DORA-konforme Rezertifizierung Firewall-Regelwerk

Im Rahmen der Einführung eines neuen Lifecycle-Management-Prozesses für Firewall-Regeln soll eine initiale Bestandsaufnahme und Rezertifizierung der bestehenden Firewall-Regeln durch einen externen Dienstleister durchgeführt wer-den. Ziel ist es, die aktuellen Regeln auf ihre Sicherheitswirksamkeit und Konformität zu überprüfen, um die Sicherheit der IT-Infrastruktur zu gewährleisten und etwaige Schwachstellen zu identifizieren. Der …

CPV: 72000000 Servicii IT: consultanţă, dezvoltare de software, internet şi asistenţă, 72220000 Servicii de consultanţă privind sistemele informatice şi servicii de consultanţă tehnică
Termen limită:
22 Aprilie 2025, 11:00
Tipul de termen limită:
Depunerea unei oferte
Locul de executare:
DORA-konforme Rezertifizierung Firewall-Regelwerk
Organismul de alocare:
NBank
Numărul de atribuire:
RE 2024.77

1. Beschaffer

1.1 Beschaffer

Offizielle Bezeichnung : NBank
Rechtsform des Erwerbers : Von einer regionalen Gebietskörperschaft kontrollierte Einrichtung des öffentlichen Rechts
Tätigkeit des öffentlichen Auftraggebers : Wirtschaftliche Angelegenheiten

2. Verfahren

2.1 Verfahren

Titel : DORA-konforme Rezertifizierung Firewall-Regelwerk
Beschreibung : Im Rahmen der Einführung eines neuen Lifecycle-Management-Prozesses für Firewall-Regeln soll eine initiale Bestandsaufnahme und Rezertifizierung der bestehenden Firewall-Regeln durch einen externen Dienstleister durchgeführt wer-den. Ziel ist es, die aktuellen Regeln auf ihre Sicherheitswirksamkeit und Konformität zu überprüfen, um die Sicherheit der IT-Infrastruktur zu gewährleisten und etwaige Schwachstellen zu identifizieren. Der Auftrag umfasst folgende Leistungen: 1. Bestandsaufnahme der aktuellen Firewall-Regeln: - Erfassen aller bestehenden Regeln, inklusive ihrer Parameter (z. B. Quell-/Ziel-IPs, Protokolle, Ports, etc.). - Dokumentation der vorhandenen Regeln - Identifikation und Erfassung der verantwortlichen Stellen bzw. Verantwortliche für die einzelnen Regeln. 2. Überprüfung auf Konformität und Sicherheit: - Analyse der Regeln auf Redundanzen, veraltete oder ungenutzte Regeln. - Überprüfung der Firewall-Regeln hinsichtlich der Einhaltung geltender Sicherheitsrichtlinien (z. B. Unternehmensrichtlinien, rechtliche Anforderungen, Vorgaben des ISMS) und allgemeiner Compliance-Regeln der Finanzwirtschaft (z.B. DORA) unter Berücksichtigung des jeweils aktuellen Stands der Technik. - Bewertung der Regeln hinsichtlich möglicher Sicherheitsrisiken (z. B. unnötig offene Ports, unzureichende Beschränkungen, etc. - Überprüfung der grundsätzlichen Firewall-Einstellungen gegenüber der all-gemeinen Bedrohungslage und ggü. bekannten Schwachstellen der eingesetzten Firewall-Systeme 3. Dokumentation der Feststellungen: - Erstellung eines Abschlussberichts mit den Ergebnissen der Prüfung. - Dokumentation der Einzelüberprüfungsergebnisse aus (2) in strukturierter Form je Regel. - Empfehlung von Maßnahmen zur Optimierung und Verbesserung der Sicherheit und Effizienz der Firewalls. 4. Bearbeitungsstruktur / Umsetzung: - Die Bearbeitung der Rezertifizierung muss o toolgestützt, - Es soll ein Tool für die Rezertifizierung eingeführt werden, welches die NBank im Nachgang selbstständig weiterbetreibt. - Das Tool muss folgende Mindestanforderungen haben: - Open-Source-Lösung - Installierbar auf VMware Virtualisierungsumgebung - Zentrale Übersicht über alle Firewall-Regeln aus sämtlichen Systemen - Einheitliche Ansicht für eine dezentrale Infrastruktur - Vollständige Dokumentation und Nachverfolgung von Änderungen - Bereitstellung von Berichten zu aktuellen und historischen Regelwerken - Filterfunktionen für Systeme und andere Kriterien - Vermeidung redundanter oder überflüssiger Firewall-Regeln o strukturiert und o für Dritte nachvollziehbar umgesetzt werden. 5. Abschlusspräsentation: - Präsentation der Ergebnisse vor den zuständigen Stellen des Auftraggebers (IT-Sicherheitsverantwortliche, ISMS-Beauftragte, etc.). - Beratung zu möglichen Anpassungen oder Neuausrichtungen der Firewall-Regeln auf Grundlage der Ergebnisse. - Beratung des Kunden, wie zukünftig der Rezertifizierungsprozess als InhouseLeistung aufgebaut und durchgeführt werden kann: o Aufzeigen eines praktikablen und pragmatischen Prozesses zur Rezertifizierung im Eigenbetrieb o Möglicher Pfad zur Einführung sowohl technisch, prozessual und kaufmännisch o Möglicher Zeitplan und Ressourcenbedarf o Entwicklungspfad für den Eigenbetrieb sowie für die Überwachung ausgelagerter Services von einem Firewall as a Service bis hin zu ei-nem Full Managed Betriebskonzept
Kennung des Verfahrens : 341c33ac-7c28-49bc-9756-1392d4314b12
Interne Kennung : RE 2024.77
Verfahrensart : Offenes Verfahren
Das Verfahren wird beschleunigt : nein
Begründung des beschleunigten Verfahrens :
Zentrale Elemente des Verfahrens :

2.1.1 Zweck

Art des Auftrags : Dienstleistungen
Haupteinstufung ( cpv ): 72000000 IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung
Zusätzliche Einstufung ( cpv ): 72220000 Systemberatung und technische Beratung

2.1.2 Erfüllungsort

Postanschrift : Günther-Wagner-Allee 12-16
Stadt : Hannover
Postleitzahl : 30177
Land, Gliederung (NUTS) : Region Hannover ( DE929 )
Land : Deutschland

2.1.4 Allgemeine Informationen

Zusätzliche Informationen : Bekanntmachungs-ID: CXP4Y6450LH
Rechtsgrundlage :
Richtlinie 2014/24/EU
vgv -

2.1.6 Ausschlussgründe

Quellen der Ausschlussgründe : Bekanntmachung
Beteiligung an einer kriminellen Vereinigung :
Terroristische Straftaten oder Straftaten im Zusammenhang mit terroristischen Aktivitäten :
Geldwäsche oder Terrorismusfinanzierung :
Betrug :
Korruption :
Kinderarbeit und andere Formen des Menschenhandels :
Verstoß gegen die Verpflichtung zur Entrichtung von Steuern :
Verstoß gegen die Verpflichtung zur Entrichtung von Sozialversicherungsbeiträgen :
Verstoß gegen umweltrechtliche Verpflichtungen :
Verstoß gegen sozialrechtliche Verpflichtungen :
Verstoß gegen arbeitsrechtliche Verpflichtungen :
Zahlungsunfähigkeit :
Verwaltung der Vermögenswerte durch einen Insolvenzverwalter :
Einstellung der gewerblichen Tätigkeit :
Der Zahlungsunfähigkeit vergleichbare Lage gemäß nationaler Rechtsvorschriften :
Schwerwiegendes berufliches Fehlverhalten :
Vereinbarungen mit anderen Wirtschaftsteilnehmern zur Verzerrung des Wettbewerbs :
Interessenkonflikt aufgrund seiner Teilnahme an dem Vergabeverfahren :
Direkte oder indirekte Beteiligung an der Vorbereitung des Vergabeverfahrens :
Vorzeitige Beendigung, Schadensersatz oder andere vergleichbare Sanktionen :
Falsche Angaben, verweigerte Informationen, die nicht in der Lage sind, die erforderlichen Unterlagen vorzulegen, und haben vertrauliche Informationen über dieses Verfahren erhalten. :

5. Los

5.1 Technische ID des Loses : LOT-0001

Titel : DORA-konforme Rezertifizierung Firewall-Regelwerk
Beschreibung : Der Vertrag beginnt mit Zuschlagserteilung. Der Dienstleister hat die Rezertifizierung der Firewall-Regeln bis zum 30.04.2026 abzuschließen. Eine Abstimmung der Meilensteine erfolgt mit dem Auftraggeber. Der angebotene Leistungsumfang gem. Konzept ist zwischen 110-130 Personentagen festzulegen. Anforderungen an den Dienstleister 1. Referenzen: Nachweisbare Erfahrung in der Analyse und Rezertifizierung von Firewall-Regeln im öffentlichen Sektor oder in stark regulierten Umfeldern. Dies ist in Form von Referenzen nachzuweisen (siehe Anlage 02 Bewerbungsbedingungen). 2. Mitarbeiterqualifikation: Der Dienstleister muss über qualifizierte Mitarbeiter mit Zertifizierungen im Bereich IT-Sicherheit und Netzwerksicherheit (z. B. CISSP, CISM, ISO 27001 Lead Auditor oder vergleichbar) verfügen und erklären diese für die Leistungserbringung einzusetzen. Einzelheiten zu den Mindestanforderungen ergeben sich aus 11.4.7 der Bewerbungsbedingungen. 3. Der Dienstleister benennt einen für die Auftragsdurchführung verantwortlichen Hauptansprechpartner in Form eines führenden Beraters. Der Auftraggeber behällt sich das Recht vor, im Falle von Unstimmigkeiten zu verlangen, dass die betreffenden Tätigkeiten vom führenden Berater durchgeführt werden. 4. Methoden und Tools: Der Dienstleister muss in der Lage sein, gängige Tools zur Firewall-Analyse (z. B. Firewall Analyzer, SIEM-Systeme) zu nutzen und nach Best Practices vorzugehen. Umfang Firewall-Regelwerk - circa 2500 Firewall-Regeln - Firewalls diverser Hersteller wie Cisco, Fortinet, Palo Alto Sonstiges 1. Die Arbeiten finden in enger Abstimmung mit der IT-Sicherheitsabteilung und den Netzwerkspezialisten des Auftraggebers statt. 2. Alle Ergebnisse sind in deutscher Sprache zu dokumentieren. 3. Der Dienstleister hat sich an die geltenden Datenschutzbestimmungen und Sicherheitsrichtlinien des Auftraggebers zu halten.
Interne Kennung : RE 2024.77

5.1.1 Zweck

Art des Auftrags : Dienstleistungen
Haupteinstufung ( cpv ): 72000000 IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung
Zusätzliche Einstufung ( cpv ): 72220000 Systemberatung und technische Beratung

5.1.2 Erfüllungsort

Postanschrift : Günther-Wagner-Allee 12-16
Stadt : Hannover
Postleitzahl : 30177
Land, Gliederung (NUTS) : Region Hannover ( DE929 )
Land : Deutschland
Zusätzliche Informationen :

5.1.3 Geschätzte Dauer

Datum des Beginns : 01/05/2025
Enddatum der Laufzeit : 30/04/2026

5.1.6 Allgemeine Informationen

Die Namen und beruflichen Qualifikationen des zur Auftragsausführung eingesetzten Personals sind anzugeben : Erforderlich für das Angebot
Auftragsvergabeprojekt nicht aus EU-Mitteln finanziert
Die Beschaffung fällt unter das Übereinkommen über das öffentliche Beschaffungswesen : nein
Diese Auftragsvergabe ist auch für kleine und mittlere Unternehmen (KMU) geeignet : nein
Zusätzliche Informationen : Die Auftraggeberin wird dem Auftragnehmer alle für eine ordnungsgemäße Durchführung der Betreuung erforderlichen Informationen und Auskünfte erteilen sowie notwendige Unterlagen unter Beachtung der datenschutzrechtlichen Bestimmungen vollständig und rechtzeitig übergeben, soweit sie der Auftraggeberin vorliegen und zur Beurteilung notwendig sind. Vergütung und Zahlungsmethoden - Die Auftragnehmerin entrichtet für die Leistungen nach diesem Vertrag an den Auftragnehmer eine Vergütung je Einsatzstunde. Berechnungsgrundlage sind die vereinbarten und auch tatsächlich erbrachten Einsatzzeiten der Grundbetreuung und der betriebsspezifischen Betreuung sowie ggf. sonstig vereinbarten Leistungen. Für Wegzeiten und sonstige Auslagen wird keine Vergütung entrichtet. - Die Einsatzzeit errechnet sich aus der tatsächlich aufgewendeten Zeit der jeweiligen Leistungserbringung (z.B. Gesundheitstag, Beratungen etc.) sowie je nach Einzelfall einen angemessenen Anteil für notwendige Vor- und Nachbereitungszeiten. Jeder Einsatz bedarf der Zustimmung der Auftraggeberin. Ohne Zustimmung erfolgt keine Vergütung. - Der Stundensatz wird bis zum Vertragsende festgeschrieben. Eine Erhöhung der Honorarsätze darf nur auf Basis des Verbraucherpreisindexes für Deutschland erfolgen, wenn sich der veröffentlichte Verbraucherpreisindex gegenüber dem für den Monat des Vertragsabschlusses veröffentlichten VPI um mind. 2 Prozent ändert. Rechnungsstellung - Der Auftragnehmer stellt monatlich eine prüffähige Rechnung über die erbrachten Leistungen aus. Die einzelnen Abrechnungspositionen werden hierbei detailliert aufgeführt. Sie weisen die im Abrechnungszeitraum jeweils erbrachten Leistungen mit Datum, Anzahl und Art der erbrachten Leistung, den Einsatzstundensatz sowie die erforderliche Mehrwertsteuer aus. - Sollten Rückfragen zur Rechnung seitens der Auftraggeberin bestehen, wendet er sich innerhalb von 14 Tagen ab Rechnungszustellung zwecks Klärung an den Auftragnehmer. Nach Klärung der Rückfragen begleicht die Auftraggeberin schnellstmöglich, spätestens jedoch innerhalb von weiteren 14 Tagen die Rechnung. - Sollten keine Rückfragen aufkommen begleicht die Auftraggeberin die Rechnung innerhalb von 14 Tagen ab Rechnungszustellung, ohne Abzug von Skonto. - Rechnungen sind als PDF-Datei an folgende Mailadresse zu senden: rechnungen@nbank.de Neben der Leistungsbeschreibung werden folgende Dokumente in folgender Reihenfolge Vertragsbestandteil: - Verpflichtungserklärung zum Datenschutz - Auftragsverarbeitungsvertrag nebst Anlage - EVB-IT Dienstvertrag mitsamt AGB - Die allgemeinen Vertragsbedingungen für die Ausführung von Leistungen VOL/B - Angebot des Auftragnehmers Durch den Bieter vorgelegte allgemeine Geschäftsbedingungen werden nicht Vertragsbestandteil.

5.1.7 Strategische Auftragsvergabe

Ziel der strategischen Auftragsvergabe : Keine strategische Beschaffung

5.1.9 Eignungskriterien

Quellen der Auswahlkriterien : Bekanntmachung
Kriterium : Eintragung in ein relevantes Berufsregister
Beschreibung : Zum Nachweis der Befähigung und Erlaubnis zur Berufsausübung ist mit dem Angebot die Eintragung in einem Berufs- oder Handelsregister oder auf andere Weise die erlaubte Berufsausübung nachzuweisen (formlos bzw. Eigenerklärung).
Kriterium : Berufliche Risikohaftpflichtversicherung
Beschreibung : Zum Nachweis der wirtschaftlichen und finanziellen Leistungsfähigkeit ist anzugeben und nachzuweisen, dass eine Betriebshaftpflichtversicherung mit einer Mindestdeckungssumme in Höhe von 2 Mio. EUR für Sach- bzw. Personenschäden besteht und für die Dauer des Auftrages fortbestehen wird (formlos bzw. Eigenerklärung).
Kriterium : Referenzen zu bestimmten Dienstleistungen
Beschreibung : Zum Nachweis der technischen und beruflichen Leistungsfähigkeit sind mit dem Angebot geeignete Referenzen über früher ausgeführte Liefer- und Dienstleistungsaufträge zu benennen, die inhaltlich und im Umfang mit den beschriebenen Leistungen vergleichbar sind und innerhalb der letzten drei Jahre erbracht wurden. Dabei ist der jeweilige Auftraggeber namentlich unter Nennung eines Ansprechpartners, dessen Rufnummer sowie Auftragswert und Liefer- bzw. Leistungszeit-raum zu nennen (spätestens auf Nachfrage vor Bezuschlagung). Es sind maximal fünf, aber mindestens drei Referenzaufträge zu nennen. Bitte nutzen Sie das bei-gefügte Formular (Anlage 06 der Vergabeunterlagen). Mindestanforderungen an Referenzen: - Mindestens ein abgeschlossenes Projekt bzgl. einer Rezertifizierung der bestehenden Firewall-Regeln bei einem BaFin regulierten Unternehmen im Bereich Finanzdienstleistungen - Mindestens eine Referenz muss die Thematik "Überprüfung der Firewall-Regeln hinsichtlich der Einhaltung geltender Sicherheitsrichtlinien (z. B. Unternehmensrichtlinien, rechtliche Anforderungen, Vorgaben des ISMS) und allgemeiner Compliance-Regeln der Finanzwirtschaft beinhalten
Kriterium : Anteil der Unterauftragsvergabe
Beschreibung : Sofern der Einsatz von Dritten/ Subunternehmern/ Nachunternehmern/ konzernverbundenen Unternehmen vorgesehen ist, sind alle Nachweise/ Erklärungen auch von jedem dieser Partner im Bereich des vorgesehenen Einsatzes vorzulegen. Es ist ein Verzeichnis über diese eingesetzten Partner mit Angabe der Namen vorzulegen (formlos bzw. Eigenerklärung). Zum Nachweis der technischen und beruflichen Leistungsfähigkeit ist mit dem Angebot anzugeben, welche Teile des Auftrags unter Umständen als Unteraufträge vergeben werden (Anlage 08 und 08a).
Kriterium : Andere wirtschaftliche oder finanzielle Anforderungen
Beschreibung : Zum Nachweis des Nichtvorliegens von Ausschlussgründen ist das beigefügte Formular zu unterzeichnen und mit dem Angebot vorzulegen (Anlage 03 der Vergabeunterlagen).
Kriterium : Andere wirtschaftliche oder finanzielle Anforderungen
Beschreibung : Angaben (Name, Rechtsform, Anschrift, Ansprechpartner) zum Unternehmen des Bieters sowie Kurzdarstellung des Unternehmens (z. B. Leistungsspektrum und Schwerpunkte der Geschäftstätigkeit) und der Unternehmensorganisation (z. B. Standorte, Struktur, hierarchischer Aufbau) bezogen auf die geforderte Leistung (formlos bzw. Eigenerklärung).
Kriterium : Anteil der Unterauftragsvergabe
Beschreibung : Sofern das Angebot durch eine Bietergemeinschaft abgegeben wird, eine Erklärung, welche Leistungen vom welchem Bietergemeinschaftsmitglied übernommen werden (formlos), Name und Anschrift des bevollmächtigten Vertreters der Bietergemeinschaft, sowie eine Erklärung, dass die Mitglieder der Bietergemeinschaft für Verbindlichkeiten, die den Mitgliedern der Bietergemeinschaft aus dem Vergabeverfahren gegenüber den NBank entstehen, gesamtschuldnerisch haften (§ 421 BGB) (formlos).
Kriterium : Maßnahmen zur Sicherstellung der Qualität
Beschreibung : Nennung eines Ansprechpartners und seines Stellvertreters, der den Auftrag für die NBank federführend bearbeitet, sowie Zusage, dass Ansprechpartner und Stellvertreter während der üblichen Geschäftszeiten (montags bis freitags von 9:00 Uhr bis 17:00 Uhr) jederzeit telefonisch zu erreichen sind und Reaktionszeiten von max. vier Stunden an Werktagen eingehalten werden (formlos bzw. Eigenerklärung).
Kriterium : Andere wirtschaftliche oder finanzielle Anforderungen
Beschreibung : Mit dem Angebot ist die unterzeichnete Mindestentgelterklärung einzureichen (Anlage 05 der Vergabeunterlagen). Ausländische Bieter haben gleichwertige Bescheinigungen ihres Herkunftslandes vorzulegen. Bei fremdsprachigen Bescheinigungen ist eine Übersetzung in die deutsche Sprache beizufügen
Kriterium : Techniker oder technische Stellen zur Durchführung der Arbeiten
Beschreibung : Mit dem Angebot sollen die für den Auftrag einzusetzenden Mitarbeiter (Leitung und Personal) unter Darstellung der Qualifikation und Erfahrung inkl. Angaben zur beruflichen Qualifikation genannt werden (formlos bzw. Eigenerklärung). Folgende Mindestanforderungen müssen die einzusetzenden Mitarbeiter aufweisen: - Es sind ausschließlich qualifizierte Mitarbeiter mit Zertifizierungen im Bereich IT-Sicherheit und Netzwerksicherheit (z. B. CISSP, CISM, ISO 27001 Lead Auditor oder vergleichbar) einzusetzen. Dies ist mittels aktueller Zertifikate nachzuweisen. - Es ist ein führender Berater als Hauptansprechpartner anzubieten, der mindestens über 5 Jahre einschlägige Berufserfahrung verfügt - Der führende Berater muss nachweisen, dass er mindestens 2 vergleichbare Projekte abgeschlossen hat. - Die einzusetzenden Mitarbeiter müssen, sollte deutsch nicht deren Muttersprache sein, einen Nachweis über mindestens ein C1 Niveau der deutschen Sprache erbringen. Andernfalls genügt die Eigenerklärung, dass deutsch die Muttersprache ist. Die Nachweise sind in Form von Mitarbeiterprofilen und von aktuellen Zertifikaten zu erbringen. Sollten die einschlägige Berufserfahrung und die nachzuweisenden Projekte aufgrund der Darstellung/Inhalte Zweifel an der Erfüllung der Mindestanforderungen erwecken, behält sich der Auftraggeber das Recht vor zusätzliche Informationen beim Bieter einzufordern. Der Bieter ist in dieser Konstellation insbesondere verpflichtet einen Kontakt zum Referenzgeber bzgl. der Projekte herzustellen und dafür Sorge zu tragen, dass die Informationen innerhalb von einer Woche zur Verfügung gestellt werden. Sollte die genannte Referenz nicht bestätigt werden können, behällt sich der Auftraggeber einen Angebotsausschluss vor.
Kriterium : Sicherheit bei der Verarbeitung, Speicherung und Übermittlung von klassifizierten Informationen
Beschreibung : Mit dem Angebot ist die unterzeichnete Verpflichtungserklärung zum Datenschutz einzureichen (Anlage 04 der Vergabeunterlagen).
Kriterium : Andere wirtschaftliche oder finanzielle Anforderungen
Beschreibung : Angaben, ob das Unternehmen des Bieters ein KMU oder ein Großunternehmen ist. (formlos bzw. Eigenerklärung). Dies sind Unternehmen, die weniger als 250 Personen beschäftigen und entweder einen Jahresumsatz von höchstens 50 Mio. EUR erzielen oder deren Jahresbilanzsumme sich auf höchstens 43 Mio. EUR beläuft.
Kriterium : Andere wirtschaftliche oder finanzielle Anforderungen
Beschreibung : Mit dem Angebot ist die Eigenerklärung im Zusammenhang mit EU-Maßnahmen gegen die russische Föderation (Anlage 09) einzureichen.
Kriterium : Allgemeiner Jahresumsatz
Beschreibung : Zum Nachweis der wirtschaftlichen und finanziellen Leistungsfähigkeit ist der Umsatz der letzten drei Geschäftsjahre anzugeben (formlos bzw. Eigenerklärung). Sollten Ihnen die Zahlen für 2024 noch nicht vorliegen, tätigen Sie die Angaben bitte für die letzten drei Jahre. Es wird ein Mindestjahresumsatz in Höhe von 500.000 EUR gefordert. Als Beleg können Bankerklärungen, Jahresabschlüsse oder Auszüge von Jahresabschlüssen dienen.

5.1.10 Zuschlagskriterien

Kriterium :
Art : Preis
Bezeichnung : Gesamtpreis
Beschreibung : Für die Wertung maßgeblich ist der Gesamtpreis gem. Preisblatt.
Kategorie des Schwellen-Zuschlagskriteriums : Gewichtung (Prozentanteil, genau)
Zuschlagskriterium — Zahl : 30
Kriterium :
Art : Qualität
Bezeichnung : Umsetzungskonzept
Beschreibung : Vorlage eines Konzeptes. In dem Konzept soll jeweils das eigene Vorgehen bei der Durchführung des Auftrags und den in der Leistungsbeschreibung aufgeführten Tätigkeiten dargestellt werden. Es soll insbesondere auf folgende Aspekte eingegangen werden: - Beschreibung des einzuführenden Tools - Beschreibung des Vorgehens, wie die Firewall-Regeln rezertifiziert werden - Beschreibung des Vorgehens, wie ein Prozess für die Rezertifizierung implementiert wird Das Konzept soll mindestens 10 bis maximal 15 Seiten umfassen. Das Konzept muss auf die Bepreisung der einzelnen abverlangten Leistungsumfänge abgestimmt sein. Insgesamt darf die geplante Erbringung der Leistung nach dem Konzept 110-130 Personentage (8 Stunden) umfassen. In dem Konzept müssen die Anzahl der geplanten Personentage sowie die zeitlichen Planungen (bspw. in Form eines Meilensteinplans) enthalten sein. Das Konzept ist bindend für den angebote-nen Gesamtpreis. Über die geplanten Personentage hinausgehende und für die vollständige Leistungserbringung erforderliche Personentage werden nicht vergütet. Für das Konzept für die Erbringung und Umsetzung der Leistung können folgende Punkte erreicht werden: Für eine volle Punktzahl müssen folgende Prämissen erfüllt werden: - Das eingereichte Konzept lässt eine hervorragende Leistungserbringung erwarten. Die Schlüssigkeit und Qualität des Konzepts überzeugen im höchsten Maße. - Der Umsetzungsplan ist sehr anschaulich, detailreich und lässt eine sehr gut strukturierte Vorgehensweise erwarten. - Die genannten Anforderungen sind sehr verständlich dargestellt. - Die Herleitung der geschätzten erforderlichen PT Anzahl ist sehr anschaulich und sehr gut nachvollziehbar dargestellt. - Die Meilensteinplanung ist sehr erfolgsversprechend und lässt eine sehr gute Leistungserbringung erwarten. - Es werden sehr anschaulich Risiken antizipiert und der Umgang damit sehr gut dargestellt. Negative Abweichungen davon führen zu einer entsprechend schlechteren Bewertung. 5 Punkte = sehr gut Das eingereichte Konzept lässt eine hervorragende Leistungserbringung erwarten. Die Schlüssigkeit und Qualität des Konzepts sind sehr gut. 4 Punkte = gut Anhand des eingereichten Konzepts kann eine gute Leistungserbringung erwartet werden. Die Schlüssigkeit und Qualität des Konzepts sind in hohem Maße gegeben. 3 Punkt = Befriedigend Das eingereichte Konzept entspricht den Anforderungen und lässt eine zufriedenstellende Leistungserbringung erwarten. 2 Punkte = ausreichend Das eingereichte Konzept entspricht zwar im Wesentlichen den Anforderungen und lässt eine ausreichende Leistungserbringung erwarten. Die Schlüssigkeit und Qualität des Konzepts sind jedoch vereinzelt mängelbehaftet. 1 Punkt = mangelhaft Das Konzept ist mit erheblichen Mängeln behaftet und lässt eine ordnungsgemäße Leistungserbringung nicht mehr zu. Die Schlüssigkeit und Qualität sind nur in geringem Maße gegeben. 0 Punkte = ungenügend Das eingereichte Konzept erfüllt in keiner Hinsicht die Anforderung der zu erbringenden Leistung. Eine ordnungsgemäße Leistungserbringung ist unwahrscheinlich. Die Schlüssigkeit und Qualität des Konzepts sind leider an erheblichen Mängeln und machen die Leistung unbrauchbar.
Kategorie des Schwellen-Zuschlagskriteriums : Gewichtung (Prozentanteil, genau)
Zuschlagskriterium — Zahl : 50
Kriterium :
Art : Qualität
Bezeichnung : Qualifikation und Erfahrung der Mitarbeiter
Beschreibung : Mit dem Angebot sollen die für den Auftrag einzusetzenden Mitarbeiter (Leitung und Personal) unter Darstellung der Qualifikation und Erfahrung inkl. Angaben zur beruflichen Qualifikation genannt werden (formlos bzw. Eigenerklärung). Folgende Mindestanforderungen müssen die einzusetzenden Mitarbeiter aufweisen: - Es sind ausschließlich qualifizierte Mitarbeiter mit Zertifizierungen im Bereich IT-Sicherheit und Netzwerksicherheit (z. B. CISSP, CISM, ISO 27001 Lead Auditor oder vergleichbar) einzusetzen. Dies ist mittels aktueller Zertifikate nachzuweisen. - Es ist ein führender Berater als Hauptansprechpartner anzubieten, der mindestens über 5 Jahre einschlägige Berufserfahrung verfügt - Der führende Berater muss nachweisen, dass er mindestens 2 vergleichbare Projekte abgeschlossen hat. - Die einzusetzenden Mitarbeiter müssen, sollte deutsch nicht deren Muttersprache sein, einen Nachweis über mindestens ein C1 Niveau der deutschen Sprache erbringen. Andernfalls genügt die Eigenerklärung, dass deutsch die Muttersprache ist. Die Nachweise sind in Form von Mitarbeiterprofilen und von aktuellen Zertifikaten zu erbringen. Sollten die einschlägige Berufserfahrung und die nachzuweisenden Projekte aufgrund der Darstellung/Inhalte Zweifel an der Erfüllung der Mindestanforderungen erwecken, behält sich der Auftraggeber das Recht vor zusätzliche Informationen beim Bieter einzufordern. Der Bieter ist in dieser Konstellation insbesondere verpflichtet einen Kontakt zum Referenzgeber bzgl. der Projekte herzustellen und dafür Sorge zu tragen, dass die Informationen innerhalb von einer Woche zur Verfügung gestellt werden. Sollte die genannte Referenz nicht bestätigt werden können, behällt sich der Auftraggeber einen Angebotsausschluss vor. Für die Erfahrung/Qualifikation der Mitarbeiter können folgende Punkte erreicht werden: Der Nachweis der Mindestanforderungen gem. Ziff. 11.4.7 an das einzusetzende Personal bedeutet eine Bewertung mit einem Punkt. Sollten die Mindestanforderungen nicht erfüllt werden wird das Angebot ausgeschlossen. 5 Punkte Die Erfahrungen/Qualifikationen lassen eine hervorragende Leistungserbringung erwarten und erfüllen die Anforderungen der NBank in höchstem Maße. Darüber hinaus verfügt der führende Berater über 10 Jahre einschlägige Berufserfahrung und über Erfahrung in der BaFin regulierten Finanzbranche. Zusätzlich verfügt der führende Berater über mindestens 2 der unter 2.4 der Leistungsbeschreibung genannten Zertifikate. 4 Punkte Die Erfahrungen/Qualifikationen lassen eine gute Leistungserbringung erwarten und erfüllen die Anforderungen der NBank in hohem Maße. Darüber hinaus verfügt der führende Berater über 10 Jahre einschlägige Berufserfahrung und über Erfahrung in der BaFin regulierten Finanzbranche. 3 Punkte Die Erfahrungen/Qualifikationen erfüllen die Mindestanforderungen der NBank. Darüber hinaus verfügt der führende Berater über 8 Jahre einschlägige Berufserfahrung und über Erfahrung in der BaFin regulierten Finanzbranche. 2 Punkte Die Erfahrungen/Qualifikationen erfüllen die Mindestanforderungen der NBank. Darüber hinaus verfügt der führende Berater über 5 Jahre einschlägige Berufserfahrung in der BaFin regulierten Finanzbranche. 1 Punkt Die Erfahrungen/Qualifikationen erfüllen die Mindestanforderungen der NBank. 0 Punkte = Angebotsausschluss Die Erfahrungen/Qualifikationen lassen eine ungenügende Leistungserbringung erwarten und erfüllen die Anforderungen der NBank nicht.
Kategorie des Schwellen-Zuschlagskriteriums : Gewichtung (Prozentanteil, genau)
Zuschlagskriterium — Zahl : 20
Beschreibung der anzuwendenden Methode, wenn die Gewichtung nicht durch Kriterien ausgedrückt werden kann :
Begründung, warum die Gewichtung der Zuschlagskriterien nicht angegeben wurde :

5.1.11 Auftragsunterlagen

Sprachen, in denen die Auftragsunterlagen offiziell verfügbar sind : Deutsch
Frist für die Anforderung zusätzlicher Informationen : 03/04/2025 23:59 +02:00
Internetadresse der Auftragsunterlagen : https://www.dtvp.de/Satellite/notice/CXP4Y6450LH/documents
Ad-hoc-Kommunikationskanal :
Name : Die ausschließliche Verfahrenssprache ist deutsch. Während des Vergabeverfahrens dürfen die Bieter mit der NBank ausschließlich über das Deutsche Vergabeportal kommunizieren.

5.1.12 Bedingungen für die Auftragsvergabe

Bedingungen für die Einreichung :
Elektronische Einreichung : Erforderlich
Sprachen, in denen Angebote oder Teilnahmeanträge eingereicht werden können : Deutsch
Elektronischer Katalog : Nicht zulässig
Varianten : Nicht zulässig
Die Bieter können mehrere Angebote einreichen : Nicht zulässig
Frist für den Eingang der Angebote : 22/04/2025 11:00 +02:00
Frist, bis zu der das Angebot gültig sein muss : 2 Monat
Informationen, die nach Ablauf der Einreichungsfrist ergänzt werden können :
Nach Ermessen des Käufers können einige fehlenden Bieterunterlagen nach Fristablauf nachgereicht werden.
Zusätzliche Informationen : Die NBank wird die fristgerecht eingegangenen Angebote zunächst gem. § 56 Abs. 1 VgV auf Vollständigkeit sowie auf rechnerische und fachliche Richtigkeit prüfen. Sodann wird entschieden, ob allein auf dieser Grundlage die Wertung durchgeführt werden kann oder ob von der Möglichkeit Gebrauch macht wird, Erklärungen (Angaben) und Nachweise nach Maßgabe des § 56 Abs. 2 Satz 1 VgV nachzufordern. Den Bietern wird weder ein Recht darauf gewährt, dass die NBank eine allgemeine Nachforderungsrunde durchführt, noch besteht ein Recht zur Nachreichung von Erklärungen und Nachweisen außerhalb einer allgemeinen Nachforderungsrunde. Die Bieter bleiben für den rechtzeitigen Nachweis ihrer Eignung und die Vollständigkeit ihres Angebotes innerhalb der Angebotsfrist allein verantwortlich.
Informationen über die öffentliche Angebotsöffnung :
Eröffnungsdatum : 22/04/2025 11:05 +02:00
Auftragsbedingungen :
Die Auftragsausführung muss im Rahmen von Programmen für geschützte Beschäftigungsverhältnisse erfolgen : Nein
Bedingungen für die Ausführung des Auftrags : Siehe Vergabeunterlagen.
Elektronische Rechnungsstellung : Erforderlich
Aufträge werden elektronisch erteilt : nein
Zahlungen werden elektronisch geleistet : nein

5.1.15 Techniken

Rahmenvereinbarung :
Keine Rahmenvereinbarung
Informationen über das dynamische Beschaffungssystem :
Kein dynamisches Beschaffungssystem

5.1.16 Weitere Informationen, Schlichtung und Nachprüfung

Überprüfungsstelle : Vergabekammer Niedersachsen beim Nds. Ministerium für Wirtschaft, Verkehr, Bauen und Digitalisierung -
Informationen über die Überprüfungsfristen : Nachprüfungsstelle Vergabekammer Niedersachsen beim Nds. Ministerium für Wirtschaft, Verkehr, Bauen und Digitalisierung Auf der Hude 2 21339 Lüneburg Fax: 04131/15-2943 E-mail: vergabekammer@mw.niedersachsen.de Der Antrag ist unzulässig, soweit 1. der Antragsteller den geltend gemachten Verstoß gegen Vergabevorschriften vor Einreichen des Nachprüfungsantrags erkannt und gegenüber dem Auftraggeber nicht innerhalb einer Frist von zehn Kalendertagen gerügt hat; der Ablauf der Frist nach § 134 Absatz 2 bleibt unberührt, 2.Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, nicht spätestens bis zum Ablauf der in der Bekanntmachung benannten Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden, 3.Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, nicht spätestens bis zum Ablauf der Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden, 4.mehr als 15 Kalendertage nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, vergangen sind. Satz 1 gilt nicht bei einem Antrag auf Feststellung der Unwirksamkeit des Vertrags nach § 135 Absatz 1 Nummer 2. § 134 Absatz 1 Satz 2 bleibt unberührt. (§ 160 Abs. 3 S. 1 Nr. 4 GWB).
Organisation, die zusätzliche Informationen über das Vergabeverfahren bereitstellt : NBank -
Organisation, die weitere Informationen für die Nachprüfungsverfahren bereitstellt : Vergabekammer Niedersachsen beim Nds. Ministerium für Wirtschaft, Verkehr, Bauen und Digitalisierung -
Organisation, die Teilnahmeanträge entgegennimmt : NBank -

8. Organisationen

8.1 ORG-0001

Offizielle Bezeichnung : NBank
Registrierungsnummer : Hannover HRA 201010
Postanschrift : Günther-Wagner-Allee 12-16
Stadt : Hannover
Postleitzahl : 30177
Land, Gliederung (NUTS) : Region Hannover ( DE929 )
Land : Deutschland
Telefon : +49 511 30031-0
Rollen dieser Organisation :
Beschaffer
Organisation, die zusätzliche Informationen über das Vergabeverfahren bereitstellt
Organisation, die Teilnahmeanträge entgegennimmt

8.1 ORG-0002

Offizielle Bezeichnung : Vergabekammer Niedersachsen beim Nds. Ministerium für Wirtschaft, Verkehr, Bauen und Digitalisierung
Registrierungsnummer : keine Angabe
Postanschrift : Auf der Hude 2
Stadt : Lüneburg
Postleitzahl : 21339
Land, Gliederung (NUTS) : Lüneburg, Landkreis ( DE935 )
Land : Deutschland
Telefon : +49 4131 15-3308
Rollen dieser Organisation :
Überprüfungsstelle
Organisation, die weitere Informationen für die Nachprüfungsverfahren bereitstellt

8.1 ORG-0003

Offizielle Bezeichnung : Datenservice Öffentlicher Einkauf (in Verantwortung des Beschaffungsamts des BMI)
Registrierungsnummer : 0204:994-DOEVD-83
Stadt : Bonn
Postleitzahl : 53119
Land, Gliederung (NUTS) : Bonn, Kreisfreie Stadt ( DEA22 )
Land : Deutschland
Telefon : +49228996100
Rollen dieser Organisation :
TED eSender

10. Änderung

Fassung der zu ändernden vorigen Bekanntmachung : 4ef0e5bc-4779-4f78-a99a-1a2441c11cb0-01
Hauptgrund für die Änderung : Informationen sind jetzt verfügbar
Beschreibung : Beantwortung aufgeworfener Bieterfragen und Beachtung der sechstägigen Frist.

10.1 Änderung

Abschnittskennung : PROCEDURE
Beschreibung der Änderungen : Die Angebotsfrist wurde verlängert bis zum 22.04.2025. Beginn der Dienstleistung ist somit möglichst schnell nach Zuschlagserteilung.
Informationen zur Bekanntmachung
Kennung/Fassung der Bekanntmachung : 501a2699-d916-4735-b72b-911c5b36b4c3 - 01
Formulartyp : Wettbewerb
Art der Bekanntmachung : Auftrags- oder Konzessionsbekanntmachung – Standardregelung
Datum der Übermittlung der Bekanntmachung : 14/04/2025 16:39 +02:00
Sprachen, in denen diese Bekanntmachung offiziell verfügbar ist : Deutsch
Veröffentlichungsnummer der Bekanntmachung : 00247335-2025
ABl. S – Nummer der Ausgabe : 75/2025
Datum der Veröffentlichung : 16/04/2025