatt
• Leistungszeitraum angegeben

Zusätzlich können mit maximal 2 weiteren Referenzen folgende Spezialanforderungen nachgewiesen werden (wünschenswert, nicht zwingend für Mindesteignung):

• IT-Sicherheitskonzepte basieren auf BSI IT-Grundschutz
• Mindestens ein Sicherheitskonzept zu Informationsverbünden mit Verschlusssachen wurde erstellt
• Erfolgreiche BSI-Grundschutz-Zertifizierung nach Konzept-Erstellung
• Umfassender Einsatz des ISMS-Tools HiScout

Formale Vorgaben für jedes Referenzformular:

• Referenz-Nr., Bieter/Unterauftragnehmer, Referenznehmer
• Auftraggeber mit vollständiger Adresse
• Namentlicher Ansprechpartner (kein Vertrieb!) – muss nachprüfbar sein
• Leistungszeitraum (von/bis)
• Projektvolumen in Euro
• Mitarbeitereinsatz (gesamt + Anteil des eigenen Unternehmens)
• Eigenerfahrung oder Eignungsleihe durch Unterauftragnehmer (gekennzeichnet)

Für beide IT-Sicherheitsberater gelten folgende Ausschlusskriterien (sonst Wertung mit 0 Punkten bzw. Angebotsausschluss):

| Kriterium | Anforderung |

|-----------|-------------|

| Akademischer Abschluss | Bachelor oder höherwertig (Urkunde in Kopie) |

| Deutschkenntnisse | Fließend, Niveau C2 nach Gemeinsamem Europäischem Referenzrahmen (GER) |

| Sicherheitsüberprüfung | Berater Nr. 1: mindestens § 9 SÜG (Ü3); Berater Nr. 2: mindestens § 8 SÜG (Ü1) |

| Anstellungsverhältnis | Eigenes festangestelltes Personal (kein Unterauftragnehmer, kein Personaldienstleister) |

Wichtiger Hinweis: Ohne Sicherheitsüberprüfung wird das Personalprofil abgelehnt – das Angebot wird in der Wertung ausgeschlossen.

Zusätzlich zu den Mindestanforderungen fließen folgende Qualifikationen in die Wertung (50 % Qualitätsanteil) ein. Die Bewertung erfolgt anhand einer Punkte-Matrix; pro Berater werden 50 % des Personalgewichts vergeben.

Berater IT-Sicherheit Nr. 1:

• Anzahl Jahre Berufserfahrung im Bereich Informationssicherheit (20 %)
• Anzahl selbst erstellter BSI-konformer Sicherheitskonzepte (15 %)
• Teilnahme an einführender Schulung ISMS-Tool HiScout (15 %)
• Erfahrung in Analyse technischer Schwachstellen / Sicherheitsanalysen (10 %)
• BSI-Grundschutz-Zertifikat oder vergleichbar (15 %) – Stufen: BSI-Practitioner (2), BSI-Berater (4), BSI-Auditor (5)
• Anzahl selbst durchgeführter Audits nach BSI IT-Grundschutz (10 %)
• Erfahrung in Fortschreibung/Aktualisierung bestehender BSI-konformer Sicherheitskonzepte (15 %)

Berater IT-Sicherheit Nr. 2:

• Anzahl Jahre Berufserfahrung (15 %)
• Anzahl selbst erstellter BSI-konformer Sicherheitskonzepte (15 %)
• HiScout-Schulung (15 %)
• Sicherheitsüberprüfung nach SÜG (10 %) – Ü1 = 1 Pkt., Ü2+ = 5 Pkt.
• Erfahrung Schwachstellenanalyse (10 %)
• BSI-Zertifikat (10 %)
• Anzahl Audits nach BSI IT-Grundschutz (10 %)
• Erfahrung in Fortschreibung BSI-konformer Sicherheitskonzepte (15 %)

Hinweis zur Gleichwertigkeit von Zertifikaten: Eigenzertifikate werden nicht anerkannt; Foundation Level i. d. R. nicht gleichwertig zu Advanced Level; Gleichwertigkeit ist ausführlich zu begründen.

Folgende Voraussetzungen sind für die Leistungserbringung erforderlich:

• ISO-27001-Zertifizierung (oder vergleichbar) des Auftragnehmers – muss während der gesamten Vertragslaufzeit aufrechterhalten bleiben
• ISMS-Geltungsbereich muss die zu erbringenden Leistungen vollständig oder in relevanten Teilen umfassen
• Mitteilungspflicht bei Wegfall der Zertifizierung
• Verfügbarkeit leistungsfähiger Client-Endgeräte (bevorzugt Windows), die im ISMS des Auftragnehmers aufgenommen sind

Die Angebote werden nach folgenden Kriterien bewertet:

• Preis: 50 %
• Qualität (Leistungsbewertung gemäß Kriterienkatalog sowie erweiterte Richtwertmethode mit 10 % Schwankungsbereich und Zuschlag auf beste Leistung im Schwankungsbereich): 50 %

Es handelt sich um eine Rahmenvereinbarung ohne erneuten Aufruf zum Wettbewerb mit einem einzigen Auftragnehmer.

Wichtige Eckpunkte des Verfahrens:

• Verfahrenstyp: Offenes Verfahren (open)
• Sprache: Ausschließlich Deutsch
• Elektronische Angebotsabgabe: Pflicht über evergabe.bayern.de
• Elektronische Rechnungsstellung: Pflicht
• Nebenangebote: nicht zulässig
• Mehrfachangebote: nicht zulässig
• Elektronischer Katalog: nicht zulässig
• Nachforderung von Unterlagen: nicht ausgeschlossen (§ 56 Abs. 2 VgV)
• Rügeobliegenheit: Verstöße gegen Vergabevorschriften sind innerhalb von 10 Kalendertagen zu rügen, spätestens bis zum Ablauf der Angebotsfrist
• Vergabekammer: zuständig ist die Regierung von Oberbayern – Vergabekammer Südbayern (bei Rügen nach Ablehnungsmittelung: max. 15 Kalendertage)