Projektträger des Bundesministeriums für Gesundheit für das Förderprogramm „Sofortprogramm Cybersicherheit“

Der Projektträger ist zentraler Anlaufpunkt (Cybersicherheitshub) für das Förderprogramm und betreut Fördermaßnahmen zur IT-Sicherheit auf Basis des NIS-2-Maßnahmenkatalogs.

Zentrale Aufgaben, die für alle Lose gelten:

• Steuerung und Koordination der beteiligten Akteure
• Programmübergreifende Kommunikation und Öffentlichkeitsarbeit
• Controlling und Erfolgskontrollen
• Unterstützung des BMG bei der Verwendungsnachweisprüfung nach BHO

Das Gesamtprogramm hat ein Volumen von bis zu 1,84 Mrd. Euro und besteht aus Teil A (Krankenhausförderung) und Teil B (Sofortprogramm für weitere systemrelevante Gesundheitseinrichtungen).

Der Projektträger berichtet regelmäßig an das BMG und stimmt sich eng mit ihm ab:

• Mittelabflussmeldungen: alle 6 Monate
• Meilensteinberichte: alle 6 Monate
• Reifegradmessungen: jährlich sowie zum Projektabschluss
• Monatliche Statusberichte
• Jour fixe mit BMG: mindestens wöchentlich
• Strategische Planungstreffen mit BMG: mindestens quartalsweise
• Jour fixe mit der auszahlenden Stelle: mindestens monatlich
• Strategische Treffen mit der auszahlenden Stelle: mindestens jährlich

Erfolgskontrollen einschließlich Vor-Ort-Prüfungen sind bei bis zu 5 % der bewilligten Vorhaben vorgesehen.

Hauptlaufzeit: 01.09.2026 bis 31.12.2029 (41 Monate). Optionale Verlängerung: 01.01.2030 bis 31.12.2030 (einseitige Option des BMG, Ausübung bis 30.09.2029). Bis zur Veröffentlichung des ersten Förderaufrufs sind Musterklauseln und Musterverträge zu entwickeln (Frist: 30.09.2026). Im Programmverlauf sind mindestens 2 Förderaufrufe durchzuführen. Eine Programmlaufzeit von 46 Monaten wird insgesamt angenommen.

Alle Unterlagen und Leistungen müssen besondere IT-Sicherheits- und Datenschutzanforderungen erfüllen:

• Informationssicherheitsmanagementsystem zertifiziert nach ISO/IEC 27001, BSI IT-Grundschutz oder gleichwertig
• Verpflichtung der Mitarbeitenden nach dem Verpflichtungsgesetz (Anlage 17) vor Tätigkeitsbeginn
• Erweiterte Verschwiegenheitspflichten für alle Mitarbeitenden
• Sichere Verarbeitung sensibler Cybersicherheitsinformationen, Protokollierung von Zugriffen, sichere Löschung nicht mehr benötigter Daten
• DSGVO- und BDSG-Konformität, technische und organisatorische Maßnahmen nach Art. 32 DSGVO
• Barrierefreie Bereitstellung aller öffentlich zugänglichen Unterlagen nach BGG

Die Projektleitung muss folgende Anforderungen nachweisen (Mindeststandard 3 Jahre Erfahrung):

• Einschlägige Erfahrungen in Projekt- und Programmförderung im Gesundheitswesen
• Kenntnisse im Zuwendungs- und Haushaltsrecht des Bundes (BHO)
• Kenntnisse des deutschen Gesundheitssystems, seiner Akteure und einschlägiger Gesetze
• Erfahrungen/Kenntnisse in Cybersicherheit/IT-Sicherheit oder Digitalisierung im Gesundheitswesen
• Wünschenswert: Grundkenntnisse der Strukturen der Krankenhausfinanzierung

Die Leitung muss in Vollzeit oder maximal 75 % Teilzeit zur Verfügung stehen; je Förderaufruf ist eine Ansprechperson in Vollzeit oder max. 75 % Teilzeit zu stellen. Eine adäquate Vertretung ist sicherzustellen.

Das eingesetzte Personal muss die gleichen Qualifikationsanforderungen wie die Projektleitung erfüllen (mindestens 3 Jahre einschlägige Erfahrung). Insgesamt sind mindestens drei qualifizierte Personen namentlich zu benennen, inkl. Qualifikationsnachweis und Verfügbarkeitsdarstellung. Deutsch ist Amts- und Arbeitssprache; englischsprachige Unterlagen und Veranstaltungen müssen auf Verlangen des BMG erstellt bzw. durchgeführt werden können.

Folgende Nachweise und Strukturen sind erforderlich:

• Mindestens 2 Referenzen je Anforderungsbereich (Erfahrung Förderung, Zuwendungsrecht, Gesundheitssystem, IT-/Cybersicherheit) aus den letzten 3 Jahren
• Dokumentiertes und regelmäßig überprüftes Informationssicherheitsmanagementsystem, zertifiziert nach ISO/IEC 27001, BSI IT-Grundschutz oder gleichwertig (Zertifikat nicht älter als 3 Jahre)
• Erfahrung im Bereich IT-/Cybersicherheit oder einschlägige Zertifizierungen (z. B. ISO 27001 Lead Auditor) – alternativ durch Referenzen oder Zertifizierungen nachweisbar
• Fähigkeit zur termingerechten Durchführung und zum Abschluss von Vorhaben
• Fähigkeit zur Erstellung englischsprachiger Unterlagen und Durchführung englischsprachiger Veranstaltungen
• Kenntnisse in EU-Beihilferecht, Zuwendungsrecht des Bundes und Datenschutzrecht
• Wirtschaftliche Leistungserbringung gemäß § 7 BHO (Grundsätze der Wirtschaftlichkeit und Sparsamkeit)

• Förmliche Verpflichtung aller Mitarbeitenden nach dem Verpflichtungsgesetz (Anlage 17) vor Aufnahme der Tätigkeit
• Erweiterte Verschwiegenheitspflichten für alle Mitarbeitenden
• Sensibilisierung und Schulung des Personals für IT-Sicherheitsinformationen
• Sicherer Umgang mit Informationen zu Schwachstellen und Cybersicherheitsrisiken
• Mindestens dem Stand der Technik entsprechende technische und organisatorische Maßnahmen bei der Datenverarbeitung
• Protokollierung von Zugriffen auf besonders schützenswerte Informationen
• Sichere Löschung nicht mehr benötigter Daten

• Eigenerklärung über das Nichtvorliegen von Ausschlussgründen (Pflicht)
• Bei Bietergemeinschaften: Erklärung von allen Mitgliedern
• Ggf. Einheitliche Europäische Eigenerklärung (EEE) als vorläufiger Eignungsnachweis
• Auf Verlangen: Auskünfte aus Wettbewerbs- und Gewerbezentralregister
• Fehlende oder unvollständige unternehmensbezogene Unterlagen können vom Auftraggeber nachgefordert werden (Nachfrist: wenige Tage)
• Leistungsbezogene Unterlagen mit Bezug zur Wirtschaftlichkeitsbewertung werden NICHT nachgefordert (außer unwesentliche Einzelpositionen)