 |
icc hofmann - Ingenieurbüro für technische Informatik Am Stockborn 16, 60439 Frankfurt/M, FRG Tel.: +49 6082-910101 Fax.: +49 6082-910200 E-Mail: info@icc-hofmann.net |
|
| Titel : |
|
|---|---|
| Dokument-Nr. ( ID / ND ) : |
|
| Veröffentlicht : |
|
| Anforderung der Unterlagen bis : |
|
| Angebotsabgabe bis : |
|
| Dokumententyp : |
|
| Produkt-Codes : |
72254100 - Systemprüfung
72260000 - Dienstleistungen in Verbindung mit Software
|
|
DEU-Berlin: Deutschland Systemprüfung 360-Grad-Sicherheitsanalyse Authenticator 2025/S 120/2025 413823 Deutschland Systemprüfung 360-Grad-Sicherheitsanalyse Authenticator OJ S 120/2025 26/06/2025 Auftrags- oder Konzessionsbekanntmachung Standardregelung Dienstleistungen 1. Beschaffer 1.1. Beschaffer Offizielle Bezeichnung: gematik GmbH E-Mail: vergabestelle@gematik.de Rechtsform des Erwerbers: Von einer zentralen Regierungsbehörde kontrolliertes öffentliches Unternehmen Tätigkeit des öffentlichen Auftraggebers: Gesundheit 2. Verfahren 2.1. Verfahren Titel: 360-Grad-Sicherheitsanalyse Authenticator Beschreibung: Der Gegenstand der Ausschreibung ist die Organisation und Durchführung einer 360-Grad-Sicherheitsanalyse Social Engineering eines Authenticators zur sicheren Authentifizierung für die digitalen Anwendungen im Gesundheitswesen. Kennung des Verfahrens: 70175dc1-c866-4f85-960e-a167914732b5 Interne Kennung: 2025-0037 Verfahrensart: Offenes Verfahren Das Verfahren wird beschleunigt: nein 2.1.1. Zweck Art des Auftrags: Dienstleistungen Haupteinstufung (cpv): 72254100 Systemprüfung Zusätzliche Einstufung (cpv): 72260000 Dienstleistungen in Verbindung mit Software 2.1.2. Erfüllungsort Ort im Europäischen Wirtschaftsraum Zusätzliche Informationen: Die Leistungen des Auftragnehmers können neben dem Haupterfüllungsort auch am Sitz des Auftragnehmers erbracht werden. 2.1.4. Allgemeine Informationen Zusätzliche Informationen: Bekanntmachungs-ID: CXS0Y53YT4774TXC 1) Die gematik führt dieses Vergabeverfahren nach den Vorschriften des Gesetzes gegen Wettbewerbsbeschränkungen (GWB) und der Verordnung über die Vergabe öffentlicher Aufträge (VgV) durch. 2) Eine Losaufteilung erfolgt nicht. 3) Mit dem Angebot sind sämtliche der aufgelisteten Nachweise, Erklärungen und Angaben (Unterlagen) beizubringen. Für die Erstellung und Einreichung des Angebotes sind die von der Vergabestelle auf der angegebenen Internetseite zum Download zur Verfügung gestellten Vordrucke und Formblätter zu verwenden. Die Vergabestelle behält sich vor, fehlende, formell fehlerhafte oder unvollständige Unterlagen bis zum Ablauf einer von der Vergabestelle zu bestimmenden Nachfrist nachzufordern oder aufzuklären. Die Bieter haben keinen Anspruch auf Nachforderung / Nachreichung oder Aufklärung / Erläuterung von Unterlagen. Sämtliche Unterlagen sind in elektronischer Form sowie in Textform nach § 126b BGB über die genannte Vergabeplattform einzureichen; 4) Soweit Auskünfte erforderlich werden, sind Fragen ausschließlich über die genannte Vergabeplattform einzureichen; 5) Eine Erstattung von Kosten/Aufwendungen für die Erstellung des Angebots und die Teilnahme am Vergabeverfahren findet nicht statt; 6) Die Verfahrens- und Vertragssprache ist deutsch. Rechtsgrundlage: Richtlinie 2014/24/EU vgv - 2.1.6. Ausschlussgründe Quellen der Ausschlussgründe: Bekanntmachung Verstoß gegen die in den rein innerstaatlichen Ausschlussgründen verankerten Verpflichtungen: gem. §§123, 124 GWB Beteiligung an einer kriminellen Vereinigung: gem. §§123, 124 GWB Terroristische Straftaten oder Straftaten im Zusammenhang mit terroristischen Aktivitäten: gem. §§123, 124 GWB Geldwäsche oder Terrorismusfinanzierung: gem. §§123, 124 GWB Betrug: gem. §§123, 124 GWB Korruption: gem. §§123, 124 GWB Kinderarbeit und andere Formen des Menschenhandels: gem. §§123, 124 GWB Verstoß gegen die Verpflichtung zur Entrichtung von Steuern: gem. §§123, 124 GWB Verstoß gegen die Verpflichtung zur Entrichtung von Sozialversicherungsbeiträgen: gem. §§123, 124 GWB Verstoß gegen umweltrechtliche Verpflichtungen: gem. §§123, 124 GWB Verstoß gegen sozialrechtliche Verpflichtungen: gem. §§123, 124 GWB Verstoß gegen arbeitsrechtliche Verpflichtungen: gem. §§123, 124 GWB Zahlungsunfähigkeit: gem. §§123, 124 GWB Verwaltung der Vermögenswerte durch einen Insolvenzverwalter: gem. §§123, 124 GWB Einstellung der gewerblichen Tätigkeit: gem. §§123, 124 GWB Der Zahlungsunfähigkeit vergleichbare Lage gemäß nationaler Rechtsvorschriften: gem. §§123, 124 GWB Schwerwiegendes berufliches Fehlverhalten: gem. §§123, 124 GWB Vereinbarungen mit anderen Wirtschaftsteilnehmern zur Verzerrung des Wettbewerbs: gem. §§123, 124 GWB Interessenkonflikt aufgrund seiner Teilnahme an dem Vergabeverfahren: gem. §§123, 124 GWB Direkte oder indirekte Beteiligung an der Vorbereitung des Vergabeverfahrens: gem. §§123, 124 GWB Vorzeitige Beendigung, Schadensersatz oder andere vergleichbare Sanktionen: gem. §§123, 124 GWB Falsche Angaben, verweigerte Informationen, die nicht in der Lage sind, die erforderlichen Unterlagen vorzulegen, und haben vertrauliche Informationen über dieses Verfahren erhalten.: gem. §§123, 124 GWB 5. Los 5.1. Los: LOT-0001 Titel: 360-Grad-Sicherheitsanalyse Authenticator Beschreibung: Im Rahmen ihrer Gesamtverantwortung lässt die gematik jährlich eine sogenannte 360 Grad-Sicherheitsanalyse durch externe Experten durchführen, um etwaige Schwachstellen innerhalb der TI zu ermitteln. Denn neben Angriffen auf technische Systeme stellen Angriffe mittels Social-Engineering-Methoden ein zunehmendes Risiko dar. Für das Jahr 2025/2026 ist eine Social-Engineering-Sicherheitsanalyse zur Sicherheit des Authenticators geplant. Hierzu soll versucht werden, missbräuchliche Meldungen von Krankheiten und Erregern an das Deutsche Elektronische Melde- und Informationssystem für den Infektionsschutz (DEMIS) mittels Authenticator der gematik zu übermitteln, um die Resilienz des Authentisierungs- und Meldeprozesses gegen Manipulationen zu prüfen, d. h. zu validieren, ob es formale, organisatorische und technische Sicherheitslücken gibt. Die Analyse inkl. eines durchzuführenden Workshops sowie zugehöriger Dokumentationen und Berichte sind bis 11. KW 2026 abzuschließen. Interne Kennung: 2025-0037 5.1.1. Zweck Art des Auftrags: Dienstleistungen Haupteinstufung (cpv): 72254100 Systemprüfung Zusätzliche Einstufung (cpv): 72260000 Dienstleistungen in Verbindung mit Software 5.1.2. Erfüllungsort Ort im Europäischen Wirtschaftsraum Zusätzliche Informationen: Die Leistungen des Auftragnehmers können neben dem Haupterfüllungsort auch am Sitz des Auftragnehmers erbracht werden. 5.1.3. Geschätzte Dauer Laufzeit: 9 Monate 5.1.6. Allgemeine Informationen Die Namen und beruflichen Qualifikationen des zur Auftragsausführung eingesetzten Personals sind anzugeben: Nicht erforderlich Auftragsvergabeprojekt nicht aus EU-Mitteln finanziert Die Beschaffung fällt unter das Übereinkommen über das öffentliche Beschaffungswesen: ja Diese Auftragsvergabe ist auch für kleine und mittlere Unternehmen (KMU) geeignet: ja Zusätzliche Informationen: #Besonders auch geeignet für:other-sme# 5.1.7. Strategische Auftragsvergabe Ziel der strategischen Auftragsvergabe: Keine strategische Beschaffung 5.1.9. Eignungskriterien Quellen der Auswahlkriterien: Bekanntmachung Kriterium: Eintragung in das Handelsregister Beschreibung: Handelsregisterauszug (Mit dem Angebot; Mittels Dritterklärung): Sofern eine Pflicht zur Eintragung ins Handelsregister (oder in einem vergleichbaren Register) besteht, ist ein aktueller Handelsregisterauszug (oder vergleichbarer Auszug), der nicht älter als 3 Monate ist, gerechnet ab der Abgabefrist des Verfahrens, einzureichen. Kriterium: Allgemeiner Jahresumsatz Beschreibung: Umsatz der letzten drei abgeschlossenen Geschäftsjahre (Mit dem Angebot; Mittels Eigenerklärung): Angaben zum Umsatz der letzten drei abgeschlossenen Geschäftsjahre 2022 bis 2024 Die Angaben sind im Dokument Eignungsformblatt (Anlage-04) einzutragen. Kriterium: Techniker oder technische Stellen zur Durchführung der Arbeiten Beschreibung: Erklärung über den Bestand an Mitarbeitern und Analysten (Mit dem Angebot; Mittels Eigenerklärung): Es sind Angaben über den Bestand an Mitarbeitern und Analysten in den Geschäftsjahren 2022 bis 2024 hinsichtlich der durchschnittlichen Anzahl der Beschäftigten sowie der durchschnittlichen Anzahl der Analysten zu tätigen. Mindestanforderung: Die durchschnittliche Anzahl an Analysten muss mindestens 2 Analysten in den letzten drei Geschäftsjahren 2022 bis 2024 betragen haben. Die Angaben sind im Dokument Eignungsformblatt (Anlage-04) einzutragen. Kriterium: Referenzen zu bestimmten Dienstleistungen Beschreibung: Unternehmesbezogene Referenzprojekte (Mit dem Angebot; Mittels Eigenerklärung): Es sind unternehmensbezogene Referenzprojekte für nach ihrer Art und ihrem Umfang mit der ausgeschriebenen Leistung vergleichbare Leistungen aus den letzten 3 Jahren anzugeben. Eine Referenz ist vergleichbar, wenn sie in einem vergleichbaren Umfeld (eHealth) erbracht wurden, Methoden des Social Engineerings angewendet werden und die Dokumentation der Ergebnisse im Umfang und Tiefe ähnlich ist. Ein Referenzprojekt gilt als in den letzten 3 Jahren erbracht, wenn Startzeitpunkt und Endzeitpunkt des Leistungszeitraums innerhalb der letzten drei Jahre liegen (2022 bis Ablauf der Angebotsfrist). Mindestanforderungen: - Es müssen mindestens 3 Referenzprojekte aus den letzten 3 Jahren nachgewiesen werden, die mit der ausgeschriebenen Leistung vergleichbar sind - Auftragsvolumen: Mindestauftragswert 50.000 EUR (netto) je Referenz Die Angaben sind im Dokument Eignungsformblatt (Anlage-04) einzutragen. Kriterium: Eintragung in das Handelsregister Beschreibung: Sofern eine Pflicht zur Eintragung ins Handelsregister (oder in einem vergleichbaren Register) besteht, ist ein aktueller Handelsregisterauszug (oder vergleichbarer Auszug), der nicht älter als 3 Monate ist, gerechnet ab der Abgabefrist des Verfahrens, einzureichen. - Handelsregisterauszug Kriterium: Referenzen zu bestimmten Dienstleistungen Beschreibung: Es sind unternehmensbezogene Referenzprojekte für nach ihrer Art und ihrem Umfang mit der ausgeschriebenen Leistung vergleichbare Leistungen aus den letzten 3 Jahren anzugeben. Eine Referenz ist vergleichbar, wenn sie in einem vergleichbaren Umfeld (eHealth) erbracht wurden, Methoden des Social Engineerings angewendet werden und die Dokumentation der Ergebnisse im Umfang und Tiefe ähnlich ist. Ein Referenzprojekt gilt als in den letzten 3 Jahren erbracht, wenn Startzeitpunkt und Endzeitpunkt des Leistungszeitraums innerhalb der letzten drei Jahre liegen (2022 bis Ablauf der Angebotsfrist). Mindestanforderungen: - Es müssen mindestens 3 Referenzprojekte aus den letzten 3 Jahren nachgewiesen werden, die mit der ausgeschriebenen Leistung vergleichbar sind - Auftragsvolumen: Mindestauftragswert 50.000 EUR (netto) je Referenz Die Angaben sind im Dokument Eignungsformblatt (Anlage-04) einzutragen. - Unternehmensbezogene Referenzprojekte Kriterium: Techniker oder technische Stellen zur Durchführung der Arbeiten Beschreibung: Es sind Angaben über den Bestand an Mitarbeitern und Analysten in den Geschäftsjahren 2022 bis 2024 hinsichtlich der durchschnittlichen Anzahl der Beschäftigten sowie der durchschnittlichen Anzahl der Analysten zu tätigen. Die durchschnittliche Anzahl Analysten muss mindestens 2 Analysten betragen haben. Die Angaben sind im Dokument Eignungsformblatt (Anlage-04) einzutragen. - Erklärung über den Bestands an Mitarbeitern 5.1.11. Auftragsunterlagen Sprachen, in denen die Auftragsunterlagen offiziell verfügbar sind: Deutsch Frist für die Anforderung zusätzlicher Informationen: 17/07/2025 23:59:59 (UTC+2) Osteuropäische Zeit, Mitteleuropäische Sommerzeit Internetadresse der Auftragsunterlagen: https://www.dtvp.de/Satellite/notice /CXS0Y53YT4774TXC/documents Ad-hoc-Kommunikationskanal: URL: https://www.dtvp.de/Satellite/notice/CXS0Y53YT4774TXC 5.1.12. Bedingungen für die Auftragsvergabe Bedingungen für die Einreichung: Elektronische Einreichung: Erforderlich Adresse für die Einreichung: https://www.dtvp.de/Satellite/notice/CXS0Y53YT4774TXC Sprachen, in denen Angebote oder Teilnahmeanträge eingereicht werden können: Deutsch Elektronischer Katalog: Nicht zulässig Varianten: Nicht zulässig Die Bieter können mehrere Angebote einreichen: Nicht zulässig Frist für den Eingang der Angebote: 28/07/2025 12:00:00 (UTC+2) Osteuropäische Zeit, Mitteleuropäische Sommerzeit Frist, bis zu der das Angebot gültig sein muss: 64 Tage Informationen, die nach Ablauf der Einreichungsfrist ergänzt werden können: Nach Ermessen des Käufers können alle fehlenden Bieterunterlagen nach Fristablauf nachgereicht werden. Zusätzliche Informationen: Möglichkeit der Nachforderung und Aufklärung: Sofern Angebote unvollständig eingegangen sind, behält sich der Auftraggeber vor, fehlende, unvollständige oder fehlerhafte Unterlagen - soweit zulässig - nachzufordern. Fehlende, unvollständige oder fehlerhafte Unterlagen führen gleichwohl zum Ausschluss des Angebotes, wenn nach pflichtgemäßer Ausübung des Ermessens von einer Nachforderung abgesehen wird. Sofern Angebotspreise im Verhältnis zu der zu erbringenden Leistung ungewöhnlich niedrig erscheinen, verlangt der Auftraggeber von den betroffenen Bietern Aufklärung und die Plausibilisierung der Angebotspreise. Gleiches gilt, wenn die Angebote widersprüchliche Angaben enthalten. Informationen über die öffentliche Angebotsöffnung: Eröffnungsdatum: 28/07/2025 12:00:00 (UTC+2) Osteuropäische Zeit, Mitteleuropäische Sommerzeit Auftragsbedingungen: Die Auftragsausführung muss im Rahmen von Programmen für geschützte Beschäftigungsverhältnisse erfolgen: Nein Bedingungen für die Ausführung des Auftrags: Vorliegend werden keine besonderen Bedingungen an die Ausführungen des Auftrags (Ausführungsbedingungen) im Sinne des § 128 Abs. 2 GWB festgelegt. Alle allgemeingültigen Bedingungen an die Leistungserbringung ergeben sich aus den Vergabeunterlagen (insb. Leistungsbeschreibung und Vertrag). Elektronische Rechnungsstellung: Erforderlich Aufträge werden elektronisch erteilt: nein Zahlungen werden elektronisch geleistet: ja 5.1.15. Techniken Rahmenvereinbarung: Keine Rahmenvereinbarung Informationen über das dynamische Beschaffungssystem: Kein dynamisches Beschaffungssystem Elektronische Auktion: nein 5.1.16. Weitere Informationen, Schlichtung und Nachprüfung Überprüfungsstelle: Bundeskartellamt Vergabekammern des Bundes Informationen über die Überprüfungsfristen: Das Nachprüfungsverfahren ist in Kapitel 2 des 4. Teils des Gesetzes gegen Wettbewerbsbeschränkungen (GWB) geregelt. Ein Nachprüfungsverfahren wird nach § 160 GWB nur auf Antrag bei der Vergabekammer eingeleitet. Antragsbefugt ist jedes Unternehmen, das ein Interesse an dem öffentlichen Auftrag hat und eine Verletzung in seinen Rechten nach § 97 Absatz 6 GWB durch Nichtbeachtung von Vergabevorschriften geltend macht. Dabei ist darzulegen, dass dem Unternehmen durch die behauptete Verletzung der Vergabevorschrift ein Schaden entstanden ist oder zu entstehen droht. Dieser Antrag ist unzulässig, soweit: 1) der Antragsteller den geltend gemachten Verstoß gegen Vergabevorschriften vor Einreichen des Nachprüfungsantrages erkannt und gegenüber dem Auftraggeber nicht innerhalb einer Frist von 10 Kalendertagen gerügt hat; der Ablauf der Frist nach § 134 Absatz 2 GWB bleibt unberührt; 2) Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, nicht spätestens bis zum Ablauf der in der Bekanntmachung benannten Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden; 3) Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, nicht spätestens bis zum Ablauf der Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden; 4) mehr als 15 Kalendertage nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, vergangen sind. Dies gilt nicht bei einem Antrag auf Feststellung der Unwirksamkeit des Vertrages nach § 135 Absatz 1 Nummer 2 GWB. § 134 Absatz 1 Satz 1 Satz 2 GWB bleibt unberührt. Nach § 134 GWB (Informations- und Wartepflicht) wird der Auftraggeber Bieter bzw. Bewerber über den vorgesehenen Zuschlag informieren. Der Vertrag wird erst 15 Kalendertage (bei elektronischer Übermittlung oder per Fax: 10 Kalendertage) nach Absendung dieser Information geschlossen. Organisation, die zusätzliche Informationen über das Vergabeverfahren bereitstellt: gematik GmbH Organisation, die Teilnahmeanträge entgegennimmt: gematik GmbH 8. Organisationen 8.1. ORG-0001 Offizielle Bezeichnung: gematik GmbH Registrierungsnummer: HRB 96351 Postanschrift: Friedrichstr. 136 Stadt: Berlin Postleitzahl: 10117 Land, Gliederung (NUTS): Berlin (DE300) Land: Deutschland Kontaktperson: Rechtsabteilung / Vergabestelle E-Mail: vergabestelle@gematik.de Telefon: +49 3040041-0 Internetadresse: https://www.gematik.de/ Rollen dieser Organisation: Beschaffer Organisation, die zusätzliche Informationen über das Vergabeverfahren bereitstellt Organisation, die Teilnahmeanträge entgegennimmt 8.1. ORG-0002 Offizielle Bezeichnung: Bundeskartellamt Vergabekammern des Bundes Registrierungsnummer: 991-02380-92 Postanschrift: Kaiser-Friedrich-Straße 16 Stadt: Bonn Postleitzahl: 53113 Land, Gliederung (NUTS): Bonn, Kreisfreie Stadt (DEA22) Land: Deutschland E-Mail: vk@bundeskartellamt.bund.de Telefon: +49 22894990 Fax: +49 2289499163 Internetadresse: http://www.bundeskartellamt.de Rollen dieser Organisation: Überprüfungsstelle 8.1. ORG-0003 Offizielle Bezeichnung: Datenservice Öffentlicher Einkauf (in Verantwortung des Beschaffungsamts des BMI) Registrierungsnummer: 0204:994-DOEVD-83 Stadt: Bonn Postleitzahl: 53119 Land, Gliederung (NUTS): Bonn, Kreisfreie Stadt (DEA22) Land: Deutschland E-Mail: noreply.esender_hub@bescha.bund.de Telefon: +49228996100 Rollen dieser Organisation: TED eSender Informationen zur Bekanntmachung Kennung/Fassung der Bekanntmachung: 267777d1-dcf1-4f7f-bc2d-0a76ee98244d - 01 Formulartyp: Wettbewerb Art der Bekanntmachung: Auftrags- oder Konzessionsbekanntmachung Standardregelung Unterart der Bekanntmachung: 16 Datum der Übermittlung der Bekanntmachung: 25/06/2025 12:56:47 (UTC+2) Osteuropäische Zeit, Mitteleuropäische Sommerzeit Sprachen, in denen diese Bekanntmachung offiziell verfügbar ist: Deutsch ABl. S Nummer der Ausgabe: 120/2025 Datum der Veröffentlichung: 26/06/2025 Referenzen: https://www.dtvp.de/Satellite/notice/CXS0Y53YT4774TXC https://www.dtvp.de/Satellite/notice/CXS0Y53YT4774TXC/documents https://www.gematik.de/ http://www.bundeskartellamt.de http://icc-hofmann.net/NewsTicker/202506/ausschreibung-413823-2025-DEU.txt |
