Durchführung von Sicherheitsanalysen und Evaluierungen an Produkten und Services sowie an Standards und Test-spezifikationen aus den Bereichen Consumer und Public IoT (PraCyS)

Eignungskriterien

• Bestätigen Sie, dass weder Sie noch Ihre Partner im Fall einer Bietergemeinschaft noch ggf. Unterauftragnehmer Interessen haben, die mit der Ausführung der Leistungen dieser Rahmenvereinbarung im Widerspruch stehen und die sich ggf. nachteilig auf das Ergebnis auswirken könnten? Eingeschlossen von dieser Bestätigung ist das bei der Rahmenvereinbarung eingesetzte Personal. Bitte mit „JA“ oder „NEIN“ beantworten. Ein Interessenskonflikt liegt beispielsweise bei einer Verpflichtung gegenüber oder Kooperation mit dem Hersteller einer der zu untersuchenden Produktgruppen oder durch eine sonstige wirtschaftliche Abhängigkeit vom genannten vor. Mindestanforderung

  • •Wurde die Frage mit „Nein“ beantwortet (= es besteht ein Interessenskonflikt), so erläutern Sie den Konflikt und stellen Sie dar, wie Sie ihn auflösen wollen. Das Angebot kann in diesem Fall nur berücksichtigt werden, wenn der beschriebene Lösungsansatz vom BSI als ausreichend beurteilt wird.
  • •Führen Sie im Angebot lediglich den Titel des Kriteriums sowie Ihre Antwort auf. Verzichten Sie auf die wörtliche oder sinngemäße Zitierung des Kriteriums.

• Referenzen

  • •Durchführung von Sicherheitsanalysen oder Konformitätsprüfungen
  • •Legen Sie geeignete Referenzen der beteiligten Unternehmen vor. Referenzen sind geeignet, wenn die der Referenz zu Grunde liegenden Projekte hinsichtlich der fachlichen und technischen Leistungsfähigkeit im Wesentlichen ähnliche Anforderungen an die Unternehmen gestellt haben wie die ausgeschriebene Leistung. Dies ist bei der vorliegenden Ausschreibung insbesondere gegeben, bei Erfahrungen in der Durchführung von Sicherheitsanalysen oder Konformitätsprüfungen in Projekten mit einer erbrachten Laufzeit von mindestens einem Jahr und einem erbrachten Umfang von mindestens 250 Personentagen.
  • •Zu den Referenzen sind folgende Angaben zu machen:
  • •• Beschreibung der ausgeführten Leistungen,
  • •• Wert des Auftrages,
  • •• Geleistete Personentage,
  • •• Zeitraum der Leistungserbringung,
  • •• Angabe der zuständigen Kontaktstelle bei der Auftraggeberin der Referenz mit Anschrift und Kontaktdaten.
  • •Darüber hinaus gelten die folgenden Anforderungen an die benannten Referenzen:
  • •• Die Referenzen dürfen nicht älter als drei Jahre sein (gerechnet vom Datum der letzten Leistungserbringung im jeweiligen Referenzprojekt bis zum Tag der Auftragsbekanntmachung/Veröffentlichung).
  • •• Die genannten Referenzprojekte müssen grundsätzlich abgeschlossen sein. Ein nicht vollständig abgeschlossenes Referenzprojekt kann mit entsprechender Erläuterung benannt werden, wenn es mit seinem bereits abgeschlossenen Teil die Referenzanforderungen erfüllt. Sofern es sich um Referenzen handelt, die noch nicht abgeschlossen wurden, ist der bisher erreichte Leistungsstand anzugeben. Das BSI entscheidet sodann nach pflichtgemäßem Ermessen über die Anerkennung dieser Referenz. Noch nicht realisierte Leistungsstände können nicht berücksichtigt werden.
  • •Mindestanforderungen:
  • •Reichen Sie mindestens zwei Referenzen zu dem Themenfeld „Entwicklung von Methoden zur Durchführung von Sicherheitsanalysen oder Konformitätsprüfungen und Durchführung von Sicherheitsanalysen oder Konformitätsprüfungen“ ein.
  • •Der Schwerpunkt der Beauftragung lag auf der Durchführung von Sicherheitsanalysen oder Konformitätsprüfungen. Mit mindestens einem Referenzprojekt wird die Entwicklung von Methoden zur Durchführung von Sicherheitsanalysen oder Konformitätsprüfungen nachgewiesen. Mit mindestens einem Referenzprojekt wird die Durchführung von Sicherheitsanalysen oder Konformitätsprüfungen mit Bezug zur gegenständlichen Leistung nachgewiesen. Dies umfasst insbesondere Blackbox-, Greybox- oder Whitebox-Tests mit Bezug auf Datenübertragung, Software, Firmware und / oder Binary.

• Referenzen

  • •Mitarbeit in der IT-Sicherheitsstandardisierung
  • •Legen Sie geeignete Referenzen der beteiligten Unternehmen vor. Referenzen sind geeignet, wenn die der Referenz zu Grunde liegenden Projekte hinsichtlich der fachlichen und technischen Leistungsfähigkeit im Wesentlichen ähnliche Anforderungen an die Unternehmen gestellt haben wie die ausgeschriebene Leistung. Dies ist bei der vorliegenden Ausschreibung insbesondere gegeben, bei Erfahrungen im Bereich IT-Sicherheitsstandardisierung.
  • •Referenzen sind geeignet, wenn die der Referenz zu Grunde liegenden Projekte hinsichtlich der fachlichen und technischen Leistungsfähigkeit im Wesentlichen ähnliche Anforderungen an die Unternehmen gestellt haben wie die ausgeschriebene Leistung.
  • •Zu den Referenzen sind folgende Angaben zu machen:
  • •• Beschreibung der ausgeführten Leistungen,
  • •• Wert des Auftrages,
  • •• Geleistete Personentage,
  • •• Zeitraum der Leistungserbringung,
  • •• Angabe der zuständigen Kontaktstelle bei der Auftraggeberin der Referenz mit Anschrift und Kontaktdaten.
  • •Darüber hinaus gelten die folgenden Anforderungen an die benannten Referenzen:
  • •• Die Referenzen dürfen nicht älter als drei Jahre sein (gerechnet vom Datum der letzten Leistungserbringung im jeweiligen Referenzprojekt bis zum Tag der Auftragsbekanntmachung/Veröffentlichung).
  • •• Die genannten Referenzprojekte müssen grundsätzlich abgeschlossen sein. Ein nicht vollständig abgeschlossenes Referenzprojekt kann mit entsprechender Erläuterung benannt werden, wenn es mit seinem bereits abgeschlossenen Teil die Referenzanforderungen erfüllt. Sofern es sich um Referenzen handelt, die noch nicht abgeschlossen wurden, ist der bisher erreichte Leistungsstand anzugeben. Das BSI entscheidet sodann nach pflichtgemäßem Ermessen über die Anerkennung dieser Referenz. Noch nicht realisierte Leistungsstände können nicht berücksichtigt werden.
  • •Mindestanforderung:
  • •Reichen Sie mindestens eine Referenz zu dem Themenfeld „Mitarbeit in der IT-Sicherheitsstandardisierung“ ein. Über die Referenz, wie bspw. im Zusammenhang eines Projektes, müssen Erfahrungen in der Mitarbeit in der Standardisierung im Bereich IT-Sicherheit zur Erstellung von Standards und Testspezifikationen in nationalen oder internationalen Gremien in Bezug zur gegenständlichen Leistung nachgewiesen werden.
  • •Beispiele hierfür kann die Standardentwicklung für Produkte der hier ausgeschriebenen Leistung sein: speziell in den Bereichen der Radio Equipment Directive (RED) – hervorgegangene Standards sind die EN 18031-1, EN 18032-2, EN 18032-3, Technischen Richtlinien des BSI wie BSI TR 03148, der ETSI EN 303 645 und ETSI TS 103 928 sowie ihrer hervorgegangenen Verticals bspw. ETSI TS 103 848 und ETSI TS 103 701 und auch von zukünftigen Standards, z.B. durch Umsetzung des CRA.
• • •Beschäftigtenanzahl
  • •Zum Nachweis der personellen Leistungsfähigkeit ist die durchschnittliche Anzahl an Beschäftigten pro Jahr in den letzten drei Geschäftsjahren im einschlägigen Geschäftsbereich in Vollzeitäquivalenten anzugeben. Reichen Sie hierzu bitte eine Eigenerklärung in Form einer selbsterstellten Liste ein.
  • •Im Falle von Bietergemeinschaften bzw. der Einbindung anderer Unternehmen im Rahmen einer Eignungsleihe gemäß § 47 VgV, ist für jedes Mitglied der Bietergemeinschaft bzw. für jedes eignungsverleihende Unternehmen eine Eigenerklärung in Form einer selbsterstellten Liste einzureichen, welche die jeweiligen Jahreswerte der letzten drei Geschäftsjahre für jedes Mitglied der Bieterkonstellation belegt. Die Summe muss die Mindestanzahl erreichen.
  • •Sofern Sie aus berechtigten Gründen die Unterlagen nicht beibringen können, teilen Sie diese Gründe im Angebot dem BSI mit und legen Sie einen anderen geeigneten Nachweis der personellen Leistungsfähigkeit vor. Das BSI entscheidet sodann nach pflichtgemäßem Ermessen über die Anerkennung des Alternativnachweises. Ein Nachfordern und Beibringen eines anderen (geeigneteren) Nachweises ist nach dem Angebotsschluss aus vergaberechtlichen Gründen nicht mehr möglich.
  • •Mindestanforderung: Die durchschnittliche Anzahl pro Geschäftsjahr muss mindestens fünf Beschäftigte in Vollzeitäquivalenten betragen.