Unterstützung und Beratung bei der Erstellung bzw. Aktualisierung von IT-Sicherheitskonzepten

Erstellung und Aktualisierung von IT-Sicherheitskonzepten für Anwendungen der bayerischen Justiz auf Basis der IT-Grundschutz-Methodik nach BSI-Standard 200-2.

Anzuwendende Standards:

• IT-Grundschutz nach BSI-Standard 200-2 (Standard-Absicherung)
• Risikoanalyse nach BSI-Standard 200-3
• IT-Grundschutzkompendium bzw. dessen Nachfolgeversionen
• Einführungsunterstützung im Kontext BSI-Grundschutz++ (beratende, orientierende Tätigkeit)

Verpflichtende Arbeitsschritte (Phasen der Standard-Absicherung):

1. Strukturanalyse (Prozesse, Daten, Anwendungen, IT-Systeme, Kommunikationsbeziehungen, Räume, bereinigter Netzplan)

2. Schutzbedarfsfeststellung nach BSI-Methodik (mit Vererbung auf Zielobjekte; bayerische Schutzbedarfsmatrix)

3. Modellierung (Identifikation relevanter BSI-Grundschutz-Bausteine)

4. IT-Grundschutz-Check (GAP-Analyse, Interviews mit Systemverantwortlichen, Soll-Umsetzungsbeschreibungen)

5. Risikoanalyse (Schadensszenarien, Risikoeinstufung nach Risikomatrix, Brutto- und Netto-Risiken)

6. Realisierungsplan (Maßnahmen, Terminplanung, Kosteneinschätzung, Priorisierung, Verantwortlichkeiten)

Wichtige Hinweise:

• Eine verpflichtende Erstellung/Aktualisierung nach dem noch nicht finalisierten Grundschutz++-Standard ist ausgeschlossen. Änderungen an BSI-Standards werden nur in Abstimmung mit dem Auftraggeber berücksichtigt.
• Abweichungen von BSI-Standards müssen frühzeitig mit dem Auftraggeber abgestimmt und von ihm bestätigt werden.
• Zu Beginn jedes Teilprojekts ist eine Teilprojektbeschreibung zu erstellen.

Arbeitswerkzeug:

• ISMS-Tool HiScout GRC Suite (Module Grundschutz und ISM) – das Standardwerkzeug der bayerischen Staatsverwaltung
• Schulungsbescheinigung des Bayerischen Landesamts für Sicherheit in der Informationstechnik (LSI) oder gleichwertige praktische Erfahrung sind nachzuweisen
• Alle Arbeitsprodukte und Dokumentationen sind in deutscher Sprache zu erstellen
• Die Kommunikation erfolgt ausschließlich auf Deutsch

Leistungsmodell:

• Leistung wird ausschließlich auf Abruf erbracht (kein fester Terminplan)
• Reaktionszeit: Nach Aufforderung muss spätestens 20 Arbeitstage nach Aufruf mit der Leistung begonnen werden
• Planungszeitraum je Abruf: Jeweils 3 Monate

Einsatzort:

• Überwiegend remote oder am Sitz des Auftragnehmers
• Gelegentlich an Standorten des Auftraggebers in Bayern (i. d. R. München)
• Erfüllungsort: München (PLZ 80335)
• Offshore-Verbot: Leistungen dürfen ausschließlich aus dem Hoheitsgebiet der Bundesrepublik Deutschland erbracht werden

Jour-Fixe: Alle 14 Tage, ca. 60 Minuten, zum Projektstand und Verbrauch der Personenstunden

Leistungsvolumen:

• Mindestabnahme: 50 Personentage pro Jahr
• Geplante Abnahme: 200 Personentage pro Jahr
• Maximale Vertragsobergrenze: 900 Personentage gesamt (= 7.200 Personenstunden)

Schlüsselpersonal (Pflicht – muss fest angestellt sein, kein Unterauftragnehmer-Einsatz erlaubt):

• IT-Sicherheitsberater #1: Akademischer Abschluss (Bachelor oder gleichwertig, DQR/EQR Niveau 6), Sicherheitsüberprüfung mindestens nach § 9 SÜG, Deutsch fließend (C2)
• IT-Sicherheitsberater #2: Akademischer Abschluss (Bachelor oder gleichwertig, DQR/EQR Niveau 6), Sicherheitsüberprüfung mindestens nach § 8 SÜG, Deutsch fließend (C2)

Aufgabe des Schlüsselpersonals:

• Unterstützung der justizseitig besetzten Stabsstelle IT-Sicherheitsmanagement
• Die Berater arbeiten direkt mit dem Auftraggeber zusammen und können nur nach den vertraglichen Regeln ausgewechselt werden
• Ersatzpersonal muss mindestens die gleiche Punktzahl erreichen wie die zu ersetzende Person

Weitere Berafer: Für Teilprojekte dürfen zusätzliche Berater hinzugezogen werden

Sicherheitsanforderungen:

• Vor Aufnahme der Tätigkeit ist eine Verpflichtungserklärung gemäß Verpflichtungsgesetz zu unterzeichnen
• Falls zum Leistungsbeginn noch keine erfolgreich abgeschlossene Sicherheitsüberprüfung vorliegt, kann der Auftraggeber außerordentlich kündigen
• Erfüllungsgehilfen müssen ebenfalls eine Verpflichtungserklärung abgeben
• Keine Personaldienstleister als Unterauftragnehmer

Mindestumsatz:

• Mindestens 500.000 € Jahresumsatz für Beratungs- und Unterstützungsleistungen im Bereich Erstellung/Aktualisierung von Sicherheitskonzepten – und zwar in jedem der Kalenderjahre 2023, 2024 und 2025.

Personal:

• Mindestens 10 festangestellte Personen für Beratungs- und Unterstützungsleistungen im Bereich Sicherheitskonzepte seit Januar 2023.

Zusätzlich erforderliche Angaben:

• Projektbezogener Umsatz (K5.1) und Gesamtumsatz (K5.2) für 2023–2025
• Unternehmensgröße (statistische Angabe, ohne Gewichtung)
• Angaben zum Wettbewerbsregister
• KMU-Eignung: nicht gegeben – die Ausschreibung ist nicht für kleine/mittlere Unternehmen geeignet

Es sind mindestens eine, maximal zwei Referenzen einzureichen.

Merkmale 1–5 (jede Referenz muss diese einzeln erfüllen):

1. Referenz aus den letzten 4 Jahren, Projekt lief zum Angebotsfristende seit mindestens 2 Jahren

2. Projektvolumen (bzw. Bieteranteil) für Erstellung/Aktualisierung von Sicherheitskonzepten: mindestens 500.000 €

3. Mindestens 2 eingesetzte Mitarbeiter im Projekt (bzw. im Bieteranteil)

4. Projektgegenstand ist mittels Formblatt beschrieben

5. Leistungszeitraum ist angegeben

Merkmale 6–9 (können kumulativ von beiden Referenzen erfüllt werden):

6. Erstellte IT-Sicherheitskonzepte basieren auf BSI IT-Grundschutz

7. Mindestens ein Sicherheitskonzept betrifft Informationsverbünde mit Verschlusssachenverarbeitung

8. Informationsverbund nach Erstellung des Sicherheitskonzepts erfolgreich nach BSI-Grundschutz zertifiziert

9. ISMS-Tool HiScout umfassend eingesetzt

Weitere Regeln:

• Sammelreferenzen sind zulässig (z. B. Rahmenverträge mit Einzelabrufen), sofern Art, Umfang und Komplexität den Kriterien entsprechen
• Anonyme Referenzen sind nicht zulässig – sie müssen nachprüfbar sein

Zwingende Ausschlussgründe (§ 123 GWB):

• Keine Verurteilungen wegen bestimmter Straftaten (z. B. Bestechung, Betrug)
• Keine Verstöße gegen Steuer- und Sozialversicherungspflichten
• Keine relevanten Verstöße gegen Arbeitsrecht
• Keine Insolvenz

Fakultative Ausschlussgründe (§ 124 GWB):

• Falls einschlägig, ist eine entsprechende Erklärung abzugeben

Russland-Sanktionen:

• Eigenerklärung zur Einhaltung der EU-Sanktionsverordnung 833/2014 (kein Bezug zu Russland-gelisteten Personen/Organisationen)

Berufshaftpflichtversicherung:

• Nachweis über bestehende Berufshaftpflichtversicherung mit Mindestdeckung von 5 Mio. €

Steuern und Abgaben:

• Eigenerklärung zur ordnungsgemäßen Zahlung von Steuern, Abgaben und Sozialversicherungsbeiträgen

Scientology-Schutzklausel:

• Eigenerklärung, dass das Unternehmen nicht die Technologie von L. Ron Hubbard anwendet oder verbreitet (Anlage 9 zum Vertrag)

IT-Sicherheitsberater Nr. 1:

• Akademischer Abschluss: mindestens Bachelor oder gleichwertig (z. B. Staatlich geprüfter Techniker, Diplomingenieur FH – alle gemäß DQR/EQR Niveau 6)
• Sprachniveau: Deutsch fließend, mindestens C2 (GER)
• Sicherheitsüberprüfung: mindestens SÜ2 nach § 9 SÜG (bayerisches SÜG; SÜG BUND als gleichwertig anerkannt)
• Nachweis der Bereitschaft zur Sicherheitsüberprüfung per Eigenerklärung zum Angebot; die SÜ muss spätestens zur Aufnahme der Tätigkeit vorliegen
• Feste Anstellung beim Bieter – kein Subunternehmer-Einsatz, auch nicht bei 100%-Tochtergesellschaften

IT-Sicherheitsberater Nr. 2:

• Akademischer Abschluss: mindestens Bachelor oder gleichwertig (DQR/EQR Niveau 6)
• Sprachniveau: Deutsch fließend, mindestens C2
• Sicherheitsüberprüfung: mindestens SÜ1 nach § 8 SÜG
• Feste Anstellung beim Bieter

HiScout-Kompetenz für beide Berater (alternativ nachzuweisen):

• Schulungs- oder Teilnahmebescheinigung der einführenden HiScout-Schulung des Bayerischen LSI
• ODER projektbezogene Referenzen mit Tätigkeitsbeschreibung
• ODER Eigenerklärung mit Darlegung praktischer Erfahrung mit der HiScout GRC Suite (Module Grundschutz und ISM)
• Eine Gleichwertigkeitsbestätigung durch das Bayerische LSI ist ebenfalls möglich

ISO 27001 (oder vergleichbar):

• ISO-27001-Zertifizierung des Unternehmens oder vergleichbare Zertifizierung ist erforderlich und muss über die gesamte Vertragslaufzeit aufrechterhalten werden
• Der zertifizierte ISMS-Geltungsbereich muss die ausgeschriebenen Leistungen vollständig oder in relevanten Teilen umfassen

HiScout-Schulung:

• Schulungsnachweis des Bayerischen LSI für HiScout (oder Gleichwertigkeit)

Technische Voraussetzungen:

• Leistungsfähige Client-Endgeräte, bevorzugt mit Windows-Betriebssystem
• Geräte müssen im ISMS des Auftragnehmers aufgenommen sein
• VPN-Zugang zum bayerischen Behördennetz ist erforderlich

Arbeitsschutz und Compliance:

• Einhaltung Mindestlohngesetz, AEntG, AGG, EntgTranspG
• Keine Schwarzarbeit (Schwarzarbeitsbekämpfungsgesetz)
• Ausländische Mitarbeiter benötigen gültige Arbeits- und Aufenthaltsgenehmigungen