Verfahrensangaben

Das Land Nordrhein-Westfalen, vertreten durch das Ministerium für Heimat, Kommunales, Bau und Digitalisierung des Landes Nordrhein-Westfalen (MHKBD), möchte die Informationssicherheit auf Landesebene sowie auf kommunaler Ebene stärken. Um dieses Ziel zu erreichen, möchte das MHKBD für die Landesbehörden, die Kommunen und die vom Land NRW oder kommunal beherrschten IT-Dienstleister eine Möglichkeit anbieten, einen IT-Sicherheitscheck durchführen zu lassen. Der IT-Sicherheitscheck soll die gesamtheitliche Informationssicherheit der bezugsberechtigten
Parteien ermitteln, Verbesserungspotentiale aufdecken und dem MHKBD überdies eine empirisch belastbare Übersicht über systematische Probleme bzgl. Informationssicherheit (aufgeteilt nach diversen Kriterien, z.B. regional) liefern. Grundlage ist auch die im Jahr 2024 durchgeführte Informationssicherheitsanalyse.

Der Auftragnehmer muss den IT-Sicherheitscheck nach den Vorgaben des BSI IT-Grundschutz-Kompendiums und den BSI-Standards der Reihe 200-x durchführen. Ein IT-Sicherheitscheck im Sinne der vorliegenden Ausschreibung ist eine überwiegend organisatorisch ausgerichtete standardisierte Überprüfung des Reifegrads eines Informationssicherheitsmanagements (ISMS) eines öffentlichen Auftraggebers. Im Fokus stehen u.a. die vorhandenen Richtlinien, Rollen, Verantwortlichkeiten und Prozesse sowie deren gelebte Umsetzung im Rahmen eines ISMS auf Basis des BSI-Grundschutz-Kompendiums und der BSI-Normenreihe 200x. Die Bewertung erfolgt primär qualitativ, etwa durch Fragebögen, Workshops und Interviews, mit dem Ziel, in einem standardisierten Report den Reifegrad der ISMS-Organisation festzustellen und Handlungsbedarfe aufzuzeigen. Die technische Umsetzung der Vorgaben des ISMS wird hierbei lediglich überblicksartig und stichprobenartig betrachtet, ohne den Einsatz tiefergehender technischer Scans oder aktiver Prüfmaßnahmen. Der Umfang des IT-Sicherheitschecks wird einheitlich vorgegeben.

Zu diesem Zweck schreibt das MHKBD einen Rahmenvertrag aus, auf dessen Grundlage die abrufberechtigten Parteien - Landesbehörden, Kommunen und vom Land oder kommunal beherrschte IT-Dienstleister - den Auftragnehmer mit der Durchführung eines IT-Sicherheitschecks beauftragen können. Hierdurch können die abrufberechtigten Parteien die Dienstleistung ohne zusätzliches förmliches Vergabeverfahren abrufen.

Das MHKBD übernimmt für die Kommunen sowie für die kommunal beherrschen IT-Dienstleister bis zum 31.12.2026 die Kosten aus Mitteln des Gesetzes zur Regelung der Zuweisungen des Landes Nordrhein-Westfalen an die Gemeinden und Gemeindeverbände (Gemeindefinanzierungsgesetz).

Die Landesbehörden und IT-Dienstleister des Landes müssen die Kosten selbst tragen.

Das MHKBD schreibt einen Rahmenvertrag über die Durchführung des IT-Sicherheitschecks auf Landesebene und kommunaler Ebene aus.

Abrufberechtigte Parteien sind in Nordrhein-Westfalen:
- die Landesbehörden,
- die nordrhein-westfälischen Kommunen,
- die IT-Dienstleister,
- die vom Land NRW und/oder den nordrhein-westfälischen Kommunen unmittelbar oder mittelbar beherrscht werden.

Der Auftragnehmer muss zur Durchführung des IT-Sicherheitschecks
geeignete Prüfschemata, z.B. in Form von geeigneten Fragebögen, entwickeln. Es müssen bei dieser Prüfung alle in der Praxis vorkommenden IT-Betriebsszenarien im Land Nordrhein-Westfalen in ausreichender Qualität und Güte sowie die Erfüllung der informationssicherheitstechnischen Obliegenheiten seitens zu prüfender Organisation erfasst sein. Bei der Entwicklung der Prüfschemata muss sich an einschlägigen Dokumenten des Bundesamts für Sicherheit in der Informationstechnik, insbesondere des Wegs in die Basisabsicherung (WiBA), orientiert werden.

Zu den vorkommenden Betriebsszenarien zählen insbesondere der Fall eines vollständigen Eigenbetriebs von IT-Leistungen sowie der Fall von Outsourcing von Leistungen und auch etwaige Mischformen. Diese Betriebsszenarien müssen vollständig durch die Prüfschemata erfasst sowie - hinsichtlich Anforderungserfüllung - im Rahmen der Prüfung erhoben werden.

Definitorisch gilt: Eigenbetrieb liegt dann vor, wenn eine datenverantwortende Stelle (Behörde) gleichzeitig auch datenverarbeitende Stelle ist.

Outsourcing liegt dann vor, wenn eine datenverantwortende Stelle (Behörde) ihre IT von einer datenverarbeitenden Stelle betreiben lässt (IT-Dienstleister, der vom Land NRW und/oder den nordrhein-westfälischen Kommunen unmittelbar oder mittelbar beherrscht wird).

Sollte eine datenverantwortende Stelle IT-Dienste von IT-Dienstleistern betreiben lassen, die nicht mittelbar oder unmittelbar vom Land NRW und/oder den nordrhein-westfälischen Kommunen beherrscht werden, so sind diese (externen) IT-Dienstleister nicht vom Umfang der Prüfungen umfasst und müssen selbst nicht in Prüfschemata aufgenommen werden. Gleichwohl muss jedoch auch in diesen Fällen durch die Prüfschemata erhoben werden, ob die datenverantwortende Stelle allen einschlägigen Obliegenheiten des BSI IT-Grundschutzes sowie der BSI-Normen 200-x in hinreichender Qualität und Güte nachgekommen ist.

Der Auftragnehmer muss die Prüfschemata strikt nach den fachlichen Vorgaben des BSI IT-Grundschutz-Kompendiums und den BSI-Standards der Reihe 200-x erstellen, inkl. der spezifischen Realisation einer Prüfung mittels WiBA. Auf Abruf der abrufberechtigten Parteien
muss der Auftragnehmer einen IT-Sicherheitscheck durchführen. Ein IT-Sicherheitscheck im Sinne der vorliegenden Ausschreibung ist eine überwiegend organisatorisch ausgerichtete standardisierte Überprüfung des Reifegrads eines Informationssicherheitsmanagements (ISMS) eines öffentlichen Auftraggebers. Im Fokus stehen u.a. die vorhandenen Richtlinien,
Rollen, Verantwortlichkeiten und Prozesse, insbesondere inkl. Outsourcing, sowie deren gelebte Umsetzung im Rahmen
eines ISMS auf Basis des BSI IT-Grundschutz-Kompendiums und der BSI-Normenreihe 200-x.

Die Bewertung erfolgt durch den späteren Auftragnehmer primär qualitativ durch geeignete Prüfschemata mittels z.B. Fragebögen, Workshops und Interviews.

Ziel ist ein standardisierter Report bzgl. Reifegrad des ISMS in der geprüften Organisation. Zudem muss der Report konkrete und eigenständig nachnutzbare Handlungsbedarfe mit zugehörigen Handlungsempfehlungen aufzeigen. Explizit nicht Gegenstand der Ausschreibung ist die Behebung der aufgefundenen Defizite oder Erbringung von individuellen Beratungsleistungen über die im standardisierten Report und ggf. Ergebnispräsentation gegenüber den geprüften Organisationen hinaus. Die technische Umsetzung der
Vorgaben des ISMS wird hierbei lediglich überblicksartig und stichprobenartig betrachtet, ohne den Einsatz tiefergehender technischer Scans oder aktiver Prüfmaßnahmen. Die Stichproben müssen hierbei repräsentativ gewählt werden und sind insbesondere in Bereichen erfahrungsgemäß hoher Fehlerträchtigkeit anzusiedeln. Der Umfang des IT-Sicherheitschecks wird im Rahmen der Leistungsbeschreibung einheitlich vorgegeben werden.

Der Auftragnehmer muss mindestens 50 IT-Sicherheitschecks pro Monat durchführen können. Der Auftragnehmer muss dem
MHKBD zudem quartalsweise zwei schriftliche High-
Level-Reports zuliefern (eine für die Landesverwaltungs- und eine für die Kommunalebene). In diesen High-Level-Reports sind die Prüfergebnisse nach seitens MHKBD im Rahmen der Leistungsbeschreibung definierten Kriterien aggregiert zusammenzufassen (z.B. aber nicht nur regionale Zugehörigkeit, Behördengröße, IT-Selbst- bzw. IT-Fremdbetrieb usw.). Wesentliche Trends inkl. globalen Handlungsbedarfen müssen aus diesen High-Level-Reports zweifelsfrei ableitbar sein.

Der Auftraggeber behält sich vor, die Anforderungen im Laufe des Verfahrens zu präzisieren und anzupassen.

Ganzes Landesgebiet Nordrhein-Westfalen

1. Bewerber werden gebeten, Rückfragen zum Teilnahmeantrag ausschließlich über die in Ziffer 5.1.11. genannte Website einzureichen. Der Auftraggeber wird alle Fragen und Antworten auf der in Ziffer 5.1.11. genannten Website anonymisiert zur Verfügung stellen. Bewerbungen für Teilleistungen sind nicht möglich. Fragen können bis 7 Kalendertage vor Ablauf der Teilnahmefrist gestellt werden.

2. Ausreichend ist die Abgabe des Teilnahmeantrages in Textform (§ 126b BGB) über das in Ziffer 5.1.11. genannte Vergabeportal. Nähere Informationen stehen auf der Startseite des in Ziffer 5.1.11. genannten Vergabeportals zur Verfügung. Zur Formwahrung muss die Teilnahmeerklärung die Firma des Bewerbers/ des bevollmächtigten Bewerbergemeinschaftsmitglieds ausweisen. Eine Unterschrift oder Signatur ist nicht erforderlich. Bewerber werden gebeten, im Teilnahmeantrag einen Ansprechpartner mit Namen, Adresse, E-Mail, Telefon- und
Faxnummer zu benennen. Die gesamte Kommunikation zwischen Auftraggeber und Bewerbern findet ausschließlich über das in Ziffer 5.1.11. genannte Vergabeportal statt. Der
Auftraggeber wird alle Fragen und Antworten auf dem in Ziffer 5.1.11. genannten Vergabeportal anonymisiert zur Verfügung stellen.

3. Mehrfachbewerbungen als Einzelbewerber sowie als Mitglied einer/mehrerer Bewerbergemeinschaften (BG) sind unzulässig. Soweit mehrere Unternehmen im Rahmen der Vergabe miteinander kooperieren (z. B. über ein gemeinsames Tochterunternehmen, als Nachunternehmer oder im Rahmen einer BG), behält sich der Auftraggeber vor, Nachweise dafür zu fordern, dass die Kooperation als Ganzes sowie die Teilnahme der einzelnen Unternehmen an der Kooperation zulässig ist, insbesondere keine unzulässige wettbewerbsbeschränkende Abrede getroffen wurde. Für jeden Teilnehmer der Kooperation wäre dann zu begründen, inwieweit sein Entschluss zur Teilnahme an der Kooperation eine im Rahmen von zweckmäßigen und kaufmännisch vernünftigen Handelns liegende Entscheidung ist, z. B. weil der jeweilige Teilnehmer zur Zeit der Bildung der Kooperation überhaupt nicht oder jedenfalls zu dieser Zeit nicht über die erforderliche Kapazität zur Durchführung des hier ausgeschriebenen Auftrages verfügt oder aus anderen Gründen erst die Kooperation den jeweiligen Teilnehmer in die Lage versetzt, ein erfolgsversprechendes Angebot abzugeben.

4. Die Bildung von Bewerber-/Bietergemeinschaften (BG) ist nur bis zur Abgabe des Teilnahmeantrages möglich. Die Angaben zur Zusammensetzung der BG sind grundsätzlich bindend. Bewerber, die sich mit anderen Unternehmen zu Bewerber-/Bietergemeinschaften zusammenschließen und als solche einen Teilnahmeantrag einreichen, sind für die Dauer des Verfahrens daran gebunden. Ein Austausch einzelner Mitglieder der BG vor Auftragsvergabe bedarf der Zustimmung des Auftraggebers. Die Abgabe von Teilnahmeanträgen durch BG ist nur bei gesamtschuldnerischer Haftung mit bevollmächtigtem Vertreter möglich. Hierzu ist eine von allen Mitgliedern unterschriebene Vollmacht mittels einer BG-Erklärung vorzulegen. Außerdem haben sämtliche Mitglieder der BG namentlich mit Anschrift einen bevollmächtigten Vertreter für das Vergabeverfahren sowie den Abschluss und die Durchführung des Vertrages zu bezeichnen. Der Auftraggeber behält sich ausdrücklich vor, diese Angaben nachzufordern. Bei der Eignungsprüfung wird die BG als Ganzes beurteilt.

5. Der Auftraggeber wird die von dem Bewerber übermittelten Informationen vertraulich behandeln und die anwendbaren Vorschriften zum Datenschutzrecht beachten. Dies gilt insbesondere für personenbezogene Informationen, die im Zusammenhang mit der Angabe von Referenzen an den Auftraggeber weitergegeben werden.

6. Für den Fall, dass ein Bewerber einzelne Unternehmen als Nachunternehmer einsetzen möchte, wird auf die Möglichkeit der Eignungsleihe und die in § 47 VgV genannten Voraussetzungen hingewiesen. Wenn und soweit sich der Bewerber auf die Eignung des Nachunternehmers beruft, ist mit dem Teilnahmeantrag insbesondere eine Verpflichtungserklärung des Nachunternehmers einzureichen, dass dieser seine Ressourcen und Kapazitäten dem Bewerber im Auftragsfall zur Verfügung stellt.

7. Bewerber sollten die auf der in Ziff. 5.1.11 genannten Website hinterlegten Vordrucke für ihre nach der Bekanntmachung erforderlichen Eigenerklärungen verwenden. Der Auftraggeber behält sich vor, fehlende Unterlagen gemäß § 56 Abs. 2 VgV nachzufordern. Auf die Nachforderung besteht kein Rechtsanspruch.

Das MHKBD vergibt den Rahmenvertrag im Wege eines nicht offenen Verfahrens. Mit dieser Bekanntmachung fordert das MHKBD interessierte Unternehmen auf, einen Teilnahmeantrag einzureichen. Für den Teilnahmeantrag sind allein die Anforderungen dieser Bekanntmachung maßgeblich. Anhand des eingereichten Teilnahmeantrags prüft das MHKBD die Eignung der Bewerber für den Auftrag anhand der gemäß der Bekanntmachung einzureichenden Unterlagen. Im zweiten Schritt fordert das MHKBD die nach Maßgabe der Bekanntmachung ausgewählten Bewerber auf, ein verbindliches Angebot einzureichen. Die weiteren Einzelheiten zum Verfahren ergeben sich aus den Vergabeunterlagen.

Die Teilnahmeanträge sind elektronisch in Textform (§ 126b BGB) über das Vergabeportal einzureichen. Für den Versand und den Empfang von rechtserheblichen Erklärungen an bzw. von dem MHKBD müssen die Bewerber den Bewerberbereich der Vergabeplattform nutzen. Die gesamte Kommunikation zwischen Auftraggeber und Bewerbern findet ausschließlich über das Vergabeportal statt.

Das Verfahren für Verstöße gegen diese Vergabe richtet sich nach den Vorschriften der §§ 160 ff. des Gesetzes gegen Wettbewerbsbeschränkungen (GWB). Zur Wahrung der Fristen wird auf die §§ 160 ff. GWB verwiesen. Insbesondere weisen wir darauf hin, dass der Nachprüfungsantrag gemäß § 160 Abs. 3 Satz 1 Nr. 4 GWB spätestens 15 Kalendertage nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, zu stellen ist. Vergabeverstöße sind nach § 160 Abs. 3 Satz 1 Nr. 1 GWB vor Einreichen des Nachprüfungsantrags innerhalb von 10 Kalendertagen, nachdem der Bewerber den Verstoß erkannt hat, beim Auftraggeber zu rügen. Vergabeverstöße, die aufgrund der Bekanntmachung erkennbar sind, sind gemäß § 160 Abs. 3 Satz 1 Nr. 2 GWB spätestens bis zum Ablauf der Teilnahmefrist bei dem Auftraggeber zu rügen.

Der Auftraggeber wird mindestens 5 Bewerber bzw. Bewerbergemeinschaften für das weitere Verfahren auswählen, sofern eine entsprechende Anzahl von geeigneten Bewerbern bzw. Bewerbergemeinschaften zur Verfügung steht. Der Auftraggeber wird zur Auswahl der Bewerber bzw. Bewerbergemeinschaften in 3 Stufen vorgehen:
1. Zunächst wird geprüft, ob die Teilnahmeanträge den formalen Anforderungen genügen.
2. Anschließend wird beurteilt, ob der Bewerber nach den vorgelegten Angaben und Nachweisen geeignet erscheint, die verfahrensgegenständlichen Leistungen ordnungsgemäß zu erbringen. Dies ist der Fall, wenn der Bewerber/die Bewerbergemeinschaft die gestellten Eignungsanforderungen erfüllt.
3. Schließlich, für den Fall, dass sich mehr als 5 geeignete Unternehmen beworben haben, wird beurteilt, wer unter den geeigneten Bewerbern im Vergleich zu den Mitbewerbern mit Blick auf die zu erbringende Leistung besonders geeignet erscheint und daher am weiteren Verfahren beteiligt wird. Der Auftraggeber wird zur Abgabe eines Angebotes die Bewerber bzw. Bewerbergemeinschaften auffordern, die die Eignungsanforderungen am besten erfüllen (Ranking). Er behält sich vor, nur die 5 besten Bewerber aufzufordern, auch wenn mehr Bewerber die Eignungsanforderungen erfüllen. Bei Ermittlung des Rankings wird der Auftraggeber insbesondere die Referenzen des Bewerbers und deren Vergleichbarkeit mit dem vorliegenden Beschaffungsvorhaben bewerten. Die Bewertung erfolgt in einem relativen Vergleich der Bewerber miteinander. Hierbei handelt es sich um Auswahlkriterien für den Teilnahmewettbewerb, nicht um Zuschlagskriterien.

Der Auftraggeber behält sich vor, Unterlagen im Rahmen des § 56 Abs. 2 VgV nachzufordern. Hierauf besteht kein Rechtsanspruch.

Die Ausführungsbedingungen ergeben sich aus den Vergabeunterlagen.