Unterstützung und Beratung bei der Erstellung bzw. Aktualisierung von IT-Sicherheitskonzepten

Freistaat Bayern, vertreten durch das Bayerische Staatsministerium der Justiz | Regierung von Oberbayern - Vergabekammer Südbayern | Der Präsident des Oberlandesgerichts München | Datenservice Öffentlicher Einkauf (in Verantwortung des Beschaffungsamts des BMI)München, BayernFrist: 06. Juli 2026(in 15 Tagen)

Zusammenfassung

Worum geht's?

Der Freistaat Bayern (Bayerisches Staatsministerium der Justiz) sucht externe IT-Sicherheitsberater, die bei der Erstellung und Aktualisierung von Sicherheitskonzepten für die IT-Anwendungen der bayerischen Justiz unterstützen.

Was muss der Auftragnehmer leisten?

Erstellung und Aktualisierung von IT-Sicherheitskonzepten nach der BSI-IT-Grundschutz-Methodik (Standards 200-2 und 200-3, IT-Grundschutzkompendium).
Beratende Begleitung bei der Einführung von Grundschutz++ (methodische Einordnung, jedoch keine verpflichtende Konzepterstellung nach nicht-finalisiertem Standard).
Arbeit mit dem ISMS-Tool HiScout GRC (Pflicht).
Abrufleistung: mindestens 50 Personentage/Jahr, geplant 200 PT/Jahr, maximal 900 Personentage insgesamt.
Zwei feste IT-Sicherheitsberater (Schlüsselpersonal, fest angestellt, kein Subunternehmer).

Was muss man mitbringen?

ISO 27001- oder BSI-IT-Grundschutz-Zertifizierung des Unternehmens.
Mindestens 10 festangestellte Mitarbeiter seit Januar 2023 im Bereich IT-Sicherheitskonzepte.
Mindestumsatz 500.000 € p.a. (2023–2025) für entsprechende Beratungsleistungen.
Berufshaftpflicht mind. 5 Mio. €.
Mindestens eine passende Referenz, gerne zwei.
Sicherheitsüberprüfung für die Berater nach § 9 SÜG (Berater #1) und § 8 SÜG (Berater #2).
Deutsch C2, Bachelor (DQR/EQR Niveau 6).
Nachweis HiScout-Kompetenz.

Wie und bis wann anbieten?

Offenes Verfahren, eine Leistung (keine Lose).
Bewertung: 50 % Preis, 50 % Qualität.
Elektronische Angebotsabgabe über https://www.auftraege.bayern.de.
Angebotsfrist: 06.07.2026, 10:00 Uhr.
Vertragslaufzeit: 01.01.2027 – 31.12.2030.

Original-Bekanntmachung ansehen

Zeitplan & Fristen

Aus den Vergabeunterlagen extrahiert

Details

Noch 15 Tage bis zur Angebotsfrist

Termin / Frist

20262027202820292030

MAINOVMAINOVMAINOVMAINOVMAINOV

Veröffentlichung

Bieterfragen-Frist

Angebotsfrist

Rügefrist

Sicherheitsüberprüfung bis

Angebotsgültigkeit

Bindefrist

Vorabinformation

Vertragsbeginn

Vertragslaufzeit

Leistungsabruf Reaktionsfrist

Mindestabnahme pro Jahr

Geplante Abnahme pro Jahr

Vertragsobergrenze

Bindefrist Personalersatz

Vertragsende

Geheimhaltung nach Vertragsende

bis 2033

Heute

vor Angebotsabgabenach Angebotsabgabegeschätzt

Zuschlagskriterien

Gewichtung laut Vergabeunterlagen

Details

Preis & Qualität8 Kriterien

Personal50%
Bewertung der Personalprofile der IT-Sicherheitsberater anhand von Berufserfahrung, Zertifikaten, Schulungen und Projekterfahrung

Aus dem Dokument geht nur ein Zuschlagskriterium (Personal/Personalprofile) hervor; Preis-Gewichtung und weitere Zuschlagskriterien sowie Gesamtkontext der Bewertungsmatrix fehlen.

Leistungsumfang

Aus den Vergabeunterlagen

Details

Kernleistung: Erstellung und Aktualisierung von Sicherheitskonzepten

Erstellung und Aktualisierung von IT-Sicherheitskonzepten für Anwendungen der bayerischen Justiz
Anwendung der BSI-IT-Grundschutz-Methodik (Standard 200-2)
Durchführung von Risikoanalysen nach BSIT-Standard 200-3
Nutzung des IT-Grundschutzkompendiums (bzw. ggf. Nachfolgeversionen)
Ziel: Erreichung der CIA-Kriterien (Vertraulichkeit, Integrität, Verfügbarkeit); erhöhter Schutzbedarf gilt generell für die bayerische Justiz (hoheitliche Aufgaben)
Berücksichtigung der 'Standard-Absicherung' gemäß BSI-Grundschutz

Phasen der Konzepterstellung

1. Strukturanalyse: Erfassung von Prozessen/Daten, Anwendungen, IT-Systemen, Kommunikationsbeziehungen/Netzen; Erstellung eines bereinigten Netzplans (mit Gruppenbildung). ICS-Systeme werden nicht erfasst.

2. Schutzbedarfsfeststellung: Festlegung nach BSI-Definition; Vererbung auf Verbund-Objekte; Verwendung der bayerischen Schutzbedarfsmatrix (vom AG gestellt).

3. Modellierung: Identifikation relevanter BSI-Grundschutz-Bausteine; Prüfung und Dokumentation pro Zielobjekt.

4. IT-Grundschutz-Check (GAP-Analyse): Prüfung jeder Bausteinanforderung; Erstellung von Soll-Umsetzungsbeschreibungen; Interviews mit Systemverantwortlichen.

5. Risikoanalyse: Schadensszenarien für Geschäftsprozesse; Brutto-/Netto-Risiken; Nutzung der Risikomatrix des AG.

6. Realisierungsplan: Darstellung nicht/teilweise erfüllter Anforderungen; Maßnahmen, Terminplanung, grobe Kostenschätzung, Priorisierung, Verantwortlichkeiten, Begleitmaßnahmen.

Einsatz des ISMS-Tools HiScout

Verbindliche Nutzung des HiScout GRC (Standardwerkzeug der bayerischen Staatsverwaltung, Module Grundschutz und ISM)
Dokumentation der Konzepte direkt im Tool
Schulungsnachweis HiScout (bayerische Staatsverwaltung) ODER gleichwertige praktische Erfahrung mit HiScout GRC Suite erforderlich

Grundschutz++ – Einführungsunterstützung

Beratende und begleitende Unterstützung im Kontext BSI-Grundschutz++
Methodische Einordnung neuer Ansätze und Vorbereitung auf zukünftige Anforderungen
Verpflichtende Konzepterstellung nach nicht-finalisiertem Standard ist NICHT Teil des Auftrags
Bei Änderungen/Weiterentwicklungen der BSI-Standards: Rücksprache mit dem Auftraggeber

Unterstützung der Stabsstelle IT-Sicherheitsmanagement

Beratung und operative Begleitung der justizseitig besetzten Stabsstelle IT-Sicherheitsmanagement
14-täglicher Jour-Fixe (ca. 60 Minuten) zu Projektständen und verbrauchten Personenstunden
Zu Beginn jedes Teilprojekts: Teilprojektbeschreibung (Inhalt mit AG abstimmen)

Abrufstruktur und Umfang

Leistungserbringung auf Abruf (On-Demand)
Mindestabnahme: 50 Personentage/Jahr
Geplante Abnahme: 200 Personentage/Jahr
Gesamtobergrenze: 900 Personentage (= 7.200 Personenstunden)
Reaktionszeit: Leistungsbeginn spätestens 20 Arbeitstage nach Aufforderung
Abrechnung nach Aufwand (bis 10 Std./Kalendertag); Stundensatz IT-Sicherheitsberater (max. 7.200 Std.) + optionale Reisekostenpauschale (16 Pauschalen)
Drei-Monats-Planung je Leistungszeitraum; Bindefrist für Ersatzpersonal 20 Arbeitstage

Schlüsselpersonal

Mindestens 2 IT-Sicherheitsberater (IT-Sicherheitsberater #1 und #2) sind zur Arbeitsleistung verpflichtet
Nur diese beiden sind vertraglich gebunden; Zuziehung weiterer Berater nur soweit für Teilprojekte nötig
Schlüsselpersonal muss durch eigenes, fest angestelltes Personal des Bieters erbracht werden
Keine Unterauftragnehmer oder Personaldienstleister für Schlüsselpersonal (auch keine 100%-Tochtergesellschaften)

Liefer- und Ausführungsbedingungen

Leistungsort(e): in der Regel am Sitz des Auftragnehmers oder remote; gelegentlich Standorte des Bayerischen Staatsministeriums der Justiz in Bayern (i.d.R. München). Erfüllungsort: 80335 München.
Leistungen sind aus dem Hoheitsgebiet der Bundesrepublik Deutschland zu erbringen (Offshore-Verbot)
Unterauftragnehmer nur mit vorheriger Zustimmung des AG; Offenlegung spätestens 4 Wochen vor Einsatz
Technische Voraussetzungen: VPN-Zugang zum bayerischen Behördennetz wird bereitgestellt; Endgeräte mit aktueller Windows-Installation vom Auftragnehmer; Client-Endgeräte müssen im ISMS des AN aufgenommen sein
Dokumentenformate: digital und bearbeitbar (MS Office/kompatibel); Zeichnungen/Pläne weiterverarbeitbar (Visio, Project, Mindmaps); finale abnahmefähige Dokumente als PDF
Zu Beginn jedes Teilprojekts: Festlegung der Teilprojektbeschreibung in Abstimmung mit dem AG

Eignungskriterien

Geforderte Nachweise laut Vergabeunterlagen

Details

Zwingende Ausschlusskriterien (Ausschluss bei Nicht-Erfüllung)

Keine Ausschlussgründe gem. § 123 GWB (Verurteilungen, Geldbußen nach § 30 OWiG)
Keine Ausschlussgründe gem. § 124 GWB (schwere Verfehlungen, Integritätsverstöße)
Steuern und Sozialversicherung: ordnungsgemäße Erfüllung
Arbeitsrecht: Einhaltung MiLoG, AEntG, AGG, LkSG
Keine Insolvenz/Liquidation beantragt oder eröffnet
Keine Wettbewerbsbeschränkungen (keine unzutreffenden Erklärungen, keine Absprachen)
Russlandbezug: keine Bezüge zu Russland-Sanktionen gem. EU-VO 833/2014
Berufshaftpflichtversicherung: mind. 5 Mio. € zum Vertragsbeginn
Keine Verpflichtungsverletzungen (Scientology-Erklärung, Verpflichtungsgesetz)
Vertraulichkeit/Verschlusssachen: alle Mitarbeiter unterzeichnen Verpflichtungserklärung gem. § 1 Verpflichtungsgesetz
Festangestellte Mitarbeiter: mindestens 10 festangestellte Personen für IT-Sicherheitsberatungsleistungen durchgehend seit Januar 2023
Mindestumsatz: mindestens 500.000 € p.a. für Beratungs-/Unterstützungsleistungen bei Erstellung/Aktualisierung von Sicherheitskonzepten in den Jahren 2023, 2024 und 2025
Referenzen: mindestens 1 Referenz gemäß K5.6.2 (Merkmale 1–5 je einzeln erfüllt)

Unternehmens-Zertifizierung

Gültige ISO 27001- oder BSI-IT-Grundschutz-Zertifizierung des Unternehmens
Der Scope des zertifizierten ISMS muss die Leistungserbringung (IT-Sicherheitsberatung) vollständig oder in relevanten Teilen abdecken
Zertifizierung muss während des gesamten Vertragszeitraums aufrechterhalten werden
Vom Bieter/Konzernverbund selbst ausgestellte Zertifikate werden nicht anerkannt
Grundlagenzertifikate (Foundation Level) gelten i.d.R. nicht als gleichwertig zu Fortgeschrittenenzertifikaten (Advanced Level)

Projektspezifische Eignungskriterien (K5)

K5.1 Projektbezogener Umsatz: jährlicher Umsatz für IT-Sicherheitsberatung 2023–2025
K5.2 Gesamtumsatz 2023–2025
K5.6 Referenzen gemäß K5.6.2 (mind. 1 Referenz, max. 2)

Schlüsselpersonal – gemeinsame Anforderungen

Mindestqualifikation: Bachelor (oder gleichgestellt: Staatlich geprüfter Techniker, Dipl.-Ing. FH) – DQR/EQR Niveau 6
Sprache: Deutsch C2 (GER)
Sicherheitsüberprüfung: muss zum Zeitpunkt der Angebotsabgabe vorliegen (bzw. Eigenerklärung, dass SÜ rechtzeitig erfolgt); SÜG-Bund wird als gleichwertig zu BaySÜG anerkannt
HiScout-Kompetenz: Schulungsnachweis HiScout (bayerische Staatsverwaltung) ODER mehrjährige praktische Erfahrung mit HiScout GRC Suite (Module Grundschutz und ISM)
Eigenes, fest angestelltes Personal des Bieters/der Bietergemeinschaft – keine Übertragung an Unterauftragnehmer (auch keine 100%-Tochtergesellschaften)
Bewertet werden u.a.: Berufserfahrung Informationssicherheit, BSI-konforme Sicherheitskonzepte (Erstellung), HiScout-Schulung/-Erfahrung, Schwachstellenanalyse, VSA-Erfahrung, BSI-Zertifikat, Audits nach BSI-Grundschutz, Fortschreibung

Schlüsselpersonal – IT-Sicherheitsberater #1

Sicherheitsüberprüfung nach § 9 SÜG (BaySÜG) zwingend erforderlich (bzw. SÜG-Bund)
Bewertet wird u.a.: Berufserfahrung, BSI-konforme Sicherheitskonzepte, HiScout, Schwachstellenanalyse, VSA-Erfahrung (Bund/Bayern), BSI-Zertifikat, Audits, Fortschreibung

Schlüsselpersonal – IT-Sicherheitsberater #2

Sicherheitsüberprüfung nach § 8 SÜG (BaySÜG) zwingend erforderlich (bzw. SÜG-Bund)
Bewertet wird u.a.: Berufserfahrung, BSI-konforme Sicherheitskonzepte, HiScout, VSA-Erfahrung, Schwachstellenanalyse, BSI-Zertifikat, Audits, Fortschreibung

Eignungsleihe, Unterauftragnehmer, Bietergemeinschaften

Eignungsleihe möglich:
Technische/berufliche Leistungsfähigkeit: Verpflichtungserklärung
Wirtschaftliche/finanzielle Leistungsfähigkeit: Patronatserklärung oder gesamtschuldnerische Haftung
Unterauftragnehmer grundsätzlich möglich (außer für Schlüsselpersonal); müssen in Formblatt benannt werden
Bietergemeinschaften zugelassen; gesamtschuldnerische Haftung erforderlich; Referenzen der Mitglieder können sich ergänzen

Referenzprojekte

1 bis 2 ReferenzenZeitraum: letzte 4 Jahre; Projekt muss zum Angebotsfristende mindestens 2 Jahre Bestand gehabt habenVolumen: Projektvolumen bzw. Bieteranteil ≥ 500.000 €

Mindestens 1 Referenz (maximal 2) zur Erstellung/Aktualisierung von IT-Sicherheitskonzepten (Kriterium K5.6.2). Bei 2 Referenzen: Merkmale 1–5 muss jede einzeln erfüllen, Merkmale 6–9 dürfen kumulativ erfüllt werden.

Mitarbeiter im Projekt ≥ 2 Personen. Beschreibung per Formblatt mit Leistungszeitraum. Sammelreferenzen aus Rahmenverträgen zulässig. Mindestens eine Referenz mit VS-Erfahrung (Sicherheitskonzepte in Informationsverbünden mit Verschlusssachen; erhöhter Schutzbedarf reicht NICHT). HiScout-Einsatz muss unmittelbar im Referenzprojekt erfolgt sein. Referenzen müssen nachprüfbar sein, keine anonymen Referenzen.

Wettbewerb & Angebotsprognose

Erwartete Konkurrenz auf Basis vergleichbarer Vergaben

Details

1–3Angebote erwartet

Geringe Konkurrenz

Median rund 2 Angebote.

Wahrscheinliche Bieterzahl

1–3 · 39%4–10 · 29%11+ · 31%

Unternehmen, die ähnliche Ausschreibungen gewonnen haben

Aus vergleichbaren bereits vergebenen Vergaben (KI-Ähnlichkeit)

Details

Checkliste zur Angebotsabgabe

Konkrete Schritte laut Vergabeunterlagen

Details

Pflicht-Eigenerklärungen und Ausschlusskriterien8

Eigenerklärung (Kenntnisnahme, §§ 123/124 GWB, Steuern, Sozialversicherung, Arbeitsrecht, Insolvenz, Wettbewerb)Pflicht
vorgegebenes Formular verwenden
Eigenerklärung RUS (Russland-Sanktionen gem. EU-VO 833/2014)Pflicht
Ausschlusskriterium
Eigenerklärung Berufshaftpflichtversicherung (mind. 5 Mio. €)Pflicht
Nachweis muss zum Vertragsbeginn vorliegen
Erklärung zu fakultativen Ausschlussgründen (§ 124 GWB), sofern zutreffendoptional
Erklärung gesamtschuldnerische Haftung bei Bietergemeinschaftoptional
nur bei Bietergemeinschaft
Verpflichtungserklärung Unterauftragnehmer (für jeden UA)optional
falls UA geplant
Erklärung zur Eignungsleihe (für Kapazitäten Dritter)optional
falls Kapazitäten Dritter genutzt werden
Vollmachtsnachweis bei Vertretungoptional
nur falls nicht aus Handelsregister ersichtlich

Unternehmens-Eignung (K5.1, K5.2)5

Angabe Jahresabschlüsse 2023, 2024, 2025 (auf Anforderung)optional
Angabe Mindestumsatz 500.000 €/Jahr für IT-Sicherheitsberatung 2023–2025Pflicht
Nachweis 10 festangestellte Mitarbeiter seit Januar 2023 im Bereich IT-SicherheitskonzeptePflicht
ISO 27001- oder BSI-IT-Grundschutz-Zertifikat (mit Scope, ausstellende Stelle, Laufzeit)Pflicht
eigene Konzernzertifikate werden nicht anerkannt
Statistische Angaben: Unternehmensgröße, Wettbewerbsregister-DatenPflicht

Schlüsselpersonal – IT-Sicherheitsberater #112

Vollständig ausgefülltes Personalprofil IT-Sicherheitsberater #1Pflicht
vorgegebenes Formular verwenden
Kopie der Urkunde über den akademischen Abschluss (Bachelor oder gleichgestellt, DQR/EQR 6)Pflicht
Nachweis Sicherheitsüberprüfung nach § 9 SÜG (oder Eigenerklärung)Pflicht
Eigenerklärung, dass SÜ bei Leistungsbeginn vorliegt; SÜG-Bund gleichwertig
Nachweis Deutsch C2Pflicht
Tabellarische Darstellung Berufserfahrung Informationssicherheit (Projekte mit Rolle, Zeitraum)Pflicht
Tabellarische Darstellung erstellter BSI-konformer SicherheitskonzeptePflicht
HiScout-Nachweis: Schulungsbescheinigung ODER projektbezogene Referenzen ODER Eigenerklärung zur praktischen ErfahrungPflicht
Erfahrung Schwachstellenanalyse/SicherheitsanalysenPflicht
Tabellarische Darstellung VSA-Bund/VSA-Bayern-ProjektePflicht
Kopie BSI-Zertifikat oder gleichwertigPflicht
bei Gleichwertigkeit Begründung beifügen; Grundlagenzertifikate i.d.R. nicht ausreichend
Tabellarische Darstellung durchgeführter BSI-IT-Grundschutz-AuditsPflicht
Erfahrung Fortschreibung/Aktualisierung BSI-konformer KonzeptePflicht

Schlüsselpersonal – IT-Sicherheitsberater #22

Vollständig ausgefülltes Personalprofil IT-Sicherheitsberater #2Pflicht
vorgegebenes Formular verwenden
Nachweis Sicherheitsüberprüfung nach § 8 SÜG (oder Eigenerklärung)Pflicht
(entfällt)

Referenzen (K5.6.2)2

Mindestens 1, maximal 2 Referenzen einreichen (Vorlage 'Vorlage_Referenz_Kriterium K5.6.2')Pflicht
Merkmale 1–5 je einzeln erfüllen; Merkmale 6–9 dürfen kumulativ erfüllt werden
Vertrauliche Referenzen (VS-relevant) als gesonderte, markierte Anlage; ggf. PGP-verschlüsseltoptional
bei verschlusssachenbezogenen Referenzen

Konzeptformulare5

Formblatt K1 – OrganisationseinheitPflicht
Formblatt K2 – Zusammenarbeit (Kommunikation, Eskalation, max. 3 Seiten)Pflicht
Formblatt K3 – Realisierungskonzept (max. 3 Seiten)Pflicht
Formblatt K4 – Qualitätssicherung (max. 3 Seiten)Pflicht
Formblatt K5 – Risiken (max. 3 Seiten)Pflicht

Preisblatt und sonstige Anlagen6

Preisblatt: Stundensatz IT-Sicherheitsberater (Basis 7.200 Pers.-Std.) und ReisekostenpauschalePflicht
Erklärung zu gewerblichen SchutzrechtenPflicht
Anlage 9 – Eigenerklärung zu ScientologyPflicht
Anlage 4 – Liste Unterauftragnehmer (falls zutreffend)optional
Anlage 5 – Verpflichtungserklärung nichtbeamteter PersonenPflicht
Unterlagen ausschließlich in deutscher Sprache einreichenPflicht
Dateien im eVergabe-Schritt 'Eigene Anlagen' hochladen